Skip to content

TLS-Bingo -- Wer bietet mehr?

Ich hatte heute den verwegenen Plan und wollte die Webseite des sächsischen Landtages per HTTPS aufrufen. Der Browser stoppte mich und zeigte eine schöne Fehlermeldung:

Edas
Fehlermeldung zum Zertifikat von edas.landtag.sachsen.de

Also dem Zertifikat traut der Browser nicht. Außerdem fehlen dem weitere Bestandteile. Das Zertifikat ist eigentlich für eine andere Domain und schon längst abgelaufen.

Hier frage ich mich, ob jemand schon mal eine Liste von Zertifikatsfehlern gesehen hat, die länger ist, als die obige. :-)

Kryptografie mit Barbie

Das wunderbare Projekt »Chaos macht Schule« des CCC versucht, Medienkompetenz und Technikverständnis von Kindern und Jugendlichen zu fördern. Verschlüsselung gehört mit in diesen Bereich und Bruce Schneier wies kürzlich auf ein Gerät hin, das in jedes Kinderzimmer gehört. ;-)

Von Mattel gibt es eine Schreibmaschine für Kinder, die eine einfache Verschlüsselung beherrscht. Das Modell E-118 wird von der slowenischen Firma Mehano hergestellt. Mittels der Tastenkombination Shift-Lock und 1, 2, 3 oder 4 wird die Verschlüsselung aktiviert. Die Nachricht kann dann über die Tastatur eingegeben werden und die Maschine druckt den Geheimtext aus. Die Schreibmaschine führt dabei eine einfache Ersetzung (Substitution) aus. Aber für einen Einstieg in die Welt der geheimen Kommunikation ist das sicher sehr gut.

Neue Wege, um den Tor Browser herunterzuladen

GetTor-LogoVor kurzem war ich zu Vorträgen bei der Stoyschule in Jena eingeladen. Dabei ging es zumeist um Datenschutz und Überwachung. Unter anderem kam ich dabei auch auf den Tor Browser zu sprechen. Als ich auf die Webseite des Tor-Projekts gehen wollte, scheiterte ich an einem Filter. Seitens jena.de wird ein Webfilter betrieben, der unter anderem die Webseite blockiert und auch TLS-Verbindungen aufbricht (Man-in-the-middle-Angriff). Leider hatte ich keine eigene Kopie des Tor Browser einstecken und wollte auch keine Zeit mit weiteren (eventuell erfolglosen) Versuchen verbringen. Aber seit ein paar Tagen gibt es mehr Möglichkeiten, an eine Kopie der Software zu kommen.

Das Tor-Projekt erklärte heute in einem Blogbeitrag, welche neuen Wege existieren. Die Grundlage hierfür ist das Projekt GetTor. Dort sollen alternative Methoden entwickelt werden und die Ergebnisse sind:

  • Twitter: Schickt eine Direktnachricht (DM) an den Account @get_tor. Anfangs reicht es help zu schicken und der Bot schickt euch Anleitungen zurück. Derzeit könnt ihr den Namen des Betriebssystems (windows,linux,osx oder android) oder das Wort mirrors zu schicken. Ihr bekommt dann Downloadlinks zu verschiedenen Seiten oder eine Liste von alternativen Downloadseiten (Mirrors) zurück.
  • XMPP/Jabber: Das XMPP-Konto get_tor@riseup.net nimmt ebenfalls die obigen Anweisungen entgegen.

Falls ihr also Probleme habt, an die Software zu kommen, so nutzt die obigen Wege oder sucht einen funktionierenden Mirror. Viel Spaß beim sicheren und anonymen Surfen! ;-)

Kryptografie auf einem Schwert

Was hat der Text NDXOXCHWDRGHDXORVI zu bedeuten? Diese Frage stellt das British Museum sich und der Allgemeinheit.

Ein etwa 700 Jahre altes Schwert wird derzeit ausgestellt. Auf der Klinge findet sich die obige Inschrift. Laut der Webseite des Museums vermutet man, dass es die Initialen einer religiösen Handlung darstellt. So steht die Abkürzung ND für Nostrum Dominus (unser Herr) und das X könnte für Christus stehen.

Das Museum ist an weiteren Deutungen sehr interessiert. Wenn ihr etwas wisst oder ahnt, wendet euch an das Museum.

via Ancient Origins: Medieval Sword contains Cryptic Code. British Library appeals for help to crack it.

Noch jemand ohne TLS1.2?

In meinem Beitrag zur sicheren Einstellung von SSL/TLS im Browser fragte ich, ob ihr Seiten bemerkt, die nicht mit TLS 1.1 oder 1.2 funktionieren. In den Kommentaren und bei Twitter meldeten sich einige. Irgendwann entschied ich, eine eigene Webseite hierfür anzulegen. Die Seite SSL/TLS im Browser dokumentiert Seiten, die nur TLS in der Version 1.0 oder schlechter anbieten. Beim Testen fielen mir sogar einige Seiten auf, die auf das komplett unsichere SSL 2 setzen.

Weitere Seiten könnt ihr mir gern melden. Ich habe ein Pad angelegt. Wenn dort ein neuer Domainname auftaucht, teste ich den und nehme den mit in die Seite auf. Git-Nutzer können die Datei SSL-TLS.org bei Github editieren und mir einen Pull-Request schicken.

Die Daten sollen natürlich nicht ungenutzt liegen. Ich möchte in einem zweiten Schritt die Betreiber der Webseiten anschreiben und diese bitten, auf neuere Protokollversionen zu aktualisieren. Hier würde ich mich über eure Hilfe freuen. Bitte schreibt eure Textvorschläge ins Pad. So können wir gemeinsam ein Schreiben entwickeln und das dann in die Welt schicken. Hoffentlich erreichen wir dadurch eine kleine Verbesserung beim Schutz unserer Daten.

Cypherpunks reloaded

Mehr als zwanzig Jahre ist es nun her, als sich eine Gruppe von Leuten auf einer Mailingliste »traf«. Die Cypherpunks diskutierten in den folgenden Jahren Kryptografie, Anonymität und andere Techniken zum Schutz der Privatsphäre. Letztlich ist über verschiedene Ecken auch Bitcoin ein Produkt der Cypherpunks-Zeit. Allerdings diskutierten die Teilnehmer nicht nur, sondern viel wichtiger, sie programmierten. Ein Spruch aus den Zeiten lautet: »Cypherpunks write code.«

Nun fand ich eine E-Mail in meiner Inbox, die das erneute Aufleben der Mailingliste ankündigte. Und prompt trudelten hier einige E-Mails ein. Wer also an den Themen Kryptografie, Politik und Privatsphäre interessiert ist, kann sich dort eintragen. Allerdings kamen früher recht viele E-Mails über die Liste und auch in den letzten Tagen erhielt ich recht viele Nachrichten. Ihr solltet also mit eurem E-Mail-Client gut filtern. :-)

Ich bin gespannt, ob die Liste neuen Drive gewinnt. Immerhin habe ich durch die Diskussion der letzten Tage ein paar Zufallszahlenerzeuger für den Rechner kennengelernt und habe nun was zum Testen.

ACM Turing Award für Goldwasser und Micali

Die beiden Kryptografen Shafrira »Shafi« Goldwasser und Silvio Micali erhalten den ACM Turing Award. Das ist so eine Art Nobelpreis in der Informatik. Goldwasser und Micali sind vermutlich nur Insidern bekannt. Sie lieferten allerdings wesentliche Beiträge zur Kryptografie. Die Begriffe der Semantic Security und Ununterscheidbarkeit eines Algorithmus’ vom Zufall gehen auf die Forscher zurück. Sie legten damit die Grundlagen für eine Formalisierung des Wissenschaftszweiges. Ich gratuliere beiden Wissenschaftlern für die Auszeichnung!

Pressemitteilung der ACM

tweetbackcheck