Einträge von Kai Raven

Also wirklich. Jetzt ist der Sommer schon fast vorbei und ich hätte beinahe mein alljährliches Sommerhasser-Bild vergessen. Und das angesichts von Überflutungen, Feuerstürmen, der kommenden Hurrikansaison, abbröckelnder Gletscher und immer offener werdenden Seefahrtspassagen. Das darf natürlich nicht sein:

Was haltet Ihr eigentlich von den Diskussionen um Google Street View und den Widersprüchen, die man dagegen einlegen kann?

Ich bin da z. Zt. zwiespältiger Meinung. Mir gefällt der sommerlöchrige Negativ-Hype und die Konzentration auf Google überhaupt nicht. Ich finde, dass es schon einen Unterschied macht, ob ein Heer von Privatpersonen mit ihren Digicams durch die Straßen zieht und Aufnahmen zu privaten Zwecken (wenn auch mit zusätzlicher Zurschaustellung über die Foto- und Videoportale) ohne Profitabsichten oder Data Fusion Aktionen macht oder ein Konzern wie Google, dessen Produkte nicht nur für eigene Interessen auf den Markt kommen, sondern auch von Sicherheitsbehörden genutzt werden.

Aber andererseits - was ist jetzt genau der Unterschied zu Google Earth und ähnlichen satellitengestützten Diensten, die stillschweigend von allen genutzt und akzeptiert werden - doch eigentlich nur die horizontale statt der vertikalen Perspektive. Und was die Perspektive angeht, trifft ein Interesse an Googles Erderschließung auf ein nahezu völliges Desinteresse an der Erderkundung und -aufklärung durch ein immer größer werdendes Kontingent an Überwachungs-Drohnen und -Satelliten der zivilen und militärischen Sicherheitskräfte. Fühlt man seine Privatsphäre dort besser geschützt und aufgehoben?

Und sofern Personen und PKW-Kennzeichen tatsächlich und nicht reversibel unkenntlich, also nicht identifizierbar gemacht werden, Google keine Aufnahmen von privaten "Räumen" oder in private "Räume" hinein für Street View macht und es kein Echtzeit-System ist, in dem man Personen und Fahrzeuge live verfolgen kann, wäre ein Profiling und Tracking schwierig bis unmöglich.

Dann denke ich wiederum an den Versuch der systematischen und gleichzeitigen Erfassung und Kartierung von WLAN-Hotspots oder dem vermuteten Interesse Googles, Google Earth mittels Nahaufnahmen per Quadrocopter-Drohnen in die "Tiefe des Raumes" aufzurüsten (beides lässt sich auch kombinieren), um mal einen militärischen Begriff zu verwenden.

Das steht eigentlich nur für ein paar von vielen Layern, die sich zukünftig zusätzlich zu den bekannten "Ansichten" über Google Earth, Street View und Maps legen könnten. Denkt man diese Layer mit Geolokalisierungs- und Identifizierungs-Funktionen in bald allen technischen "Beacons", die man am oder irgendwann im Leib bei sich trägt, dem Drang, die komplette Realwelt per Ubiquitous Computing und Augmented Reality mit virtuellen Layern zu überlagen bzw. zu erschließen oder den gleichen Drang zur Datenverarbeitung und -visualisierung in Echtzeit mit Googles Street View zusammen und weiter, dann kommt man irgendwann woanders hin. Zu einer Verschmelzung aller Google Erderfassungssysteme, in der Bilder, Aufnahmen und Daten dynamisch, fast "lebendig" generiert und dargestellt werden, in denen jedes sich darin bewegende oder befindliche Objekt von einem sematischen Web an Zusatzinformationen, Querverweisen und Ursprüngen umgeben ist. Und zu den Objekten könnten dann auch ich mit meinen Arbeits- und Lebensorten zählen.

Vorbeugend und als Signal doch Widerspruch gegen Street View einlegen?

Ich bin gewiss kein Freund des Bürgerportal / De-Mail Konzepts, aber warum u. a. über die Frankfurter Rundschau das Fass "Elektronischer Kuvertwechsel" aufgemacht wird, entzieht sich etwas meinem Verständnis. Besonders, wenn man sich ein paar der Technischen Richtlinien zur De-Mail beim BSI durchliest und sich ein paar Gedanken über Transport und Ende-zu-Ende Verschlüsselung macht.

Was in dem Artikel thematisiert wird, ist die bloße Transportverschlüsselung bei der De-Mail. Also der Vorgang: De-Mail Kunde sendet Mail an seinen Bürgerportal-Diensteanbieter (BPDA) mittels der De-Mail Webapplikation und dem öffentlichen Zertifikat seines BPDA. Der entschlüsselt dann natürlich die nur an ihn verschlüsselte De-Mail, weil man beim BP / De-Mail Konzept den BPDA des Absenders gerne die De-Mails des Absenders auf Malware und Spaminhalte prüfen lassen möchte. Danach verschlüsselt der BPDA des Absenders die De-Mail wieder mit seinem und dem öffentlichen Zertifikat des BPDA des Empfängers, und sendet sie weiter an den BPDA des Empfängers, der natürlich die nur an ihn verschlüsselte De-Mail wieder entschlüsselt, weil der u. a. auch noch einmal auf Malware prüfen soll und der Empfänger nichts mit einer De-Mail anfangen könnte, die weiter mit dem Zertifikat seines BPDA verschlüsselt bliebe.

Etwas anderes findet auch nicht bei der herkömmlichen E-mail bzw. weniger statt, wo ich als Absender die E-Mails per TLS zur Transportverschlüsselung beim Mailserver meines Mail-Provider abliefere - der sie auch entschlüsselt. Von da könnte die Mail auch mit Transportverschlüsselung weiter an den Mailserver des Empfängers gesendet werden, wird sie aber meistens nicht. Der Mail-Provider des jeweiligen Empfängers kann wie bei den BPDAs E-Mails auf Spam und Malware prüfen - erzwungen oder auf Wunsch des Kunden.

Egal ob es nun die herkömmliche E-Mail ist oder die De-Mail sein muss: Wichtig ist - wie immer - die zusätzliche "Ende-zu-Ende" Verschlüsselung. Wollte man das bei der De-Mail mit dem BPDA des Empfängers als anderem "Ende", müsste man halt auf die Malware und Spamprüfungen verzichten, ich hätte das öffentliche Zertifikat des Empfänger BPDAs, mit dem ich direkt verschlüssele und den Ciphertext zusätzlich per Transportverschlüsselung an meinen BPDA sende. Aber eigentlich macht man das per OpenPGP oder Zertifikaten mit dem öffentlichen Schlüssel des Empfängers und danach erfolgt die zusätzliche Transportverschlüsselung.

Bei der De-Mail macht man das halt zukünftig mit seinem tollen RFID-Biometrie ePA und den darin gespeicherten Zertifikaten. Klar, man könnte den Inhalt des Editors auch mit OpenPGP verschlüsseln und signieren. Aber OpenPGP ist ja fies und schwierig.

Bei jedem Verfahren ohne zusätzliche und richtige Ende-zu-Ende Verschlüsselung zwischen Absender - Empfänger können sich unberechtigte Zugriffe auf den Inhalt, "Sicherheitslücken" und "geöffnete Kuverts" ergeben, ob das nun E-Mail oder De-Mail ist. Und deshalb sieht das ja das Bürgerportal / De-Mail Konzept auch vor. Eigentlich wird darüber ständig in den Richtlinien "gepredigt". Zum Beispiel in der TR – BP Postfach- und Versanddienst Funktionalitätspezifikation: Klar, mit "SAK" oder OpenPGP Ende-zu-Ende Verschlüsselung gibt's auch keine Malware- und Spam-Prüfung, weil die BPDAs nicht entschlüsseln können (sollten). Wird aber auch in den BSI TRs erwähnt. Also ich halte diese Kritik an der De-Mail gelinde gesagt für eine mit Schaum geschlagene Sau, die man jetzt gut durch die Sommerlöcher in Gazetten und Blogs treiben kann.

"Stopp-Schild" nach Machart der türkischen Regierung, als ich gerade nach YouTube via Tor wollte und wohl über einen türkischen Tor Exit Node stolperte, mit Hinweis zur "Internet-Hotline" des türkischen Ministeriums für Telekommunikation, über die man alle Websites petzen soll, die irgendwie nach Zitat "Provocation for committing suicide, Sexual exploitation of children, To ease the usage of drugs, Supplying drugs which are dangerous for health, Obscenity, Prostitution, To provide place and opportunity for online gambling, Crimes mentioned in the Law on Crimes Against Atatürk numbered 5816" ausschauen. U. a. Heise hatte dazu vor kurzem in OSZE kritisiert türkische Internetzensur und der Index on Censorship in Free speech: Turkey versus Google berichtet.

Das letztgenannte Gesetz ist übrigens ein ähnlich unsägliches Zensur-Gesetz zur Unterbindung von Kritik und Meinungsfreiheit, indem man den Schutz des Staatsgründers Atatürk vor Verunglimpfung vorschiebt, wie zum Beispiel die Gesetze gegen "Majestätsbeleididigung" in Thailand. Etwas gibt es ja immer, um Internet & Web "durchzuregulieren".

Ne, wenn ich so etwas sehe, würde ich auch sagen, die Türkei ist noch nocht reif für die Europäische Union, wenn es nicht in allen Mitgliedsstaaten und ausgehend von der EU-Kommission gleichartige Bestrebungen und praktische Durchführungen zur Zensur geben würde.

P. S.: ExludeExitNodes {tr} in torrc.

Siehe auch auf der Zensur Unterseite im AnonWiki:
Türkei
Thailand

Da wir es in den beiden Beiträgen Mit MACH-10 in den Orbit und in den Krieg und Maschinen für den schnellen globalen Kriegseinsatz bereits mit der beschleunigten Kriegsführung per Ramjet / Scramjet Hyperschall-Antrieben für die Realisierung der schlagartigen Global Strike Angriffswünsche des US-Militärs zu tun hatten, an dieser Stelle der Hinweis auf ein weiteres, von der US Air Force als "historisch" bezeichnetes Ereignis, das am 26. Mai 2010 über dem Point Mugu Naval Air Warfare Center Sea Range Testgebiet im Pazifischen Ozean stattfand.

Wie die Wright-Patterson Air Force Basis in ihrer Pressemeldung X-51 Waverider makes historic hypersonic flight mitteilte, wurde gestern mit einem B-52 Stratofortress Bomber die experimentelle X-51A Waverider Testrakete in einer Höhe von 50000 Fuß über dem Testgebiet ausgeklinkt. Danach beschleunigte ein taktischer Raketen-Booster der Army die X-51A Waverider zunächst auf eine Geschwindigkeit von Mach 4,8. Nach Abkoppelung des Boosters wurde der Scramjet Antrieb aktiviert, der von dem Unternehmen Pratt & Whitney Rocketdyne (klingt auch ein wenig nach Cyberdyne Systems, gell?) gebaut wurde. Weitere Beteiligte am Bau und der Konstruktion der X-51A sind die DARPA, die Skunkworks Abteilung für experimentelle Fluggeräte bei Boeing und das Air Force Research Laboratory.


Der Scramjet Antrieb und beschleunigte die X-51A für weitere 200 Sekunden. Dabei erhöhte sich die Geschwindigkeit der X-51A noch einmal auf Mach 5. Zum Vergleich: Die Spitzen-Geschwindigkeit der SR-71 Blackbird von Lockheed lag bei ca. Mach 3, ein Marschflugkörper wie die deutsch-spanische Taurus Cruise Missile erreicht maximal Mach 0,95, die Hellfire Raketen Mach 1,7.

Eigentlich war laut der Ankündigung des Testflugs eine Dauer von 5 Minuten bei einer Spitzengeschwindigkeit von Mach 6 geplant, aber wegen einer "Antriebs-Anomalie" wurde der Flug nach 200 Sekunden abgebrochen. Im Vergleich zu den 10 - 16 Sekunden bei Mach 7 der X-43A Testrakete im Jahr 2004 (s. Links oben) aber ein weiterer Hüpfer vorwärts. Zumal auch dieser Testflug der Gewinnung von Daten über die Flugeigenschaften, das verwendete Material und die Stabilität des Flugkörpers für weitere Experimente diente.

Das sich nicht nur das US-Miltär für den Scramjet interessiert, u. a. als neuer Antrieb für zukünftige Mittel- und Langstreckenrakete, für die Abwehr-Raketen ihrer "Schutzschirme" gegen Langstrecken- bzw. Interkontinental-Raketen, für unbemannte Killer-Drohnen oder gar für Truppen-Transporter, wurde ja bereits andernorts erwähnt. Spätestens in ein, zwei Jahrzehnten soll es was werden mit dem Scramjet, was ja passend wäre, wenn bis dahin global überall die Hütte brennt.

Wer sich Videos anschauen will: Bei DVIDS gibt es ein Video zu den Vorbereitungen, dem Start mit dem B-52 Bomber und dem Testflug der X-51A. Interessant ist auch der Artikel Hypersonic Cruise Missile: America's New Global Strike Weapon von Noah Shachtman bei Popular Mechanics.

Das Ares Weblog der Aviation Week berichtete im Beitrag Hypersonic BrahMos Missile Ready for Testing by 2015 über die BrahMos Überschall-Marschflugkörper, einem russisch-indischen Gemeinschaftsprojekt, das laut der Aussage des BrahMos Aerospace CEO im Ares Beitrag eine Hyperschall-Version des Raketensystems in der Planung hat. Testbeginn wie gesagt ab 2015.

Schick sieht sie ja aus, die Features stimmen und auf Hardware im "Secure All–Terrain Shock–proof rugged design", um ein paar der Attribute zur Vermarktung der externen LaCie Rugged Safe Festplatte zu nennen, stehe ich eh.


Aber was ist das für ein Blödsinn, zwar eine Verschlüsselung per AES-128 (es kann auch a bisserl mehr sein) und Chip anzubieten, zu der LaCie natürlich wie so viele Hersteller auch verspricht, dass sie "unbrechbar" implementiert sei, aber in die Festplatte einen Fingerabdruck-Sensor einzubauen. Macht man das nur deshalb, weil es mittlerweile üblich, möglich und von den Kosten her annehmbar ist, überall biometrische Verfahren und Techniken für die Authentifizierung und Entschlüsselung zu verbauen?

Großartig beworben wird das Produkt mit der Möglichkeit, neben der Eingabe eines Passworts ganz einfach mit dem Scannen und Abgleich eines einzelnen Fingerabdrucks Zugriff auf die zuvor verschlüsselten Daten zu erhalten. Das wird natürlich Sicherheitsbehörden freuen, wenn sie die LaCie Festplatte beschlagnahmen und nur noch einen Finger des Besitzers auf den Sensor halten müssen, anstatt den Versuch zu starten, das Passwort aus dem Besitzer herauszupressen. Und damit es dabei keine Ausfälle gibt, kann sich der Besitzer der Festplatte auch alle zehn Fingerabdrücke einscannen - prima.

Das gilt natürlich auch für Diebe, wenn die Besitzer und Festplatte zugleich "abgreifen" können und für beide Interessenten der verschlüsselten Daten gilt, dass es ja auch noch die Möglichkeit gibt, sich mit nachgebildeten Fingerabdrücken an dem Sensor zu versuchen, von dem es in dem User Manual auf die FAQ "What is the probability that a fingerprint from an unauthorized user can unlock the Rugged Safe?" nur die beschwörende Antwort gibt: "Such an event is nearly impossible due to the biometry technology. Each human has his own biological identity, including unique fingerprints, thus making unauthorized entry all but unthinkable. To provide further assurance, LaCie has selected a sensor known for its precision." Wer's glaubt, wird seelig.

Was ich noch verstehen und mir vorstellen könnte, wäre eine 2-Wege Authentifizierung/Entschlüsselung, also Fingerabdruck plus zwingendem Passwort.


Oder noch besser: Wenn in externen Festplatten ein USB-/SmartCard Reader integriert wäre, mit dem ich meinen OpenPGP CryptoStick der German Privacy Foundation und dessen PIN zur Authentifizierung/Entschlüsselung nutzen könnte. Das wäre doch mal was, liebe Hersteller externer Festplatten Bis dahin bleibe ich lieber bei TrueCrypt und dm-crypt/LUKS verschlüsselten Partitionen.

Der beliebte und bekannte Scroogle Proxy Dienst hat aktuell Probleme mit Google, wie zu lesen ist, wenn man Scroogle aufruft bzw. eine Suchanfrage absetzt: Da Scroogle immer ganz praktisch bei der Nutzung von Tor war, um den lästigen "We're sorry" Meldungen und Captcha Anfragen zu entgehen, muss schnell ein temporärer Ersatz her: Entweder man nimmt Ixquick oder man sucht sich bei Mycroft einen anderen Ersatz und kann dann dort direkt das passende Search Engine Plugin in Firefox installieren.

Mit zwei Anonymouse oder auch dem "Ninja" Plugin klappt das ganz gut. Und da eh alle Suchanfragen bei mir per Privoxy und Tor gefiltert und anonymisiert an den Suchdienst rausgehen... Aber mir wäre lieber, wenn das Scroogle wieder geregelt bekommt Nur wenn man einen Suchdienst erwischt, den Google selbst als "Gefährder" einstuft oder der Suchdienst die IP des Tor Exit Node an Google weiterreicht, kann man wieder schlechte Karten bei Google haben.

Update: Mal wieder viel Geschrei um nix, laut Scroogle scrapes back to life kann wieder gescroogelt werden

Siehe auch:
Heise - EU-Datenschützer fordern echte Anonymisierung von Suchanfragen (27.05.2010)

Der FoeBuD e. V. ruft alle Arbeitnehmer, die direkt vom ELENA Verfahren betroffen sind, dazu auf, sich bis 25.03.2010 an der Mitzeichnung der Verfassungsbeschwerde gegen ELENA zu beteiligen, die am 31.03.2010 beim Bundesverfassungsgericht in Karlsruhe eingereicht wird. Welche Daten per ELENA-Verfahren in einem Datenspeicher auf Vorrat und auf Abruf für diverse Behörden gespeichert werden, kann man u. a. auf der Seite Informationen zu ELENA erfahren.

Auch wenn man im März 2010 selbst nicht zum Kreis der Betroffenen zählt, weil man z. B. arbeitslos oder Hausmann/Hausfrau ist, sollte man diese Informationen aufnehmen und an entsprechende "Zielgruppen" im eigenen Bekannten-, Freundes- und Verwandtenkreis weitergeben. Irgendwann ist man vielleicht wieder unfreiwilliger Datenlieferant für ELENA oder man ist derjenige, dem die abgerufenen Daten vorgehalten werden, weil man staatliche Transferleistungen in Anspruch nehmen muss oder irgendwelchen Behörden zusätzlich Zugriffs- und Abrufrechte eingeräumt wurden, wenn es nicht die eigenen Kinder sind, die in Zukuft eine Suppe auslöffeln müssen, die ihnen heute informationshungrige und kontrollwütige Politiker eingebrockt haben.

Also beteilige sich wer kann und ansonsten: Verbreitet die Informationen.

Siehe auch:
BITKOM e. V. (natürlich) - BITKOM fordert, an Einführung von "Elena" festzuhalten (19.03.2010)