Vereinfachte krüpplografie des tages

Seit den 90ern lassen sich E-Mails mit GPG verschlüsseln, doch nur wenige nutzen das System täglich. Zu kompliziert sagen Kritiker

Mit verlaub: bei leuten, die zu doof sind, sich klicki-klicki ein addon für ihre mäjhlsoftwäjhr zu installieren und es ebenso klicki-klicki schnell zu konfigurieren, und die dermaßen entschlossen sind, für immer doof zu bleiben, dass sie nichtmal dieses internetz durchsuchen und vielleicht mal fünf minuten lesen wollen, fehlt mir jedes mitleid. Viel spaß im kommenden faschismus, ihr hirnlosen idjoten! Der ist auch viel „benutzerfreundlicher“ als diese freiheit und selbstverantwortung und vielfalt!

Und für genau diese schul- und medienopfer gibt es jetzt also voll die vereinfachung. Und, wie viel einfacher macht die vereinfachung das eh schon einfache?

Als ich vor einigen Monaten das erste Mal eine verschlüsselte Mail von einem Freund bekam, in deren Betreff schlicht „p≡p“ stand, schwante mir bereits Böses. Der Freund hatte seinen Computer platt gemacht, dabei Thunderbird und Enigmail neu installiert und seine GPG-Schlüssel händisch über Enigmail wieder eingespielt. Da war es allerdings bereits zu spät: Enigmail lief im Junior-Modus und übernahm mit Pep die Kontrolle. Für die eingerichteten E-Mail-Konten wurden völlig automatisiert und ohne jegliche Nachfrage GPG-Schlüssel generiert – ohne Passwort, ohne Ablaufdatum, ohne alles. Nach dem Import des ursprünglichen und selbstgenerierten Schlüssels verwendete Enigmail einfach weiter den Pep-Schlüssel – und brachte den genannten Freund pretty easy zur Verzweiflung

Weia!

Und, ist es wenigstens sicherer?

Pep übernimmt auch das komplette Schlüsselmanagement. In einem Test konnte ich Pep beliebige Schlüssel unterjubeln […] Ich generiere GPG-Schlüssel für verschiedene E-Mail-Adressen mit unterschiedlichen Domainendungen und sende sie als E-Mail-Anhang an eine Thunderbird-Installation mit Enigmail im Junior-Modus. Dort öffne ich die E-Mails und sehe – nichts. Thunderbird zeigt mir ungewöhnlicherweise nicht einmal an, dass die E-Mails einen Anhang enthalten. Die Schlüssel werden förmlich vor dem Nutzer versteckt, tauchen aber anschließend – vollautomatisch – in der Schlüsselverwaltung von Enigmail und im Schlüsselspeicher von GPG auf

Also sicherer wird die trivialisierte sicherheit für vollidjoten auch nicht.

Tja, wie schon gesagt: das mitleid fehlt mir da einfach. Schade für euch, dass es gehirn nicht bei guhgell pläjh gibt, aber das kann man auch nicht ändern. Wenn euch verschlüsselte und vertrauenswürdige mäjhl zu kompliziert ist, solltet ihr mal etwas einfacheres machen. Bierdeckel sammeln zum beispiel. Oder wixen.

Security und krüpplografie des tages

Das ist ein digital signiertes PDF-dokument, das kann niemand manipuliert haben [archivversjon].

21 von 22 PDF-Readern merkten nicht, dass das Dokument verändert worden war […] Selbst der PDF-Pionier Adobe fiel den Forschern zufolge mit seinem Acrobat Reader durch. Das Programm erkannte die Veränderungen nicht

Kurz gesagt: wenn es um die implementazjon von kryptografischen sicherheitsfunkzjonen geht, schlampen alle. Wer braucht im zeitalter der internetzkriminalität schon eine gewissheit darüber, dass ein dokument unverändert ist?

Kryptografie des tages

Heise vermeldet heute in seinem bullschitt-ressor, dass die USA unter annahme von annahmen aller art in einer studie ausgerechnet haben, dass das US-amerikanische kryptografieverfahren AES einen „wirtschaftlichen mehrwert“ von 250 gigadollar gebracht hat. Ich hoffe, ihr habt angesichts dieser meldung alle gespürt, wie eure geldbeutel spontan angeschwollen sind.

Natürlich geht diese abgeschriebene PResseerklärung damit weiter, dass man immer AES einsetzen soll, wenn man kann, denn AES wird, wie führende kristallkugeln berichten, noch jahrelang unknackbar sein. Als ich das gelesen habe, habe ich meine ohren fest an das gras gepresst und mich spontan gefragt, ob die NSA wohl inzwischen ein verfahren kennt, AES mit vertretbarem aufwand zu knacken. Das ist sehr schwierig, denn AES ist ein relativ einfacher algoritmus, der leicht formalisierbar und analysierbar ist und dennoch zwei jahrzehnte lang von den kryptanalytikern dieser welt nicht so geknackt wurde, dass die alarmsirenen aufheulen mussten… wenn auch ein paar bits komplexität durch gute analyse weggehobelt werden konnten.

Was heise verschweigt ist diese lustige anekdote, die ich viel lieber in erinnerung bringen möchte: als AES zum nachfolger von DES gemacht wurde — die verfügbare rechenleistung wurde inzwischen so gut, dass man alle DES-schlüssel durchprobieren konnte — gab es eine konferenz, auf der verschiedene potenzjelle nachfolger vorgestellt wurden. Unter anderem haben dort auch die deutschen telekomiker ihren deutsche-telekom-kwalitätsalgoritmus MAGENTA mit werbeträchtiger benamsung vorgestellt. Ich zitiere aus der wicked pedia:

Die Kryptologen Adi Shamir und Ross Anderson fanden bereits während der 20-minütigen Präsentation des Algorithmus theoretische Angriffsmöglichkeiten. Kurze Zeit später bewiesen sie, dass dieser Angriff auch praktisch möglich und das Kryptosystem somit leicht zu brechen ist

Nur, falls jemand glaubt, vor zwanzig jahren sah es hier besser aus.

Ist die EFF auf die dunkle seite der macht gewexelt?

Einen tag nach der jornalistisch breit und in gewohnter inkompetenz wiedergegebenen sache „verschlüsselte e-mäjhl ist ein sicherheitsrisiko“ ist folgendes klar:

  • Kein privater schlüssel fließt ab.
  • Wenn die verschlüsselte mäjhl digital signiert ist (und das ist sie eigentlich immer, weil es keine andere möglichkeit gibt, den absender jenseits jedes vernünftigen zweifels sicherzustellen), dann muss die digitale signatur entfernt werden, weil sonst die erforderliche manipulazjon des mäjhlinhaltes an der ungültig gewordenen signatur auffällt.
  • Der häck funkzjoniert nur, wenn extern referenzierte inhalte in einer mäjhl nachgeladen werden, aber zumindest im „thunderbird“ ist es standardeinstellung, dass sie nicht nachgeladen werden.
  • Es handelt sich nicht um einen fehler in gnupg, sondern um einen fehler in der mäjhlsoftwäjhr. Dieser fehler tritt auf, weil klartext und verschlüsselte anteile beliebig gemischt werden können, und dabei verschlüsselte inhalte auch dann noch entschlüsselt werden, wenn sie etwa teil einer extern referenzierten URI sind, die von der mäjhlsoftwäjhr bei der ansicht der mäjhl nachgeladen wird. Vermutlich lässt sich das gleiche problem auch noch auf andere weise ausnutzen. Dem anwender wird nicht einmal eine warnung präsentiert, wenn unverschlüsselte und verschlüsselte inhalte gleichzeitig dargestellt werden.
  • Das zurzeit bekannte und dokumentierte angriffsszenario lässt sich vollständig vermeiden, indem man mäjhls nicht als HTML darstellen lässt. Dies lässt sich in jeder gegenwärtigen mäjhlsoftwäjhr einstellen. Die von der EFF empfohlene deinstallazjon von enigmail oder gnupg ist nicht erforderlich, der von der EFF empfohlene verzicht auf wirksame verschlüsselung der mäjhl natürlich erst recht nicht.
  • Die von der EFF empfohlene „alternative“, doch einfach nicht mehr zu mäjhlen, sondern stattdessen „signal“ zu nutzen, ist angesichts eines aktuellen, viel größeren sicherheitsproblemes in „signal“ sehr peinlich. Auf die tatsache, dass „signal“ unter ändräut so mies geproggt ist, dass der akku rasendschnell leergenuckelt wird und deshalb in der praxis nicht benutzbar ist, gehe ich dabei gar nicht weiter ein.

Da stellt sich nur noch eine frage: warum um alles in der welt rotzt die EFF über ihre pressevermeldungsinfrastruktur so einen gell schreienden alarmartikel raus, dessen nunmehr erkennbare hauptfunkzjon darin zu bestehen scheint, die verwendung verschlüsselter mäjhl mit gezieltem streuen von angst, unsicherheit und zweifel in misskredit zu bringen.

Und je länger ich darüber nachdenke, desto klarer wird mir, dass der EFF überhaupt nicht mehr zu trauen ist. Genau das werde ich mir für alle zukunft merken, und ich lege jedem anderen menschen — auch jedem anderen jornalisten — nahe, sich das ebenfalls zu merken. Die von der EFF verbreitete, völlig haltlose alarmstimmung nützt nur jenen, die alle kommunikazjon überwachen und deshalb die verwendung wirksamer kryptografie zurückdrängen wollen, und sie nützt niemandem, der aus guten (oder bösen) gründen nicht mitgelesen werden will.

Versteht mich nicht falsch: das problem in der mäjhlsoftwäjhr besteht, es ist nicht harmlos, es ist also ernstzunehmen, und es muss repariert werden. Ich bin mir sicher, dass es genau in diesem moment repariert wird und dass ich in kürze meine sicherheitsaktualisierungen habe. Aber die meldung, die von der EFF dazu verbreitet wurde, war reiner und völlig klar erkennbarer FUD. Die einzig interessanten fragen, die dazu verbleiben, sind folgende: warum verbreitet die EFF solche propaganda gegen wirksame verschlüsselung? Wessen interessen wurden dabei vertreten, und wessen interessen wurden mit füßen getreten? (Letzteres ist deutlicher zu sehen: meine und deine.) Warum wurde das getan? Wer ist dafür verantwortlich? Wer hat für diese vorsätzliche desinformazjon bezahlt? Und: welche folgen wird das in den kommenden tagen innerhalb der EFF haben?

Für mich ist die EFF jedenfalls erledigt. (Und das kann durchaus der zweck einer staatlich gesteuerten sabotahscheakzjon durch einen eingeschleusten geheimdienstschergen am presseerklärungsknopf gewesen sein.) Der schaden ist nahezu irreparabel.

Zurzeit kann die EFF nur als feind des freien internetzes und des menschenrechtes auf privatsfäre betrachtet werden.

Security des tages

Sicherheitslücke in Apple Mail erlaubte Mitlesen verschlüsselter Nachrichten

[…] zwei Lücken, die das Mitlesen und Übertragen der Inhalte von elektronischer Post erlauben, die nach dem S/MIME-Standard verschlüsselt sind

Gut, kann mal passieren. Und was ist passiert?

Ein Mitlesen von S/MIME-Mails war wiederum „aufgrund eines inkonsistenten Nutzerinterfaces“ denkbar, das der Konzern behoben hat, schreibt Apple

Was zum henker! Mittelschwere sicherheitslücken — also zugriff auf den inhalt verschlüsselter mäjhl innerhalb des lokalen netzwerkes — sind denkbar, weil die benutzerschnittstelle inkonsistent ist… kann man den äppelkäufern wirklich mit so einem bullschitt kommen?

Propaganda des tages

Heise so:

Im Vergleich zu klassischen Computern könnten Quantencomputer die erforderliche Zeit für Angriffe auf kryptografische Verfahren extrem verkürzen. Bislang sind diese Rechner noch im Erprobungsstadium und die ersten kommerziellen Prototypen stellen noch keine Bedrohung dar. Doch China und andere Länder stecken viel Geld in die Entwicklung, sodass es nur eine Frage der Zeit ist, bis eine ausreichend mächtige Maschine bekannte Verschlüsselungstechniken dramatisch verändern wird

Ähm, heise, welche „anderen länder“ meinst du und warum nennst du die USA nicht.

Facepalm des tages

Hauptwerkzeug des Angriffes war eine Phishing-Website, die einen Online-Seed-Generator bereitstellte und durch Suchmaschinenoptimierung in der Google-Suche bei Anfragen zu „IOTA Seed“ an prominenter Stelle im Suchergebnis auftauchte. Diese Webseite richtete sich an unerfahrene Benutzer von Kryptowährungen, die einen einfachen Weg suchten, die zufällige Zeichenfolge für den 81-stelligen privaten Schlüssel (Seed) für ihre IOTA-Wallet zu erzeugen: Über ein einfaches Online-Formular ließ sich ein vermeintlich sicheres Seed mit wenigen Mausklicks erzeugen

m(

Einmal der normale irrsinn, bitte… facepalm des tages

Die frickelbude ATOS — „global leader in digital transformation“ oder auf deutsch: ein führendes unternehmen für „cloud“, cyber und big fätt däjhta — hat bei einem dieser beliebten BRD-leuchtturmprojekte für lichtallergiker einige ihrer besonders bewährten spezjalexperten drangesetzt, und diesmal einen mit nur selten erlebten kryptografie-sonderkompetenzen für das verkacken in regierungsmaßstäben.

Einem IT-Dienstleister war nämlich aufgefallen, dass der beA-Client nicht den Public Key, sondern den Private Key des von T-Systems signierten Zertifikates verteilte

Hej, aber immerhin hatte man bei den schlüsseln eine schangse von fuffzich prozent, dass man auch den richtigen verteilt. Dann gehts halt auch mal schief… :mrgreen:

m(

Krüpplografie des tages

Wieder mal so ein facepalm, für den man hundert hände brauchte: meikrosoft „outlook“ kann zwar S/MIME-kryptografie und kriegt die auch durchaus korrekt hin, hängt dann aber noch einmal den unverschlüsselten klartext mit an, so dass man sich das verschlüsseln gleich hätte sparen können.

Weia! [via Fefe]

Das hat nur ein bisschen gedauert…

Unter Linux unterstützt LibreOffice 5.4 OpenPGP-Schlüssel, um Dokumente zu signieren

Und windohs-anwender haben eh kein interesse an digitalen signaturen für dokumente. Weia, der kryptokram hirnt immer und man kann viel falsch machen, ich weiß… aber so eine raketenwissenschaft ist es nun auch wieder nicht, fertigen kohd zu benutzen!

Spezjalexperten in enterprise-kwalität bei der „domainfactory GMBH“ m(

Achtung, hier der goldene facepalm des monats, leider mit dem zwitscherchen als primärkwelle:

Tweet von @tryvann: "Registry Expert / Senior Systemadministration" von @DomainFactory fragt nach Private Key um die Zertifikatsausstellung abzuschließen. WTF?!

Auch die weiteren S/M-kommunikazjonsleistungen der spezjalexperten von der „domainfactory GMBH“ — hier auch als bildschirmfoto, damit niemand zum träckenden zwitscherchen rübermuss, das ohne javascript nicht läuft — zeugen nicht gerade von kompetenz und einsicht.

Wer nicht versteht, wo das problem liegt: ein private key heißt so, weil er nicht in fremden besitz kommen darf. Das ist grundlage moderner kryptoverfahren. Den gibt man nicht heraus. An niemanden. Und es ist auch niemals für irgendeine dienstleistung erforderlich.

Wer zur abgabe eines private key auffordert, ist entweder völlig inkompetent oder ein riesengroßes arschloch mit sinistren absichten. Beide möglichkeiten sind übrigens keine empfehlung, kunde bei der „domainfactory GMBH“ zu werden, ganz im gegenteil. Wäre ich dort kunde, würde ich meinen vertrag kündigen, nachdem mir so eine sache auch nur halbwegs gesichert zu ohren gekommen ist, und zwar fristlos, weil jedes vertrauen in den vertragspartner unrettbar zerstört wurde. Das ist keine kleinigkeit, es handelt sich mindestens um nicht vorhandene kernkompetenzen für deren vertragserfüllung oder sogar um einen versuch, material für kriminelle manipulazjonsmöglichkeiten mit irreführenden aussagen zu beschaffen.

Habe ich schon gesagt, dass ich davon abrate, kunde der „domainfactory GMBH“ zu sein.

Gut, dann habe ich ja das wichtigste gesagt.

Innimini des tages

Thomas de Maizière, innimini der BRD, hat wohl nicht so aufgepasst, als ihm mal jemand erklärt hat, was ende-zu-ende-verschlüsselung ist. Das hindert ihn aber nicht daran, seinen mund aufzutun und unternehmen dazu aufzufordern, die verschlüsselte kommunikazjon rauszurücken.

Aber sagt es dem menschen- und menschenrechtsfeind nicht zu laut, sonst fordert der wieder im frühwahlkampf-popolistenmodus ein generelles verbot von kryptografie.

Kryptokalypse des jahres

Ja, ich weiß, dass das jahr noch ein paar wochen hat, aber… benutzt vielleich jemand von euch eine fritzbox, bei der AVM versehentlich einen privaten schlüssel für die signierung der verschlüsselten autentifizierung gegenüber dem proweider „verloren“ hat.

Ein Angreifer kann sich mit dem geheimen AVM-Schlüssel also ein gültiges Zertifikat erstellen, in dem die MAC-Adresse eines beliebigen anderen Kunden steht. Auch die MAC-Adresse des FritzBox-Modems kann er entsprechend ändern. Für den Provider sieht es dann so aus, als würde sich die FritzBox des legitimen Kunden mit dem Kabelnetz verbinden

Wenn so etwas in der vergangenheit bereits geschehen ist — das problem ist schon rd. zwei jahre alt — würde die technische beweisführung als gerichtsfest durchgehen. Einmal ganz von dem schaden abgesehen, den man durch missbrauch des anschlusses anderer menschen sowieso anrichten kann.

Bei AVM ist jetzt jedenfalls das ganz große scheißeschaufeln angesagt, und wer eine fritzbox verwendet (oder als sicherheit rumstehen hat), sollte schon einmal nachschauen, wie er verhindern kann, damit nicht mehr ins netz zu kommen.

Security des tages

Stellt euch mal vor, ihr habt ein kleines funkgerät in der tasche und könnt damit unauffällig einen diabetiker im vorübergehen umbringen, ohne dass jemanden die tat auch nur auffällt (der effekt tritt erst mit zeitlicher verzögerung ein, weil die überdosis insulin nicht direkt in die blutbahn geht)…

Das Problem liege in der unverschlüsselten Funkverbindung zwischen der Insulinpumpe und deren Fernbedienung

Übrigens gibt es auch in der BRD p’litiker, die wirksame verschlüsselung kriminalisieren wollen. Und ganz viele leute, die nix dagegen haben, weil sie nix zu verbergen haben.