world of cryptosteve

Punk, Nerd, Atheist, Skeptiker, Misanthrop, .....

Krebs ist ein Arschloch - hilfst du mir? ?

Ohne Kommentare

Der 38-jährige Claudius Holler ist an Hodenkrebs erkrankt. Als wäre das ohnehin nicht schon schlimm genug, hat er darüber hinaus ein weiteres großes Problem: er nicht ist krankenversichert.

Die Behandlung wird größere Summen Geld verschlingen und auch andere Töpfe wollen noch bedient werden. Was zunächst nach maßlosem Selbstverschulden und einem "Abmelden aus der Solidargemeinschaft" klingt, ist bei genauerer Betrachtung auch die Verkettung unglücklicher Umstände. Dabei ist Claudius vieles, aber sicher kein egoistischer Typ.

Wenn Ihr Zeit und Nerv habt, guckt Euch seinen Hilferuf auf YouTube an:



Nachdem ich gestern der erste war, der sein Video mit "Gefällt mir" markiert hat, hat es sich mittlerweile quer durchs Netz gefressen.

Wer ist Claudius Holler? In aller Kürze:




Weitere aktuelle Berichte:

Geschrieben von cryptosteve | Kommentieren
Translate article to english

31.03.2016 um 10:19:00

Abgelegt in Allgemeines, Internet

IPFire löst die FRITZ!Box 7270v2 ab

Ohne Kommentare

Seit Jahren verrichtet die FRITZ!Box 7270v2 hier treu ihren Dienst. Auf das Gerät selbst kann ich nicht verzichten, weil ich im Consumerbereich bislang keine vergleichbare Telefonanlage gefunden habe. Der netzbasierte Teil der Box geriet in den letzten Wochen und Monaten allerdings vermehrt in die Kritik, als zunehmend Sicherheitslücken auftraten. Zudem ist die Box mittlerweile in einem Alter, in dem ich nicht nur mit technischen Problemen zu kämpfen habe (das integrierte DSL-Modem verweigert in unregelmäßigen Abständen den Dienst), sondern auch die Intervalle für Software-Updates zunehmend größer werden. Klar. AVM ist ein gewinnorientiertes Unternehmen und die Flagschiffe werden zuerst bedient.

Wie durch Zufall kam gerade der Roland des Weges und erzählte von einer Firewalldistribution namens IPFire, die er demnächst mal testen wolle. Ich hatte gerade Urlaub und nichts besseres vor und so war eine Hardwarebestellung schnell zusammen geklickt. Einige Tage später wurden die Einzelteile geliefert und trotz der recht knappen Abmessungen der Komponenten stand die fertige Kiste eine Stunde später vor mir. Die aktuelle Konfiguration könnt ihr übrigens meinem fireinfo.ipfire.org-Profil entnehmen.

Die Installation von IPFire gestaltet sich in einem ncurses-basierten Installer recht zügig. Es ist allerdings von Vorteil, wenn man grundlegende Kenntnisse von Netzwerktopologie hat und schon vorher eine ungefähre Idee hat, wie sein zukünftiges Setup aussehen soll.

So betreibe ich meine IPFire-Box mit vier Zonen, green0 für das interne Netzwerk, blue0 für den WLAN-Accesspoint, orange0 für die DMZ und natürlich red0 für den Internet-Zugang (=DSL-Modem). Durch die Bezeichnung der Devices mit Farbnamen läuft man gerade in der anfänglichen Konfiguration nicht so leicht Gefahr, mit den IPs der Netze und Subnetze durcheinander zu geraten.

Dabei trennt die IPFire-Box die Netze vernünftig auf und verhindert, dass beispielsweise Zugriffe aus der DMZ auf die internen Netze möglich sind. Der exakte Default kann dem IPFire default zone ruleset entnommen werden. IPFire bietet dabei diverse Dienste an, wie z.B. einen dhcp-Server, leicht zu konfigurierenden (auf Wunsch transparenten) Proxy, QoS und vieles mehr. Durch ein Addon-System können die Dienste darüber hinaus erweitert werden. So konnte ich meinen transparenten Proxy reicht einfach um einen Virenschutz via squidclamav erweitern. Da ich das Setup squid + squidclamav bereits manuell auf meinem Heimserver laufen hatte, kann ich nur sagen: das Setup via IPFire ist echt einfach und narrensicher.

Meine alte FRITZ!Box ließ sich zudem glücklicherweise als reiner IP-Client betreiben, sodass diese an orange0 in der DMZ noch immer ihren Dienst versieht und einige der alten WLAN-Geräte mit Netzzugang versorgt.

Der Aufbau meiner Netzwerke hier ist überdies noch deutlich komplizierter, weil auch noch andere Devices wie z.B. mein Freifunk-Router ihren Platz abgekommen haben. All diese Aufgaben erledigt die IPFire-Box aber bislang völlig anstandslos und zur vollen Zufriedenheit.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

02.09.2014 um 08:28:42

Abgelegt in Internet, Linux

Warum Threema für mich trotzdem eine Alternative zu WhatsApp ist

Ohne Kommentare

Nachdem kürzlich bekannt wurde, dass der bekannte Messenger WhatsApp für die unfassbar große Summe von 19 Milliarden Dollar an Facebook geht, keimt die Diskussion um alternative Messenger wieder auf.

Derer gibt es sich reichlich ... schlechte, bessere und auch gute. Einen guten Beitrag über die Alternativen findet ihr z.B. bei netzpolitik.org.

Ich nutze seit längerem den Messenger Threema, der - gemessen an der Verbreitung innerhalb meiner Kontakte, bis dato eher ein Nischendasein fristete. Threema führt derzeit die Liste der Alternativen an und auch auf Twitter gibt es viel zum Hashtag #threema zu lesen. Gleichwohl ist Threema aufgrund seines nicht offen liegenden Quellcodes in der Kritik. Fefe hat eine umfangreiche Kritik zu Threema verfaßt.

Für mich ist Threema trotzdem eine (wenn nicht sogar DIE!) Alternative zu WhatsApp, da:

  • Threema einfach zu installieren und zu handhaben ist,
  • Ende-zu-Ende-Verschlüsselung beherrscht,
  • sehr kostengünstig ist (Android: einmalig(!) 1,60€),
  • der Server in der Schweiz und damit außerhalb der U.S.A. steht,
  • aufgrund des Protokolls, anders als bei OTR keine persistente Verbindung zum Gegenüber benötigt und daher mobilfähig ist,
  • das Gegenüber zum Schlüsselaustausch nicht online sein muss (anders als bei OTR),
  • 99% meiner Kontakte weder in der Lage sind noch Lust dazu haben, einen eigenen Messenger-Server zu betreiben,
  • nicht (und schon gar nicht zwangsläufig) das vollständige Telefonbuch zum Server hochlädt,
  • sich auch außerhalb von google-Play bezahlen läßt,
  • sich via Bitcoin vollständig anonym bezahlen läßt.

Wer aber ganz sicher gehen möchte, setzt sich vielleicht besser gleich einen Alu-Hut auf und verzichtet komplett auf Kommunikationselektronik.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

20.02.2014 um 20:51:45

Abgelegt in Android, Datenschutz, Internet

Spotify Premium - Ein Erfahrungsbericht

Ohne Kommentare

In der Presse habe ich schon oft von Spotify gelesen. Dabei handelt es sich um einen Audio-Streaming-Dienst, der einem Musik sowohl in einer kostenlosen, dafür aber werbeunterstützten, als auch in einer höherwertigen Bezahlvariante liefert.

Nachdem ich die kostenlose 30-Tage-Premium-Test-Variante wochenlang umkreist habe, entschloss ich mich gestern dazu, den Dienst tatsächlich zu testen. Die Angabe von Bezahldaten (z.B. Kreditkartendaten) sind für den 30-Tage-Test notwendig - das man den potentiellen neuen Kunden hier ans Unternehmen binden möchte und an eine längerfristige Bindung denkt, ist offensichtlich. Nachdem ich den Registrierungsprozess durchlaufen hatte, stand mir der Premium-Service auch sofort zur Verfügung.

Nachdem ich jetzt 24 Stunden mit Spotify rumgespielt und den Dienst erkundet habe muss sagen ... ich bin mittelschwer begeistert. Ich höre relativ viel Musik, gerne auch neue Sachen und erkunde gerne neue Bands, Alben und Stilrichtungen. Bislang musste ich dafür vielfach auf YouTube zurückgreifen, was sich jedoch als relativ umständlich erweist.

Mit Spotify kann man sich einfach CDs als Playlist speichern und sie so in einem geeigneten Audioplayer (hier: Clementine mit Spotify-Plugin unter Linux, sowie der originale Spotify-Client unter Android) oder auch im Webplayer direkt auf spotify.com anhören. Wer nicht ausreichend Bandbreite zur Verfügung hat, um die Songs (unterwegs) fortwährend zu streamen, kann einzelne Songs oder ganze Playlists zur Offlinenutzung markieren. Der Client lädt die Songs dann runter, sodass zum späteren Anhören keine Onlineverbindung mehr notwendig ist. Alle bisher getesteten Varianten unterstützten übrigens das Scrobbling an last.fm.

Ähnlich wie bei last.fm bietet auch Spotify eine Funktion an, die einem passend zum eigenen Musikgeschmack neue Bands vorschlägt, sodass man sich nach einigen Stunden Spotify-Nutzung bequem von Band zu Band hangeln und immer wieder neue CDs an seine Clients senden kann.

Nach dieser kurzen Testzeit kann ich also sagen, dass ich mit Spotify für den Moment sehr glücklich bin. Die 10 Euro, die es mich monatlich kosten wird, sind für die extrem große Musikdatenbank nicht zu viel verlangt und ich erspare mir den Kauf von CDs, die sich im Nachhinein als Flop erweisen, weil zwar ein Song richtig gut war, der Rest aber nichtmal im Hintergrund zu ertragen ist. Und sogar CDs in meinem vom Mainstream abweichenden Musikgeschmack (z.B. The Toten Crackhuren im Kofferraum, Turbostaat und siehe auch mein last.fm-Profil) ist in Hülle und Fülle vorhanden.

Und der größte Kritikpunkt an Spotify, nämlich das einem die Musik nicht gehört und wieder weg ist, wenn man den Dienst kündigt oder dieser die Hufe nach oben reißt, ist für mich keiner, weil ich schon jetzt den ganzen Schrank voller CDs habe, die mir zwar gehören, die ich aber trotzdem wohl nie wieder ziehen werde, weil mir die Musik auf den Keks geht und mich nicht (mehr) interessiert.

Einen weiteren (älteren, aber guten) Artikel zum Thema gibt es bei Nils Schneider zum Nachlesen ....

Und in einem letzten Nachsatz sei noch erwähnt, dass Spotify für mich nur ein Mittel ist um neue Künstler zu entdecken. Wenn mir etwas richtig gut gefällt, werde ich mir die CD-Version davon kaufen und sie im Schrank platzieren.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

12.01.2014 um 17:55:52

Abgelegt in Akustisches, Internet, Linux

in the poche - read-it-later-Service selber hosten

Ohne Kommentare

Bislang habe ich keinen read it later-Service gebraucht. Ich habe meine Artikel entweder sofort gelesen, die Browsersitzung bis dahin offen gelassen oder ein Lesezeichen angelegt. Entsprechende Services, wie z.B. Pocket blieben von mir daher vollständig ungenutzt.

Durch einen Beitrag in Caschys Blog bin ich kürzlich jedoch auf poche aufmerksam geworden. Poche ist bislang sicher nicht so vollumfänglich wie Pocket, ist dafür aber OpenSource, deutlicher übersichtlicher und lässt sich problemlos selber hosten. Zudem bleiben die Daten der read-it-later-Historie damit in eigenem Besitz und nicht bei einem weiteren Webdienst.

Zu poche selbst kann im Beitrag von Caschys Blog (Link siehe oben) einiges lesen. Wer Schwierigkeiten mit der (durchaus einfachen) Installation hat, möchte darüber hinaus ggf. einen Blick in Poche das openSource Read it later werfen.

Bei der Installation hatte ich jedoch merkwürdige Schwierigkeiten, die ich heute zu allem Überfluß in Zusammenarbeit mit dem Entwickler nicht mehr nachvollziehen konnte. Da es aber mindestens mindestens einen weiteren User mit dem gleichen Problem gibt, scheint der Fehler aber tatsächlich irgendwo versteckt zu liegen. Wir bleiben da definitiv am Ball.

Übrigens, seit heute ist Poche offiziell in Calibre integriert.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

26.12.2013 um 22:06:33

Abgelegt in Gentoo, Internet, Linux

[WLAN] Werbefilter für Android ohne root

Mit 4 Kommentaren

Ich mag keine Werbung. Sie nervt mich, sie lenkt mich von eigentlichen Inhalten ab und speziell in Apps schreckt es mich ab, wenn ich durch ein versehentliches Klicken auf Werbung aus der App in den Browser gepushed werde. Daher blockiere ich unerwünschte Werbung, wo es nur geht. Das mag man für unsozial halten - wer mit meiner Nutzung Geld generieren will, soll mir die App halt zum Kauf anbieten. Ich bin ein User, der sich bei der Wahl zwischen werbeverseuchter und kostenpflichtiger Angebote immer für die Kostenpflicht entscheiden wird.

Bei Androiden stellt sich im Vergleich zur Computernutzung leider das Problem, dass sich Werbung hier nicht so einfach blockieren lässt. So habe ich meine ersten Androidgeräte grundsätzlich gleich am ersten Tag gerootet und Werbefilter installiert. Von den Gefahren eines Bricks mal abgesehen, nervt das aber zunehmend. Während sich einige Geräte (wie solche der Nexus-Serie) noch ganz passabel rooten lassen, wird bei anderen schon schwieriger und komplizierter. Zudem nimmt die Anzahl ganz unterschiedlicher Devices in unserem Haushalt massiv zu, sodass ich mir da mittlerweile sechs, sieben verschiedene HOWTOs durchlesen muss, um am Ball zu bleiben.

Kurzum: Es gibt Geräte, bei denen ich gerne auf root-Zugriff verzichten würde - nicht nur, weil's umständlich ist, sondern weil damit oft auch die Möglichkeit zu OTA-Updates verloren geht, oder falsche Apps eher Schaden anrichten können.

Um es für die User, die auf der Suche nach einer simplen One-Click-Lösung hier her gekommen sind, gleich vorweg zu nehmen:

Effektive Werbefilter auf dem Androiden direkt ist ohne root nicht möglich. Es gibt ein paar Lösungen, die aber allesamt ihre Schwächen haben. So habe ich beispielsweise in meinen ersten Versuchen allen Traffic durch einen squid-Proxy geroutet. Allen Traffic? Denkste, denn die erweiterten Einstellungen im WLAN-Setup des Androiden beziehen sich trotzdem nur auf die Webbrowser. So ist man beim Surfen zwar einigermaßen werbefrei, in diversen Apps blinkert es aber trotzdem fröhlich vor sich hin.

Die einzig passable Möglichkeit, um Werbung aus dem Androiden rauszuhalten, ist, die zugrunde liegenden Hosts zu blockieren. Hier kommt als Router eine Fritzbox 7270v2 zum Einsatz. Die /etc/hosts ist dabei leider nicht so ohne weiteres abzuändern. Es gibt zwar Möglichkeiten, auf die Fritzbox schreiben zuzugreifen, aber das ist nicht nur umständlich, sondern auch nicht ganz ungefährlich. Ein Fehler im Setup hindert die Box schnell mal am Hochfahren. Den darauf folgenden Reset der kompletten Box würde ich mir gerne ersparen. Zudem soll die hosts-Datei in der Fritzbox aus der Konfiguration zur Laufzeit generiert werden - Änderungen an der /etc/hosts würden damit bei jedem Neustart überschrieben werden.

Bliebe also lediglich, die Kindersicherung der FritzBox zu bemühen und die dortige Blacklist mit passenden Einträgen zum Werbefilter zu füllen. Von der Idee her ist das nicht schlecht und funktioniert in der Praxis auch ganz gut. Aber die Anzahl der möglichen Einträge in der Blacklist sind doch arg begrenzt, sodass dies als umfassender Filter leider überhaupt nicht zu gebrauchen ist.

Das nachfolgende Setup ist also umfangreicher und benötigt neben einem Router mit freier DNS-Wahl auch einen PC, der zum Zeitpunkt des Internet-Zugriffs läuft. Gegeben sind hier neben der FritzBox 7270v2 als Router ein Heimserver basierend auf Gentoo Linux und net-dns/pdnsd als DNS-Proxy. Sicherlich gehts auch mit anderen Betriebssystemen, anderen Rechnern und anderer Software. Als Rechner würde sich statt einem größeren Heimserver beispielsweise ein Raspberry Pi anbieten.

Die Grundidee meines Setups ist folgende: die Clients wenden sich für die Namenauflösung an die FritzBox, diese nutzt als DNS-Server den lokalen Heimserver und hier antwortet ein pdnsd auf Anfragen, nachdem er bestimmte Anfragen - nämlich solche an Werbeserver - negiert.

Der Einfachheit halber versorgen sich meine Clients durchweg via dhcp. Für die Namenauflösung wenden sie sich also alle an die Adresse der FritzBox. Hier trage ich unter den Heimserver als freien DNS-Server ein:


Werbefilter Android ohne root
Einstellungen zum alternativen DNS-Server in der Fritzbox


Der Heimserver läuft unter Gentoo, die Installation und Konfiguration von pdns ist in diesem Artikel im Gentoo-Forum ausführlich beschrieben. Ich weise an dieser Stelle darauf hin, dass die Server der German Privacy Foundation nicht mehr ordnungsgemäß laufen und man daher in der pdnsd-Konfiguration auf andere DNS-Server ausweichen sollte.

Nachdem pdnsd ordnungsgemäß aufgesetzt wurde, fehlen natürlich noch die Einträge für die Werbefilter. Hierzu kann man sich auf pgl.yoyo.org passende Listen für diverse Programme, unter anderem pdnsd, zusammenstellen lassen. Das fertige Snippet sieht dann so aus.

Nachdem das o.g. Filtersnippet zur pdnsd.conf hinzugefügt wurde, muss die Konfiguration neu geladen werden. Damit sollte der Heimserver die Namenauflösung für die FritzBox übernehmen und die Werbeserver aus der Namenauflösung herausfiltern. Alle angeschlossenen Clients sind damit von den in der pdnsd.conf negierten Servern befreit und ungerootete Androiden zeigen fortan keine Werbung mehr an.

Das ganze gilt natürlich nur, solange man sich im heimischen (W)LAN befindet. Für 3G-Verbindungen von unterwegs oder in fremden Drahtlosnetzwerken ist die Variante mit gerooteten Devices nach wie vor erforderlich.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

18.09.2013 um 19:00:00

YaCy - freie-Peer-to-Peer-Suchmaschine

Mit 1 Kommentar

Prism, Tempora & Co haben unbestreibar ihre Vorteile - man wird gezwungen, sein eigenes Handeln im Netz zu überdenken und sieht sich nach Alternativen um (vgl. Prism Break).

Eher durch Zufall bin ich im Zuge dieses Themas über die freie Suchmaschinensoftware YaCy gestolpert. YaCy stellt über die in Java programmierte Kernsoftware eine Peer-to-Peer-basierte Suchmaschine bereit, die diverse Eigenschaften auf sich vereint:

  • dezentral: durch die Verteilung des Indizes via P2P braucht YaCy keinen zentralen Server, sondern läuft auf vielen einzelnen Installationen

  • unzensierbar: durch die dezentrale Speicherung der Daten sind die Suchergebnisse von YaCy quasi nicht zensierbar

  • mehr Datenschutz: Keine Speicherung von Nutzerdaten an zentraler Stelle. Zwar kann keine endgültige Aussage über das Speicherverhalten einzelner Peers getroffen werden, aber spätestens bei einer lokalen Installation ist man sein eigener Admin und entscheidet, welche Daten erhoben werden.

  • Bei Bedarf hohe Suchtreffer: Da man selbst entscheiden kann, welche Seiten gecrawled werden sollen, ist es möglich, Themenbereiche im Suchindex aufzunehmen, die ansonsten eher selten in großen Suchmaschinen auftauchen

Darüber hinaus ist es möglich, YaCy nur auf das eigene System oder auch nur auf das eigene Intranet loszulassen. Hier gibt es mehrere Grundmodelle, für die sich der Admin entscheiden kann:

  • Gemeinschafts-basierte Web Suche: hier ist man Teil des globalen Netzwerks 'freeworld'. Wer seinen YaCy-Node zudem im 'Senior-Mode' (von außen erreichbar) betreibt, kann den Zugang zum YaCy-Netzwerk selbst bereitstellen.

  • Suchportal für Ihre eigene Internetseiten: die YaCy Installation verhält sich unabhängig von den anderen Peers und man kann den Index selber durch Starten von Web-Crawls füllen und definieren. Das kann benutzt werden, um eigene Internetseiten zu durchsuchen oder ein Themen-basiertes Portal aufzubauen.

  • Intranet Indexierung: hiermit kann ein Suchportal für Intranet oder öffentlichen Webseiten, bzw. ein (verteiltes) Dateisystem realisiert werden.

Das klingt soweit richtig gut und ist vom Grundsatz her eine tolle Idee. Zur Installation muss lediglich YaCy heruntergeladen werden, das mit ~40mb Archivgröße relativ mächtig ist. Das bringt allerdings den Vorteil mit sich, dass alles - abgesehen von einer lauffähigen Java-Umgebung - alles mit an Bord ist. So braucht es keinen extra konfigurierten Webserver und keine eigens eingerichtete Datenbank. Stattdessen kann man durch simples Starten von ./startYACY.sh sofort loslegen und Teil des großen Netzwerks werden.

Ein paar Nachteile von YaCy möchte ich an dieser Stelle allerdings nicht verschweigen:

  • YaCy braucht Resourcen: Und zwar massig Resources. Ich dachte zunächst, ich wäre mit meinem kleinen Atom-Heimserver gut aufgestellt. Dieser ist mit einem Atom D525 und 4GB RAM ausgestattet. Aber weit gefehlt. Mein Index umfasst derzeit knapp über vier Millionen Dokumente (Screenshot siehe unten). Ich musste den Durchsatz von YaCy massig runterdrehen, da sich mein kleiner Heimserver sonst gar nicht recht beruhigen konnte. Die Installation läuft derzeit mit einer RAM-Zuweisung von 2,5GB, aber man hört die Kiste förmlich arbeiten.

  • YaCy zieht ordentlich Daten durch Netz: YaCy ist Peer-to-Peer-Software - und die lebt natürlich von regem Datenaustausch. Nichts desto trotz steht schon nach einigen Tagen fest, dass dieses Konzept nichts für eine Telekom-gedrosselte 75GB-Leitung wäre.

  • Java: ob man Java als Vorteil oder als Nachteil sieht, muss jeder für sich selbst entscheiden

Unterm Strich ist YaCy eine tolle Sache. Dieser Blogkommentar ist als Bewertung eines Neuusers zu sehen und zu verstehen. Ich habe mir YaCy im Jahresabstand immer wieder mal angesehen und diesesmal ist das erste mal, dass die Installation länger als ein paar Stunden läuft. Anfänglich habe ich einige Seiten aktiv zum Crawling angestoßen, derzeit empfange ich nur noch Indexteile anderer Peerteilnehmer und aktualisiere den vorhandenen Index. Und meine Installation läuft natürlich weiterhin mit Daten voll. Wie sich das auf Dauer vernünftig handeln lässt, wird sich noch zeigen. Der aktuelle Status meines Peers sieht wie folgt aus:

YaCy Peer-Status


Aus YaCy ist sicherlich noch mehr rauszuholen, wenn man sich tiefer in die recht umfangreichen Einstellungsmöglichkeiten eingearbeitet hat. So suche ich derzeit noch nach Möglichkeiten, bei Forencrawlings nicht auf jeden "Antwort"-Button klicken zu lassen. Glücklicherweise erweist sich die YaCy-Community im Forum als sehr freundlich und hilfsbereit.

Vielleicht schaut ihr Euch YaCy einfach mal an ... alleine der technische Background ist es meiner Ansicht nach wert.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

17.07.2013 um 17:27:36

Abgelegt in Datenschutz, Internet, Linux

crypto? Na klar ...

Ohne Kommentare

Für eine Vielzahl von Geräten und Kommunikationswegen gibt es heute die Möglichkeit, diese kryptographisch zu verschlüsseln. Die häufigste Anwendung dürfte dabei die Verschlüsselung im Webbrowser via https sein. während die (gefühlt) seltenste eMail mit S/MIME ist.

Zunächst einmal sei gesagt, dass Kryptographie ein Recht ist, das nicht überall als selbstverständlich gilt. Als Teil des militärischen Apparats unterliegt Krypto-Software bisweilen starken Exportbestimmungen und auch sie ist oft nicht gern gesehen, nur geduldet oder gar verboten. Eine schöne Übersicht zum Thema halten die Bremer Piraten bereit.

Und eine konsequente Haltung einzunehmen und zu halten, ist anstrengend.

Um Kryptographie im Kommunikationssektor einzusetzen, bedarf es nicht nur einiges an Kenntnis, sondern auch regelmäßigen Aufwands. In Zeiten von Prism und Tempora schießen zwar die Anleitungen zum Verschlüsseln von eMails wie Pilze aus dem Boden, aber die Anleitung bis zum Ende konsequent durchzuarbeiten und die erreichte Verschlüsselung dann auch einzusetzen, scheint für den überwiegenden Großteil doch eine unüberwindbare Hürde zu sein. Warum für das Gros der Internetnutzer eine unverschlüsselte eMail kein Problem darstellt, während sich die Sache bei unverschlossenen Briefen ganz anders darstellen würde, muss jeder für sich selbst beantworten.

Das schwächste Glied einer Verschlüsselung ist - von stümperhafter Implementation mal abgesehen - das Passwort. Der aufwendigste Algorithmus fährt an die Wand, wenn das Passwort zu kurz und/oder schlecht gewählt ist. Und vor allem dort, wo regelmäßige Passworteingabe erforderlich ist, neigt der Mensch aus Bequemlichkeit zum Verzicht oder zur Wahl eines (zu) einfachen Passwortes. Ansonsten gilt hier wieder: eine konsequente Haltung einzunehmen und zu halten, ist anstrengend.

Eine weitere, für mich persönlich wichtige, Sache ist, die privaten Schlüssel selbst zu schützen. D.h., ich verschlüssele nicht nur meine eMails, sondern sorge auch in hohem Maße dafür, dass mir diese privaten Schlüssel nicht verloren gehen und in falsche Hände geraten. Dazu bietet es sich zuerst an, private Schlüssel - soweit möglich - mit einem Passwort zu schützen. D.h., der private Schlüssel kann nur nach Eingabe eines Passwortes genutzt werden. Auch hier bringt das den Nachteil mit sich, dass man keine eMail absenden kann, ohne vorher den privaten Schlüssel mit einem Passwort "aufgeschlossen" zu haben. Agents, die sich das Schlüsselpasswort für eine vordefinierte Zeit merken, erleichtern die Arbeit bei Bedarf für weitere eMails, aber der einmalige Aufwand ist unumgänglich.

Zudem werden die Schlüssel durch Systemverschlüsselung geschützt. Ich habe wenig Hoffnung, so staatlichen Stellen dauerhaft entgehen zu können, da ich den Einbau eines Keyloggers nicht verhindern kann und die Systeme spätestens zur Laufzeit aufgeschlossen und entschlüsselt sind. In der vagen Annahme, für staatliche Stellen wie NSA, BND und Staatsschutz das kleinste aller Lichter, quasi die personifizierte Nullnummer, zu sein, beschränkt sich meine Bemühung hier vor allem auf Diebstahl. Ja, ich habe Angst, das meine Geräte gestohlen werden und wenn der Fall irgendwann mal eintritt, dann kann ich mich in aller Ruhe zurücklehnen, weil ich mir sicher sein kann, dass niemand außer mir an die darauf gespeicherten Daten zugreifen kann. Das gilt sowohl für stationäre Geräte wie meine Workstation, als auch für mobile Geräte wie mein Arbeitsnotebook und mein Smartphone.

Vor allem beim Smartphone gilt wieder: eine konsequente Haltung einzunehmen und zu halten, ist anstrengend. Eine Verschlüsselung ist nämlich nur sinnvoll und möglich, wenn eine PIN-/Passwortsperre eingerichtet wurde. Und die hat das Potential, ganz erheblich zu nerven, wenn man eMails checken, eine Kurznachricht versenden oder nur mal eben irgendwo anrufen möchte. Zudem verkompliziert sich die Sache ganz erheblich, wenn man bedenkt, dass das schwächste Glied einer Verschlüsselung das Passwort ist. Wie weiter oben schon erwähnt, hilft die beste Verschlüsselung nichts, wenn es dem Dieb möglich ist, auf das bereits in Betrieb befindliche, entschlüsselte und aufgeschlossene Device zuzugreifen. Für gerootete Android-Smarthpones bietet sich da glücklicherweise die App Cryptfs Password an, die es ermöglicht, nachträglich das Passwort für die Systemverschlüsselung zu ändern. Somit kann das Passwort für die Verschlüsselung deutlich stärker gewählt werden als das für die PIN-/Passwortsperre. Ersteres muss nur beim Systemstart eingegeben werden, während letzteres bei jedem Aufwecken des Smartphones erforderlich ist. Aber auch hier ist die Systemverschlüsselung natürlich sinnbefreit, wenn das Gerät danach nur mit einer vierstelligen Zahlkombination (=PIN) gesperrt ist. Etwas mehr Mühe muss man sich schon geben, aber alleine die Erhöhung der PIN-Stellen bringt oder das Einstreuen von Buchstaben schon viel. Getestet habe ich die Android-Systemverschlüsselung übrigens aktuell auf dem Google Nexus 4, auf dem ich dadurch einen Performanceeinbruch feststellen kann. Eine deutlich sinkende Zugriffsrate auf den SD-Speicher ist aber messbar.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

09.07.2013 um 15:55:35

schnelle und anonyme DNS-Auflösung mit pdnsd

Ohne Kommentare

In Zeiten von PRISM habe ich die Hoffnung, dass mein Verhalten und meine mühevolle Verschlüsselung von Festplatten, Webseiten und eMails grundsätzlich unbeobachtet und abhörsicher sind, längst aufgegeben.

Nichts destro trotz möchte ich euch auf ein kleines HOWTO im Gentooforum hinweisen, mit dem es möglich ist, via net-dns/pdnsd einen kleinen und schnellen lokalen DNS-Cache aufzusetzen. Diesem DNS-Cache kann man beliebige DNS-Server vorsetzen. Der Autor des Mini-HOWTOs hat sich hier für die Server der deutschen und schweizerischen Privacy Foundation entscheiden. Während die German Privacy Foundation wohl leider in Auflösung inbegriffen ist, scheint die Swiss Privacy Foundation noch gut aufgestellt zu sein. Ob erstere die Nameserver weiterhin laufen lässt, konnte ich aus der Webseite bisher nicht heraus lesen.

Unter Debian bzw. siduction wird pdnsd über das Debian Repository bereit gestellt.

Vielleicht schaut ihr euch das HOWTO einfach mal an. Wenn die Einrichtung erfolgreich war, löst bei Euch auch die Testseite welcome.gpf ordnungsgemäß auf.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

20.06.2013 um 10:27:36

Das Facebook-Experiment

Mit 1 Kommentar

Vor ungefähr sechs Wochen überdachte ich meine Entscheidung, nicht an Facebook teilzunehmen. Für dieses Umdenken gab es vor allem zwei Gründe. Zum einen wollte ich Facebook kennen und verstehen lernen, um meinen Kindern zu gegebener Zeit wertvolle Ratschläge geben zu können. Zum anderen gibt es viele Informationen, die man nur, oder hauptsächlich, innerhalb von Facebook bekommt - von denen wollte ich mich nicht ausschließen. Also registrierte ich mir erneut einen Facebook-Zugang und startete den Selbstversuch.

Heute bin ich, was meinen persönlichen Bedarf von Facebook angeht, schlauer. Gleich nach dem Einrichten meines Accounts fing ich an, meine altbekannten Kontakte zusammen zu sammeln. Leute also, mit denen man sowieso regelmäßigen Kontakt hat. Nachdem sich die ersten Kontakte in der Freundesliste wiederfanden, schlug Facebook weitere Freunde vor. Die meisten davon kenne ich nicht, andere schon ... aber wirkliche Freunde im herkömmlichen Sinn sind die wenigsten. Trotzdem landete der eine oder andere in der Liste. Und sogar noch einige, die ich zwar kenne, mit denen ich aber eher wenig zu tun habe.

Meine Freundesliste umfasst heute also drei Kategorien von "Freunden". Freunde, die ich regelmäßig treffe, Bekannte, und zuletzt Leute, die ich kenne.

Was vor allem fehlt sind Freunde, die ich nicht sehe, zum Beispiel solche, die ich vor 15-20 Jahren aus den Augen verloren habe. Damals gab es Facebook allerdings noch nicht. Und solche Freunde, die regional so weit weg wohnen, dass Facebook auch hier eine Erleichterung schaffen könnte. Erstere einzufangen ist quasi unmöglich, da sie a) entweder nicht bei Facebook angemeldet, oder sich durch b) Heirat und Namensänderung dem "Zugriff entzogen" haben.

Und dann sind da natürlich noch die, die man von früher kennt und sich kurz vor dem Klick auf "Freundschaftsanfrage senden" fragt, ob es nicht besser ist, wenn diese mittelfristig in Vergessenheit geraten. Freunde, mit denen man den Kontakt nicht auf anderem Wege halten kann, sind es vielleicht nicht wert, in der Freundesliste zu landen.

Wie dem auch sei, ich bin jedenfalls in einem Alter, in dem mir seinerzeit die für mich wichtigen Leute entgangen sind, weil es schlicht noch kein Facebook gab. Und ich bin in einem Alter, wo ich kein Facebook brauche, um Einladungen zu empfangen. Mir entgeht nichts, weil ich keine nennenswerte Kontaktpflege über Facebook betreibe. Würde ich jedoch in der heutigen Zeit aufwachsen, wäre Facebook vermutlich ein zentrales Kommunikationsmittel .... sogesehen kann ich verstehen, dass viele derart "abhängig" davon sind.

Was mich darüber hinaus bei Facebook stört ist das Prinzip der »Likes«. Wenn ich an einem Thema interessiert bin, gefällt es mir dann auch? Und geht das auch andere Leute etwas an? Klar, ich kann die Datenschutzeinstellungen so zurecht drehen, dass nur ich meine Aktivitäten sehe. Aber brauche ich dann noch Facebook? Wohl eher nicht, oder? Oder ich kann die Einstellungen so feingranular treffen, dass jeder wirklich nur das zu sehen bekommt, was er auch sehen soll. Aber dafür reichen mir 24h am Tag nicht aus. Wer soll das bei Freundeslisten von 50, 100, 250 oder mehr Personen noch überblicken? Ich nicht!

Und überhaupt ... was die Datenschutzeinstellungen angeht ... das war ja eigentlich mein Hauptanlass, eben diese Datenschutzeinstellungen kennen zu lernen, um den Kids dann irgendwann helfend zur Hand zu gehen. Aber mal ehrlich .. dieses Einstellungswirrwarr ist ohne fremde Hilfe (=Anleitungen) kaum zu bewältigen. Verteilt über diverse Optionen und Menüpunkte finden sich Optionen, die auch beim zweiten und dritten Hinlesen inhaltlich nicht immer zu begreifen sind. Negativbeispiele für falsche getroffenen Einstellungen gibt es fast täglich in der Presse. Lohnt es sich, hier massig Zeit und Mühe in fehlerbehaftete Einstellungsauswahlen zu investieren für eine Sache, die man für sich selbst nicht wirklich braucht?

Fazit: Facebook mag eine tolle Sache sein, wenn man damit aufwächst und es als modernes Kommunikationsmedium nutzt. Ich brauche es nicht, verloren gegangene Kontakte bringt es mir nicht zurück, aktuelle Kontakte pflege ich auch so. Dafür hat es für mich einen extrem hohen Nervfaktor, weil mich vermeintliche Freunde mit Fotos ihrer Mittagessen, Freundschaftsnüssen oder Witz-Erdbeeren quälen. Man kann vieles davon ausblenden, aber ich möchte keine Zeit damit verschwenden zu konfigurieren, was ich alles nicht lesen will.

Vielleicht ändert sich meine Einstellung zu Facebook in Zukunft wieder und ich unternehme zu gegebener Zeit einen neuen Versuch. Facebook wird in Zukunft wohl eher wichtiger werden, das Prinzip der Places wird sich stark ausbreiten und auch Connect und Open Graph legen eine beispiellose Entwicklung hin.

Für den Moment werde ich meinen Account aber wohl in naher Zukunft löschen.

zusätzliche Anmerkung: Der o.g. Artikel ist ein in weiten Punkten sozialkritischer Artikel. Das ich neben der allgemeinen Kritik große datenschutz- und technische Probleme sehe steht zusätzlich auf einem anderen Blatt.

Geschrieben von cryptosteve | Kommentieren
Translate article to english

05.06.2011 um 21:38:00

Abgelegt in Datenschutz, Internet