Krüpplografie des tages

Die paar menschen, die ihre mäjhl verschlüsseln und den thunderbird benutzen, werden sich sicherlich noch daran erinnern, wie der thunderbird PGP selbst implementiert hat, so dass man seitdem „endlich“ kein addon mehr dafür braucht: es wurde so implementiert, dass selbst sehr erfahrene kompjuternutzer anfangs große probleme hatten, wieder PGP zu nutzen. Oder kurz: es wurde so implemtiert, dass es schwieriger als das addon war.

Gut, so ein verkacker kann mal passieren. Aber es ist schon kein kleiner verkacker mehr, wenn man den menschen im zeitalter der totalüberwachung ihre letzten nischen unbelauschter kommunikazjon wegnimmt. Es soll ja sogar staaten geben, in denen man für manche mitteilungen (zum beispiel persönlicher sexueller vorlieben wie homosexualität) in eine sehr unangenehme lagerhaft kommen kann, bei denen das überleben der haftzeit eher so opzjonal ist. Wenn man nicht gleich enthauptet oder (wie bei unseren „freunden“ aus saudi-arabien) zum besonders kwalvollen verrecken gekreuzigt wird.

Aber dieses kleine benutzerschnittstellenproblem war nicht der einzige verkacker in der PGP-implementazjon des thunderbird:

Die noch recht neue OpenPGP-Implementierung des Mail-Programms Thunderbird speicherte die geheimen Schlüssel im Klartext auf der Festplatte des Benutzers. Das zum Schutz vorgesehene Master-Passwort kam nicht zum Einsatz […] Der Fehler trat auf, wenn eine der Thunderbird-Versionen von 78.8.1 bis 78.10.1 einen geheimen PGP-Schlüssel importierte

Meine fresse! Können wir bitte mal diesen scheiß wieder rausnehmen und zu enigmail zurückkehren! Die thunderbird-entwickler können es einfach nicht. 😦

Ihr sollt alles verschlüsseln…

Let’s Encrypt, hier „vertreten“ durch den Certbot, meldet immer mal wieder für die eine oder andere (Sub-)Domain, daß eine Erneuerung des Zertifikats nicht möglich sei, weil die Bots, die die Challenge überprüfen, in einen Timeout gelaufen seien […] Das Problem löst sich manchmal von selbst, indem Let’s Encrypt dann doch irgendwann nach Tagen oder Wochen die Erneuerung durchführt, als wäre nichts gewesen. Aber manchmal will es gar nicht funktionieren, dann muß man etwas nachhelfen – so wie ich heute bei einer Subdomain, bei der sich der Certbot bereits seit 40 Tagen vergeblich um eine Erneuerung bemühte

Geknackt

Einer der verschlüsselten briefe des zodiac-massenmörders ist jetzt offenbar entschlüsselt. Der entschlüsselte inhalt wirkt im kontext auch völlig plausibel (also total durchgescheppert), und das angewendete verfahren kann auch jemand beim verschlüsseln von hand anwenden. Dieses kryptografische rätsel, das vor allem wegen des geringen textumfangs schwierig war, dürfte damit gelöst sein.

Mein werter mitmensch scheißjornalist!

Statt medienverstärkt-druckerschwarz darüber zu flennen, dass demnächst alle kryptografie irgendwelche hintertüren für staat, geheimdienste, polizei, hackkinder und mafia haben soll [dieser hirnkwirl ist bewusst nicht verlinkt], fang lieber mal an, neben deiner kontaktmäjhladresse einen link auf deinen public key und einen fingerprint für diesen key zu setzen, damit ich dir auch eine GPG-verschlüsselte mäjhl schreiben kann. Nein, wanzäpp ist für mich keine alternative, ich benutze keine wanzofone und keine dienste vom fratzenbuch, du hirni!

Ach, du willst gar nicht verschlüsselt kommunizieren? Dann halt dein stinkendes, dummes, heuchlerisches scheißmaul, du vollidjot! Du wärst mit deinem erbärmlich in den darmwinden der politischen klasse flatternden fähnchen auch in der DDR was geworden, du kompetenzfreies kackfass!

So schade, dass dieses „pressesterben“ so langsam geht…

Immer das gleiche

Auf den Terroranschlag folgt EU-Verschlüsselungsverbot

Im EU-Ministerrat wurde binnen fünf Tagen eine Resolution beschlussfertig gemacht, die Plattformbetreiber wie WhatsApp, Signal und Co. künftig dazu verpflichtet, Generalschlüssel zur Überwachbarkeit von E2E-verschlüsselten Chats und Messages anzulegen

Spätestens jetzt ist es zeit, mit der verschlüsselung jeder nichtöffentlichen kommunikazjon anzufangen. Und nein, nicht in ihrer „nutzerfreundlichen“ form, die sofort in krüpplografie mit hintertüren für geheimdienste umgewandelt werden kann, sondern in richtiger form. Ist auch gar nicht so schwierig, wie euch euer feind, der verlogene, staatsfromme, manipulative scheißjornalist, euch bei jeder gelegenheit zu erzählen versucht…

-----BEGIN PGP MESSAGE-----

hQIMAxQiimOGDJwCARAAvPVgWn4i0jZEGnnH+oCljOBUlFTiEQjBFBIbvrW+rlaM
np61Esv9ura342Pd5Bv50hfdyF6EirhscpsJ8udvssGzsp1ExZXhU43siEU7OvHv
WQ4BTp9EtbIYRmrzaJeZjYy1GpBx1e+wXB89tt8cThFqZwVP9rVpiuwlsdlgI7nS
m47s14PfF3cMUxx4IJol1oj6VwH4MgdPDRifcwLCGT2xj6J7FNNUWn00XbKoNUHl
KIPeLh1lgeMsmt0WkqlsDHeSnbWhdbDCHz1HH/kz2T+a/2Lgo9z6Iv3EjGcZJ3U1
sGXXmgr3/gIV2HN32+C6cNTfqz+srxSZ2RGCXcx768mPsT0HxjPN6fs3gc6sve4U
9lqMkeZrosX/sajt5OMLEtmnfhIggV28pmyHeFbM6GevnSk1twj8TsyAW/SDDWHH
0UEaw4iKvnzPFiv/Ejq+M4cvtG0sOBouZ+N/SyobXS/lhlV54sIqZut7blpQnCn4
TVNU8qSSE6PtDLBeBECnQn/lSibzIwKoW2tQ3DzF/uVXutspRiYWmUV2t234jVql
VE9Nk8MxxM2yngk57GSyXjn1+YWyt1fdnFgErlrajiPOfG9KQn6KZXx0spsg7TDd
OqXOmz880OsmhytfAkt33rBoeQQPfgg6Y3RVXMyUX83/dsk2c3obv3NGvoUXEmDS
WgGzro92T0IZ14PdRabnSDVs1EFBU109FbmMFREJqx2DcinxqJcN6vI/zC7rDaCQ
KISU0G+2XhPGYJYVJsJt0XjQWZeo6830kg70zRDAMhSuye3vy0C0ytoNBw==
=q8Jf
-----END PGP MESSAGE-----

Heise hat da auch einen text anzubieten, ebenso Hadmut Danisch und Fefe natürlich auch. Oh, und natürlich netzpolitik.

Sinnsuchbild des tages

Das Prinzip der „Sicherheit durch Verschlüsselung“ und der „Sicherheit trotz Verschlüsselung“ müsse komplett aufrechterhalten werden, meint die Bundesregierung

Wer in diesem indirekt von heise zitierten gemeinten unserer bummsregierung den sinn findet, möge ihn bitte sofort abgeben. Er wird schmerzlich vermisst.

Warum es keine alternative zur ende-zu-ende-verschlüsselung gibt

Laut einem Urteil des Amtsgerichts Itzehoe muss der E-Mail-Anbieter Tutanota Ermittlern künftig die Möglichkeit einräumen, nach Eingang der Gerichtsanordnung unverschlüsselt auf die E-Mails von Verdächtigen zuzugreifen. Das Hannover Unternehmen war einer erstmaligen Aufforderung vom Oktober 2018 nicht nachgekommen

Also verlasst euch nicht auf irgendwelche zusagen irgendwelcher dritter, dass sie den „weltweit sichersten mäjhldienst“ anbieten, sondern nehmt PGP (das kostet euch keinen cent) und verwendet die mäjhladressen, die ihr verwenden wollt.

💩 GAU des tages: magenta TV 🛑

„Magenta TV“ von den deutschen telekomikern. Da kriegste die hand nicht mehr aus dem gesicht! 🤦

Der ganze zwitscherchen-strang ist eine fundgrube des schrotts, der unfähigkeit und der unternehmerischen kriminalität gegenüber den eigenen kunden. Hier nur die gleißenden goldstückchen für alle, die keinen bock auf einen klick zum zwitscherchen haben:

Tweet von @nurtext von 2:02 nachm. · 4. Nov. 2019 -- Kommen wir zum spannenden Teil, den Zertifikaten: Falls da draußen jemand auf Private Keys von  @Huawei_Germany sitzt und das Kennwort nicht kennt, aber gerne eigene Zertifikate in derren Namen erstellen möchte: Versucht es mal mit: Huawei123 #DieBestenDerBestenDerBestenSir

Diese schmerzen! 💊

Tweet von @nurtext von 2:06 nachm. · 4. Nov. 2019 -- Zertifikate Teil 2: Selbst-signierte Root- und Server-Zertifikate, u.a. für localhost, ausgestellt auf die Telekom und mit höchsten Trust-Level im Schlüsselbund von macOS hinterlegt, gern geschehen - ihre Telekom.

Was zur erekzjon des heilandes am kreuze! Hl. hölle! Das würde ich als kriminellen eingriff in die integrität meines kompjuters betrachten, und ich sehe gute schangsen, dass ein richter das genau so sieht, wenn man ihm ein paar dinge erklärt.

Wenn ihr glotzen wollt, nehmt eine glotze, aber keinen derartigen scheißdreck von der deutschen telekom — die übrigens als früheres staatsunternehmen eine gehörige regierungsnähe haben wird. Vielleicht handelt es sich hier um einen vorsätzlichen, von verfassungsfeinden wie BRD-innenministern und BRD-geheimdiensten „angeforderten“ versuch, künstlich sicherheitslöcher zu schaffen, um MITM-attacken auf TLS-verschlüsselte verbindungen durchführen zu können. Aber wisst ja: wer so etwas für möglich hält, ist ein so genannter „verschwörungsteoretiker“, ganz pfui und vermutlich nazi. Immer schön weiter dran glauben, dass in der scheiß-BRD alles in bester ordnung ist!

An fahrlässigkeit glaube ich jedenfalls nicht. Und irgendwelchen kohd von der deutschen telekom würde ich niemals an einen kompjuter lassen, nachdem ich

ÖPNV-nulltarif des tages

In manchester, großbritannjen, hat der örtliche nahverkehrsbetreiber eine tolle äpp machen lassen, um fahrkarten mit dem händi kaufen zu können — und seinen private key gleich mit reingelegt, damit das auch funkzjoniert, wenn man seine fahrkarte onlein kauft und sie später offlein aktiviert, um seine fahrt zu starten [der link geht auf einen englischsprachigen text]:

Die private keys für RSA, mit denen der QR-kohd signiert wurde, lagen als PEM-dateien im APK.

🤦🤣🔐

Wer interesse daran hat und sich einen torbrauser installieren kann oder wer eine äpp daraus bauen möchte: die gesamte ticket-erzeugungs-ruhtine ist in javascript veröffentlicht. So als p’litische stellungnahme zum derzeit überteuerten, privatisierten nahverkehr… 😉

Und irgendwelchen unternehmen (insbesondere auch banken) wünsche ich auch weiterhin viel spaß dabei, sich schnell eine äpp für diese wischofone von irgendeiner klitsche zusammenstöpseln zu lassen, weil jetzt ja jeder eine äpp für diese wischofone braucht.

Ganz besonderes elektronisches anwaltspostfach des tages

Kryptografie scheint sehr schwierig zu sein, krüpplografie um so einfacher, auch bei den signaturen von ZIP-archiven im besonderen elektronischen anwaltspostfach:

Das beA lädt die Nachricht als ZIP-Datei herunter, begleitet von einer abgesetzten PKCS#7-Signaturdatei (Public-Key Cryptography Standard # 7). Diese Datei ist jedoch fehlerhaft. Prüfprogramme finden darin keinerlei Signatur und die Prüfung auf Echtheit versagt. Dies ist dem ersten Anschein nach bei allen bisher exportierten Nachrichten so […] Prüfen lässt sich nur die Signatur der PDF-Datei, was ohne weiteres gelingt, nicht jedoch die Containersignatur, die eine Echtheit des Exports nachweisen soll

Weia, haben die das verkackt! Und auf elementare funkzjonstests (zum beispiel, ob die signatur funkzjoniert) wurde vollständig verzichtet. 🤦

Hej, anwälte, wo bleibt eigentlich eure klagefreude?! :mrgreen: