Gestern hat die CSU erhebliche Fortschritte bei ihren Mathematik-Kenntnissen gemacht. Denn die Formel 50+x hat auf einmal 43 ergeben. Neben den natürlichen Zahlen gibt es eben noch die ganzen Zahl bzw. rationale und reelle Zahlen. Bei der nächsten Wahl sollte die Partei vielleicht einfach als Wunsch 50+i ausrufen. Das Gute bei komplexen Zahlen ist, dass sie dann einfach behaupten können, mehr Stimmen als beim letzten Mal oder als eine andere Partei erhalten zu haben (und wieder etwas über Mathematik gelernt haben). 
Es ist nicht mehr weit, dann startet in Magdeburg der gleichnamige Open-Source-Tag. Es gibt dort viele interessante Vorträge rund um Freie Software. Ihr erfahrt Neues über LaTeX und OpenOffice, lernt wie man sicher mit Tor und GnuPG kommuniziert, wie man mit GNU R Statistiken erstellt und vieles mehr.
Ich habe unter anderem das Keysigning übernommen. Falls ihr teilnehmen wollt, schickt mir euren Schlüssel bzw. die Key-ID per E-Mail und ladet euch dann die Liste der Teilnehmer herunter. Weitere Anwesiungen gibt es dann vor Ort.
Ich wünsche allen viel Spass beim Magdeburger Open-Source-Tag!
Der CCC hat kürzlich den Call for Papers für den 25C3 veröffentlicht. Ihr könnt eure Beiträge wieder in das Pentabarf einsenden. Sie sollten bis zum 2008-10-05 dort sein. Wenn der Beitrag angenommen wird, kannst du dann auf dem 25C3 sprechen. Viel Erfolg beim Einreichen.
Dieses Jahr bin ich wieder dabei, beim Symposium Datenspuren des CCC. Mein Hauptevent ist der Workshop zu I2P. Dort werde ich etwas zu der Theorie erzählen und anschließend einige wichtige Anwendungen vorstellen. Ansonsten sind Anonymität (Tor, JonDonym), Wahlcomputer, Videoüberwachung und einiges mehr das Thema.
Persönlich finde ich den Vortrag zum IdentitySniper interessant. Denn das kommt einem unserer LUG-Projekte (wolfgang) sehr nahe. Am Sonnabend werde ich jedoch nicht in Dresden sein können. So hoffe ich, dass ich nochmal eine Privatvorstellung bekomme.
Auch der Kampf gegen Videokameras klingt vielversprechend. Mindestens ein Kameratyp stört mich in Jena sehr und ich würde den gern entfernen.
Falls ihr also am Wochenende noch nichts zu tun habt, Dresden ist immer einen Besuch wert und die Veranstaltung war in den letzten Jahren immer hochklassig.
In den Kommentaren zur Videoüberwachung in Jena riet mir Gonzo mich mit dem Datenschutzbeauftragten des Landes in Verbindung zu setzen. Zu dem Zeitpunkt hatte ich das bereits getan und “interessante” Erfahrungen gesammelt.
Erfahrungsgemäß bieten die Datenschutzbeauftragten PGP-Schlüssel an und in der Tat fand ich auf der Kontaktseite einen zum “Download” und einen in “lesbarer” Form. Ich wähle den ersten und stutze als ich die URL sehe. Das Dokument heißt pgp_schluessel.doc und file bestätigt mir den Verdacht: pgp_schluessel.doc: Microsoft Word-Dokument. Na gut, es gibt ja noch den in lesbarer Form. Ich übergebe curl die URL und versuche das Ergebnis gleich zu GnuPG zu importieren. Doch auch hier erscheint eine Fehlermeldung. Ein Blick auf die lesbare Form enthüllt dann ein HTML-Dokument. Nachdem ich dann den Schlüssel manuell extahiert hatte, konnte ich auch meine E-Mail schreiben. Doch da hatte ich bereits einen Verdacht, wie die Antwort ausfallen würde ...
In der Tat erhielt ich nach ein paar Tagen die Antwort, dass man meine E-Mail (bzw. den Anhang) nicht öffnen könne. In den Headern der E-Mail stand etwas von Outlook und je nachdem welche Zusatzsoftware man verwendet, kann es Probleme mit den (an sich korrekt) verschlüsselten E-Mails geben. Also schickte ich die E-Mail nochmal und nutzte eine ältere Methode (Inline-Verschlüsselung), die von allen Programmen erkannt wird. Ihr dürft jetzt dreimal raten, wie die Antwort ausfiel. 
Im Anschluss wandte ich mich an das ULD in Schleswig-Holstein und bekam von dort eine sehr detaillierte, ausführliche Antwort.
Um die auch hier
angesprochene OpenSSL-Lücke wird zwischen den OpenSSL-Team und
Debian eine Diskussion geführt. Der Paketbetreuer von Debian fragte
damals auf der Liste openssl-dev nach und Ulf Möller, einer der
Entwickler, antwortete. Die OpenSSLer behaupten nun, es sei die falsche Liste
gewesen und die Debianer haben darauf eine großartige
Antwort.
Kürzlich meldete sich Ulf Möller nochmal zu Wort. In seiner
Antwort auf die Frage ging er nicht davon aus, dass der Quellcode
gepatcht werden soll und dass sein Gegenüber natürlich grundsätzlich
ein Verständnis für den Quellcode entwickelt hat. Aus
der Diskussion entwickelte sich das schöne Zitat:
Und jetzt komme ich mir vor wie ein Arzt, der dachte,
dass er mit einem Kollegen über Operationstechniken diskutiert hat,
und nun plötzlich erklären soll, wieso er das Kettensägenmassaker
nicht verhindert hat.
Über die schwere Sicherheitslücke im OpenSSL-Paket von Debian wurde in verschiedenen Quellen berichtet. Wer mehr Informationen haben will, findet im Debian-Wiki Anweisungen. Außerdem stehen bei Zak B. Elep Hinweise und HD Moore stellte auch eine nette Seite zusammen. Doch was bedeutet diese Lücke für Tor? Gibt es da überhaupt Probleme?
In der Tat gibt es da richtig große Probleme, wie auch das Advisory
zeigt. Tor nutzt für seine Krypto sehr intensiv OpenSSL und ist damit
direkt betroffen. Roger Dingledine, einer der Entwickler, hat in einem
längeren
Artikel im Blog zu Problemen Stellung genommen.
Eines der entstandenen Probleme sind Tor-Server, die schwache
Schlüssel einsetzen. Insgesamt handelt es sich um mindestens ein
Siebtel aller Server. Angreifer können hier alle möglichen Attacken
fahren und insbesondere auch unten bestimmten Bedingungen in die
Pakete schauen. Effektiv wird also die Verschlüsselung aufgehoben. Die
Tor-Entwickler haben daher alle derartigen Schlüssel gesperrt und ein
Server mit einem veralteten Schlüssel kann in Zukunft nicht mehr als
Server agieren.
Weiterhin verteilen Verzeichnisserver die Informationen über
Tor-Server an die Tor-Clients. Die neueste Protokollversion ist die
V3. Wer dies nutzt, könnte ein Problem bekommen. Hier schafft die
neueste Tor-Entwicklerversion 0.2.0.26-rc Abhilfe. Dort werden
ausschließlich korrekte Schlüssel ausgeliefert und die schwachen sind
gesperrt.
Peter Palfrader hat sehr schnell reagiert und eine neue Version des
Debian-Paketes hochgeladen. Wenn du also Debian, Ubuntu oder ähnliches
nutzt, solltest du schnellstens die aktuellste Version
installieren, um dich vor den obigen Problemen zu schützen.