3. Mai 2007
Der HD-DVD Processing Key, mit dem es möglich ist alle bisherigen veröffentlichten HD-DVDs zu entschlüsseln macht im Internet die große Runde. Die AACS LA, die für die Lizenzierung des Verschlüsselungsverfahrens zuständig ist, versucht mittels des amerikanischen DMCA die weitere Verbreitung zu verhindern und überzieht diverse Webseiten mit einstweiligen Verfügungen. Digg.com scheint sich nun zu wehren, jedenfalls werden neue Postings mit dem Schlüssel nicht weiter gelöscht. Die schwedischen ThePiratebay.org (darf ich die nun verlinken oder nicht? Egal, Google is your friend) haben den Schlüssel sogar auf ihre Homepage gepackt. Dumm, dass der DMCA in Schweden nicht greift.
Eigentlich geht es aber um etwas ganz anderes.
Jedes symmetrische kryptographische System, dass irgendeinen Content irgendwann auf dem Rechner eines Nutzers entschlüsseln muss, ist fast zwangsweise zum Scheitern verurteilt. Nämlich genau solange, wie der Nutzer die Kontrolle über seinen PC hat. Der User kann (die entsprechenden Kenntnisse vorausgesetzt) einen Debugger verwenden, Breakpoints setzen, ein System virtualisieren, … um herauszufinden was da passiert. Und irgendwann muss der Schlüssel ja vorhanden sein (auch wenn nur bitweise und vielleicht nur in einzelnen Registern der CPU), sonst könnte man die Daten nicht entschlüsseln. Da gibt es kein sicheres Verfahren dagegen.
Anti-Debugger Tools, wie sie z.B. von vielen Computerspielprogrammierern eingesetzt werden oder auch von Skype, und geschützte Kernel die nur signierte Treiber zulassen, wie bei Vista, erschweren das ganze, machen es aber nicht unmöglich. Und es genügt, wenn ein einzelner Hacker (in diesem Fall im Forum Doom9) einen solchen Schlüssel gefunden hat, die Information verbreitet sich in Minuten über das Internet. Ist die Nachricht erst einmal aus der Büchse der Pandora, lässt sie sich nicht mehr einfangen.
Doch, ein sicheres Verfahren gibt es. Wenn die Schlüssel nämlich nicht in Software sondern in Hardware abgelegt werden. Dann wird es nämlich so kompliziert, da noch irgendwelche Daten herauszulesen, dass es praktisch nicht mehr möglich ist. (Ich habe gehört Intel, IBM, AMD, können so etwas mit Elektronenmikroskopen, keine Ahnung ob das stimmt.) Und das ist vermutlich die Hauptmotivation für das Trusted Platform Module. Man hat endlich eine vertrauenswürdige Hardware und braucht dem User Anwender Kunde Melkvieh nicht mehr vertrauen.
Das schlimme dabei ist, dass sich nicht mal TeleTrusT Deutschland e.V. zu schade ist, völlig kritikfrei Werbung für TPM (PDF) zu machen. Da ist alles toll und sicher und super und öffnet ganz neue Möglichkeiten. Schade eigentlich, ich habe die bisher für einen seriösen Laden gehalten. Aber ich bin beeindruckt, wie es Prof. Reimer in seinem Verharmlosungs- und Täuschungspamphlet vermieden hat den Begriff „DRM“ zu verwenden.
2. Mai 2007
Marc hat sich gemeldet, nachdem ich sein neues Buch erwähnt hatte:
Handbuch Penetration Testing
von Marc Ruef
C & L Computer- u. Literaturverlag
ISBN-10: 3936546495
ISBN-13: 978-3936546491
Marc schreibt über sein Buch:
„Ich habe den Hang entwickelt, Dinge sehr eigenwillig lösen zu wollen. Das zieht sich durch das ganze Buch. So diskutiere ich in einem Kapitel die Analyse von Firewall-Regelwerken auf dem Papier. Gerade wenn man wirklich formal festlegen muss, ob eine Installation optimal ist, kann sowas nützlich sein. Zu diesem Thema habe ich bei meinen Recherchen aber praktisch nichts gefunden… Eine solche Betrachtung ist aber eine ausgezeichnete Grundlage, muss man in einem nächsten Schritt ein echtes Exploiting-Szenario durchspielen. Anhand der formalen Analyse kann man nämlich dann viele Techniken gleich mal wieder verwerfen und sich auf die nützlichen Mechanismen fokussieren. Mein kleines Buechlein ist zu grossen Teilen sehr technisch. Kein TCP-Segment, das über das Netzwerk gejagt wird, kommt ohne Besprechung der einzelnen Bits davon 😉 ! Der Titel hätte also auch „Volle Kontrolle“ heissen können 😉 !“
Auch wenn Amazon bereits Vorbestellungen annimmt, liebe Leute, geht doch mal zu Eurem lokalen Buchhändler und bestellt es da. Meistens ist der Service klasse, oft kann man Bücher zur Ansicht bestellen und manchmal findet man auch überraschend Bücher, die man gar nicht auf dem Radar hatte. Leider verschwinden die Buchhandlungen zuerst, wenn es den Leuten schlechter geht …
1. Mai 2007
Nach dem ich neulich schon auf das nette ASCII Bulletin Board hingewiesen habe, ist mir heute bei Robert Basic dieses nette Blog im C64 Design untergekommen.
Sehr nett 🙂
Neal Stephenson gehört zu den wenigen Science Fiction Autoren, deren Bücher ich gerne lese, öfter lese und auch mal weiterempfehle, obwohl einges darin wahrscheinlich nur von IT-Freaks so ganz verstanden wird. Immerhin ist die Science Fiction so nahe an der aktuellen Realität, dass vieles davon schon recht wahrscheinlich klingt.
Das erste Buch, das ich von Stephenson gelesen hatte war Cryptonomicon. Es beschreibt in zwei Handlungssträngen einen amerikanischen Cryptoanalytiker im zweiten Weltkrieg, der in Ostasien gegen Japan kämpft sowie seinen Enkel, der versucht einen sicheren verschlüsselten Datenhafen zu schaffen. Sehr interessant ist auch, dass Bruce Schneier für dieses Buch ein Verschlüsselungsverfahren namens Solitaire entwickelt hat, das sich mit einem Satz Spielkarten ausführen lässt.
Das zweite Buch ist Snow Crash, in dem Hiro Protagonist, bester Schwertkämpfer im Metaversum, gegen eine Sekte kämpft, die einen Virus entdeckt hat der sowohl Menschen als auch Computer befallen kann. Faszinierend ist die Beschreibung der USA als Land, in dem sämtliche staatlichen Organisationen inkl. Polizei und Justiz privatisiert und an Franchise-Unternehmen vergeben sind.
Also Nerds, schnappt Euch ein Buch und raus in die Sonne 🙂
