Ich hatte heute den verwegenen Plan und wollte die Webseite des sächsischen Landtages per HTTPS aufrufen. Der Browser stoppte mich und zeigte eine schöne Fehlermeldung:
Also dem Zertifikat traut der Browser nicht. Außerdem fehlen dem weitere Bestandteile. Das Zertifikat ist eigentlich für eine andere Domain und schon längst abgelaufen.
Hier frage ich mich, ob jemand schon mal eine Liste von Zertifikatsfehlern gesehen hat, die länger ist, als die obige. 
Das wunderbare Projekt »Chaos macht Schule« des CCC versucht, Medienkompetenz und Technikverständnis von Kindern und Jugendlichen zu fördern. Verschlüsselung gehört mit in diesen Bereich und Bruce Schneier wies kürzlich auf ein Gerät hin, das in jedes Kinderzimmer gehört. 
Von Mattel gibt es eine Schreibmaschine für Kinder, die eine einfache Verschlüsselung beherrscht. Das Modell E-118 wird von der slowenischen Firma Mehano hergestellt. Mittels der Tastenkombination Shift-Lock und 1, 2, 3 oder 4 wird die Verschlüsselung aktiviert. Die Nachricht kann dann über die Tastatur eingegeben werden und die Maschine druckt den Geheimtext aus. Die Schreibmaschine führt dabei eine einfache Ersetzung (Substitution) aus. Aber für einen Einstieg in die Welt der geheimen Kommunikation ist das sicher sehr gut.
Was hat der Text NDXOXCHWDRGHDXORVI zu bedeuten? Diese Frage stellt das British Museum sich und der Allgemeinheit.
Ein etwa 700 Jahre altes Schwert wird derzeit ausgestellt. Auf der Klinge findet sich die obige Inschrift. Laut der Webseite des Museums vermutet man, dass es die Initialen einer religiösen Handlung darstellt. So steht die Abkürzung ND für Nostrum Dominus (unser Herr) und das X könnte für Christus stehen.
Das Museum ist an weiteren Deutungen sehr interessiert. Wenn ihr etwas wisst oder ahnt, wendet euch an das Museum.
via Ancient Origins: Medieval Sword contains Cryptic Code. British Library appeals for help to crack it.
Lest ihr regelmäßig Bugreports oder Meldungen über Schwachstellen
bei SSL/TLS?
Wie fühlt ihr euch so? Zur Erinnerung:
Das heißt, drei Monate in Folge gab es schwere Sicherheitslücken in
Software zur Verschlüsselung. Ganz unwillkürlich fühlt man sich an
die Folien aus dem NSA-Programm MUSCULAR erinnert.
Die letztgenannte Schwachstelle ist vermutlich die bislang
schwerste. Denn damit ist es möglich, den Arbeitsspeicher eines
Computers auszulesen. Dies funktioniert sowohl auf der Seite des
Servers wie auch beim Clientprogramm. Dazu ist es notwendig, dass
das Programm OpenSSL verwendet und eine Erweiterung von SSL namens
Heartbeat aktiviert hat. Dies ist beispielsweise bei Android in der
Version 4.1.1 der Fall. Mozilla Firefox hingegen nutzt die
NSS-Bibliothek und ist nicht betroffen. Die Webserver nutzen
hingegen recht oft die OpenSSL-Bibliothek und sind damit betroffen,
falls die Version 1.0.1 bis 1.0.1f von OpenSSL verwendet
wird. Sollte jemand von euch die Software nutzen, so upgraded auf
mindestens 1.0.1g oder deaktiviert Heartbeat in OpenSSL. Gerade
letzteres kann man aus meiner Sicht problemlos tun. Denn bisher fand
ich keinen sinnvollen Anwendungsfall für Heartbeat.
Doch wie funktioniert diese Lücke eigentlich? Heartbeat (RFC 6520)
ist eine Erweiterung für TLS. Ein Teilnehmer einer Verbindung sendet
beliebige Daten an den Empfänger. Dieser antwortet mit einer Kopie
dieser Daten und zeigt somit, dass die Verbindung noch steht und
alles in Ordnung ist. Das Problem dabei ist, dass in einer Anfrage
zwei Längenfelder vorhanden sind. Ein Angreifer sendet einfach ein
Byte Daten und behauptet, er hätte 64 kB gesendet. OpenSSL liest nun
die 64 kB aus dem eigenen Puffer und sendet die Daten zurück an den
Angreifer. Der Angreifer kann den Angriff immer und immer wieder
starten und erhält so eventuell immer wieder ein neues Stück Arbeitsspeicher (siehe Kommentar von Florian Diesch). Bruce
Schneier hat mit seinen Worten vollkommen recht:
Catastrophic" is the right word. On the scale of 1 to 10, this is an 11.
https://www.schneier.com/blog/archives/2014/04/heartbleed.html
Ich hatte in meinem 30C3-Vortrag schon ein OpenSSL-Beispiel
reingenommen. Das sollte zeigen, wie kompliziert es sein kann, mit
der Software sicheren Code zu schreiben. Auch andere sind, über die
Codequalität gestolpert. Daher sind Leute gefragt, die einen
detaillierten Blick auf OpenSSL werfen und die Software
verbessern. Dazu zählt auch die bessere Lesbarkeit des Codes oder
gute Dokumentation.
Wenn ihr wissen wollt, ob ihr betroffen seit, schaut lokal auf die
OpenSSL-Version, nutzt die Zeile openssl s_client -connect
example.com:443 -tlsextdebug 2>&1| grep ‘server extension
“heartbeat” (id=15)’ || echo safe oder verwendet den Testservice
von Lutz Donnerhacke oder Filippo Valsorda.
Weiterlesen:
Mehr als zwanzig Jahre ist es nun her, als sich eine Gruppe von Leuten auf einer Mailingliste »traf«. Die Cypherpunks diskutierten in den folgenden Jahren Kryptografie, Anonymität und andere Techniken zum Schutz der Privatsphäre. Letztlich ist über verschiedene Ecken auch Bitcoin ein Produkt der Cypherpunks-Zeit. Allerdings diskutierten die Teilnehmer nicht nur, sondern viel wichtiger, sie programmierten. Ein Spruch aus den Zeiten lautet: »Cypherpunks write code.«
Nun fand ich eine E-Mail in meiner Inbox, die das erneute Aufleben der Mailingliste ankündigte. Und prompt trudelten hier einige E-Mails ein. Wer also an den Themen Kryptografie, Politik und Privatsphäre interessiert ist, kann sich dort eintragen. Allerdings kamen früher recht viele E-Mails über die Liste und auch in den letzten Tagen erhielt ich recht viele Nachrichten. Ihr solltet also mit eurem E-Mail-Client gut filtern.
Ich bin gespannt, ob die Liste neuen Drive gewinnt. Immerhin habe ich durch die Diskussion der letzten Tage ein paar Zufallszahlenerzeuger für den Rechner kennengelernt und habe nun was zum Testen.
Die beiden Kryptografen Shafrira »Shafi« Goldwasser und Silvio Micali erhalten den ACM Turing Award. Das ist so eine Art Nobelpreis in der Informatik. Goldwasser und Micali sind vermutlich nur Insidern bekannt. Sie lieferten allerdings wesentliche Beiträge zur Kryptografie. Die Begriffe der Semantic Security und Ununterscheidbarkeit eines Algorithmus’ vom Zufall gehen auf die Forscher zurück. Sie legten damit die Grundlagen für eine Formalisierung des Wissenschaftszweiges. Ich gratuliere beiden Wissenschaftlern für die Auszeichnung!
Pressemitteilung der ACM
Patrick Beuth hat für die ZEIT ein Experiment gemacht. Er stellte sich die Frage, wie schwierig es für Laien ist, sich anonym und sicher zu bewegen. Diese Erfahrungen schrieb Beutch in der Serie »Mein digitaler Schutzschild« nieder. Für das Experiment kaufte er sich einen neuen Rechner und installierte Ubuntu. Später machte er sich Gedanken zu sicheren Verbindungen über VPN und Tor, nutzte E-Mail-Verschlüsselung mit OpenPGP und verschlüsselte die Festplatte. Die Artikel sind aus der Sicht eines neuen Benutzers geschrieben und sehr interessant zu lesen.
ZEIT Online macht sogar den Sprung vom Artikel in die Praxis und organisiert am 26. Februar eine CryptoParty. Dort zeigen Patrick Beuth und die Organisatoren der CryptoPartys in Berlin, wie die verschiedenen Werkzeuge zu benutzen sind. So wird die anfängliche Hürde, derartige Werkzeuge zu benutzen sicher kleiner.
