In den Kommentaren zur Videoüberwachung in Jena riet mir Gonzo mich mit dem Datenschutzbeauftragten des Landes in Verbindung zu setzen. Zu dem Zeitpunkt hatte ich das bereits getan und “interessante” Erfahrungen gesammelt.
Erfahrungsgemäß bieten die Datenschutzbeauftragten PGP-Schlüssel an und in der Tat fand ich auf der Kontaktseite einen zum “Download” und einen in “lesbarer” Form. Ich wähle den ersten und stutze als ich die URL sehe. Das Dokument heißt pgp_schluessel.doc und file bestätigt mir den Verdacht: pgp_schluessel.doc: Microsoft Word-Dokument. Na gut, es gibt ja noch den in lesbarer Form. Ich übergebe curl die URL und versuche das Ergebnis gleich zu GnuPG zu importieren. Doch auch hier erscheint eine Fehlermeldung. Ein Blick auf die lesbare Form enthüllt dann ein HTML-Dokument. Nachdem ich dann den Schlüssel manuell extahiert hatte, konnte ich auch meine E-Mail schreiben. Doch da hatte ich bereits einen Verdacht, wie die Antwort ausfallen würde ...
In der Tat erhielt ich nach ein paar Tagen die Antwort, dass man meine E-Mail (bzw. den Anhang) nicht öffnen könne. In den Headern der E-Mail stand etwas von Outlook und je nachdem welche Zusatzsoftware man verwendet, kann es Probleme mit den (an sich korrekt) verschlüsselten E-Mails geben. Also schickte ich die E-Mail nochmal und nutzte eine ältere Methode (Inline-Verschlüsselung), die von allen Programmen erkannt wird. Ihr dürft jetzt dreimal raten, wie die Antwort ausfiel.
Im Anschluss wandte ich mich an das ULD in Schleswig-Holstein und bekam von dort eine sehr detaillierte, ausführliche Antwort.
Um die auch hier
angesprochene OpenSSL-Lücke wird zwischen den OpenSSL-Team und
Debian eine Diskussion geführt. Der Paketbetreuer von Debian fragte
damals auf der Liste openssl-dev nach und Ulf Möller, einer der
Entwickler, antwortete. Die OpenSSLer behaupten nun, es sei die falsche Liste
gewesen und die Debianer haben darauf eine großartige
Antwort.
Kürzlich meldete sich Ulf Möller nochmal zu Wort. In seiner
Antwort auf die Frage ging er nicht davon aus, dass der Quellcode
gepatcht werden soll und dass sein Gegenüber natürlich grundsätzlich
ein Verständnis für den Quellcode entwickelt hat. Aus
der Diskussion entwickelte sich das schöne Zitat:
Und jetzt komme ich mir vor wie ein Arzt, der dachte,
dass er mit einem Kollegen über Operationstechniken diskutiert hat,
und nun plötzlich erklären soll, wieso er das Kettensägenmassaker
nicht verhindert hat.
Über die schwere Sicherheitslücke im OpenSSL-Paket von Debian wurde in verschiedenen Quellen berichtet. Wer mehr Informationen haben will, findet im Debian-Wiki Anweisungen. Außerdem stehen bei Zak B. Elep Hinweise und HD Moore stellte auch eine nette Seite zusammen. Doch was bedeutet diese Lücke für Tor? Gibt es da überhaupt Probleme?
In der Tat gibt es da richtig große Probleme, wie auch das Advisory
zeigt. Tor nutzt für seine Krypto sehr intensiv OpenSSL und ist damit
direkt betroffen. Roger Dingledine, einer der Entwickler, hat in einem
längeren
Artikel im Blog zu Problemen Stellung genommen.
Eines der entstandenen Probleme sind Tor-Server, die schwache
Schlüssel einsetzen. Insgesamt handelt es sich um mindestens ein
Siebtel aller Server. Angreifer können hier alle möglichen Attacken
fahren und insbesondere auch unten bestimmten Bedingungen in die
Pakete schauen. Effektiv wird also die Verschlüsselung aufgehoben. Die
Tor-Entwickler haben daher alle derartigen Schlüssel gesperrt und ein
Server mit einem veralteten Schlüssel kann in Zukunft nicht mehr als
Server agieren.
Weiterhin verteilen Verzeichnisserver die Informationen über
Tor-Server an die Tor-Clients. Die neueste Protokollversion ist die
V3. Wer dies nutzt, könnte ein Problem bekommen. Hier schafft die
neueste Tor-Entwicklerversion 0.2.0.26-rc Abhilfe. Dort werden
ausschließlich korrekte Schlüssel ausgeliefert und die schwachen sind
gesperrt.
Peter Palfrader hat sehr schnell reagiert und eine neue Version des
Debian-Paketes hochgeladen. Wenn du also Debian, Ubuntu oder ähnliches
nutzt, solltest du schnellstens die aktuellste Version
installieren, um dich vor den obigen Problemen zu schützen.
Wolltest du schon immer mal auf leicht verständliche Weise erfahren, wie der Verschlüsselungsalgorithmus AES funktioniert? Enrique Zabala hat seine Flashanimation zur Funktionsweise nochmals verbessert. Diese Animation erklärt Schritt für Schritt den Ablauf des Algorithmus’ und ist eine gute Einführung in das Thema. Unten seht ihr einen Screenshot.