Skip to content

Kryptografie mit Barbie

Das wunderbare Projekt »Chaos macht Schule« des CCC versucht, Medienkompetenz und Technikverständnis von Kindern und Jugendlichen zu fördern. Verschlüsselung gehört mit in diesen Bereich und Bruce Schneier wies kürzlich auf ein Gerät hin, das in jedes Kinderzimmer gehört. ;-)

Von Mattel gibt es eine Schreibmaschine für Kinder, die eine einfache Verschlüsselung beherrscht. Das Modell E-118 wird von der slowenischen Firma Mehano hergestellt. Mittels der Tastenkombination Shift-Lock und 1, 2, 3 oder 4 wird die Verschlüsselung aktiviert. Die Nachricht kann dann über die Tastatur eingegeben werden und die Maschine druckt den Geheimtext aus. Die Schreibmaschine führt dabei eine einfache Ersetzung (Substitution) aus. Aber für einen Einstieg in die Welt der geheimen Kommunikation ist das sicher sehr gut.

Neues TLS-Zertifikat

Der Webserver hat seit heute ein neues Zertifikat. Ich bin jetzt von CAcert auf Let’s Encrypt umgestiegen. Bei den Übernauten ist die Einrichtung sehr einfach. Nachdem die Befehle uberspace-letsencrypt, letsencrypt certonly und uberspace-prepare-certificate eingegeben wurden, war alles fertig.

Wenn ihr das Zertifikat prüfen wollt, hier ist der SHA-256-Hash:

B8:8A:B3:34:0E:5F:97:6A:88:F0:A7:E7:91:73:F4:50:42:29:0A:73:07:54:68:2D:96:EB:36:29:BB:FC:58:A8

Hatten die Dokumente von Snowden einen Einfluß auf Jihadisten?

Hier, wie auch in Zeitungen, gilt die Regel, wenn der Titel eine Frage enthält, ist die Antwort nein. :-)

Die längere Antwort: Flashpoint Global Partners machen Eigenwerbung, dass sie das Dark Web beleuchten und Auskünfte zu Jihadisten bieten können. Im letzten Jahr haben sie sich angeschaut, ob sich die Verwendung von Verschlüsselungswerkzeugen bei Jihadisten seit den Veröffentlichungen von Snowden geändert hat (komplettes PDF). Dazu haben sie das Dark Web abgegrast und versucht, Hinweise zu finden.

Die Firma schaute sich die Veröffentlichungszyklen von entsprechender Software (Mujahedeen Secrets, Asrar al-Dardashah etc.) an. Nach Snowden gab es nicht mehr oder häufigere Veröffentlichungen als vorher. Weiterhin suchten sie nach bestimmten Schlagworten (Verschlüsselung, Name der Software etc.). Hier gingen die Diskussionen nach Snowden entweder zurück oder blieben gleich.

Daher geht die Firma davon aus, dass Snowden keinen oder nur geringe Effekte auf den Einsatz von Verschlüsselung durch Jihadisten hat.

Kryptografie auf einem Schwert

Was hat der Text NDXOXCHWDRGHDXORVI zu bedeuten? Diese Frage stellt das British Museum sich und der Allgemeinheit.

Ein etwa 700 Jahre altes Schwert wird derzeit ausgestellt. Auf der Klinge findet sich die obige Inschrift. Laut der Webseite des Museums vermutet man, dass es die Initialen einer religiösen Handlung darstellt. So steht die Abkürzung ND für Nostrum Dominus (unser Herr) und das X könnte für Christus stehen.

Das Museum ist an weiteren Deutungen sehr interessiert. Wenn ihr etwas wisst oder ahnt, wendet euch an das Museum.

via Ancient Origins: Medieval Sword contains Cryptic Code. British Library appeals for help to crack it.

Bericht der UN zu Verschlüsselung und Anonymität

Der UN-Berichterstatter für die freie Meinungsäußerung (freedom of expression), David Kaye, hat heute den Report on encryption, anonymity, and the human rights framework veröffentlicht. In dem Bericht geht es um zwei Fragen:

  1. Wird verschlüsselte und/oder anonymisierte Onlinekommunikation durch das Recht auf Privatsphäre und die Redefreiheit geschützt?
  2. Wie können Regierungen diese Rechte gegebenenfalls einschränken.

Das Dokument ist im DOC-Format auf der Seite zu finden. Ich habe auch eine Variante als PDF auf meiner Seite abgelegt.

Das Dokument beginnt mit ein paar einleitenden Worten und diskutiert dann Sicherheit sowie Privatsphäre in digitalen Medien. Die Kapitel 3 (Encryption, anonymity and the rights to freedom of opinion and expression and privacy) und 4 (Evaluating restrictions on encryption and anonymity) beschäftigen sich dann detaillierter mit den obigen Fragen. Das fünfte Kapitel hat dann Schlussfolgerungen und Empfehlungen an Staaten sowie verschiedene Organisationen.

Vom ersten Überfliegen bietet der Report einige wichtige Aussagen. So wird anerkannt, dass Verschlüsselung wie auch Anonymisierung wichtige Werkzeuge sind, um das Recht auf freie Meinungsäußerung ausüben zu können.  Staaten wird nahegelegt, entsprechende Gesetze auf den Weg zu bringen und die Diskussion nicht immer nur im Hinblick auf möglichen Missbrauch (Stichwort: Terrorgefahr) zu führen. So steht in Absatz 59:

States should promote strong encryption and anonymity. National laws should recognize that individuals are free to protect the privacy of their digital communications by using encryption technology and tools that allow anonymity online. Legislation and regulations protecting human rights defenders and journalists should also include provisions enabling access and providing support to use the technologies to secure their communications.

Aber auch Firmen und private Unternehmen sollen Verschlüsselung und sichere Kommunikation fördern!

Nach dem ersten Überfliegen habe ich den Eindruck, dass das ein sehr interessantes Dokument ist. Wir sollten es inbesondere diversen Politikern als Bettlektüre mitgeben.

Lenovo-Laptops mit SuperFish-AdWare

Die aktuellen Nachrichten über Wanzen in Festplatten oder geknackte SIM-Karten hören sich auf der einen Seite sehr bedrohlich an, auf der anderen Seite werden viele dies abtun, als Verschwörungstheorie oder »Betrifft-mich-nicht«. Doch dann war von Barbies zu lesen, die alles mithören und ins Internet übertragen und Samsung warnt, vor seinen Fernsehgeräten nichts Privates zu erzählen. Im letzteren Fall werden die Daten im Klartext übertragen und damit kann jeder mithören, was vor dem gerät erzählt wird. Der große Lauschangriff mal ganz anders.

Ansicht des Zertifikats im Zertifikatsmanager
Detailansicht des Zertifikats von Chris Palmer (@fugueish)
Lenovo reiht sich nun ebenfalls in die Liste der Hersteller ein, die offensichtlich wenig auf die Privatsphäre der Käufer geben. Verschiedene Medien (The Next Web, Forbes, Heise, ZEIT Online, Golem u.a.) meldeten, dass Lenovo auf Laptops die Software SuperFish Visual Discovery vorinstalliert. Dies ist Adware, d. h. sie blendet Werbung auf Webseiten ein. Dies wird dadurch bewerkstelligt, indem ein Schnippsel JavaScript geladen wird und die unerwünschten Inhalte überträgt. Doch damit gaben sich die Hersteller der Software nicht zufrieden. In die vorab installierten und damit vertrauenswürdigen Zertifikate wurde auch ein Zertifikat eingefügt. Immer wenn nun eine verschlüsselte, sichere Webseite besucht wird, kommt das Zertifikat nicht von der ursprünglichen Webseite, sondern von der SuperFish-Software. Damit kann die Software den verschlüsselten Datenverkehr mitlesen und diese Daten auch manipulieren. Dieser so genannte Man-in-the-Middle-Angriff ist eine klassische Angriffstechnologie und dient in der Regel nicht guten Zwecken.
Code zur Installation des Zertifikats
Code, der versucht, das Zertifikat in verschiedenen Browsern zu installieren (via @supersat)

Die EFF beobachtet seit längerem den Status von Zertifikaten mit dem SSL Observatory und meldete, dass sie in dem Datensatz 44.000 dieser SuperFish-Mitm-Zertifikate fanden. Das Bild links zeigt ein wenig Quellcode. Demnach versucht die Software ihr Zertifikat in verschiedene Browser zu importieren. Das erklärt auch, warum u.a. auch Firefox betroffen ist. Denn im Gegensatz zu Google Chrome nutzt dieser nicht die Zertifikatsverwaltung von Windows.

Robert Graham hat neben anderen Forschern das Zertifikat aus der Software extrahiert und in kurzer Zeit das Passwort ermittelt (Das Passwort »komodia« liefert dann auch den Hinweis auf den Komodia SSL Digestor). Wie er schreibt, benötigte er keine Spezialkenntnisse. Ein geschickter Angreifer kann dies ebenfalls tun. Damit lässt sich dann auch für Dritte sämtliche verschlüsselte Kommunikation brechen. Aber der Superfish Software scheint auch der Status fremder Zertifikate egal zu sein. In einer Diskussion auf Hacker News berichtete jemand, dass die Software beliebige (auch ungültige) fremde Zertifikate akzeptiert. Ähnliches geht auch mit fakehost.lenovo.com oder CanIBesuperFished.com. Insgesamt reißt die Software damit ein riesengroßes Loch in die Sicherheit der Rechner. Mich erinnerte das spontan an den Fall von Sony, die auch Malware auf die Rechner installieren.

Was lässt sich nun gegen die Infektion tun? Die Software selbst ist in der Liste der installierten Programme von Windows zu finden und kann dort einfach deinstalliert werden. Allerdings bleiben eine Reihe von Einträgen in der Registry und das Zertifikat noch erhalten. Hier ist dann Handarbeit angesagt. Dazu müsst ihr den certmgr von Windows öffnen und das Zertifikat entfernen. Bei der EFF gibt es eine Schritt-für-Schritt-Anleitung, wie das zu tun ist.

Lenovo hat mittlerweile reagiert und einerseits ein schönes Statement bei Twitter abgegeben:

Daneben gibt es eine Veröffentlichung, die den Vorfall klar als Vulnerability mit hohem Impact benennt. Die Veröffentlichung hat auch eine Liste der Produkte, die betroffen sind.

Geekend zum Echt Dezentralen Netz in Dresden

Überwachung ist überall. Mittlerweile gibt es verschiedene Initiativen, die sowohl politisch wie auch technisch etwas dagegen tun wollen. Eines dieser Projekte startet demnächst in Dresden. Unter dem Projekttitel »Echt Dezentrales Netz (EDN)« findet am 16. und und 17. Januar (folgendes Wochenende) ein Geekend statt. Am Freitag abend werden einige existierende Lösungen, wie Freenet, AN.ON und andere vorgestellt. Samstags geht es mit Vorstellungen weiter. Der Nachmittag ist dann für Workshops reserviert.

Falls ihr teilnehmen wollt, tragt euch im Dudle. Für Leute, die nicht nach Dresden kommen können, gibt es einen Mumble-Raum.

cronjob