Security des tages

Schwerwiegende sicherheitslücke in GnuPG

Es wird sogar empfohlen, auf die Kommunikation via PGP/GPG vorerst zu verzichten und Plugins in Thunderbird und Co. zu deaktivieren

Ich werde einen teufel tun! Ach ja, es gibt auch schon ein paar hinweise, wie man bis zum kommenden pätsch mit der sicherheitslücke halbwegs gefahrenfrei leben kann:

Don’t use HTML mails. Or if you really need to read them use a proper MIME parser and disallow any access to external links

Nun, HTML-mäjhl ist aus so vielen gründen keine gute idee (und deshalb bei verbrechern, werbern und anderen menschenfeinden hochbeliebt), dass ich mir die aufzählung hier einmal spare. Im thunderbird-menü auf ansicht ▷ nachrichteninhalt ▷ reiner text! Das macht die tägliche mäjhl auch viel angenehmer lesbar. Und es schützt die privatsfäre vor träcking-pixeln in HTML-mäjhls. Die idjoten, die auf die idee gekommen sind, dass man mäjhl in HTML formatieren könne und solle (und das beinahe überall zum standard gemacht haben, bei dem verdammt viele leute gar nicht mehr wissen, wie man die kackscheiße abschaltet), die hätte man auf die erste bemannte pluto-missjon der menschheit schicken sollen. Ohne rückfahrkarte. Wenn ich ein formatiertes dokument mit einer mäjhl versenden will, dann hänge ich das an.

Nachtrag: Die kompjuterbild mit schlips aus der karl-wiechert-allee in hannover schreibt den kwatsch mit „mäjhlverschlüsselung ist zurzeit ein sicherheitsrisiko“ ohne die geringste relativierung ab.

Nachtrag zwei: FUD?

Nachtrag drei: Die alarmschlagzeile des tages geht an die aktuelle kamera des BRD-parteienstaatsfernsehens ARD.

Digitale Kommunikation
Forscher knacken E-Mail-Verschlüsselung

Security des tages

Der „GNU privacy guard“, besser bekannt als GPG und das programm, mit dem beinahe jeder seine mäjhl verschlüsselt, hatte ein sicherheitsloch, durch das eventuell doch ein paar bit privater schlüssel ermittelbar wurden. Ob die auswirkungen so groß sind, dass wir jetzt besser alle unsere schlüssel zurückziehen sollten, kann im moment noch keiner sagen — wer ganz sicher gehen will oder muss, sollte es tun…

(Ich weiß, das klingt im artikel anders. Aber es gibt auch hin und wieder einmal menschen, die sich darauf verlassen müssen, dass eine digitale signatur echt ist und/oder dass eine nachricht von niemanden anders mitgelesen werden kann. Es kann sogar jeder in die situazjon kommen, darauf angewiesen zu sein. Deshalb ist neurotische übervorsicht bei fehlern im kryptokram die einzig angemessene haltung. Die beschwichtigenden worte zu einem zeitpunkt, an dem die auswirkungen des fehlers noch nicht vollständig analyisiert sind, wecken meinen hang zur skepsis.)

Aber die neue GPG-versjon ziehen, das sollten wir alle! Denn nur ein beseitigter fehler ist ein guter fehler.

„Not very useful“

--enarmor --dearmor  Pack or  unpack an arbitrary input into/from an OpenPGP ASCII armor. This is a GnuPG extension to OpenPGP and in general not very useful.

Kwelle: man 1 gpg (Die man-page gibts natürlich auch im web.)

Hej, GNU! Wenn mans zu nix gebrauchen kann und wenns zu keinem standard gehört, warum habt ihrs dann gekohdet?! Zu wenig gewaxenes gerümpel im kohd? Zu wenig für viele menschen echt abschreckende opzjonen? Oder hattet ihr einen guten grund dafür? So einen, den ihr jetzt nicht mehr kennt? Ach!