Qbi's Weblog

Der Journalist Martin Debes hat sich vor der diesjährigen Wahl den demokratischen Verhältnissen in Thüringen gewidmet. Auf 280 Seiten geht er auf die Verhältnisse in den vergangenen einhundert Jahren im Freistaat ein. Ein Schwerpunkt des Buches »Deutschland der Extreme: Wie Thüringen die Demokratie herausfordert« liegt dabei auf den letzten dreißig Jahren.

Thüringen war lange Zeit der Inbegriff der Kleinstaaterei und später das Testlabor der Nazis. Debes zeichnet diese Geschichte nach und geht dann auf wichtige historische Marken der DDR wie auch der Wendezeit ein. Das kann helfen, die jüngere Geschehnisse besser zu verstehen und einzuordnen. Die Zeit ab ca. 1990 wird dann sehr detailliert besprochen. Hier liest man die Erfahrung und persönlichen Erkenntnisse des Journalisten gut heraus. Er kennt die Interna der Thüringer Politik und so glänzt das Buch mit vielerlei Hintergrundwissen.

Natürlich spielt die Entwicklung der AfD wie auch dessen Spitzenkandidaten eine große Rolle. Debes beschreibt, wie die anderen Parteien vor sich her getrieben werden, jegliche Fehler ausgenutzt werden und auch, wie erschöpft die aktuelle Koalition zu sein scheint.

Insgesamt liest sich das Buch wie ein spannender Roman. Leider sind die Fakten nicht erfunden, sondern Realität. Leider gibt es im Buch kein Happy End. Vielmehr sind die Bürger:innen gefragt, hier ein solches herbeizuführen.

Ich kann das Buch allen Interessierten nur ans Herz legen. Insgesamt entsteht beim Lesen der Eindruck, dass das, was in Thüringen im Kleinen passiert, auch bundesweit im Großen passieren könnte.

Backblaze ist eine amerikanische Firma, die Speicher- und Backupplatz anbietet. In deren Servern sind über 2500 SSDs verbaut. Backblaze fing im Jahr 2018 an, diese Art von Speicher zu nutzen und ersetzt seither die drehenden Platten (HDDs). Nun fragt sich die Firma immer mal wieder, wie belastbar die SSDs im Vergleich zu den HDDs sind. Im letzten Review gibt es einige Antworten dazu.

Dazu vergleicht die Firma Speichermedien, die als so genannte Bootgeräte zum Einsatz kommen und in etwa gleich alt sind. Bootgerät heißt bei Backblaze, dass die Server hiervon gestartet werden. Weiterhin werden Logdateien und temporäre Dateien auf die Speicher geschrieben. Sowohl HDD wie auch SSD vollführen gleiche Aufgaben.

Bisher hatten die Fehlerraten in etwa den gleichen Verlauf. Die SSDs lagen von den Werten leicht unterhalb der HDDs. Dieses Jahr ist nun das fünfte Jahr der Betrachtungen und hier gingen die Zahlen deutlich auseinander. Während bei den HDDs ab dem 5. Jahr ein deutlicher Anstieg der Fehlerraten zu beobachten ist, bleibt der bei den SSDs in etwa gleich.

Auf der Speichertestseite von Backblaze könnt ihr die weitere Entwicklung verfolgen und auch die Rohdaten herunterladen. Die Firma geht derzeit davon aus, dass die Fehlerraten der SSDs zu einem späteren Zeitpunkt steigen und wollen solange einen Blick auf deren SMART-Werte werfen. Ich bin sehr gespannt, wie lange der Vorteil der SSDs anhält und werde hin und wieder mal die Seiten von Backblaze checken.

Vor kurzem stellte ich mir hier im Blog die Frage, ob man noch Bilder des Dienstes Flickr einbinden kann. Nach meiner Prüfung kam ich zu dem Schluss, dass dies nicht mehr der Fall ist und entfernte die Bilder aus meinem Blog.

Heute hielt ich einen Workshop, der u.a. auch die Datenschutz-Grundverordnung zum Thema hatte. Dort fragte mich ein Teilnehmer, ob denn das Land Thüringen eine korrekte Datenschutzerklärung (DSE) hat. Der folgende Abschnitt brachte mich dann doch ins Staunen:

Flickr

Innerhalb unseres Onlineangebotes können Funktionen und Inhalte des Dienstes Flickr eingebunden sein. Flickr ist ein Foto- und Bilder-Dienst des amerikanischen Unternehmens SmugMug Inc. (67 E. Evelyn Ave, Suite 200
Mountain View, California, U.S.)Wenn Sie selber Flickr aktiv nutzen und ein Bild oder Video veröffentlichen, können wir ihn ebenfalls sehen, wenn Sie ihn jedermann zugänglich gemacht haben oder wenn wir Ihnen über Flickr folgen. Ebenfalls können wir Ihre Angaben auf Flickr sehen, wenn thueringen.de Ihrem Profil folgt. Einzelheiten zur Verarbeitung der Daten bei Flickr und den Sichtbarkeitseinstellungen entnehmen Sie bitte den Datenschutzbedingungen von Flickr bzw. Oath (ehemals Yahoo): policies.oath.com/ie/de/oath/privacy/index.html  

Das heißt, das Land Thüringen ist der Meinung, rechtmäßig Flickr-Bilder einbinden zu können. Wie kann das sein?

Weder Flickr noch Yahoo! noch eine der anderen Firmen steht bisher auf der Privacy-Shield-Liste. Und die Datenschutzbedingungen von Flickr gaben doch bisher auch nichts her. Aber: Unter anderen ist das Datenschutzcenter von Oath mit verlinkt. Dort steht gleich am Anfang:

Für Produkte oder Dienste von Oath, auf die ohne Anmeldung bei einem Account zugegriffen wird, gilt diese Datenschutzerklärung für diese Produkte und Dienste ab 25. Mai 2018.  

Flickr gehört mit zu Oath. Also gelten diese Bedingungen auch für Flickr. In der DSE steht drin, dass die Oath (EMEA) Limited in Dublin diese Dienste bereitstellt und damit wohl Verantwortlicher im Sinne der DS-GVO ist. Also werden die Daten von einem Unternehmen mit Sitz in der EU verarbeitet und die DS-GVO möchte ja den freien Verkehr personenbezogener Daten fördern (oder zumindest nicht einschränken).

Weiterhin erklärt Oath, dass sie die Standardvertragsklauseln der EU-Kommission verwenden bzw. nur Daten mit Unternehmen austauschen, die nach Privacy Shield zertifiziert sind.

Insgesamt scheint die Datenschutzerklärung den Anforderungen der Art. 13 und 14 DS-GVO zu entsprechen. Und auch inhaltlich ist es jetzt so, dass man wohl doch bedenkenlos Bilder von Flickr in seinem Blog einbinden kann.

Anfang März 2018 finden wieder die Chemnitzer Linux-Tage (auch als Onion Service) statt. Traditionell organisiere ich die Keysigning-Party. Die Anmeldung dafür ist abgeschlossen und ich habe eine Grafik für das Web of Trust erstellt:

tl;dr: Please encrypt a file and send it to me together with a (short) description, how I can make it readable for me.

Everyone is talking about encryption and nobody does it. This is a short summary of my initial asumption. Did you ever try to encrypt a file and to send it someone? How did you do it?

This is a fairly simple and basic task which you can present in a beginner’s course:

Assume another person uses a public computer (Internet cafe, library, etc.). You want to send a file to this person and keep the content confidential to other people. Encrypt a file on your computer and send it to the person.

I ask myself how you would do it. Thatswhy I decided to conduct a little experiment: Dear reader, please encrypt a (no so big) file and send it to me (via mail to enc2018@kubieziel.de, you can use my PGP key if you like, comment this post or use some other means to contact me). Add some information which to decrypt the file. You have no idea how to do this? I desperately want to know about it. Please write a mail or leave a comment. You tried and failed? I desperately want to know about it. Please write a mail or leave a comment. I would like to know how easy or hard this task is.

I plan to analyse the data on a anonymous basis and will introduce some tools in later posts.

tl;dr: Bitte verschlüsselt eine Datei und schickt mir diese zusammen mit einer (kurzen) Beschreibung, wie ich die lesbar mache.

Alle Welt redet von Verschlüsselung und keiner macht es. So könnte man meine These kurz zusammenfassen. Habt ihr schonmal versucht, eine Datei zu verschlüsseln und diese jemand anderem zuzusenden? Wie habt ihr dies angestellt?

Aus meiner Sicht ist das eine einfache, grundlegende Aufgabe, die man in jedem Anfängerkurs stellen könnte:

Stelle dir vor, dein Gegenüber nutzt einen öffentlichen Computer (Internetcafe, Bibliothek etc.). Du möchtest mit diesem eine Datei austauschen, deren Inhalt nur ihr beide kennt. Verschlüssele eine Datei auf deinem Rechner und übermittle diese an dein Gegenüber.

Ich frage mich nun, wie ihr das machen würdet. Daher habe ich mich zu einem kleinen Experiment entschlossen: Liebe Leserinnen und Leser, bitte verschlüsselt eine (nicht allzugroße) Datei und schickt mir diese zu (per E-Mail an enc2018@kubieziel.de, hinterlasst einen Kommentar oder kontaktiert mich anderweitig) . Legt ein paar Informationen bei, wie ich die wieder entschlüsseln kann. Ihr wisst nicht, wie ihr das machen könnt? Schreibt mir bitte unbedingt eine Mail an enc2018@kubieziel.de oder hinterlasst unten einen Kommentar und erzählt mir davon. Ihr habt es probiert und seid daran gescheitert? Schreibt mir bitte unbedingt eine Mail an enc2018@kubieziel.de oder hinterlasst unten einen Kommentar und erzählt mir davon. Ich würde gern wissen, wie einfach oder schwierig dies für euch ist.

Ich plane, die Umfrage später anonymisiert auszuwerten und ggf. in weiteren Beiträgen verschiedene Werkzeuge vorzustellen.

 

Am 19. und 20. März fanden in Chemnitz wieder die Chemnitzer Linux-Tage statt. Einer alten Tradition folgend organisierte ich das Keysigning. Das heißt, Leute mit einem OpenPGP-Schlüssel können teilnehmen und sich gegenseitig ihre Identität bestätigen. Durch die Prüfung und Signatur wird das Vertrauensnetz (Web of Trust) gestärkt.

In den letzten Jahren stellten wir uns dazu in einer Reihe auf. Die erste Person bewegte sich dann zur zweiten und anschließend zur dritten, vierten usw. Nachdem die erste Person vorbei war, fing die zweite an. So sah das ungefähr aus:

Startaufstellung:

1

2

3

4

5

6

7

8

9

10

Erste Person startet:

2	3	4	5	6	7	8	9	10
1

Zweite Person startet:

3	4	5	6	7	8	9	10
2	1

Nach einer Weile startet die sechste Person:

7	8	9	10	1
6	5	4	3	2

Das heißt, die erste Person reiht sich wieder ans das Ende ein. Eine Reihe zeigt jeweils den Ausweis und die andere Reihe vergleicht.

Bei dem Verfahren ist nun der Nachteil, dass anfangs sehr viele Leute im Leerlauf sind. Sie müssen warten, bis die erste Person endlich bei denen angekommen ist. Um dies ein wenig zu beschleunigen, haben wir die Reihe dieses Jahr direkt gefaltet. Nach der Sortierung in eine Reihe stellten sich alle gegenüber auf:

1	2	3	4	5
10	9	8	7	6

Die Idee war, dass wieder eine Reihe prüft und die andere den Ausweis zeigt. Leider habe ich das wohl nicht genau genug erklärt und es wurde parallel von beiden Seiten gemacht. Als die Reihe nun zur Hälfte abgearbeitet war, kamen die Teilnehmer bei ursprünglichen Gegenüber wieder an und nahmen an, alle erwischt zu haben. Dies ist aber nicht der Fall:

2	3	4	5	6
1	10	9	8	7

Die Aufstellung oben ist nach dem ersten Wechsel. In der initialen Aufstellung verglich beispielsweise Teilnehmer 3 mit Teilnehmer 8 die Daten. In obigem Schritt vergleicht 3 mit 10 usw. Nach fünf Schritten stehen sich 3 und 8 wieder gegenüber. Teilnehmer 3 hat dann die Identität der Teilnehmer 8, 10, 2, 4 und 6 verifiziert. Was ist mit 1, 5, 7 und 9? Diese fehlen offensichtlich. Es kostete mich einige Mühe die Teilnehmer zu überzeugen, dass der Lauf noch nicht beendet ist. Hoffentlich kann ich alle dann im nächsten Jahr auf diese Seite verweisen und die Überzeugungsarbeit wird einfacher.

Wer sich für den Stand des Web of Trust interessiert: