Sie sind hier: Startseite / Blog

Blog

Alternative Android-Betriebssystem

Ich wurde gefragt, welche Alternative Betriebsysteme für Smartphone ich empfehle. Hier ist eine kurze Zusammenstellung:

Betriebsystem

LineageOS, unterstützte Geräte siehe https://wiki.lineageos.org/devices/

Lineage basiert auf den freien Teilen von Android, ist aber nicht komplett "google-frei": Z.B. wird noch immer Googel kontaktiert, um festzustellen, ob man sich beim WLAN anmelden muss. Aber natürlich braucht man kein Google-Konto.

LineageOS mit microG, unterstütze Geräte siehe https://download.lineage.microg.org/ (sind im Großen und Ganzen die, die LinageOS auch unterstützt)

microG sind diverse Google-Apps ("Play Services") nach programmiert.Dazugehören der "Ortungsservice", "Goolge Cloud Messaging" und die Map API - Ich komme allerdings gut ohne aus.

/e/ (ja, das heißt so), unterstützte Geräte siehe https://download.lineage.microg.org/. Das ist ein LinageOS mit microG, aber angeblich komplett google-frei. Dafür bieten sie eigenen Anwendungen oder Server für die "Komfortfunktionen" wie das synchronisieren von Bilder, Kontakten, etc. Angeblich sit es aber auch einfach, eigene Server dafür zu verwenden. Aber für technisch weniger versierte Personen bieten sie halt an, was Google auch anbietet, aber eben ohne Google.

Hinter /e/ steckt eine französische Stiftung, der Gründer ist schon lange in der Open Source Entwicklung tätig.

Andere Android-Geschwister gibt es einige, z.B. CalyxOS vs. GrapheneOS. Teilweise haben sie sogar noch besser darin, unsere Privatphäre zu schützen. Leider sind sie nur für wenige Geräte verfügbar. Mehr Infos dazu findet sich im Blog von Mike Kuketz.

Gerät

Falls Du Dir eine neues Gerät kaufen willst, empfiehlt sich das Fairphone. Das kannst Du auch gleich mit /e/ bestellen. Du kannst aber auch eines der andere Betriebsysteme einfach selbst installieren.

Du kannst auch "refurbished" Samsung Geräte mit /e/ kaufen. https://esolutions.shop/

21.11.2020 17:11

Kauf keinen Kindle!

Amazon, der Hersteller von Kindle, ist keine vertrauenswürdiger Anbieter: Amazon überwacht Deine Leseverhalten im Detail: Welche Bücher Du kaufst (klar), welche Du liest, ob Du sie fertig liest oder Du aufhörst zu lesen, wann Du liest, welche Seiten Du mehrfach liest, welche Seiten Du länger, welche kürzer liest.

Denn all das gibt Aufschlüsse über Deine Interessen - und damit bist Du die Ware, der Amazon noch mehr verkaufen kann.

Alles harmlos? Dann stell Dir vor, eine deutsche Behörde würde all das über Dich sammeln - oder eine ungarische, polnische, türkische, ägyptische, … (ergänze de Liste um einen repressiven Staat Deiner Wahl).

Wissen ist Macht! Darum: lass Dich nicht überwachen, benutzt keinen Kindle.

09.08.2020 11:48

Why a PKI is barely trustworthy

  • End-point trusts *any* certificate from *any* CA configured
    • fake certificates issues by another CA are a common thread
    • measure "certificate pinning" only standardized for HTTP (HPKP, is now deprecated)
  • Centralized system
    • high demand for confidentiality of CA private keys
    • measure "intermediate certificates" makes system even more complex and more systems demanding high confidentiality
  • Key Revocation cumbersome
    • based on centralized "black list"
    • Certificate Revocation Lists (CRLs) growing *huge* quickly and need to be distributed to each end-point
    • OCSP (Online Certificate Status Protocol) requires online connection and additional services to be available 24/7
    • OSCP is a thread to privacy
  • Key renewal does not revoke old key
    • if the old key is still valid (with in its life-time) and not on the CRL, it can still be used
  • Complex to plan, deploy and run
  • No opportunistic use
    • Can either be enforced or not used at all.
    • Has no notion of "I stared communication encrypted, so I no longer accept unencrypted messages"
    • No TOFU (beside now-deprecated HPKP)
27.04.2020 10:20

Sind Autofabriken "systemrelevant"?

COVID-19 beschränkt unser Grundrechte - aber Konzerne werden nicht eingeschränkt

Durch die CORVID-19-Krise ausgelöst, müssen wir Einschränkung unsere Grundrechte hinnehmen: Bewegungsfreiheit, Reisefreiheit, Versammlungsfreiheit und einige mehr sind "außer Kraft gesetzt". Für kleine Betrieb und Läden sogar das Recht auf freie Berufsausübung.

Bemerkenswert ist aber, dass große Fabriken noch offen haben dürfen, auch wenn deren Produkte nicht zum Erhalt der Gesellschaft notwendig sind. Dort kommen täglich hunderte oder gar tausende Menschen zusammenkommen - eine idealer Ort, um den Virus weiter zu verbreiten.

Anscheinend wird ein "Recht auf Gewinn" - das es nicht gibt - nicht angetastet, aber Grundrechte der Menschen werden beschnitten.

Ein Beispiel ist BMW, die Motorräder und Edelkarossen herstellen - beides unnötig zum Überleben der Gesellschaft. BMW hat alleine im 3. Quartal /2019 1,55 Milliarden Euro Gewinn nach Steuern gemacht. Sie könnten also problemlos die Mitarbeiter und Leiharbeiter bezahlt nach Hause schicken. Denn würde BMW halt mal keinen Gewinn machen.

Stattdessen dürfen die Fabriken weiter produzieren, weiter Gewinn produzieren - und wenn dort CORVID-19 verbreitet wird, dann muss die Gesellschaft die Gesundheitskosten tragen.

Typischer Fall von: Gewinne privatisieren, Verluste sozialisieren.

23.03.2020 08:25

Microsoft, Google, Apple und Co. aus Bildungseinrichtungen verbannen

Mike Kuketz bringt es auf den Punkt - nun gut, eher auf die vielen Punkte ;-)

16.12.2019 11:56

OpenStreetMaps hat Google Maps weit überholt

Steigen Sie um!

Neulich wollte ich einem Freund zeigen, wohin wir fahren müssen. Auf der linken Karte habe ich das Ziel mit einem roten Punkt markiert. Eigentlich ganz einfach: Ungefähr da, die Straße über die Bahnline und direkt daneben ist es. Nun kenne ich mich in der Gegend kaum aus, aber an der Bahnline kann man sich echt einfach orientieren.

Nicht so hier: Denn er hatte auf seinem Handy nur Google Maps (rechte Karte). Können sie erkennen wo das Ziel ist? Ich kaum.

Die linke Karte ist von OpenStreetMap, eine Art Wikipedia für Landkarten. Sie sehen: die Karte ist viel detailierter und vollständiger. Aktueller ist wie zudem auch. Ein paar Beispiele:

Wenn sie also noch immer Google Maps verwenden: steigen Sie um! Außerdem überwacht OpenStreeteMap Sie nicht.

Vergleich eines Kartenausschnitts in einer ländlichen Gegend: links von OpenStreetMap, rechts von Google Maps. Im linken ist ein Zielpunkt markiert, der direkt neben einer Bahnlinie ist. Die gleiche Stelle bei Goolge Maps zu finden, gelingt kaum, da man die Bahnline fast nicht erkennen kann und auch sonst viele Orientierungspunkte wie Gehöfte fehlen. 

18.11.2019 07:30

Finger weg von Kurz-URL-Diensten

Kurz-Links sind beliebt, aber ich rate aus mehreren Gründen davon ab

Just diese Woche gab es an mehreren Stellen in meiner Wolke Diskussionen über Kurz-URL-Dienste.

Kurz-URL-Dienste, wurden mit Twitter beliebt: Dort durften Nachrichten bis 2016 nur 140 Zeichen lang sein. Damit kann man fast keine Links in eine Nachricht packen, ohne an diese Grenze zu stoßen - oder nichts außer dem Link in der Nachricht zu haben.

Link-Verkürzer haben aber mehrere Nachteile:

  1. Man sieht nicht, wohin der Link wirklich zeigt. Zu Google? Zu  Facebook? Zu YouPorn? Auf eine Website, die Viren oder Tronjaner verteilt?
  2. Der Verkürzungs-Dienst ist eine weitere Stelle, die mitbekommt, wer sie wo im Internet bewegt. Wenn der Dienst z.B. Google, Facebook oder Twitter gehört, fügt das dem Überwachungsprofil diese Konzerne weitere Mosaiksteinchen hinzu. Ein gefundenes Fressen für Regierungen in totalitären Staaten.
  3. Der Verkürzungs-Dienst kann die Links manipulieren - aus Lust und Laune, weil er damit Geld verdient, oder weil es dazu gezwungen wird.
  4. Wenn der Verkürzungs-Dienst eingestellt wird, sind alle solche Links tot, auch wenn das Ziel noch existiert

 

Link-Verkürzer braucht man nicht mehr: Beispielsweise werden auf Mastodon (einem verteilten Kurznachrichtendienst im Fediverse) Links immer mit 23 Zeichen gezählt, egal wie lange sie sind. Daher ist es dort gar nicht üblich, Links abzukürzen.

14.09.2019 11:40

Frauenhofer promoted GNUnet - mit heißer Luft

re:claimID wäre ein brauchbarer Ansatz für dezentrales Identitätsmanagement. Leider gibt es bislang nur einen Prototypen.

Als ich die Meldung Re:claimID: Fraunhofer bietet Login-Dienst auf Open-Source-Basis an gesehen habe, habe ich im ersten Moment gedacht: Nach der Totgeburt Volksverschlüsselung kommt das Frauenhofer mit dem nächsten Vaporware-Produkt, das nichts taugt, aber einen coolen Namen hat.

Dazu kommt, das letztes Jahr mehrere Konzerne in Deutschland angekündigt haben, eine eigenen Plattform für das Identitätsmanagement zu bauen. Sie wollen damit Google, und Facebook entgegentreten - und vermutlich selbst die wertvollen Nutzerprofile erstellen.

Ist re:cailimID also auch nur ein weiterer zentraler Ansatz?

Aber siehe an: Hinter re:claimID steckt GNUnet (siehe auch Wikipedia), das ich schon länger beobachte. GNUnet soll später mal die Basis für Pretty Easy Privacy (pEp) bilden und damit dezentrale, anonyme und zensur-resistente Kommunikation ermöglichen. Auch das anonyme Bezahlsystem GNU Taler [4] setzte GNUnet ein. Es handelt sich also um durchaus solide Kryptotechnik.

Und tatsächlich gibt es im GNUnet-Blog zwei Beiträge, die genau das Prinzip von re:claimID beschreiben (die zugehörigen wissenschafltichen Veröffentlichungen sind jeweils in den Beiträgen unten verlinkt). Die zweite Veröffentlichung verwendet auch den Namen "reclaimID" und der Hauptautor wird im Heise-Artikel zitiert. Andere im Heise-Artikel-Genannte sind ebenfalls als Autoren aufgeführt.

Das schaut schon mal besser aus, als bei der Volksverschlüsselung, bei der die Grundidee schon unbrauchbar war (siehe meinen Blogbeitrag).

Bei re:claimID schaut es allerdings auch mager aus. Leider!

Ich hätte gerne gewusst, ob und wo ich es schon nutzen kann, was genau "Unterstützung des Standards OpenID Connect" bedeutet, oder was ich

Die Seite vom Frauenhofer zu re:claimID beschreibt nur die Idee, nicht das Konzept. Die beiden o.g. Paper beschreiben im akademischen Stil die Technik. Leider fehlt eine Beschreibung dazwischen: Technisch fundiert, aber leicht verständlich.

Das Frauenhofer verlinkt auch noch auf ein Gitlab-Projekt, dort findet sich aber -- quasi nichts. Es gibt den Quelltext, aber keine Dokumentation, wie man die Puzzlesteine zusammensetzen soll. Es gibt noch nicht einmal sogenannte Tags, mit denen bestimmte Versionsstände gekennzeichnet werden. Es gibt auch keine Software-Release, die sich ein.e End-User.in herunterladen könnte.

Bislang doch nur heiße Luft. Schade, sehr schade!

Bleibt zu hoffen, das Frauenhofer macht noch was daraus. Ich bleibe verhalten optimistisch.

23.01.2019 12:32

Steuerbehörden torpetieren Freie Software

Steuermeldungen sind nur noch mit proprietärer Software möglich

13 Jahre lang konnte man mit Geierlein bzw. Taxbird die Umsatzsteuervoranmeldung mit freier Software abgeben. Das ist nun nicht mehr möglich, weil die Steuerbehörden die Schnittstelle zugemacht haben. Daran sieht man, dass Regierungsaussagen wie "Wir fördern Freie Software" nur leere Versprechungen sind.

Um die Umsatzsteuervoranmeldung abzugeben, benötigt man nun eine proprietäre Software, die die Plausibilität der Daten prüft (Quelle). Nicht nur, dass Nutzer nun eine Software installieren müssen, deren Funktion sie nicht kontrollieren können und der sie blind vertrauen müssen. Viel schlimmer ist, dass die Steuerbehörden damit gegen fundamentale Sicherheitsgrundsätze verstoßen: Ein Server sollte nie, nicht, niemals Daten vertrauen, die eine Client schickt.

Die Plausibilitätsüberprüfung auf Client-Seite darf immer nur eine Zusatzfunktion sein, aber der Server darf sich nicht darauf verlassen. Ein Angreifer könnte die Schnittstelle (inoffiziell) nachprogrammieren und dann ungeprüfte Daten schicken. Daher muss ein Server alle Daten, die er bekommt, prüfen. Immer! Und ich hoffe, das tut er in diesem Fall auch.

Da der Server die Daten prüft, könnte man die Schnittstelle auch offen legen und damit möglich machen, dass Freie Software die Steuermeldung abgibt.

Wenn Ihnen das auch nicht gefällt, dann unterstützen Sie bitte die Aktion "Public Money? Public code" der Free Software Foundation Europe.

03.01.2019 19:44

Petition: Containern ist kein Verbrechen!

"Containern", also weggeworfenes aber noch brauchbares Essen aus den Müllcontainern der Supermärkte holen, gilt heute als Diebstahl. Dagegen ist die Verschwendung von Lebensmitteln straffrei. Diese ...

06.12.2018 12:48