Security

SHA-1 geknackt

Ben Peter

Bruce Schneier hat in seinem Blog bekannt gegeben dass das Hashverfahren SHA-1 geknackt wurde.

Mehr Informationen gibt es bei heise und auf Bruce Schneiers Webseite

SHA wird als so genannte Hash-Funktion von vielen Applikationen eingesetzt, um die Echtheit von Daten zu best?tigen. Insbesondere viele Verfahren zur digitalen Signatur setzen unter anderem SHA ein. Eine Hash-Funktion erzeugt aus einem Datensatz eine vergleichsweise kurze Zahl, den Hash-Wert, der als eine Art Fingerabdruck benutzt wird. Stimmt der abgespeicherte Hash-Wert des Originals mit dem der vorliegenden Kopie ?berein, sind die Daten gleich beziehungsweise unver?ndert. Gelingt es jedoch, einen zweiten Datensatz zu erstellen, der den gleichen Hash-Wert erzeugt — also den gleichen Fingerabdruck hat — dann ist das Verfahren geknackt. Angreifer k?nnten Daten manipulieren, ohne dass es ?ber den Hash-Wert bemerkt w?rde.

Quelle: heise.online

SHA-1 Broken

SHA-1 has been broken. Not a reduced-round version. Not a simplified version. The real thing.

The research team of Xiaoyun Wang, Yiqun Lisa Yin, and Hongbo Yu (mostly from Shandong University in China) have been quietly circulating a paper announcing their results:

* collisions in the the full SHA-1 in 2**69 hash operations, much less than the brute-force attack of 2**80 operations based on the hash length.

* collisions in SHA-0 in 2**39 operations.

* collisions in 58-round SHA-1 in 2**33 operations.

This attack builds on previous attacks on SHA-0 and SHA-1, and is a major, major cryptanalytic result. It pretty much puts a bullet into SHA-1 as a hash function for digital signatures (although it doesn’t affect applications such as HMAC where collisions aren’t important).

The paper isn’t generally available yet. At this point I can’t tell if the attack is real, but the paper looks good and this is a reputable research team.

More details when I have them.

Quelle: Schneier on Security

Der falsche Schutz vor Lizenzmi?brauch

Ben Peter

Wie schon Andere zuvor, versuchte auch der Entwickler von Pocket Mechanic, seine Software vor unrechtm??igem Gebrauch zu sch?tzen und programmierte in seine neue Version der Software (Version 1.50) eine Routine, die nach einem bestimmten, im Internet kursierenden, Lizenzschl?ssel sucht. Sollte dieser gefunden werden, l?scht die Routine s?mtliche Daten auf dem Ger?t.

?hnliches hat der Entwickler des Liberty Gameboy Emulators schon im Jahre 2000 gemacht und somit den gleichnamigen Wurm Liberty f?r PalmOS erschaffen.

Da jedoch das Schreiben von schadhaftem Code, der Benutzerdaten ohne Einwilligung l?scht, ebenso illegal ist, wie Lizenzmi?brauch, musste der Entwickler diese Routine aus seinem Programm entfernen. Er hat eine neue Version (1.51) zum Download bereit gestellt, die diese Funktion nicht mehr beinhaltet.

Das Programm ist mit $14.45 durchaus erschwinglich und bietet sinnvolle Funktionen, die die Arbeit mit Pocket PCs bereichern. Sollte man also das Programm nutzen wollen, dann einfach kaufen!

Via F-Secure Weblog

Nochmal Fussball WM 2006 und Datenschutz

Ben Peter

Spiegel.online hat erneut einen Artikel zum Thema Datenerhebung zur Fussball WM 2006 ver?ffentlicht, in welchem unser Innenminister eben diese Datenerhebung rechtfertigt.

Ich sehe es weiterhin als kritisch an Daten zu erheben, die meiner Meinung nach, f?r ein Fussballspiel vollig irrelevant sind. Jedoch scheint diese Datensammlung ganz andere Ziele zu verfolgen, von dem monet?ren Aspekt einmal abgesehen.

Dass die Besucherdaten vielleicht trotzdem den Weg in Polizeicomputer nehmen k?nnten, wollte Kautz allerdings nicht ausschlie?en. Sollte eine Straftat zu verhindern oder eine Gefahr f?r die ?ffentliche Sicherheit oder Ordnung abzuwehren sein, k?nnten die vom DFB erhobenen Personendaten der Polizei ?bermittelt werden. Dies erlaube das Bundesdatenschutzgesetz (Paragraf 28 Absatz 3 Ziffer 2). Dar?ber hinaus seien weitere Erhebungsbefugnisse g?ltig, wie Paragraf 163 der Strafprozessordnung und die Gefahrenabwehrvorschriften der L?nderpolizeien.

F?r mich klingt sowas recht eindeutig.

Irgendeine Straftat kann man immer verhindern und die Gefahr f?r die ?ffentliche Sicherheit hat doch einen Namen: Terrorismus.
Fehlt eigentlich nur noch, dass den Fans, kurz vor der WM, beigebracht wird, dass sie eine Speichelprobe f?r einen genetischen Fingerabdruck abzugeben haben. Es k?nnte ja w?hrend der WM eine Straftat geschehen, welche sich auf diesem Weg schneller und unkomplizierter l?sen l?sst. Man stelle sich einfach vor, um wieviel gr?sser die Datenbank der Polizei, nach der WM, sein k?nnte, steigert das nicht ebenfalls, in einem grossen Umfang, die M?glichkeit auch nach der WM Straft?ter anhand DNA Analysen zu ?berf?hren, wenn auch nur passiv? Das alles ist m?glich indem jeder auf ein wenig seiner Intimit?t verzichtet, wir sind doch ohnehin schon gl?sern genug, da macht das ja eigentlich gar nichts mehr aus.

Die USA machen uns solche Spielchen doch vor, seit es das Homeland Security B?ro, den Patriot Act und was noch alles, gibt ist doch Vieles soviel besser geworden, warum sollten wir nicht auch auf Datenschutz und Pers?nlichkeitsrechte verzichten, im Zeichen der Sicherheit und Terrorbek?mpfung?

Was die USA vormachen kann ja nicht falsch sein…

WM Ticket Formular unverschl?sselt???

Ben Peter

Seit heute ist sie er?ffnet, die gr?sste Datensammlungslotterie, die Fussballfans bisher gesehen haben.
Da man eine WM im eigenen Land nicht allzu h?ufig erleben wird, dachte ich mir, ich schau mir das Ganze auch einmal an.

Der Schock l?sst nicht lange auf sich warten. Ich starte HIER

Was bekomme ich denn da zu sehen?!

fifa worldcup

Jedem Datensch?tzer stehen die Haare zu Berge, wenn er sieht welche Daten hier gesammelt werden. Der Kaiser Franz hats ja schon gesagt, die Nachfrage an Tickets wird in keinster Weise befriedigt werden k?nnen, aber Millionen Adressen und pers?nliche Daten, wie Kreditkartennummern, Ausweisnummern, Anschriften und Angaben zum Land dem man zujubeln m?chte, werden gesammelt.
Was mit denen passiert will ich gar nicht wissen, zumal ich gar nich gewillt bin meine Daten dort einzugeben, fehlt mir doch die SSL Verschl?sselung, oder habe ich da etwas ?bersehen?

Bitte ?berzeugt mich vom Gegenteil, bitte sagt mir dass nicht Millionen Nutzer des Systems ihre Daten auch noch unverschl?sselt in ein Formular eingeben und senden. Habe ich einfach den dicken Link ?bersehen den ich h?tte nutzen sollen um eine verschl?sselte Eingabemaske zu bekommen?

Update 02.02.2005:

Dem Benutzer wird zwar versprochen dass er bei Absenden eine verschl?sselte Verbindung erh?lt, jedoch lernt der umsichtige Internetbenutzer mittlerweile, dass er seine Daten nur in, von Anfang an, verschl?sselte Formulare einzugeben hat.

Die Kr?nung folgt aber noch, der Benutzer bekommt, bei Absenden seiner Daten, eine Meldung, dass das Zertifikat nicht zum Domainnamen passt. Gl?ckwunsch an das OK f?r diese Leistung, da sammeln sie umfangreich pers?nliche Daten und f?r den Benutzer ist nicht mal 100%ig ersichtlich ob die Daten dann auch bei der Fifa landen.

Domain name mismatch Fifa World Cup

Der DFB und die Planungskomission waren doch so stolz auf ihre WM 2006, mir w?rde so etwas die Stimmung vermiesen.

Was passiert eigentlich mit Leuten wie mir, deren Personalausweis vor Anpfiff abl?uft und somit die Ausweisnummer, die zur Beantragung noch g?ltig war, bis zum Spiel aber verfallen ist?

Wir m?ssen draussen bleiben
Bleibt noch zu hoffen dass die umst?ndliche Umschreibung dann funktioniert, das hat man von personalisierten Karten, sch?nes Fussballdeutschland.

Nun weiss ich auch dass mich die Ballgesichter nicht nett anl?cheln, sondern dreist auslachen.

Fifa Worldcup 2006 Logo

Update: Ausblick: Vergleich Linux/Unix basierte Firewallsysteme

Ben Peter

UPDATE

Wie ihr sicher sehen konntet wurde es mit Januar nichts. Ich habe bisher Reviews zu IPCop/IPFrog, m0n0wall und einen Teil zur Sentry fertig. Also noch ein wenig Geduld 🙂

Original Post:

Ich plane noch im Januar ein Review zu frei verf?gbaren Linux/Unix basierten Firewallsystemen. Mir fehlt nach mehrfacher Suche einfach eine sinnige, praktisch orientierte Gegen?berstellung von freien Firewallsystemen.
Es ist an der Zeit das zu ?ndern!

Dazu brauche ich eure Hilfe!

Ich werde Firewalls, wie IPCop/IPFrog, Smoothwall, m0n0wall, Sentry Firewall

UND …
testen


Hier kommt ihr ins Spiel:

Nennt mir eine frei verf?gbare Firewalldistribution f?r Heimanwender und ich werde diese in die Gegen?berstellung aufnehmen.

Ich m?chte nicht nur die technischen Daten gegen?berstellen, sondern auch Erfahrungen aus dem praktischen Einsatz, denn das ist es doch was interessiert, wenn man auf der Suche nach einer neuen Firewalldistribution ist.

Postet mir eure Vorschl?ge einfach in die Comments.
Schon jetzt vielen Dank f?r eure Hilfe.

Sicherer Start ins Jahr 2005

Ben Peter

Da mit Start des neuen Jahres auch die Mail?berwachung (gem?? Telekommunikations?berwachungsverordnung) in Kraft tritt, m?chte ich hiermit nochmal jeden von euch dazu animieren, euch GPG Keys zu erstellen und eure Kommunikation zu ?berdenken und verschl?sselt zu kommunizieren.

Ich habe ein bebildertes How-to befunden, welches ?bersichtlich und einfach erkl?rt wie man sich einen Key erstellt und wie man mit Thunderbird und Enigmail, unter Windows, verschl?sselte Mails versendet. Das How-to ist auf der Seite von Christoph Becker zu finden: hier

Einen sicheren Start ins neue Jahr w?nsche ich euch!