Qbi's Weblog

Schönen guten Tag, die von Ihnen entwickelte Verschlüsselung ist zu sicher. Bauen Sie bitte eine Hintertür ein. Sie bekommen von uns steuerfrei n Millionen US-Dollar. Solche Gespräche kennt man üblicherweise aus diversen Agentthrillern. Der Chef der tschechischen Firma CircleTech hat das nun am eigenen Leib erlebt.

Die Firma stellt Verschlüsselungslösungen her. Im Jahr 2006 meldeten Heise, Golem und andere, dass die Firma mit SMS007 eine Java-Anwendung hat. Diese verschlüsselt Kurznachrichten. Die Webseite der Firma listet weitere Produkte.

Nun bekam CircleNet Besuch vom Bezpe?nostní informa?ní služba oder kurz BIS. Das ist der Inlandsgeheimdienst von Tschechien. Die Geheimdienstleute wollten eine Hintertür im Programm haben. Damit soll der BIS dann alle Nachrichten entschlüsseln können. Einer der Firmengründer zeichnete das Gespräch auf und dort ist unter anderem zu hören, dass der Firma steuerfreie Einnahmen versprochen wurden. Nachdem sie nicht darauf einging, gab es weitere Erpressungsversuche.

Der Prague Monitor meldet, dass der Vorfall vom BIS untersucht wird. Angeblich liegen derartige Deals außerhalb der Kompetenzen des Dienstes.

Es wäre gut, wenn ich tschechisch könnte. Denn die meisten Nachrichten zu CircleTech sind in der Landessprache und die automatischen Übersetzer sind nicht ausgereift. Falls also jemand weitere Details zu dem Vorfall kennt, die Kommentare sind offen.

Risiken von Suchanfragen sind in der Vergangenheit vielfältig diskutiert worden. Die Freigabe der Suchanfragen durch AOL hat vielen Menschen gezeigt, wie schnell sie durch ihre Suchanfragen identifizierbar sind. Doch was kann man dagegen tun?

Die Wahl der richtigen Suchmaschine ist ein probates Mittel. Auf der einen Seite gibt es welche, die am liebsten jeden Nutzer identifizieren möchten. Sei es durch Logins, lebenslange Cookies oder andere invasive Techniken. Auf der anderen Seite gibt es Anbieter, die eben keine Cookies setzen oder sie schnell löschen. Manche bieten verschlüsselte Suchanfragen an. Ganz neu ist nun das Angebot, einen Tor-Server zu betreiben.

Duckduckgo (DDG) ist ein Anbieter mit einigen vielversprechenden Ansätzen. Unter anderem machen sich die Betreiber Gedanken zum Schutz der Privatsphäre ihrer Nutzer:

Keine Speicherung von IP-Adresse und Browserversion

Üblicherweise speichert fast jeder Anbieter die IP-Adresse und andere Daten der Besucher. DDG hat sich entschlossen, weder IP-Adresse noch die Identifikation des Browsers zu speichern.

Keine Cookie

Standardmäßig verwendet die Seite keine Cookies. Erst wenn jemand seine Einstellungen anpasst, wird ein Cookie gespeichert. Allerdings ist es auch möglich, die Einstellungen als Parameter in der URL zu übergeben. Dann entfällt die Speicherung eines Cookies.

Verschlüsselung

Seit langem gibt es eine verschlüsselte Seite für Suchanfragen.

Keine Referer

Wer auf das Suchergebnis bei den Suchmaschinen klickt, überträgt ungewollt Informationen über seine Suchanfrage mittels des so genannten Referer. Das ist nicht immer gewollt. DDG ist so eingestellt, dass diese Daten nicht mehr an die Ergebnisseite übertragen werden

Seiten über Proxy besuchen

DDG bietet eine so genannte Bang-Syntax. Mit einem Ausrufezeichen und einem Befehl kann die Suche eingeschränkt oder Zusatzfunktionen aufgerufen werden. Die Eingabe von !proxy kubieziel.de führt direkt zu einem Aufruf meiner Webseite. Ihr solltet dabei jedoch aufpassen. Denn bestimmte Elemente der Webseite (Bilder, CSS) werden über eure normale Internetverbindung geladen. Damit verschwindet der Effekt des Proxys.

Seit heute bietet Duckduckgo ein spezielles Feature, einen Tor-Server. Der Entwickler schrieb in seinem Blog, dass er sich entschieden hat, einen Server aufzusetzen. Dieser leitet Verkehr innerhalb des Tor-Netzwerks weiter und stellt für DDG einen Endpunkt dar. Das heißt, wenn ihr bei DDG suchen wollt, kann dieser Server der Ausgang sein. Das hat den Vorteil, dass die Abrufe unter Umständen schneller funktionieren. Zusammen mit der verschlüsselten Seite bietet sich guter Schutz für den Suchenden.

Probiert die Seite mit der Ente mal aus. Ich hoffe, sie gefällt euch!

Vor nicht allzu langer Zeit sass ich entspannt bei einem Kaffee und wollte meinen Rechner starten. Einschaltknopf gedrückt und der Bildschirm lächelte mich mit einer Fehlermeldung an:

error: unexpectedly disconnected from boot status daemon
Begin: Waiting for root file system ...

grml, warum muss das ausgerechnet jetzt passieren? Sehr schnell war klar, dass ich an dieser Stelle nicht weiter komme. Also bootete ich einen alten, funktionierenden Kernel und änderte meine grub-Einstellungen entsprechend. Damit lebte ich einige Zeit gut, bis mir mal wieder der Workaround auffiel. Jetzt wollte ich das Problem mal genauer angehen.

Die Fehlermeldung, die irgendwas von dem Boot Status Daemon erzählte, schien auf plymouth hinzudeuten. Der Sinn der Software ist es, den Bootprozess zu verschönern. Das heißt, es macht schicke Bildchen anstatt der Kernelmeldungen.

Der Bugtracker von Debian hatte einen Eintrag zu meiner Meldung. Die in dem Bugreport genannten Einstellungen änderten bei mir nichts am Problem. In meinem nächstem Versuch wollte ich plymouth deinstallieren. Aber da gab es eine winzige Abhängigkeit zu mountall(8). Der Zufall führte mich zu einem angepasstem Paket, mit dem plymouth deinstalliert werden kann. In freudiger Erwartung startete ich den Rechner neu. Aber es wäre nur zu schön gewesen, wenn sich das Problem so leicht lösen ließe.

Zu diesem Zeitpunkt kam mir in den Sinn, die Bootoptionen quiet und splash zu entfernen. Siehe da, ein wenig mehr kam zum Vorschein:

Begin: Running /scripts/init-premount ... done.
Begin: Mounting root file system ... Begin: Running /scripts/local-top ... done.
Begin: Waiting for root file system ...

Warten, warten und nochmal warten. Oh, nun noch eine BusyBox-Shell:

(initramfs) Gave up waiting for root device. Common problems:
...
ALERT! /dev/disk/by-uuid/.... does not exist. Dropping to a shell!

Nebenbei stellte ich dann fest, dass die Meldung mit dem Boot Status Daemon nur bei einer speziellen Kernelversion auftrat. Die Meldung oben konnte ich mit jeder Standard-Ubuntu-Kernelversion größer als 2.6.32-20 erzeugen. Für mich wäre es viel wichtiger zu erfahren, woher denn diese Meldung stammt!

Ein Hinweis brachte mich dann zu den Mainline-Builds. Das sind spezielle Pakete des Ubuntu Kernelteams, die recht nahe am Original-Kernel sind. Ich versuchte wieder diverse Versionen. Alle brachten mir die Fehlermeldung. Na gut, dann baue ich eben einen eigenen Kernel.

git clone git://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux-2.6.git
cp /boot/config-2.6.32-24-generic /usr/src/linux-2.6/.config
make oldnoconfig
make deb-pkg
dpkg -i ../linux*.deb
reboot

Beim ersten Reboot startete der Kernel tatsächlich korrekt. Sollte Ubuntu wirklich einen Bug in den eigenen Kernel eingebaut haben? Plötzlich fiel mir ein, dass die Zeile im grub einen kleinen, aber feinen Unterschied zu den restlichen Einträgen aufwies. Ich hatte root=/dev/sda1 angegeben. Alle anderen Einträge trugen root=UUID=.... Also versuchte ich die Änderung bei den anderen Kerneln und es klappte. Jede Kernelversion bootete mit dieser Änderung.

Jetzt muss ich nur noch herausfinden, warum das nicht klappt und ich bin wieder ein glücklicher Mensch.

Das Bild stammt vom Blog Linux und ich

Kürzlich hatte ich mit jemanden eine Diskussion über NNTP und Gnus. Dabei fiel mir auf, dass er die Datei, welche unter anderem Passworte enthält, verschlüsselt aufbewahrt. Im Verlauf des Gespräches kamen wir daher auf den EasyPG Assistent zu sprechen. Das ist ein Modus für den Emacs, der gute Unterstützung für GnuPG innerhalb des Editors bietet. Meine ersten Versuche damit liefen recht erfolgversprechend.

Bei Debian, Ubuntu und Co. muss einfach das Paket easypg installiert werden. Debian installiert in /etc/emacs/site-start.d/50easypg.el eine Datei, die den Start des Modus’ übernimmt. Falls das bei dir nicht der Fall ist, kannst du in deiner .emacs die Zeile (require ’(epa-setup)) eintragen. Danach steht dir der Easypg Assistent zur Verfügung.

Das oben angesprochene Verhalten lässt sich erzeugen, in dem man die Endung .gpg an die Datei anhängt. Beim erstmaligen Speichern der Datei fragt der Modus nach dem korrekten Schlüssel:

Select recipents for encryption.
If no one is selected, symmetric encryption will be performed.  
- `m’ to mark a key on the line
- `u’ to unmark a key on the line
[Cancel][OK]

  - E8CBC9EE886DDD89 User 1 <user1@example.org>
  - 3B9D09F31B30974B User 2 <user2@example.com>
  u 547EBEB15774924D Jens Kubieziel <jens.kubieziel@example.org>

Standardmäßig ist der Schlüssel markiert, zu dem es auch einen privaten Schlüssel gibt. Falls du einen anderen wählen willst, gehst du in die entsprechende Zeile und wählst den mit der Taste m aus. Nachdem diese Auswahl mit Enter bestätigt wurde, befindet sich eine verschlüsselte Datei auf deiner Festplatte. Beim späteren Öffnen der Datei wird der Emacs nach dem Passwort fragen und dir den Inhalt anzeigen.

Daneben arbeitet EasyPG sehr gut mit dem Dired-Mode zusammen. Mit zwei Tastendrücken lassen sich Dateien ver-/entschlüsseln, signieren etc. Laut Handbuch ist die Unterstützung für E-Mail ebenfalls gut. Das habe ich nicht getestet und kann dazu nichts sagen.

Insgesamt hat mich EasyPG sofort begeistert und gehört ab sofort zu den Emacs-Modi meiner Wahl.

Man höre und staune: Heute wurde OpenSSL 1.0 veröffentlicht. Aus der Meldung:

The OpenSSL project team is pleased to announce the release of version 1.0.0 of our open source toolkit for SSL/TLS. This new OpenSSL version is a major release and incorporates many new features as well as major fixes compared to 0.9.8n. For a complete list of changes, please see http://www.openssl.org/source/exp/CHANGES.

The most significant changes are:

• RFC3280 path validation: sufficient to process PKITS tests.
• Integrated support for PVK files and keyblobs.
• Change default private key format to PKCS#8.
• CMS support: able to process all examples in RFC4134
• Streaming ASN1 encode support for PKCS#7 and CMS.
• Multiple signer and signer add support for PKCS#7 and CMS.
• ASN1 printing support.
• Whirlpool hash algorithm added.
• RFC3161 time stamp support.
• New generalised public key API supporting ENGINE based algorithms.
• New generalised public key API utilities.
• New ENGINE supporting GOST algorithms.
• SSL/TLS GOST ciphersuite support.
• PKCS#7 and CMS GOST support.
• RFC4279 PSK ciphersuite support.
• Supported points format extension for ECC ciphersuites.
• ecdsa-with-SHA224/256/384/512 signature types.
• dsa-with-SHA224 and dsa-with-SHA256 signature types.
• Opaque PRF Input TLS extension support.
• Updated time routines to avoid OS limitations.

Hast du dich gewundert, dass in der Logdatei von Tor viele Meldungen der Art [notice] Your IP address seems to have changed to 1.2.3.4.Updating. enthält? Dann könntest du einem Fehler in der Software aufgesessen sein. Ein Tor-Server, bei dem keine IP-Adresse fest eingestellt ist (Option Address) und dessen Hostname nicht/falsch auflöst, ermittelt seine IP-Adresse auf eigenwillige Weise. Es werden vier Byte aus dem Speicher ausgelesen und als IP-Adresse verwendet. Der Fehlerbericht 1269 hat eine Beschreibung. Mit Version 0.2.1.24 wurde das Verhalten wieder korrigiert.

Nebenan im Ereignisblog ist es schon zu lesen. Die Linux User Group in Jena startet am Donnerstag mit einem Vortrag oder besser Workshop zu git. Wir wollen dort ein wenig über die Einführungsthemen hinaus schauen und diskutieren, wie man git effektiv einsetzt.

Danach ist ab ca. 21:00 Uhr Stammtisch. Thomas hat angeregt, ein Keysigning zu machen. Bringt also Ausdrucke eurer PGP-Schlüssel mit und vergleicht.