Qbi's Weblog

Man höre und staune: Heute wurde OpenSSL 1.0 veröffentlicht. Aus der Meldung:

The OpenSSL project team is pleased to announce the release of version 1.0.0 of our open source toolkit for SSL/TLS. This new OpenSSL version is a major release and incorporates many new features as well as major fixes compared to 0.9.8n. For a complete list of changes, please see http://www.openssl.org/source/exp/CHANGES.

The most significant changes are:

• RFC3280 path validation: sufficient to process PKITS tests.
• Integrated support for PVK files and keyblobs.
• Change default private key format to PKCS#8.
• CMS support: able to process all examples in RFC4134
• Streaming ASN1 encode support for PKCS#7 and CMS.
• Multiple signer and signer add support for PKCS#7 and CMS.
• ASN1 printing support.
• Whirlpool hash algorithm added.
• RFC3161 time stamp support.
• New generalised public key API supporting ENGINE based algorithms.
• New generalised public key API utilities.
• New ENGINE supporting GOST algorithms.
• SSL/TLS GOST ciphersuite support.
• PKCS#7 and CMS GOST support.
• RFC4279 PSK ciphersuite support.
• Supported points format extension for ECC ciphersuites.
• ecdsa-with-SHA224/256/384/512 signature types.
• dsa-with-SHA224 and dsa-with-SHA256 signature types.
• Opaque PRF Input TLS extension support.
• Updated time routines to avoid OS limitations.

Die LUG Jena oder besser die Python-User-Group Jena will demnächst einen Vortrag zu automatischen Softwaretests halten. Solltest du Interesse haben und in den nächsten zwei Monaten in Jena verweilen, nimm an der untenstehenden Abstimmung teil. Ich werde den resultierenden Termin rechzeitig ankündigen.

Momentan läuft die Verhandlung im Bundesverfassungsgericht. Updates erhaltet ihr über den Account akvorrat bei Identi.ca (oder auch Twitter). Der Deutschlandfunk führte heute morgen ein Interview mit dem Generalsekretär der FDP und unter anderem wurde folgende Frage gestellt:

Herter: Zunächst einmal ganz einfach, Herr Lindner. Ist Ihre Partei, die FDP, nun für, oder gegen die Speicherung von Vorratsdaten?

Lindner: Wir sehen die Vorratsdatenspeicherung kritisch, und das schon seit einiger Zeit. Im Beitrag ist ja darauf hingewiesen worden, dass die neue Bundesjustizministerin Sabine Leutheusser-Schnarrenberger schon zu Oppositionszeiten der FDP nach Karlsruhe gegangen ist, weil wir dieses Gesetz für verfassungswidrig halten. Es ist unverhältnismäßig, die Daten, so viele Telekommunikationsdaten von unbescholtenen Bürgern zu speichern und auch dann dem Staat und seinen Institutionen zur Verfügung zu stellen. Deshalb sind wir sehr dafür, die Vorratsdatenspeicherung einzuschränken, strengstens zu beschränken auf das, was von europäischer Ebene aus vorgegeben worden ist.

Die obige Hervorhebung ist von mir und zur Erinnerung. Die Vorratsdatenspeicherung ist die Umsetzung der Richtlinie 2006/24/EG der europäischen Union. Ist also die Aussage des “Generals” so zu verstehen, dass alles so bleibt wie es ist?

Heute hielt ich im Rahmen der Vorlesung Kryptologie einen Vortrag zu AES. Wie erwähnt, gibt es dazu eine Ausarbeitung. Diese und den Vortrag selbst könnt ihr unter den folgenden URLs runterladen.

• http://kubieziel.de/studium/aes-ausarbeitung.pdf
• http://www.kubieziel.de/studium/vortrag-vl-kryptologie.pdf

Die Animation liegt bei http://www.formaestudio.com/rijndaelinspector/archivos/Rijndael_Animation_v4_eng.swf.

Nebenan im Ereignisblog ist es schon zu lesen. Die Linux User Group in Jena startet am Donnerstag mit einem Vortrag oder besser Workshop zu git. Wir wollen dort ein wenig über die Einführungsthemen hinaus schauen und diskutieren, wie man git effektiv einsetzt.

Danach ist ab ca. 21:00 Uhr Stammtisch. Thomas hat angeregt, ein Keysigning zu machen. Bringt also Ausdrucke eurer PGP-Schlüssel mit und vergleicht.

Ich komme gerade von der Kriminalpolizei, wo ich erkennungsdienstlich behandelt wurde. Wenn das so weitergeht, muss ich bald meine DNA abgeben und am Ende atme ich selbst gesiebte Luft. Was war passiert?

Es ist schon etwas länger her, da fragte mich eine Firma an, ob ich nicht eine Analyse ihrer IT-Infrastruktur vornehmen könne. Sie hatten den Verdacht, dass da etwas “nicht stimmt”. Es war anzunehmen, dass jemand aus der Mitarbeiterschaft Daten entwendet. Ich untersuchte also das Netzwerk und einige Rechner. Dabei stach ein Rechner besonders hervor. Dort baute ich mit dem Sysadmin die Festplatte aus und kopierte diese zur weiteren Untersuchung. Es stellte sich heraus, dass der Mitarbeiter in massivem Umfang Daten aus der Firma geschleust hatte. Im weiteren Verlauf schaltete die Firma die Staatsanwaltschaft ein. Diese hat mittlerweile die (Ermittlungs)fäden in der Hand. Im Rahmen dessen werden diverse Gegenstände untersucht und geschaut, wer diese angefasst hat. Als Tatortberechtigter durfte ich somit meine Fingerabdrücke abgeben.

Im Vorfeld habe ich lange gerätselt, ob das machen soll oder nicht. Denn es gibt nicht wenige Fälle, in denen die einmal erhobenen Daten irgendwo landen, so nach dem Motto: Könnte man vielleicht noch einmal gebauchen.. Meinen Anwalt konnte ich für einen fundierten Rat nicht erreichen also verließ ich mich auf meinen guten Glauben und Fragen. Ich hatte mir vorgenommen, den Beamten vorher über die befürchteten Konsequenzen auszuquetschen und, falls es unglaubwürdig wäre, die Abgabe zunächst zu verweigern. Aber dazu kam es gar nicht. Denn kaum war ich in seinem Büro angekommen, setzte er zu einer längeren Belehrung an. Demnach werden die Spuren nicht gespeichert, sondern nur mit den am Tatort vorgefundenen verglichen. Die Fingerabdrücke werden nach den Worten des Beamten nicht in Datenbanken gespeichert, sondern nach Abschluss des Falles (oder sagte er, nach Beendigung des Vergleichs?) gelöscht. Wahrscheinlich schaute ich immer noch skeptisch und er meinte zum Schluss, dass sie, selbst wenn sie die Abdrücke aufheben und später auswerten würden, dürften die nicht gegen mich verwendet werden. War da nicht was mit den Früchten des vergifteten Baumes? In der Tat scheint dies nicht so zu sein, wie ich dachte. Die Wikipedia weiß mehr im Artikel zum Beweisverbot. Schließlich bekam ich einmal einen Satz schwarze Hände. Dank eines Spezialwaschmittels sind die aber schon wieder sauber.

Ich fand den Besuch letztlich recht interessant. Denn der Beamte war sehr offen und wir unterhielten uns über einige Themen, u.a. natürlich auch über das Abnehmen von Abdrücken. Interessanterweise nutzt die Polizei dieselbe Methode wie der CCC. Der Unterschied besteht letztlich nur darin, dass es das Ganze für die Polizei als fertige Einheit gibt.

Spätestens wenn der Fall abgeschlossen ist, werde ich mal eine Auskunftsanfrage bei verschiedenen Behörden starten und hoffentlich herausfinden, dass keine Informationen über mich gespeichert sind.

Foto von TheRealGrudge

Steffen Schröder hat die Wahlprogramme von CDU/CSU und FDP mal nebeneinander gelegt und verglichen, wo Gemeinsamkeiten beim Datenschutz zu finden sind. Demnach wollen beide das Recht vereinfachen, Behörden und Datenschutzbeauftragte stärken sowie das Bewusstsein bei den Bürgern stärken. Ich bin gespannt, wie sich die Gemeinsamkeiten im Vertrag niederschlagen.

via Datenschutzbeauftragter Online.