Ich habe einen korrigierten Keyring hochgeladen. Dieser enthält jetzt alle Teilnehmer am Keysigning und ist bereinigt um alle die, die nicht teilnahmen bzw. die, die die noch neu dazukamen. Die KeyID 0xDA1E0D25 konnte ich nicht auf den Keyservern finden. Daher fehlt diese (noch). Ich habe den Eigentümer gebeten, den Schlüssel auf einen Keyserver hochzuladen.
Update: Jetzt sind alle Teilnehmer enthalten.
Durch einen Beitrag im Rabenhorst wurde ich auf den Beitrag Eklatantes Spamproblem bei GPG und PGP beim Lemming aufmerksam. Er diskutiert dort die Fragestellung, ob Nutzern von GnuPG/PGP vermehrt Spam droht, wenn sie ihre Schlüssel auf öffentlichen Keyservern ablegen.
Grundsätzlich existiert natürlich die Gefahr, dass gerade diese Adressen abgefragt werden. Denn diese sind in der Regel valide Adressen, die gelesen werden und somit sind diese potentiell wertvoll. Allerdings ist die Menge beschränkt. Der geneigte Spammer dürfte derzeit drei bis vier Millionen eindeutige Adressen vorfinden. Diese herunterzuladen dürfte ein nicht unerheblicher zeitlicher Aufwand sein. Wenn Herr Spammer nun dieselbe Zeit investiert und die E-Mailadressen aus den XOVER-Daten eines Newsservers parst, sollte er die zehn- oder mehrfache Zahl erhalten. Darunter befinden sich nun viele gefälschte E-Mailadressen. Aber das sollte ihm egal sein.
Ein weiteres Argument dagegen ist auch die zu erwartende Sachkunde der GnuPG/PGP-Nutzer. Der Großteil dieser hat aus meiner Sicht wesentlich bessere technische Grundkenntnisse als der Durchschnittsnutzer und weiß insbesondere, wie man mit Spam und Spamfiltern umgeht. Also ist auch der zu erwartende Ertrag geringer. Ich weiß zwar nicht, ob Spammer derartige Überlegungen anstellen. Wenn sie es aber tun, werden sie wohl zu ähnlichen Schlüssen gelangen.
Alles in allem glaube ich nicht, dass Spam mit der “Hilfe” von Keyservern auf absehbare Zeit ein Problem darstellen wird. Vielmehr könnte der Missbrauch des Web of Trust ein Problem werden. Denn hier gibt es sehr viele Möglichkeiten, um dieses Modell kaputt zu machen. Wer hierüber genaueres Wissen möchte, sollte zum 22C3 kommen und den Vortrag von Seth Hardy anhören.
Die Vorträge am zweiten Congresstag beginnen glücklicherweise erst um 12:00 Uhr. Das gibt mir die Möglichkeit, etwas auszuschlafen. Des weiteren interessieren mich erst die Vorträge ab 13:00 Uhr. Also genügend Zeit, vorher noch anderes zu machen. Vielleicht komme ich ja auch dazu, mal vom Kongress zu bloggen.
- Informationsfreiheitsgesetz
- MdB Jörg Taus wird dort selbst Stellung zu dem Gesetz nehmen, dass ja am 2006-01-01 in Kraft tritt. Ich hoffe, dass er hier auf wesentliche Details eingeht und auch Unterschiede zum FOIA der USA aufzeigt. Das ist das einzige andere Gesetz, was mir bekannt ist, obwohl eine ganze Reihe Länder weltweit ähnlich gelagerte Gesetze besitzen.
- Hashing Trusted Computing
- Rüdi wird hier wieder etwas über neue Forschungen zu TCG erzählen. Wobei das Thema in der Ankündigung recht weit gefasst ist. Da mir sowohl der Vortragsstil von ihm wie auch das Thema gefällt, werde ich mich wohl hier reinsetzen. Wobei ...
- Military intelligence for terrorists(tm)
- ... ich mich auch gern zu ak setzen würde. Er hatte bereits im März mal beschrieben, wie man Kernkraftwerke finden kann. Es wird sicher interessant sein, hier weitere Erkenntnisse zu erhalten. Außerdem hat Andreas auch einen guten Vortragsstil und es macht Spaß, ihm zuzuhören.
- Black Ops Of TCP/IP 2005.5
- Einen Vortrag von Dan Kaminsky, egal zu welchem Thema, lohnt sich immer. Er bringt sein Anliegen immer mit einer ungeheuren Power und einer positiven Stimmung rüber. Dan wird sicher etwas über seine neuesten DNS-Forschungen und auch die Erkenntnisse im Sonyfall erzählen.
- Anonymität im Internet
- Selbstredend
- Learning cryptography through handcyphers
- siehe mein Kommentar zu Tag 1
- Literarisches Code-Quartett
- Die Veranstaltung versucht, guten bzw. schlechten Code zu präsentieren. Im letzten Jahr fand ich diese recht amüsant und lehrreich. Also liegt es nahe, diese wieder zu besuchen. Ich bin gespannt, welche Lücken diesmal so auf den Folien erscheinen.
Alles in allem bietet mir der zweite Tag genügend Freiräume, um mal das Gelände zu erkunden, ein paar Leute zu treffen und vielleicht auch mal außerhalb des Kongresses etwas zu unternehmen.
Seit einiger Zeit ist der Fahrplan für den 22C3 online. Beim ersten Drüberlesen hatte ich schon einiges interessantes entdeckt und auch ein genauerer Blick enthüllt viel sehenswertes:
- Die BioP-II-Studie des BSI
- Starbug und Constanze Kurz halten diesen Vortrag. Wie schon in der Datenschleuder zu lesen war, diente die Studie zur Untersuchung der Leistungsfähigkeit von biometrischen Systemen. Dabei gibt es innerhalb der Studie einige zu kritisierende Punkte, denn es wurde z.T. von unrealistischen Voraussetzungen ausgegangen. Ich denke, dass der Vortrag dies alles noch einmal beleuchten wird und ein klares Bild zeichnet, wie die Studie wirklich zu lesen ist. Details kann man auch schon jetzt auf einer Seite des CCC nachlesen.
- Hacking health
- Der obige Vortrag kollidiert gleich mit einem anderen, den ich auch für interessant halte. Hierbei geht es um die elektronische Patientenakte in den Niederlanden und die Sicherheit dieser. Die Vortragende, Karin Spaink, hat einen Versuch mit zwei Krankenhäusern gemacht und konnte auf 1,2 Millionen Patientendaten zugreifen. Durch einen meiner Jobs komme ich mit diesem Thema auch in Kontakt, obwohl man in Deutschland zum Teil noch nicht ganz soweit ist. Insofern bin ich gespannt, wo die Schwachstellen lagen und wie dies zu verbessern ist. Aber um beide Vorträge zu hören, werden ich mal wohl mal wieder klonen müssen ...
- Elektronische Gesundheitskarte und Gesundheitstelematik - 1984 reloaded?
- Ein weiterer Vortrag, der auch aus den obigen Gründen auf offenes Ohr bei mir stösst, ist der zur EKG. Hier habe ich die Spezifikation relativ ausführlich gelesen und ein größeres Dokument verfasst. Die Gesundheitskarte ist sicher vom Ansatz her eine nette Idee. Doch aus meiner Sicht ist die Architektur zu komplex für den Alltagsbetrieb. Auch aus diesem Grund kann wohl der Zeitplan nicht eingehalten werden. Ich denke, der Vortrag könnte viele interessante Details liefern und werde mich da auf jeden Fall mal reinsetzen.
- Hopalong Casualty
- Wieder zur gleichen Zeit wie oben gibt es einen Vortrag zur automatischen Videoanalyse des menschlichen Verhaltens. In diversen Ländern wird ja sowas schon eingesetzt. U.a. versucht man so, in Kaufhäusern zu erkennen, ob dicke Frauen mit einem Kind oder mit Waren aus dem Laden schwanger sind. Angeblich unterscheidet sich der Schritt einer echten Schwangeren von dem einer unechten und die Kamera versucht, diesen Unterschied zu erkennen. Sollte also der EKG-Vortrag zuviel bekanntes liefern oder uninteressant sein, werde ich mich hier aufhalten.
- Die Technik im neuen ePass
- Wie sicher jeder weiß, ist der neue Pass nicht nur einfaches Papier, sondern enthält einen Chip. Auf diesem sind dann die Daten des Ausweises und das digitale Bild gespeichert. Hier wird interessant sein, wie diese Daten gegen das illegale Auslesen geschützt sind und wie leicht oder schwer dieser Schutz durchbrochen werden kann.
- Learning cryptography through handcyphers
- Auch hier erwarte ich im Grunde genommen nichts wesentlich neues zu erfahren. Jedoch ist es immer ein Spass, Kryptographie per Hand zu machen. Brenno hat den Vortrag bereits zum WTH gehalten und die Unterlagen sind online. Generell kann man dadurch sicher schön lernen, wie einfach oder schwer ein Algorithmus ist. Weiterhin erhält man so ein gutes Gefühl für die Stärken und Schwächen. Alle, die Interesse an Kryptographie haben, sollten den Vortrag unbedingt besuchen.
Der erste Tag verspricht schonmal recht gut zu werden. Ich befürchte jedoch, dass einige der Vorträge recht voll sind. Falls es mir zu voll wird, lade ich mir dann lieber später die Audiodateien herunter und höre einen anderen Vortrag an.