Letzte Woche fand die 860. Sitzung des Bundesrates statt. Dort sollte unter anderem das viel diskutierte Zugangserschwerungsgesetz an der Tagesordnung sein. Ich versuchte im Vorfeld den Ministerpräsidenten mit einem Schreiben mit einigen Argumenten zu überzeugen (siehe auch die Pressemitteilung des AK Zensur dazu). Wie jedoch zu erwarten war, wurde das Gesetz angenommen. Jetzt steht nur noch der Bundespräsident vor der endgültigen Unterschrift und damit vor dem Inkrafttreten des Gesetzes. Der AK Zensur hat einen Appell an Herr Köhler gerichtet.
Beim Betrachten des Ergebnisses fiel mir auf, dass alle Gesetze angenommen wurden, bis auf eines: das Gesetz zur Durchführung gemeinschaftsrechtlicher Vorschriften über das Schulobstprogramm (Schulobstgesetz - SchulObG). Gerade das klingt doch recht sinnvoll. Warum wird sowas nun abgelehnt?
Das Schulobstgesetz geht zurück auf eine Initiative der EU, das EU-Schulobstprogramm. Im Rahmen dessen wurden verschiedene Alternativen untersucht und eine Kommission kam zu dem Schluss, dass die beste Lösung sei, kostenlos Obst an Schüler im Alter von 6 bis 10 Jahren einmal in der Woche auszuteilen. Flankiert mit aufklärenden Maßnahmen gehen die Mitglieder von einem Erfolg aus, d.h. es würden gesunde Essgewohnheiten gefördert werden, die Fettleibigkeit würde zurückgehen und das Risiko chronischer Krankheiten (Diabetes etc.) nimmt ab. Als problematisch werden die Kosten genannt. Die Folgeabschätzung geht EU-weit von Gesamtkosten in Höhe von 156 Millionen Euro (nicht Milliarden!) aus. Daher wurde vorgeschlagen, 90 Millionen aus EU-Mitteln zu zahlen und der Rest aus den Mitteln der jeweiligen Länder. Wenn ich nun den Bericht des Agrarausschusses richtig verstehe, gibt es in Deutschland jetzt Diskussionen, ob Bund oder Länder diese Zusatzmitteln zahlen sollen. Dabei geht es deutschlandweit um eine Summe von 12,5 Millionen Euro oder pro Bundesland um etwa eine Million Euro. Also nach jeglichen Maßstäben Peanuts.
Ich hatte schon vorher mal kalkuliert, welche Gesamtkosten für Thüringen entstehen, wenn alle Kinder täglich kostenlos Obst bekommen. Insgesamt gibt es etwa 300.000 Kinder bis 18 Jahren in Thüringen. Wir zahlen für ein Obstfrühstück im Kindergarten momentan 25 Cent. Wenn man von etwa 200 Tagen in Kindergarten und Schule ausgeht, kämen für Thüringen (aufgerundet) etwa 20 Millionen Euro Kosten zu. Die Zahl ist natürlich nur eine grobe Schätzung. Nichtsdestotrotz würde sie nach meinem Dafürhalten kaum im Portemonnaie des Landes auffallen. 
Aber was solls. Lieber zensieren wir den Kindern das Internet weg als ihnen was Gesundes zu Essen zu geben. 
Vor ein paar Tagen verlinkte ein Witzenewsletter auf eine meiner Unterseiten. Interessanterweise führte das zu einen großen Anstieg in den Seitenabrufen und ich bekam doch einige Kommentare per Webformular bzw. E-Mail, was sonst eher selten ist. Auf der Seite geht es um ein fiktives Apple-Produkt, die iToilet.
Einer fand die Seite nicht lustig und beschwerte sich lauthals bei mir, dass das so überflüssig wie ein Kropf sei und ich die Seite abmelden solle usw. Das schlimmste Schimpfwort, was ihm dazu einfiel, war: Windowsdepp. Hmm, was sagte sein User-Agent gleich nochmal?
Mozilla/5.0 (Windows; U; Windows NT 6.0; de; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14
In den Kommentaren zur Videoüberwachung in Jena riet mir Gonzo mich mit dem Datenschutzbeauftragten des Landes in Verbindung zu setzen. Zu dem Zeitpunkt hatte ich das bereits getan und “interessante” Erfahrungen gesammelt.
Erfahrungsgemäß bieten die Datenschutzbeauftragten PGP-Schlüssel an und in der Tat fand ich auf der Kontaktseite einen zum “Download” und einen in “lesbarer” Form. Ich wähle den ersten und stutze als ich die URL sehe. Das Dokument heißt pgp_schluessel.doc und file bestätigt mir den Verdacht: pgp_schluessel.doc: Microsoft Word-Dokument. Na gut, es gibt ja noch den in lesbarer Form. Ich übergebe curl die URL und versuche das Ergebnis gleich zu GnuPG zu importieren. Doch auch hier erscheint eine Fehlermeldung. Ein Blick auf die lesbare Form enthüllt dann ein HTML-Dokument. Nachdem ich dann den Schlüssel manuell extahiert hatte, konnte ich auch meine E-Mail schreiben. Doch da hatte ich bereits einen Verdacht, wie die Antwort ausfallen würde ...
In der Tat erhielt ich nach ein paar Tagen die Antwort, dass man meine E-Mail (bzw. den Anhang) nicht öffnen könne. In den Headern der E-Mail stand etwas von Outlook und je nachdem welche Zusatzsoftware man verwendet, kann es Probleme mit den (an sich korrekt) verschlüsselten E-Mails geben. Also schickte ich die E-Mail nochmal und nutzte eine ältere Methode (Inline-Verschlüsselung), die von allen Programmen erkannt wird. Ihr dürft jetzt dreimal raten, wie die Antwort ausfiel.
Im Anschluss wandte ich mich an das ULD in Schleswig-Holstein und bekam von dort eine sehr detaillierte, ausführliche Antwort.
Aus der Kategorie “Interessante” Nutzerfragen: Ein Nutzer hat Windows XP auf dem Rechner und sucht die Funktion “zufällig IP-Adresse ändern”. Die generische Antwort darauf ist, Tor installieren. Dort dürften die Änderungen dann zufällig genug sein.
Im weiteren Verlauf kam man jedoch darauf, dass derjenige wahrscheinlich DHCP will.
Bei Stöbern durch diverse Mailinglisten fand ich folgende “interessante” Anfrage:
Ich habe gehört das man programme mit HTML schreiben kann. [...] wo könnte ich denn so ein tool herbekommen, das dieses HTML-Programm zu
einer EXE-Datei umwandelt? [...]
ohne Worte ...
Wer von euch kennt gute CD-Brennprogramme für Windows? Es wird zwar von allen Seiten immer wieder Nero empfohlen. Mit einem Preis von 70 Euro finde ich das zum einen recht teuer und zum anderen geht es mir zu verschwenderisch mit dem Ressourcen um. Ich hätte gern eines mit folgenden Voraussetzungen:
- deutschsprachige Oberfläche
- einfache Bedienung (Also einfach im Sinne von einfach. Die neuesten, besten supercoolsten Features, die dann n zusätzliche Schaltflächen aufpoppen lassen, sind kontraproduktiv.)
- möglichst Freie Software
- natürlich soll es auch CDs brennen können
Der Punkt “Freie Software” scheint nach meinen jetzigen Recherchen nicht zu erfüllen sein. Es gibt Programme, die auf cdrecord aufsetzen. Jedoch kann man, zumindest nach dem Eindruck auf den Webseiten, nicht von einfacher Bedienung reden. Bei ISOBurn fehlt auch eine deutschsprachige Oberfläche.
Freenet stellt auf einer Seite kostenfreie Brennprogramme vor. Hier stiess ich noch auf burnatonce. Das macht auf den ersten Blick einen guten Eindruck. Hat jemand von euch Erfahrungen mit dem Programm gemacht? Welche anderen Programme könnt ihr empfehlen?
Für diverse Anwendungen (insbesondere Kryptografie) benötigt man einen Zufallszahlengenerator. Dieser sammelt aufgrund von verschiedenen Ereignissen (Tastatureingabe, Mausbewegung, Netzverkehr etc.) Werte und berechnet daraus Zahlen. Diese sollen möglichst gleichverteilt und zufällig aussehen. Insbesondere ist es wichtig, dass sich aus einer bekannten Ausgabefolge nicht die nächsten oder vorhergehenden Zahlen berechnen lassen. Denn das wäre dann wohl kein Zufall mehr.
Das Team um Zvi Gutterman hat im letzten Jahr den Zufallszahlengenerator von Linux untersucht. Bis auf Probleme bei festplattenlosen Routern waren sie von der Qualität des Generators überzeugt. Lediglich die fehlende Zusammenarbeit mit den Maintainern und der, sagen wir, eigenwillige Code wurde bemängelt. Nun haben sie sich den Zufallszahlengenerator von Windows angeschaut. Schon der Abstrakt verheißt nichts gutes:
The implication of these findings is that a buffer overflow attack or a similar attack can be used to learn a single state of the generator, which can then be used to predict all random values, such as SSL keys, used by a process in all its past and future operation. This attack is more severe and more efficient than known attacks, in which an attacker can only learn SSLkeys if it is controlling the attacked machine at the time the keys are used.
Sie haben den Binärcode einer Windows-2000-Installation untersucht. Der Code des Generators ist wohl seit Windows 95 bis Windows XP im wesentlichen gleich geblieben. Er nimmt Entropie aus dem System entgegen, hasht das und wendet dann RC4 an. Das bedeutet, wenn man einmal den Status des Generators kennenlernt, kann man alle weiteren Zufallswerte berechnen. Das wird dadurch erleichtert, dass der Generator im Benutzerraum läuft und nur alle 128 kB neu initialisiert wird. Weiterhin kann man auch alte Zufallswerte berechnen, wenn man den Status kennt. Der Aufwand beträgt laut der Veröffentlichung O(223), lässt sich also auf modernen Architekturen binnen Sekunden oder Minuten berechnen.
Alles in allem scheint damit der ZUfallszahlengenerator unter Windows seinen Namen nicht zu verdienen. Die Autoren geben einige Hinweise zur Verbesserung. Allerdings können die nur von Microsoft umgesetzt werden. Ein Grund mehr für Freie Software.