Qbi's Weblog

Das National Institute of Standards and Technology (NIST) gab heute bekannt, wer den SHA-3-Wettbewerb gewonnen hat: Keccak. Der Algorithmus wird nun die neue Empfehlung für einen kryptografischen Hash. Er stammt von den Forschern Guido Bertoni, Joan Daemen, Michaël Peeters und Gilles Van Assch. Besonders erwähnenswert ist Daemen. Denn er war schon für den Verschlüsselungsalgorithmus AES zuständig, der vor mehr als zehn Jahren standardisiert wurde.

Die bisher oft genutzten Algorithmen benutzen das so genannte Merkle-Damgård-Verfahren. Keccak geht einen neuen Weg (cryptographic sponge). Das erinnert mich ein wenig an AES. Denn auch damals kamen die Standardisierer von dem Feisteldesign ab.

Daniel Bernstein hat Benchmarks für verschiedene Algorithmen auf verschiedenen Plattformen gemacht. Nach der Seite ist beispielsweise BLAKE wesentlich schneller als Keccak. Im Allgemeinen scheint SHA-3 in Hardware gegossen schneller als SHA-2 zu sein. Aber die Softwarevariante ist wesentlich langsamer. Mal sehen, was die nächsten Tage ergeben. Aber momentan kann man wohl Bruce Schneier recht geben, der mal sagte, dass niemand SHA-3 nutzen wird. Nichtsdestotrotz: Alles Gute zur Wahl.

Im März 2012 besuchte ich den Thüringer Landesdatenschutzbeauftragten. Er war damals gerade neu ins Amt gekommen und so wollte ich die Gelegenheit nutzen, ihn kennenzulernen und ihn zu seinen Aufgaben zu befragen. Das Interview wurde im Rahmen der vierten Datenkanalsendung ausgestrahlt.

Kurz vor dem Interview war ich auf der Leitstelle der Jenaer Feuerwehr. Dort fiel mir eine Videokamera auf. Ich vermutete eine Mobotix Dual Night M12D. Da die Kamera neben Bild- auch Tonaufnahmen anfertigen kann, beschloss ich den Datenschutzbeauftragten dazu zu befragen. Mittlerweile liegt mir eine Antwort vor.

Die Datenschützer holten einige Informationen bei der Stadtverwaltung Jena ein. Unter anderem erhielten sie Screenshots vom Aufnahmebild. Entgegen meiner Vermutung nimmt die Kamera nicht den angrenzenden Fußgängerweg auf. Die Aufnahme beschränkt sich auf das Betriebsgelände der Feuerwehr. Damit gibt es diesbezüglich nichts zu beanstanden. Allerdings ist das Mikrofon bedenklich. Hier versuchen die Datenschützer zusammen mit der Stadt Jena eine Lösung zu erarbeiten. Sobald ich mehr weiß, gebe ich Bescheid. Mittlerweile bin ich zwei Verstößen gegen den Datenschutz in Thüringen auf der Spur. Ich hoffe, auch dazu bald mehr berichten zu können.

In der Zwischenzeit empfiehlt es sich, die anderen Sendungen des Datenkanals anzuhören.

Der Mathematiker John Nash wird einigen aus dem Spielfilm A beautiful mind bekannt sein. Dort wird sein Leben (zum Teil etwas ungenau) nachgezeichnet. Noch heute ist der Begriff des Nashgleichwichts in der BWL und der Informatik wichtiger Lehrstoff. Vor kurzem veröffentlichte die NSA einen Brief von Nash (lokale Kopie), den er 1955 an den Geheimdienst schrieb.

In dem Brief beschreibt Nash ein Kryptosystem, oder Ver-/Entschlüsselungsmaschine. Es ist unklar, inwieweit die NSA hierauf reagiert hat. Dennoch äußert Nash einige grundlegende Ideen. Ron Rivest hat für seinen Krypto-Kurs eine Implementation in Python geschrieben. Wer es mag, kann ja eine Kryptoanalyse versuchen. :-) 

 via Turing's Invisible Hand: John Nash's Letter to the NSA

Update: Link aktualisiert und lokale Kopie eingebaut

In Deutschland dreht sich derzeit die Diskussion um den Bundestrojaner, der vom CCC gefunden wurde. Derweil spielt sich in den USA ein anderes Drama ab.

Jacob Appelbaum kann man nur als vielseitigen Zeitgenossen bezeichnen. Er arbeitet beim Tor-Projekt als Entwickler, hat in der Vergangenheit einige spektakuläre Ergebnisse im Bereich der IT-Sicherheit gefunden, engagiert sich bei WikiLeaks, half Hurrikanopfern usw. Die Liste lässt sich beliebig erweitern. Doch eines seiner Hobbys brachte ihm Probleme ein. Auf der Konferenz The Next HOPE hielt er im Juli 2010 einen Vortrag zu WikiLeaks (siehe unten). Seitdem wird Jacob bei jedem Grenzübertritt aus den USA oder in die USA kontrolliert. Das heißt, er wird zum Teil stundenlang festgehalten und befragt. Ihm wurden Geräte weggenommen und anderes mehr. Jetzt werdet ihr euch fragen, auf welcher Basis dies passierte. Dies ist bis heute unklar! Es gibt keine Anklage. 

Nachdem das Justizministerium Informationen von Twitter über Jacob Appelbaum und andere Aktivisten wollte, geht die US Regierung noch einen Schritt weiter. Sie forderte von Google und von dem Provider Sonic alle E-Mail-Adressen mit denen Appelbaum in den letzten zwei Jahren kommunizierte. Ein Artikel im Wall Street Journal hat weitere Details zu der Sache.

Welchen Erkenntnisgewinn soll eine solche Sache bringen? Wenn man die diversen Schritte der Behörden verfolgt, drängt sich der Verdacht auf, dass es nur um Schikane geht. Jacob kann man wohl nichts Böses nachweisen und so scheinen die Behörden einfach ein Exempel zur Abschreckung aufzubauen. Ich kann nur hoffen, dass die Vorgang ein Ende hat und Jacob sich wieder seinen Interessen widmen kann.  

Continue reading "Behördenwillkür bei Jacob Appelbaum"

Als ich das Buch zur Anonymität im Internet schrieb, gab es eine Person, die mir immer wieder „über den Weg“ lief. Len Sassaman hatte sehr früh Probleme beim Cypherpunk-Remailer gefunden und daraufhin Mixmaster mit entwickelt. The Pynchon Gate war eines der Ideen aus jüngerer Zeit, welches Len zusammen mit Nick Matthewson vom Tor Project und Bram Cohen von BitTorrent entwickelte. Len bat mich damals, eine Beschreibung mit in das Buch aufzunehmen. Die Zeit war jedoch zu kurz, um eine ordentliche Beschreibung einzubauen.

Im Laufe der Zeit sah ich Len Sassaman immer mal wieder auf Konferenzen. Wir unterhielten uns und ich lernte ihn sehr zu schätzen. Denn neben der Tatsache, dass er wirklich ein Fachmann auf seinem Gebiet war, war er ein unheimlich, hilfsbereiter Mensch.

Umso schockierter war ich, als ich gestern eine Twitter-Nachricht seiner Frau Meredith las. Sie schrieb, dass sie gerade mit der Polizei wegen seines Selbstmordes telefoniert hatte. Was zuerst noch wie ein schlechter Scherz klang, hat sich bestätigt. Len Sassaman ist aus dem Leben geschieden. Lebe wohl!

Bild von Wikipedia (Benutzer:AlexanderKlink)

Bei Twitter war kürzlich mal wieder ein nettes Mem zu beobachten. Es entstand eine Folge von „The great thing about $PROTOCOL jokes is $PROTOKOLLEIGENSCHAFT.“-Sätzen. Zu finden ist das Ganze unter dem Hashtag #protolol. Naja, lest selbst:

• The great thing about TCP jokes is that you always get them.
• The great thing about IP over Avian Carrier jokes is that if your joke gets fragmented, you at least get free dinner.
• The great thing about WebDAV jokes is you can tell many different versions of the same joke and people will still listen.
• The great thing about Zeroconf jokes is that you can just walk up to strangers and tell them, no introduction necessary.
• The great thing about IPP jokes is that you always end up with a paper record of the joke in question.
• The great thing about Nessus jokes is that they’re often inaccurate and poorly worded.
• The great thing about rsync jokes is that it only tells them if you haven’t heard them before.
• The great thing about bacterial transformation jokes is that there are always a lot of fungis involved.
• The great thing about DHCP jokes is that you can lend them to others and take them back when you want.
• The great thing about DNS jokes is that you don’t have to tell them with authority.
• The great thing about BGP jokes? Anyone can claim they are their own, all you can do is hope your neighbours like them.
• The great thing about nerdy jokes is that they follow a general pattern of self-referentiality that can be abstracted out.
• The great thing about ASLR jokes is you never know where they’re going.
• The great thing about antivirus jokes is you only need to change them a little and they’re funny again.
• The great thing about encryption jokes is d0842c7091158f8a8e6c89ed0cf4ec07.
• The great thing about gmail jokes is the chinese read them before you do.
• The great thing about TLS jokes is that you can tell if it’s not original.
  
• The great thing about XML jokes is that you can put anything into them.
• The great thing about Java jokes is waiting for them to begin.
• The great thing about Teredo jokes is that you can tell smart jokes even when surrounded by dumb peers.
  
• The great thing about PGP email encryption jokes is that nobody can read their own encrypted email because it’s so unusable.
• The great thing about RFC 862 jokes is the great thing about RFC 862 jokes.
• The great thing about source routing jokes is that someone else get in trouble for telling them at your instigation.
• The great thing about DNS jokes is that they work on so many levels.
• The great thing about fragmentation jokes is
• The great thing about IGMP jokes is that you can be selective in who gets them.
• The great thing about ARP jokes is they’re unauthenticated.
• The great thing about IPv6 jokes is that there are so many of them.
• The great thing about ICMP error jokes is that nobody can ever reply to them.
• The great thing about UDP jokes is that even if you don’t get them, nobody notices.
• The worst part of SSH jokes is that, even when they’re not funny, you suck it up and just pretend they were anyway.
• The best thing about XMPP jokes is that you can tell when they’re available.
• The problem with greylisting jokes is, that you always have to tell them twice.
• The sad thing about Kerberos jokes is that you first have to buy a ticket to join the laughter.
• The problem with PGP jokes is that you need to gain everybody’s trust before they can laugh with it.
• The best GFW jokes are inaccessible from China.
• The sad thing about IPv6 jokes is that almost no one understands them and no one is using them yet.
• The best thing about proprietary protocol jokes is REDACTED. 
• The best thing about SMTP jokes is, you had me at HELO. 
• The best part about WAF jokes is there are a hundred ways to tell them, and everyone is sure to get them.
• The problem with git jokes is everyone has their own version.
• Everybody loves MitM jokes. Well, everybody except Alice and Bob that is.
• The worst thing about Perl jokes is that next morning you can’t understand why they seemed so funny.
• I don’t make SQLi jokes myself, I get them FROM USERS.
• The good thing about OTR jokes is that you forget the punchline afterwards.
• The best thing about Skype jokes is the ridiculous lengths they’ll go to, to be told at all.
• The best thing about mathematical jokes is left as an exercise for the reader.
• The best thing about Twitter API jokes is that you can only make 100 of them per hour.
• The problem with 802.11 jokes is that somebody far away is always listening.
• The problem with BGP jokes is the need for a local default joke, just in case you reject all of the other jokes coming in!
• The problem with telling NTP jokes is that you’re constantly adjusting your timing.
• The worst thing about HTML jokes is that your audience doesn’t always GET it.
• The good thing about pure functional jokes is, telling them has no side effects.
• The good thing about Twitter jokes is they’re so short.
  
• The problem with ASCII jokes is having to leave out the good bits.
• The bad thing about DVCS jokes is they’re all clones of each other …
• The best part about a CISSP joke, is you don’t have to know anything about security to get it.
• The problem with CSS jokes is that everyone understands them differently.
• The great thing about integer overflow jokes is that GCC doesn’t think they’re funny.
• The problem with standards jokes is that there are so many to choose from.
• The problem with IPv4 jokes is there aren’t enough for everyone.
• The problem with dining cryptographers network jokes is that you never know who told them.
• The problem with DRM jokes is that you can’t share them with your friends.
• The best part about TTL jokes is that they can only be told so many times.
• The problem with anonymity jokes is that any jackass can take the credit for them.
• The problem with TCP jokes is that people keep retelling them slower until you get them.
• The bad thing about Turing machine jokes is you never can tell when they’re over.
• The great thing about HTML jokes is that you’re never quite sure when they end.

Eine Zusammenstellung gibt es auch bei attrition.org.

Um Twitter entstehen immer mehr Dienste. Am bekanntesten ist sicher Twitpic, um Fotos zu twittern. Eine neue Idee ist nun, Filesharing per Twitter zu betreiben. Auf TwileShare loggt man sich mit seinem Twitter-Account ein und kann Bilder, Microsoft-Word- und PDF-Dateien hochladen. Jedem Nutzer stehen derzeit ein GigaByte zur Verfügung.

Dann fehlen nur noch:

• TwitTorrent
• TwiSCP und TwiFTP
• TwitDAV und TwitCat

via TechCrunch