Springe zum Hauptinhalt

Frauenhofer promoted GNUnet - mit heißer Luft

re:claimID wä­re ein brauch­ba­rer An­satz für de­zen­tra­les Iden­ti­täts­ma­na­ge­ment. Lei­der gibt es bis­lang nur einen Pro­to­ty­pen.

/images/2019/gnunet-small-logo.png

Als ich die Mel­dung Re:claimI­D: Fraun­ho­fer bie­tet Lo­gin­-­Dienst auf Open­-­Sour­ce­-­Ba­sis an ge­se­hen ha­be, ha­be ich im ers­ten Mo­ment ge­dacht: Nach der Tot­ge­burt Volks­ver­schlüs­se­lung kommt das Frau­en­ho­fer mit dem nächs­ten Va­por­wa­re­-­Pro­duk­t, das nichts taug­t, aber einen coo­len Na­men hat.

Da­zu komm­t, das letz­tes Jahr meh­re­re Kon­zer­ne in Deut­sch­land an­ge­kün­digt ha­ben, ei­ne ei­ge­nen Platt­form für das Iden­ti­täts­ma­na­ge­ment zu bau­en. Sie wol­len da­mit Goo­gle, und Fa­ce­book ent­ge­gen­tre­ten - und ver­mut­lich selbst die wert­vol­len Nut­zer­pro­fi­le er­stel­len.

Ist re:­cai­limID al­so auch nur ein wei­te­rer zen­tra­ler An­satz?

Aber sie­he an: Hin­ter re:claimID steckt GNU­net (sie­he auch Wi­ki­pe­dia), das ich schon län­ger be­ob­ach­te. GNU­net soll spä­ter mal die Ba­sis für Pret­ty Ea­sy Pri­va­cy (pEp) bil­den und da­mit de­zen­tra­le, an­ony­me und zen­sur­-­re­sis­ten­te Kom­mu­ni­ka­ti­on er­mög­li­chen. Auch das an­ony­me Be­zahl­sys­tem GNU Ta­ler [4] setz­te GNU­net ein. Es han­delt sich al­so um durch­aus so­li­de Kryp­to­tech­ni­k.

Und tat­säch­lich gibt es im GNU­net­-­Blog zwei Bei­trä­ge, die ge­nau das Prin­zip von re:claimID be­schrei­ben (die zu­ge­hö­ri­gen wis­sen­schafl­ti­chen Ver­öf­fent­li­chun­gen sind je­weils in den Bei­trä­gen un­ten ver­link­t). Die zwei­te Ver­öf­fent­li­chung ver­wen­det auch den Na­men "re­claimI­D" und der Haupt­au­tor wird im Hei­se­-­Ar­ti­kel zi­tier­t. An­de­re im Hei­se­-­Ar­ti­kel­-­Ge­nann­te sind eben­falls als Au­to­ren auf­ge­führ­t.

Das schaut schon mal bes­ser aus, als bei der Volks­ver­schlüs­se­lung, bei der die Grun­d­i­dee schon un­brauch­bar war (sie­he mei­nen Blog­bei­trag).

Bei re:claimID schaut es al­ler­dings auch ma­ger aus. Lei­der!

Ich hät­te ger­ne ge­wuss­t, ob und wo ich es schon nut­zen kann, was ge­nau "Un­ter­stüt­zung des Stan­dards Ope­nID Connec­t" be­deu­tet, oder was ich

Die Sei­te vom Frau­en­ho­fer zu re:claimID be­schreibt nur die Ide­e, nicht das Kon­zep­t. Die bei­den o.g. Pa­per be­schrei­ben im aka­de­mi­schen Stil die Tech­ni­k. Lei­der fehlt ei­ne Be­schrei­bung da­zwi­schen: Tech­nisch fun­dier­t, aber leicht ver­ständ­lich.

Das Frau­en­ho­fer ver­linkt auch noch auf ein Git­lab­-­Pro­jekt, dort fin­det sich aber -- qua­si nichts. Es gibt den Quell­tex­t, aber kei­ne Do­ku­men­ta­ti­o­n, wie man die Puzz­le­stei­ne zu­sam­men­set­zen soll. Es gibt noch nicht ein­mal so­ge­nann­te Tags, mit de­nen be­stimm­te Ver­si­ons­s­tän­de ge­kenn­zeich­net wer­den. Es gibt auch kei­ne Soft­wa­re­-­Re­le­a­se, die sich ein.e En­d­-­U­ser.in her­un­ter­la­den könn­te.

Bis­lang doch nur hei­ße Luft. Scha­de, sehr scha­de!

Bleibt zu hof­fen, das Frau­en­ho­fer macht noch was dar­aus. Ich blei­be ver­hal­ten op­ti­mis­tisch.

Steuerbehörden torpetieren Freie Software

Steu­er­mel­dun­gen sind nur noch mit pro­pri­e­tä­rer Soft­ware mög­lich

/images/2019/geierlein.png

13 Jah­re lang konn­te man mit Gei­er­lein bzw. Tax­bird die Um­satz­steu­er­vor­an­mel­dung mit frei­er Soft­ware ab­ge­ben. Das ist nun nicht mehr mög­lich, weil die Steu­er­be­hör­den die Schnitt­stel­le zu­ge­macht ha­ben. Dar­an sieht man, dass Re­gie­rungs­aus­sa­gen wie "Wir för­dern Freie Soft­wa­re" nur lee­re Ver­spre­chun­gen sin­d.

Um die Um­satz­steu­er­vor­an­mel­dung ab­zu­ge­ben, be­nö­tigt man nun ei­ne pro­pri­e­tä­re Soft­wa­re, die die Plau­si­bi­li­tät der Da­ten prüft (Quel­le). Nicht nur, dass Nut­zer nun ei­ne Soft­ware in­stal­lie­ren müs­sen, de­ren Funk­ti­on sie nicht kon­trol­lie­ren kön­nen und der sie blind ver­trau­en müs­sen. Viel schlim­mer ist, dass die Steu­er­be­hör­den da­mit ge­gen fun­da­men­ta­le Si­cher­heits­grund­sät­ze ver­sto­ßen: Ein Ser­ver soll­te nie, nicht, nie­mals Da­ten ver­trau­en, die ei­ne Cli­ent schick­t.

Die Plau­si­bi­li­täts­über­prü­fung auf Cli­ent­-­Sei­te darf im­mer nur ei­ne Zu­satz­funk­ti­on sein, aber der Ser­ver darf sich nicht dar­auf ver­las­sen. Ein An­grei­fer könn­te die Schnitt­stel­le (i­n­of­fi­zi­ell) nach­pro­gram­mie­ren und dann un­ge­prüf­te Da­ten schi­cken. Da­her muss ein Ser­ver al­le Da­ten, die er be­komm­t, prü­fen. Im­mer! Und ich hof­fe, das tut er in die­sem Fall auch.

Da der Ser­ver die Da­ten prüft, könn­te man die Schnitt­stel­le auch of­fen le­gen und da­mit mög­lich ma­chen, dass Freie Soft­ware die Steu­er­mel­dung ab­gib­t.

Wenn Ih­nen das auch nicht ge­fäll­t, dann un­ter­stüt­zen Sie bit­te die Ak­ti­on "Pu­blic Mo­ney? Pu­blic co­de" der Free Soft­ware Foun­da­ti­o­n ­Eu­ro­pe.

Petition: Containern ist kein Verbrechen!

"Con­tai­nern", al­so weg­ge­wor­fe­nes aber noch brauch­ba­res Es­sen aus den Müll­con­tai­nern der Su­per­märk­te ho­len, gilt heu­te als Dieb­stahl. Da­ge­gen ist die Ver­schwen­dung von Le­bens­mit­teln straf­frei. Die­se Pe­ti­ti­on möch­te das in Zei­ten der Kli­ma­e­r­wär­mung und zu­neh­men­der Res­sour­cen­knapp­heit än­dern.

"Con­tai­nern", al­so weg­ge­wor­fe­nes aber noch brauch­ba­res Es­sen aus den Müll­con­tai­nern der Su­per­märk­te ho­len, gilt heu­te als Dieb­stahl. Da­ge­gen ist die Ver­schwen­dung von Le­bens­mit­teln straf­frei. Die­se Pe­ti­ti­on möch­te das in Zei­ten der Kli­ma­e­r­wär­mung und zu­neh­men­der Res­sour­cen­knapp­heit än­dern.

UR­L: htt­ps://we­ac­t.­cam­pac­t.­de/­pe­ti­ti­ons­/­con­tai­nern­-­ist­-k­ein­-­ver­bre­chen­-1

Really Verifying LineageOS Build Authenticity

Re­-­e­sta­blish the chain of trust af­ter the way to ve­rify pu­blic builds has chan­ged

LineageOS Logo (Quelle: Wikipedia)

The Li­nea­ge team has chan­ged the way they sign the pu­blic builds. Un­for­tu­na­te­ly this change is not yet well com­mu­ni­ca­te­d: The "Ve­rify­ing Build Au­then­ti­ci­ty" wi­ki pa­ge as of to­day on­ly de­s­cri­bes the old me­tho­d. Well, af­ter some "start­pa­ging" (how I call sea­r­ching the in­ter­net) I found a patch and a pull­-­re­quest de­s­cri­bing the new me­tho­d.

For­mer­ly the Ja­va­-­ba­sed "key­tool" was use­d, which prints out some checks­ums the user has to com­pa­re her/him­sel­f. The new tool is Py­thon­-­ba­sed and just says "ve­ri­fied suc­cess­ful­ly".

Whi­le this user­-­fri­end­ly, it lea­ves open how to ve­rify the pro­vi­ded pu­blic key? How to build a chain of trust from the checks­ums pu­blis­hed on the wi­ki to the pu­blic key in­clu­ded in the­new tool­'­sa­r­chi­ve? Here is how­-­to.

The ba­sic idea is to ex­tract the pu­blic key from an in­stal­la­ti­on ar­chi­ve we could ve­rify using the old me­thod and check if the pu­blic key in the new tool­'s ar­chi­ve mat­ches the one used in the old in­stal­la­ti­on ar­chi­ve.

In de­tail:

  1. Dow­n­load and ve­rify an­in­­sta­l­la­ti­on­a­r­chi­­ve using the old me­tho­d, e.g. li­­nea­­ge­­-­­14.1­­-­­20180803­­-­­­night­­ly­­-­­i9100­­-­­­si­g­­ne­d.­­zip

  2. Get the checksums from https://wiki.lineageos.org/verifying-builds.html respective commit 8dca5e117efc77be9bfcfeb39c6f69c1dce041ed (which as far as I can tell was the very first commit of this wiki-page and thus shall be our trust anchor). Define shell-variables to have them at hand:
    SHA1=9B:6D:F9:06:2A:1A:76:E6:E0:07:B1:1F:C2:EF:CB:EF:4B:32:F2:23
    SHA256=51:83:25:EF:7F:96:C0:D1:19:4C:2E:85:6B:04:0D:63:61:66:FF:B8:46:71:7D:72:FA:87:F4:FA:E5:BE:7B:BB

    You may want to pick the va­lues from the afo­re­men­ti­o­ned links so you don­'t need to trust me.

  3. Extract the X.509 certificate from the installation archive
    unzip -j lineage-14.1-20180803-nightly-i9100-signed.zip META-INF/com/android/otacert
  4. This will ex­tract the cer­ti­­fi­­ca­te ota­­cert in­­to the cur­rent di­rec­to­ry (un­­zip -j means: junk paths).

  5. Manually verify the fingerprints using different methods
    echo $SHA1 | tr -d ':' ; \
    openssl x509 -fingerprint -noout -in otacert | sed 's/.*=//' | tr -d ':' ; \
    openssl x509 -outform DER -in otacert | sha1sum --binary | tr '[:lower:]' '[:upper:]'
    
    echo $SHA256 | tr -d ':'  ; \
    openssl x509 -outform DER -in otacert | sha256sum --binary | tr '[:lower:]' '[:upper:]'

    Li­ne 1 will print the SHA1 check­-­sum pi­cked from the wi­ki with co­lons re­mo­ve­d. It­'s ea­ser to re­mo­ve the co­lons then in­ser­ting them in li­ne 3. Li­ne 2 will print the SHA1 check­-­sum using opens­sl x509 -fin­ger­print, again co­lons re­mo­ve­d. This li­ne is ba­si­cal­ly to ve­rify our li­ne 3 is cor­rec­t. And li­ne 3 cal­cu­la­tes the SHA1 check­-­sum using the tool sha1­sum.

    Li­nes 5 and 6 ba­si­cal­ly do the sa­me, just using SHA256 check­-­sums. I did not find a way to ma­ke opens­sl x509 -fin­ger­print use SHA256 check­-­sums. This is why this step is miss­ing here and why I'm using the ex­ter­nal tools at all.

  6. Now we ha­­ve ve­ri­­fied the cer­ti­­fi­­ca­te wi­thin the in­­­sta­l­la­ti­on ar­chi­­ve is the cor­rect one. Fi­­ne.

  7. Ex­tract the pu­blic key from the cer­ti­fi­cate and con­vert in­to for­mat used by the pu­blic key pro­vi­ded in the new tool­'s ar­chi­ve:

    openssl x509 -in otacert -noout -pubkey | openssl rsa -pubin -RSAPublicKey_out > otacert.pub
  8. Check if the two files are the sa­me

    diff otacert.pub lineageos_pubkey && echo okay
  9. q.e.d.

For re­fe­rence, here is the ota­cer­t.­pub fi­le:

-----BEGIN RSA PUBLIC KEY-----
MIIBCgKCAQEApk3T4fhCA4/wP2e46b8JUw/CkTy1PjZUx47CDbyLHnETYoylq8CG
BWDLRCwbUfmLbc5eWcSQN/J/ZPSK7wSQq5kQbwgHohMOGos6rNg05lbwhUtgJne2
bAB7FMLQwo0NxhNB3mSNh521mp554SiIcxo7scYftY9yWsBx3hK2EJPezFaFrCR0
zuLPIvDkS/IIQQ2RxdH2CqeUVUiCK611anDg/hfIPzXl+lm+TdK0RgSPm0IzIYb/
CqR+05whDen9mBxVcZ7I8wyqxEFcIWBfE/V9Ds3waCxITpRWdI3r6A4vLgsc9H+5
XZL/9Gc+FvY3gfOyx81LkEBBq+td+FBZmQIDAQAB
-----END RSA PUBLIC KEY-----

Appell gegen Polizeigesetze und innere Aufrüstung

Die deut­sche In­nen­po­li­tik legt mit ei­ner un­ver­hält­nis­mä­ßi­gen Auf­rüs­tung der Exe­ku­ti­ve und mit Über­wa­chungs­ge­set­zen der de­mo­kra­tisch er­strit­ten Frei­heit, Si­cher­heit und den Bür­ger­rech­ten schwe­re Ket­ten an. Die Un­ter­zeich­nen­den die­ses Ap­pells for­dern grü­ne, li­be­ra­le und so­zi­al­de­mo­kra­ti­sche Ab­ge­ord­ne­te im Deut­schen Bun­des­tag und den deut­schen Land­ta­gen auf: Hö­ren Sie auf die Ap­pel­le und War­nun­gen der Bür­ger­rechts­be­we­gung und der Bür­ger­rechts­flü­gel ih­rer Par­tei­en! Deut­sch­land braucht Frei­heits- statt Über­wa­chungs­ge­set­ze!

Die deut­sche In­nen­po­li­tik legt mit ei­ner un­ver­hält­nis­mä­ßi­gen Auf­rüs­tung der Exe­ku­ti­ve und mit Über­wa­chungs­ge­set­zen der de­mo­kra­tisch er­strit­ten Frei­heit, Si­cher­heit und den Bür­ger­rech­ten schwe­re Ket­ten an. Die Un­ter­zeich­nen­den die­ses Ap­pells for­dern grü­ne, li­be­ra­le und so­zi­al­de­mo­kra­ti­sche Ab­ge­ord­ne­te im Deut­schen Bun­des­tag und den deut­schen Land­ta­gen auf: Hö­ren Sie auf die Ap­pel­le und War­nun­gen der Bür­ger­rechts­be­we­gung und der Bür­ger­rechts­flü­gel ih­rer Par­tei­en! Deut­sch­land braucht Frei­heits- statt Über­wa­chungs­ge­set­ze!

UR­L: htt­ps://ak­ti­o­n.­di­gi­tal­cou­ra­ge.­de/­po­li­zei­staat­-­ver­hin­dern

E-mails weiterhin verschlüsseln!

S/­MI­ME und PGP sind nicht ge­bro­chen

EFail-Symbolbild (CC-0)

Mit­te Mai ver­öf­fent­lich­te ei­ne Grup­pe deut­scher Wis­sen­schaft­ler ei­ne War­nung vor neu ent­deck­ten Pro­ble­men mit ver­schlüs­sel­ter E-­Mail. Dies Ver­öf­fent­li­chung führ­te zu Aus­sa­gen, wie "E­-­mails nicht mehr ver­schlüs­seln".

Ich bit­te dar­um, die Falsch­mel­dung nicht wei­ter zu ver­brei­ten - auch wenn sie von der re­nom­mier­ten Elec­tro­nic Fron­tier Foun­da­ti­on los­ge­tre­ten wur­de.

Die bei­den zu­grun­de­lie­gen­den Ver­fah­ren S/­MI­ME und PGP sind nicht ge­bro­chen. Le­dig­lich nut­zen et­li­che Mail­pro­gram­me die­se Tech­ni­ken falsch, so dass An­grei­fer mit ziem­li­chen Auf­wand an den In­halt ver­schlüs­sel­ter Mails kom­men kön­nen. Da­zu ist aber ein ak­ti­ver An­griff nö­tig!

Der Rat ist noch im­mer: E-­mails ver­schlüs­seln. Dann oh­ne Ver­schlüs­se­lung kann je­der den In­halt der Mails le­sen, im and­ren Fall nur der An­grei­fer - wenn er denn an­greift.

Abhilfe ist zudem leicht:
a) keine externen Inhalte in Mails nachladen
b) neue Version des Mailprogramm verwenden

Mehr hier­zu un­ter htt­ps://­di­gi­tal­cou­ra­ge.­de/2018/05/21/e­-­mail­-­ver­schlu­es­se­lung­-­un­d­-­si­cher­heits­ni­hi­lis­mus

„Kamera-Safari“ durch die Münchner Innenstadt

am 21. April 2018, 14 Uhr im JI­Z, Send­lin­ger Str. 7 (In­nen­hof)

"Mutig warf sich die kleine Kamera zwischen den Täter und das Opfer."
Es gibt immer weniger öffentliche Orte, an denen man sich bewegen kann, ohne dabei von öffentlichen und privaten Überwachungskameras aufgezeichnet zu werden. Viele Überwachungskameras sind rechtswidrig angebracht, doch das fällt selten auf, Strafen gibt es keine. So mehren die vielen Kameras in der Öffentlichkeit das Gefühl, permanent unter Beobachtung zu stehen. Dies ist eine Einschränkung unserer Freiheitsrechte - denn wer beobachtet wird, ist nicht frei.
Die Digitalcourage Ortsgruppe München veranstaltet am Samstag, den 21. April um 14 Uhr eine „Kamera-Safari“ durch Münchner Innenstadt. Um 14 Uhr startet der Spaziergang am JIZ. Ab ca. 16:00 Uhr wollen wir dort gemeinsam die ermittelten Videokameras kartieren und in OpenStreetMap einpflegen. Ziel ist es, das Ausmaß der Videoüberwachung und ggf. rechtswidrig angebrachte Kameras zu dokumentieren.
Bitte Digitalkamera oder Handy, mit denen man Fotos machen kann, mitbringen, damit wir die Kameras besser dokumentieren können.
Alle, denen außerhalb des Spazierganggebietes Kameras auffallen, können die Standorte und ein Dokumentations-Foto gerne mitbringen, um die Kameras zu kartieren.

Gemeinsam die Gala zur Verleihung der der BigBrotherAwards gucken

20. April 2018, 18 Uhr im JI­Z, Send­lin­ger Str. 7 (In­nen­hof), Mün­chen

/images/2018/bba.jpg

Die Big­Bro­therA­wards (B­BAs) 2018 wer­den am 20. April 2018 im Stadt­the­a­ter Bie­le­feld ver­lie­hen. Span­nen­d, un­ter­halt­s­am und gut ver­ständ­lich wer­den die ‚Os­cars für Über­wa­chung' (Le Mon­de) an die größ­ten Da­ten­sün­der des letz­ten Jah­res ver­ge­ben. Ei­ne Ju­ry aus pro­mi­nen­ten Bür­ger­recht­lern ver­leiht jähr­lich die­sen Da­ten­schutz­-­Ne­ga­tiv­preis an Fir­men, Or­ga­ni­sa­ti­o­nen und Po­li­ti­ker.

Für al­le Münch­ne­rin­nen und Münch­ner, die we­der den wei­ten Weg nach Bie­le­feld auf sich neh­men wol­len, noch al­lei­ne auf der Couch schau­en möch­ten, bie­tet die Di­gi­tal­cou­ra­ge Orts­grup­pe Mün­chen ein Li­ve­-­Stre­a­ming der BBAs im JIZ an. Seid da­bei!

Ab 17:45 Uhr geht es los, die Über­tra­gung star­tet um 18 Uhr.

Eilt: Petition auf WeAct gegen VDS *jetzt* unterschreiben

Vor­rats­da­ten­spei­che­rung wird heu­te ver­han­del­t!

Hal­lo lie­be Leu­te,

der AK Vor­rat hat auf We­Act (der Pe­di­ti­ons­plat­form von Cam­pac­t) einen Pe­ti­ti­on ge­gen die Vor­rats­da­ten­spei­che­rung ge­st­ar­tet:

htt­ps://we­ac­t.­cam­pac­t.­de/­pe­ti­ti­ons­/­weg­-­mit­-­dem­-­ge­setz­-­zur­-­vor­rats­da­ten­spei­che­rung

Jetzt gleich un­ter­zeich­nen und Link be­kannt ma­chen denn wie wir eben er­fah­ren ha­ben, ver­han­deln heu­te die Be­richt­er­stat­ter der Par­tei­en die The­men In­nen­,Jus­tiz und Rechts­s­taat. Ganz vor­ne auf der Agen­da wie­der die VDS.

Dan­ke!

Public Money – Public Code

War­um wird durch Steu­er­gel­der fi­nan­zier­te Soft­ware nicht als Freie Soft­ware ver­öf­fent­licht? Wir wol­len recht­li­che Grund­la­gen, die es er­for­dern, dass mit öf­fent­li­chen Gel­dern für öf­fent­li­che Ver­wal­tun­gen ent­wi­ckel­te Soft­ware un­ter ei­ner Frei­e­-­Soft­wa­re- und Open­-­Sour­ce Li­zenz ver­öf­fent­licht wird. Wenn es sich um öf­fent­li­che Gel­der han­del­t, soll­te auch der Code öf­fent­lich sein! Von al­len be­zahl­ter Code soll­te für al­le ver­füg­bar sein!

War­um wird durch Steu­er­gel­der fi­nan­zier­te Soft­ware nicht als Freie Soft­ware ver­öf­fent­licht?

Wir wol­len recht­li­che Grund­la­gen, die es er­for­dern, dass mit öf­fent­li­chen Gel­dern für öf­fent­li­che Ver­wal­tun­gen ent­wi­ckel­te Soft­ware un­ter ei­ner Frei­e­-­Soft­wa­re- und Open­-­Sour­ce Li­zenz ver­öf­fent­licht wird. Wenn es sich um öf­fent­li­che Gel­der han­del­t, soll­te auch der Code öf­fent­lich sein!

Von al­len be­zahl­ter Code soll­te für al­le ver­füg­bar sein!

UR­L: htt­ps://­pu­blic­co­de.eu/­de/

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de