Monday, June 6. 2005
Altpapier für 1,99 EUR (ich hab mir eine CHIP gekauft)
Kürzlich in einem Zeitschriftenladen hab ich mir gedacht, ich könnt mir ja, nur so zum Spaß, mal eine dieser vielen bunten Computerzeitungen kaufen. Um mal zu sehen, wie schlecht die eigentlich heutzutage sind. Im Normalfall les ich ja garkeine Computerzeitungen, gelegentlich kauf ich mir mal die c't oder das LinuxMagazin.
Nun, meine Wahl fiel auf die CHIP, und zwar die Version ohne CD, die war recht günstig (1,99 EUR). Dafür sind mir zwar die vielen "Vollversionen und Freeware-Programme" entgangen, unter anderem eine Anti-Spyware-Software (ich find's ja immer wieder erstaunlich, was Windows-Anwender alles brauchen), aber das konnte ich gerade noch verkraften (irgendwie schon erstaunlich, dass dieses Vollversionen-Gebrabbel scheinbar immer noch werbewirksam ist, in Zeiten von freier Software wie Firefox oder OpenOffice). Gereizt haben mich Titel wie "Hacken Sie Ihren PC, bevor es andere tun - So finden Sie garantiert alle Sicherheitslücken." (Wahnsinn, hat die CHIP das erste beweisbar sichere Betriebssystem gefunden?) oder auch "Flatrate* für 4,99* EUR/Monat auch in Ihrere Stadt!" (die Sternchen bedeuten, dass da noch was Kleingedrucktes steht, damit niemand auf die Idee kommt, CHIP zu verklagen, weils in seiner Stadt halt noch überhaupt kein DSL gibt).
Ich hatte kurz noch überlegt, eine weitere Zeitung zu kaufen (Titel ist mir entfallen), die mir versprochen hat, "Windows so sicher wie Linux und so komfortabel wie MacOS" zu machen. Aber darauf konnte ich dann gerade noch verzichten.
Nun, die Zeitschrift besteht erstmal zu circa 50% aus Werbung. Interessant ist jedoch: Die restlichen 50% sind eigentlich auch Werbung. Regelmäßige Bildblog-Leser wissen, dass es einen Pressekodex gibt, der besagt, dass Werbeanzeigen von redaktionellen Inhalten getrennt sein sollen. Nun gibt es geradezu dermaßen offensichtlich viele Artikel, die sich wie Werbetexte anhören, außerdem so Perlen wie den auf der Titelseite angekündigten DSL-"Artikel", bei dem es sich komplett nur um eine Werbeanzeige handelt (btw., "Flatrate auch in Ihrer Stadt" gilt bspw. für Murrhardt nicht).
Im Vorwort behauptet Chefredakteur Thomas Pyczak, dass 100% der User durch Phishing verunsichert sind. Eigentlich hat mich Phishing noch nie wirklich gestört, weil irgendwie krieg ich das gebacken, obskure Mails, die meine Kontonummer wollen (ich mach mein Onlinebanking mit Chipkarte + HBCI), zu löschen, auch dass ich mich mit meinen ebay-daten nur bei ebay und nicht bei ebay.superhackingsite.com einlogge, ist mir irgendwie klar. Nebenbei filtert ClamAV sowieso fast alle Phishing-Mails. Aber 100% sind verunsichert. Ich bin wohl ein statistischer Fehler.
Naja, wo machen wir denn weiter? "Opera besser als Firefox"! Hört sich doch gut an.
Also, das is so einer der Artikel, wo ich mich doch schwer gefragt hab, ob für sowas Geld fliest. Ein kommerzielles Produkt wird mit komplett sinnfreien Argumenten gegen ein freies Produkt in den Himmel gelobt. Spannend wär noch die Frage, ob die Vollversion der Anti-Spyware-Software von der Heft-CD auch die Spyware Opera entfernt.
Dass der Unterschied zwischen freier Software und Opera nicht 30 €, sondern eben die freie Software sind, wird ein CHIP-Redakteur vermutlich nie verstehen, also erwähnt man die Worte Open Source oder freie Software am besten garnicht.
Also, wie die darauf kommen: Sie haben eine Feature-Liste, wo sie die Browser (nebst dem IE) vergleichen. Nun hat Opera rein zufällig alle diese Features. Leider ist die Liste falsch: Es wird bspw. behauptet, Firefox hätte keine Mouse Gestures, dafür gibt es aber Extensions.
Interessant ist auch die Interpretation von Sicherheit: So verweisen sie darauf, dass Firefox 5 ungepatchte Sicherheitslücken hat, Opera jedoch keine. Nun macht eine solche Angabe wenig Sinn, wenn nicht in irgendeiner Weise dargestellt wird, was denn diese 5 Sicherheitslücken sind, ob das wirklich "Lücken" sind oder nur Bugs, die unter Umständen Sicherheitsrelevant sind (was ich für warscheinlich halte, aber es ist sowieso sinnfrei, weil sich das ständig ändert). Ein anderer Aspekt dabei ist jedoch auch, dass Firefox einen offen lesbaren Bugtracker hat, der von Opera ist intern.
Naja, irgendwie geht das dann halt so weiter. In einem Artikel über Tiger wird gelobt, dass Apple schon jetzt eine Desktopsuchmaschine bietet und dabei Microsoft voraus ist, aber geflissentlich ignoriert, dass Beagle unter GNOME auch schon einsatzfähig ist.
Die Ankündigung von PGP 9 liest sich vollständig wie ein Werbetext: "Mit einer völlig neuen Architektur will der Hersteller für noch mehr Sicherheit sorgen." Krass. Mehr Sicherheit. Klingt ja toll. (Zu PGP 9 hat RabenHorst was geschrieben)
Irgendwie hatte ich dann keine Lust mehr, mir das weiter anzutun.
Die Anzahl an realen redaktionellen Inhalten hätte man vermutlich auf wenigen DIN A4 Blätter unterbringen können (ein Interview mit dem Manager der Ärzte zum Thema Filesharing war ganz interessant, ein Kommentar zur Vorratsdatenspeicherung vom Deutschen Anwaltsverein, viel mehr war nicht zu finden), die große Masse ist ein Werbeprospekt und ein Haufen Altpapier.
Da diese Verdummungsblättchen anscheinend erfolgreich verkauft werden, wird einem vielleicht etwas klarer, warum so viele Anwender meinen, ein Anti-Viren-Programm sei sinnvoll, eine Personal Firewall ein gutes Konzept und Windows unersetzbar.
Nun, meine Wahl fiel auf die CHIP, und zwar die Version ohne CD, die war recht günstig (1,99 EUR). Dafür sind mir zwar die vielen "Vollversionen und Freeware-Programme" entgangen, unter anderem eine Anti-Spyware-Software (ich find's ja immer wieder erstaunlich, was Windows-Anwender alles brauchen), aber das konnte ich gerade noch verkraften (irgendwie schon erstaunlich, dass dieses Vollversionen-Gebrabbel scheinbar immer noch werbewirksam ist, in Zeiten von freier Software wie Firefox oder OpenOffice). Gereizt haben mich Titel wie "Hacken Sie Ihren PC, bevor es andere tun - So finden Sie garantiert alle Sicherheitslücken." (Wahnsinn, hat die CHIP das erste beweisbar sichere Betriebssystem gefunden?) oder auch "Flatrate* für 4,99* EUR/Monat auch in Ihrere Stadt!" (die Sternchen bedeuten, dass da noch was Kleingedrucktes steht, damit niemand auf die Idee kommt, CHIP zu verklagen, weils in seiner Stadt halt noch überhaupt kein DSL gibt).
Ich hatte kurz noch überlegt, eine weitere Zeitung zu kaufen (Titel ist mir entfallen), die mir versprochen hat, "Windows so sicher wie Linux und so komfortabel wie MacOS" zu machen. Aber darauf konnte ich dann gerade noch verzichten.
Nun, die Zeitschrift besteht erstmal zu circa 50% aus Werbung. Interessant ist jedoch: Die restlichen 50% sind eigentlich auch Werbung. Regelmäßige Bildblog-Leser wissen, dass es einen Pressekodex gibt, der besagt, dass Werbeanzeigen von redaktionellen Inhalten getrennt sein sollen. Nun gibt es geradezu dermaßen offensichtlich viele Artikel, die sich wie Werbetexte anhören, außerdem so Perlen wie den auf der Titelseite angekündigten DSL-"Artikel", bei dem es sich komplett nur um eine Werbeanzeige handelt (btw., "Flatrate auch in Ihrer Stadt" gilt bspw. für Murrhardt nicht).
Im Vorwort behauptet Chefredakteur Thomas Pyczak, dass 100% der User durch Phishing verunsichert sind. Eigentlich hat mich Phishing noch nie wirklich gestört, weil irgendwie krieg ich das gebacken, obskure Mails, die meine Kontonummer wollen (ich mach mein Onlinebanking mit Chipkarte + HBCI), zu löschen, auch dass ich mich mit meinen ebay-daten nur bei ebay und nicht bei ebay.superhackingsite.com einlogge, ist mir irgendwie klar. Nebenbei filtert ClamAV sowieso fast alle Phishing-Mails. Aber 100% sind verunsichert. Ich bin wohl ein statistischer Fehler.
Naja, wo machen wir denn weiter? "Opera besser als Firefox"! Hört sich doch gut an.
Also, das is so einer der Artikel, wo ich mich doch schwer gefragt hab, ob für sowas Geld fliest. Ein kommerzielles Produkt wird mit komplett sinnfreien Argumenten gegen ein freies Produkt in den Himmel gelobt. Spannend wär noch die Frage, ob die Vollversion der Anti-Spyware-Software von der Heft-CD auch die Spyware Opera entfernt.
Dass der Unterschied zwischen freier Software und Opera nicht 30 €, sondern eben die freie Software sind, wird ein CHIP-Redakteur vermutlich nie verstehen, also erwähnt man die Worte Open Source oder freie Software am besten garnicht.
Also, wie die darauf kommen: Sie haben eine Feature-Liste, wo sie die Browser (nebst dem IE) vergleichen. Nun hat Opera rein zufällig alle diese Features. Leider ist die Liste falsch: Es wird bspw. behauptet, Firefox hätte keine Mouse Gestures, dafür gibt es aber Extensions.
Interessant ist auch die Interpretation von Sicherheit: So verweisen sie darauf, dass Firefox 5 ungepatchte Sicherheitslücken hat, Opera jedoch keine. Nun macht eine solche Angabe wenig Sinn, wenn nicht in irgendeiner Weise dargestellt wird, was denn diese 5 Sicherheitslücken sind, ob das wirklich "Lücken" sind oder nur Bugs, die unter Umständen Sicherheitsrelevant sind (was ich für warscheinlich halte, aber es ist sowieso sinnfrei, weil sich das ständig ändert). Ein anderer Aspekt dabei ist jedoch auch, dass Firefox einen offen lesbaren Bugtracker hat, der von Opera ist intern.
Naja, irgendwie geht das dann halt so weiter. In einem Artikel über Tiger wird gelobt, dass Apple schon jetzt eine Desktopsuchmaschine bietet und dabei Microsoft voraus ist, aber geflissentlich ignoriert, dass Beagle unter GNOME auch schon einsatzfähig ist.
Die Ankündigung von PGP 9 liest sich vollständig wie ein Werbetext: "Mit einer völlig neuen Architektur will der Hersteller für noch mehr Sicherheit sorgen." Krass. Mehr Sicherheit. Klingt ja toll. (Zu PGP 9 hat RabenHorst was geschrieben)
Irgendwie hatte ich dann keine Lust mehr, mir das weiter anzutun.
Die Anzahl an realen redaktionellen Inhalten hätte man vermutlich auf wenigen DIN A4 Blätter unterbringen können (ein Interview mit dem Manager der Ärzte zum Thema Filesharing war ganz interessant, ein Kommentar zur Vorratsdatenspeicherung vom Deutschen Anwaltsverein, viel mehr war nicht zu finden), die große Masse ist ein Werbeprospekt und ein Haufen Altpapier.
Da diese Verdummungsblättchen anscheinend erfolgreich verkauft werden, wird einem vielleicht etwas klarer, warum so viele Anwender meinen, ein Anti-Viren-Programm sei sinnvoll, eine Personal Firewall ein gutes Konzept und Windows unersetzbar.
Posted by Hanno Böck
in Copyright, Cryptography, Life, Linux
at
21:08
| Comments (2)
| Trackback (1)
Friday, May 20. 2005
Arrived at GPN 4
I just arrived at the GPN4, an event organized by Entropia, the local group of the chaos computer club in Karlsruhe.The lectures sound very interesting and most are about subjects like Open Source/Free Software, DRM and alternatives, Open Content and Society etc.
If you live nearby Karlsruhe you might consider to join the event for the short term.
Posted by Hanno Böck
in Computer culture, Cryptography, English, Gentoo, Life, Linux, Music, Politics
at
19:16
| Comments (0)
| Trackbacks (0)
Wednesday, February 16. 2005
SHA1 broken - looking for alternatives
After the News about the SHA1 hash-function definitely being broken (see this article from Bruce Schneier for details), I was looking around how to use the alternatives SHA256/SHA512.
While for example GnuPG supports SHA256 out of the box, it's a problem in a lot of situations.
Command line
While the GNU Coreutils have md5sum/sha1sum for the broken, insecure algorithms, they contain no similar tools for SHA256. The hashsum package provides some tools equivalent to the usual md5sum/sha1sum tools.
Another Option is shash, which provides a wide variety of hashing-algorithms, but it's not syntax-compatible to the GNU tools.
Programming library
The above mentioned shash is based on the mhash-library, which supports a wide variety of hashing algorithms.
PHP
While PHP has md5/sha1-functions built-in, there are no such functions for sha256. But it's possible to use the mhash-library if PHP was configured with --with-mhash.
For Gentoo-Users: USE="mhash"
Then you can use mhash(MHASH_SHA256,$s) to get binary hashes. To get hexadecimal encoded hashes (like the md5/sha1-functions do), use bin2hex(mhash(MHASH_SHA256,$s)).
While for example GnuPG supports SHA256 out of the box, it's a problem in a lot of situations.
Command line
While the GNU Coreutils have md5sum/sha1sum for the broken, insecure algorithms, they contain no similar tools for SHA256. The hashsum package provides some tools equivalent to the usual md5sum/sha1sum tools.
Another Option is shash, which provides a wide variety of hashing-algorithms, but it's not syntax-compatible to the GNU tools.
Programming library
The above mentioned shash is based on the mhash-library, which supports a wide variety of hashing algorithms.
PHP
While PHP has md5/sha1-functions built-in, there are no such functions for sha256. But it's possible to use the mhash-library if PHP was configured with --with-mhash.
For Gentoo-Users: USE="mhash"
Then you can use mhash(MHASH_SHA256,$s) to get binary hashes. To get hexadecimal encoded hashes (like the md5/sha1-functions do), use bin2hex(mhash(MHASH_SHA256,$s)).
Posted by Hanno Böck
in Cryptography, English, Gentoo, Linux
at
23:06
| Comments (0)
| Trackback (1)
Thursday, December 30. 2004
21C3 Report
Grad zurück vom jährlichen Kongress des Chaos Computer Clubs, ein bißchen ausgeschlafen (naja, ausschlafen + Kaffee ;-), gibt's hier mal so ne Art Mini-Report.
Wie letztes Jahr schon fand der Kongress im BCC am Alexanderplatz statt, diesmal leider ohne großen Bildschirm im Nebenhaus.
Ein spannendes Vortragsprogramm und natürlich viel zu wenig Zeit, alle zu besuchen, mit allen Bekannten zu quatschen und gleichzeitig alles auf dem Kongress zu sehen (und noch Schlaf gelegentlich nachzuholen).
Einige Vortragshighlights picke ich mal raus, viele, die ich verpasst hab, will ich mir noch als Streams reinziehen.
Im Vortrag über die Urheberrechtsnovelle wurden die ganzen Gruseligkeiten, die der zweite Korb hier mit sich bringt, aufgerollt und für die Fairshare-Kampagne geworben. Überhaupt waren die Aktivisten hier sehr präsent und ham's sogar in die tagesschau geschafft. Ich bin zwar persönlich nicht unbedingt mit allen Zielen dieser Kampagne einverstanden, halte sie aber für einen guten Ansatz, das Thema mal von der anderen Seite ins Gespräch zu bringen.
Im Vortrag über TCPA stellte Rüdiger Weiss in seiner gewohnt witzigen Art (eigentlich hätte der vielleicht Komiker statt Mathematiker werden sollen - wobei, dann hätten wir keine so schönen Vorträge von ihm) den aktuellen Stand dar und erhielt großen Applaus für seine Aussage, dass, nachdem schon viele Jugendliche durch den Konsum verbotener Substanzen sinnlos kriminalisiert werden, nicht das gleiche mit Filesharern gemacht werden sollte.
In zwei Vorträgen über "Quantentheorie für nicht-Physiker" (genau das richtige für mich als Physik-Nebenfach-Student ;-) durfte ich auch noch einiges dazulernen über die Zusammenhänge zwischen Welle-Teilchen-Dualismus, den komischen Mustern hinter Doppelspalten (jaja, eigentlich hatte ich das ja schon im Abi) und vieles mehr.
Am dritten Tag gab's den von mir besonders gespannt erwarteten Vortrag zu MD5, der Referent stellte live einen Angriff gegen das HASH-System von Kazaa vor. Was mir leider gefehlt hat, ist ein Ausblick auf HASH-Funktionen im allgemeinen und wie die ebenfalls bekannten Schwächen in SHA-1 zu bewerten sind.
Zum Abschluss gab's mal wieder Security Nightmares, von OS/2-Bankomaten mit Kommandozeile, rebootende Autos und U-Bahnen, sowie weggekommene Datenbanken des CCCs war für jeden was zum Lachen dabei.
Was etwas unschön war, dass es wie im Vorjahr schon etwas wenig Platz zum Hinsetzen für nicht-Projektleute gab und dass der Rauch in den Gängen, sowie das häufige nichtbeachten der Nichtraucherzonen die Luftqualität doch stark beeinträchtigt hat. Hier wäre vielleicht eine sinnvollere Einteilung (Raucher-Zonen so, dass nicht jeder ständig durch muss) empfehlenswert. Und eine kleine Kritik am Essensangebot, zeitweise war kein vegetarisches Essen verfügbar. Aber das war verschmerzbar, der Alexanderplatz mit reichhaltiger Auswahl war ja nicht weit.
Alles in allem ein lohnender Trip und nächstes Jahr sicher wieder.
(P.S.: so viele Kategorien hab ich beim bloggen noch nie angekreuzt - ein Zeichen, wie vielfältig der Kongress war)
Wie letztes Jahr schon fand der Kongress im BCC am Alexanderplatz statt, diesmal leider ohne großen Bildschirm im Nebenhaus.
Ein spannendes Vortragsprogramm und natürlich viel zu wenig Zeit, alle zu besuchen, mit allen Bekannten zu quatschen und gleichzeitig alles auf dem Kongress zu sehen (und noch Schlaf gelegentlich nachzuholen).
Einige Vortragshighlights picke ich mal raus, viele, die ich verpasst hab, will ich mir noch als Streams reinziehen.
Im Vortrag über die Urheberrechtsnovelle wurden die ganzen Gruseligkeiten, die der zweite Korb hier mit sich bringt, aufgerollt und für die Fairshare-Kampagne geworben. Überhaupt waren die Aktivisten hier sehr präsent und ham's sogar in die tagesschau geschafft. Ich bin zwar persönlich nicht unbedingt mit allen Zielen dieser Kampagne einverstanden, halte sie aber für einen guten Ansatz, das Thema mal von der anderen Seite ins Gespräch zu bringen.
Im Vortrag über TCPA stellte Rüdiger Weiss in seiner gewohnt witzigen Art (eigentlich hätte der vielleicht Komiker statt Mathematiker werden sollen - wobei, dann hätten wir keine so schönen Vorträge von ihm) den aktuellen Stand dar und erhielt großen Applaus für seine Aussage, dass, nachdem schon viele Jugendliche durch den Konsum verbotener Substanzen sinnlos kriminalisiert werden, nicht das gleiche mit Filesharern gemacht werden sollte.
In zwei Vorträgen über "Quantentheorie für nicht-Physiker" (genau das richtige für mich als Physik-Nebenfach-Student ;-) durfte ich auch noch einiges dazulernen über die Zusammenhänge zwischen Welle-Teilchen-Dualismus, den komischen Mustern hinter Doppelspalten (jaja, eigentlich hatte ich das ja schon im Abi) und vieles mehr.
Am dritten Tag gab's den von mir besonders gespannt erwarteten Vortrag zu MD5, der Referent stellte live einen Angriff gegen das HASH-System von Kazaa vor. Was mir leider gefehlt hat, ist ein Ausblick auf HASH-Funktionen im allgemeinen und wie die ebenfalls bekannten Schwächen in SHA-1 zu bewerten sind.
Zum Abschluss gab's mal wieder Security Nightmares, von OS/2-Bankomaten mit Kommandozeile, rebootende Autos und U-Bahnen, sowie weggekommene Datenbanken des CCCs war für jeden was zum Lachen dabei.
Was etwas unschön war, dass es wie im Vorjahr schon etwas wenig Platz zum Hinsetzen für nicht-Projektleute gab und dass der Rauch in den Gängen, sowie das häufige nichtbeachten der Nichtraucherzonen die Luftqualität doch stark beeinträchtigt hat. Hier wäre vielleicht eine sinnvollere Einteilung (Raucher-Zonen so, dass nicht jeder ständig durch muss) empfehlenswert. Und eine kleine Kritik am Essensangebot, zeitweise war kein vegetarisches Essen verfügbar. Aber das war verschmerzbar, der Alexanderplatz mit reichhaltiger Auswahl war ja nicht weit.
Alles in allem ein lohnender Trip und nächstes Jahr sicher wieder.
(P.S.: so viele Kategorien hab ich beim bloggen noch nie angekreuzt - ein Zeichen, wie vielfältig der Kongress war)
Posted by Hanno Böck
in Computer culture, Copyright, Cryptography, Life, Linux, Music, Politics, Science
at
15:35
| Comments (3)
| Trackbacks (0)
Tuesday, October 5. 2004
New GPG/PGP Key
Yesterday I created a new PGP/GPG-Key for secure communication.
The default gnupg keys are 1024 bit DSA (Data Security Algorithm, based on the discrete logarithm problem). According to studies by famous cryptographs like Dan J. Bernstein or Adi Shamir, keys with 1024 bit for public key encryption based on factorisation or the discrete logarithm problem might be unsecure. Large institutions or companies with several millions available might be able to create special hardware to break such keys.
See http://www.cryptolabs.org/rsa/ for details.
You can get my new key, Key-ID --------, here. It is signed with the old one.
Key no longer used, use BBB51E42.
The default gnupg keys are 1024 bit DSA (Data Security Algorithm, based on the discrete logarithm problem). According to studies by famous cryptographs like Dan J. Bernstein or Adi Shamir, keys with 1024 bit for public key encryption based on factorisation or the discrete logarithm problem might be unsecure. Large institutions or companies with several millions available might be able to create special hardware to break such keys.
See http://www.cryptolabs.org/rsa/ for details.
Key no longer used, use BBB51E42.
« previous page
(Page 5 of 5, totaling 65 entries)