Big Brother is watching you!?

[Jakob Kreuzfeld]

Hallo! Hätte da mal einige Fragen bzgl. PGP. Es ist ja bekannt das der
CIA und das Pentagon und wer weis noch wer den Generalschlüssel für die
neueren Ausgaben der PGP Programme haben! Ich habe gerade 2.6.2 für den
MAC bekommen (jetzt bitte keine Grundsatzdiskussion über Systeme Bitte!)

1. Bis zu welcher Version ist das Teil sicher?

2. Gibt es da eine Kurzbeschreibung für? Oder kann mir mal wer erklären
wie ich das Teil handhaben muss?

[Michael Fischer v. Mollard]

glot...@sun529.rz.ruhr-uni-bochum.de (Jakob Kreuzfeld) writes:

> Hallo! Hätte da mal einige Fragen bzgl. PGP. Es ist ja bekannt das der
> CIA und das Pentagon und wer weis noch wer den Generalschlüssel für die
> neueren Ausgaben der PGP Programme haben!

Da muss ich was verpasst haben. Oder hast Du vergessen, Paranoia adäquat
zu kennzeichnen?

--
MfG MFvM

[Michael Cordes]

glot...@sun529.rz.ruhr-uni-bochum.de (Jakob Kreuzfeld) schrieb am Wed, 15
Dec 1999 13:23:05 -0100:

>Es ist ja bekannt das der CIA und das Pentagon und wer weis noch wer
>den Generalschlüssel für die neueren Ausgaben der PGP Programme haben!

Mir ist das nicht bekannt, hab ich was verpaßt?

Gibt es zu dieser Generalparanoia auch irgendwelche halbwegs verläßliche
Quellen? Wie ist die CIA an die Schlüssel der in Europa erstellten Version
gekommen?

Sind SIE schon hinter dir her?

cya
Mithi

[Jens Hektor]

Jakob Kreuzfeld wrote:
>
> Hallo! Hätte da mal einige Fragen bzgl. PGP. Es ist ja bekannt das der

> CIA und das Pentagon und wer weis noch wer den Generalschlüssel für die

> neueren Ausgaben der PGP Programme haben! Ich habe gerade 2.6.2 für den

PGP-Wahnsinn ?

"Jakob Kreuzfeld" sagt alles ;-)

--
Jens Hektor, RWTH Aachen, Rechenzentrum, Seffenter Weg 23, 52074 Aachen
Computing Center Technical University Aachen, firewalls/network security
mailto:hek...@RZ.RWTH-Aachen.DE, Tel.: +49 241 80-4866
Private: Rochusstr. 26, D52062 Aachen, Fon: +49 241 29888, Fax: % 29889

[Lutz Donnerhacke]

* Jakob Kreuzfeld wrote:
>Hallo! Hätte da mal einige Fragen bzgl. PGP. Es ist ja bekannt das der
>CIA und das Pentagon und wer weis noch wer den Generalschlüssel für die
>neueren Ausgaben der PGP Programme haben!

Quelle?

>Ich habe gerade 2.6.2 für den MAC bekommen (jetzt bitte keine
>Grundsatzdiskussion über Systeme Bitte!)

Nimm bitte 2.6.3in. Das ist um einige Bugs bereinigt.

>1. Bis zu welcher Version ist das Teil sicher?

Nutzerabhängig.

>2. Gibt es da eine Kurzbeschreibung für? Oder kann mir mal wer erklären
> wie ich das Teil handhaben muss?

Zum einen muß eine beiliegen, zum anderen gibt es Kai Raven.

[Stefan Frech]

Lutz Donnerhacke wrote:

>
> >Ich habe gerade 2.6.2 für den MAC bekommen (jetzt bitte keine
> >Grundsatzdiskussion über Systeme Bitte!)
>
> Nimm bitte 2.6.3in. Das ist um einige Bugs bereinigt.

Warum nicht GnuPG 1.0 ?

> >1. Bis zu welcher Version ist das Teil sicher?
>
> Nutzerabhängig.

Nutzungsart oder Nutzerwissen über Krytograhie ( die Richtige Anwendung
) ?

> >2. Gibt es da eine Kurzbeschreibung für? Oder kann mir mal wer erklären
> > wie ich das Teil handhaben muss?
>
> Zum einen muß eine beiliegen, zum anderen gibt es Kai Raven.

ACK

[Jakob Kreuzfeld]

Michael Fischer v. Mollard <mf...@gmx.de> wrote:

> glot...@sun529.rz.ruhr-uni-bochum.de (Jakob Kreuzfeld) writes:
>
> > Hallo! Hätte da mal einige Fragen bzgl. PGP. Es ist ja bekannt das der
> > CIA und das Pentagon und wer weis noch wer den Generalschlüssel für die
> > neueren Ausgaben der PGP Programme haben!
>

> Da muss ich was verpasst haben. Oder hast Du vergessen, Paranoia adäquat
> zu kennzeichnen?

Würde eher sagen Vorsicht ist die Mutter.............

was das FBI nicht knacken kann schreibt er lieber selber Neu!

[Jakob Kreuzfeld]

Michael Cordes <postm...@mail.netwave.de> wrote:

> glot...@sun529.rz.ruhr-uni-bochum.de (Jakob Kreuzfeld) schrieb am Wed, 15
> Dec 1999 13:23:05 -0100:
>

> >Es ist ja bekannt das der CIA und das Pentagon und wer weis noch wer
> >den Generalschlüssel für die neueren Ausgaben der PGP Programme haben!
>

> Mir ist das nicht bekannt, hab ich was verpaßt?

Ich dachte hier sitzen die Profis!?

>
> Gibt es zu dieser Generalparanoia auch irgendwelche halbwegs verläßliche
> Quellen?

Im Spiegel stand's glaube ich was ist verlässlich BILD....?

> Wie ist die CIA an die Schlüssel der in Europa erstellten Version
> gekommen?

Wurden die es hier nur Übersetzt oder Neu geschrieben? auch hier gilt
was das BND nicht knacken kann schreibt er lieber selber Neu!

Was ja auch logisch ist da es nicht knackbar ist und wenn mensch sich
die 5wer und 6er Versionen anschaut alles schön Farbig und so doch der
zweck wird doch schon mit 2.6 usw. erfüllt.....

>
> Sind SIE schon hinter dir her?

Nein bestimmt nicht nix Paras!
>
> cya
> Mithi

[Jakob Kreuzfeld]

Jens Hektor <hek...@rz.rwth-aachen.de> wrote:

> Jakob Kreuzfeld wrote:
> >
> > Hallo! Hätte da mal einige Fragen bzgl. PGP. Es ist ja bekannt das der

> > CIA und das Pentagon und wer weis noch wer den Generalschlüssel für die

> > neueren Ausgaben der PGP Programme haben! Ich habe gerade 2.6.2 für den
>
> PGP-Wahnsinn ?
>
> "Jakob Kreuzfeld" sagt alles ;-)

Dein kurzer Kommentar auch!

Ist er Para wenn ich sage das J.K.S. ist dadurch entstanden das
Geldgierige Menschen Vegetarischen Kühen ihre Verwandte zu essen garben
um Futtermittel zu sparen?

Ist es weiterhin Para wenn ich zb sagen würde AIDS ist aus einem Labor
oder denkst du das ein mensch einen Grünen Meeraffen gefi..t hat?

Denken und nicht lästern!

[Jakob Kreuzfeld]

Lutz Donnerhacke <lu...@iks-jena.de> wrote:
>
> >2. Gibt es da eine Kurzbeschreibung für? Oder kann mir mal wer erklären
> > wie ich das Teil handhaben muss?
>
> Zum einen muß eine beiliegen, zum anderen gibt es Kai Raven.

Was bzw. wer ist das?

Gibt es da keinen MAC User der es kurz erklären kann oder ne Deutsche
Version von dem Teil hat?

[Jakob Kreuzfeld]

Stefan Frech <stefan...@gmx.de> wrote:

>
> Warum nicht GnuPG 1.0 ?

Sorry was ist das?

[Matthias Schmidt]

servus,

>> Warum nicht GnuPG 1.0 ?

>Sorry was ist das?

kleiner auszug aus der homepage (www.gnupg.org)

<zitat>
GnuPG is a complete and free replacement for PGP. Because it
does not use IDEA or RSA it can be used without any restrictions.
GnuPG is a RFC2440 (OpenPGP) compliant application.
</zitat>

gruss

matthias

--

ask for pgp/gpg key
www.xhr.purespace.de

[Stefan Frech]

Jakob Kreuzfeld wrote:
>
> Lutz Donnerhacke <lu...@iks-jena.de> wrote:
> >
> > >2. Gibt es da eine Kurzbeschreibung für? Oder kann mir mal wer erklären
> > > wie ich das Teil handhaben muss?
> >
> > Zum einen muß eine beiliegen, zum anderen gibt es Kai Raven.
>
> Was bzw. wer ist das?
>

http://members.interdesk.ch/pgpkeys/pgp5kurs/pgp5kurs.htm

[Juergen Nieveler]

Jakob Kreuzfeld <glot...@sun529.rz.ruhr-uni-bochum.de> schrieb in im
Newsbeitrag: 1999121517...@dialppp-7-27.rz.ruhr-uni-bochum.de...

> Lutz Donnerhacke <lu...@iks-jena.de> wrote:
> >
> > >2. Gibt es da eine Kurzbeschreibung für? Oder kann mir mal wer erklären
> > > wie ich das Teil handhaben muss?
> >
> > Zum einen muß eine beiliegen, zum anderen gibt es Kai Raven.
>
> Was bzw. wer ist das?
>

> Gibt es da keinen MAC User der es kurz erklären kann oder ne Deutsche
> Version von dem Teil hat?

Nur mal kurz zum Verständnis... Du bist paranoid was PGP angeht (soll ja
vorkommen), aber Du benutzt einen MAC???

Wer sagt Dir denn das da keine Hintertüren drin sind? Denn PGP nützt nichts
wenn CIA/NSA/BND/böse Aliens den Klartext deiner Mails sehen können ;-)

Wenn schon paranoid, dann aber richtig... Linux, selbstkompiliert, und alle
Sourcen selbst geprüft!

Jürgen Nieveler
--
Support the ban of Dihydrogen Monoxide: http://www.dhmo.org/

"The people united can never be ignited!"
Sgt. Colon, Ankh-Morpork City Watch (Night Shift)

PGP-Key available under
www.netcologne.de/~nc-nievelju/

[Thomas Hochstein]

glot...@sun529.rz.ruhr-uni-bochum.de (Jakob Kreuzfeld) schrub/wrote:

>> Mir ist das nicht bekannt, hab ich was verpaßt?
>
> Ich dachte hier sitzen die Profis!?

Ja, eben.

>> Gibt es zu dieser Generalparanoia auch irgendwelche halbwegs verläßliche
>> Quellen?
>
> Im Spiegel stand's glaube ich was ist verlässlich BILD....?

Weia.

-thh

[Thomas Hochstein]

glot...@sun529.rz.ruhr-uni-bochum.de (Jakob Kreuzfeld) schrub/wrote:

> Es ist ja bekannt das der
> CIA und das Pentagon und wer weis noch wer den Generalschlüssel für die
> neueren Ausgaben der PGP Programme haben!

Aha. Wem denn?

-thh

[Jens Dittmar]

* Jakob Kreuzfeld gesteht:

> Michael Cordes <postm...@mail.netwave.de> wrote:
>> glot...@sun529.rz.ruhr-uni-bochum.de (Jakob Kreuzfeld) schrieb am
>> Wed, 15 Dec 1999 13:23:05 -0100:

>>> Es ist ja bekannt das der CIA und das Pentagon und wer weis noch
>>> wer den Generalschlüssel für die neueren Ausgaben der PGP
>>> Programme haben!

[ ... ]

>> Gibt es zu dieser Generalparanoia auch irgendwelche halbwegs verläßliche
>> Quellen?

> Im Spiegel stand's glaube ich

LOL Na, damit ist der Fall doch ziemlich klar.

> Wurden die es hier nur Übersetzt oder Neu geschrieben?

AFAIK teilweise umgebaut.

> auch hier gilt was das BND nicht knacken kann schreibt er lieber
> selber Neu!

Arbeiten Stale & Co. für den BND? Ansonsten ist mir recht egal, was
der BND für seinen Hausgebrauch schreibt.

Jens
--
You've seen them walking on the water
You've seen them flying through the sky
They were frightening in the darkness
They had rainbows in their eyes

[Jens Dittmar]

* Jakob Kreuzfeld fragt:

> Ist er Para wenn ich sage das J.K.S. ist dadurch entstanden das
> Geldgierige Menschen Vegetarischen Kühen ihre Verwandte zu essen
> garben um Futtermittel zu sparen?

Na, offensichtlich. Zum einen gibt es das JKS möglichwerweise schon
eine ganze Weile länger, zum anderen ist das Crossing (MCD zu JKS)
mindestens ebenso umstritten wie die ganzen Ursachentheorien selbst.

> Ist es weiterhin Para wenn ich zb sagen würde AIDS ist aus einem Labor
> oder denkst du das ein mensch einen Grünen Meeraffen gefi..t hat?

Letztere Variante ist schon skurril, Essen reicht ja wohl. Allerdings
schließt das Eine das Andere nicht aus.

[Martin Schroeder]

In <838k3u$nrs$1...@news.netcologne.de> "Juergen Nieveler" <niev...@netcologne.de> writes:
>Wenn schon paranoid, dann aber richtig... Linux, selbstkompiliert, und alle
>Sourcen selbst geprüft!

Den Aufwand kann er sich sparen, wenn er OpenBSD nimmt. Läuft aber nicht
auf Bonschendosen...

Gruß
Martin

--
Martin Schr"oder, mar...@oneiros.de
Do not go where the path may lead, go instead where there is no path
and leave a trail. (Ralph Waldo Emerson)

[Matthias Schniedermeyer]

#include <hallo.h>

> Ist es weiterhin Para wenn ich zb sagen würde AIDS ist aus einem Labor
> oder denkst du das ein mensch einen Grünen Meeraffen gefi..t hat?

Und was ist so "undenkbar" daran das ein solches Meeraeffchen dich KRATZT
(oder auf eine andere Weise verwundet, oder du warst vorher schon
verwundet.) und du dabei mit dem Blut des abenfalls nicht unbedingt 100%
"intakten" Meeraeffchens in Beruehrung kommst?

Bis denn

--
Mein persoenliches (deutsches) Linux Lied: "Abenteuerland" von PUR

[Lutz Donnerhacke]

* Stefan Frech wrote:
>Lutz Donnerhacke wrote:
>> >Ich habe gerade 2.6.2 für den MAC bekommen (jetzt bitte keine
>> >Grundsatzdiskussion über Systeme Bitte!)
>>
>> Nimm bitte 2.6.3in. Das ist um einige Bugs bereinigt.
>

>Warum nicht GnuPG 1.0 ?

Er hat schon eine 2.6.2. Die Umstellung ist leichter.
Zum anderen fehlt mir für die Benutzbarkeit von GPG noch einiges im Bereich
des Zertifikatshandlings. Dazu bin ich noch nicht gekommen.

>> >1. Bis zu welcher Version ist das Teil sicher?
>>
>> Nutzerabhängig.
>
>Nutzungsart oder Nutzerwissen über Krytograhie ( die Richtige Anwendung
>) ?

Du hast demonstriert, warum man nicht plenken soll. Danke.
Nutzerwissen über Drittschlüssel und Web of Trust.

[Ludwig Huegelschaefer]

Stefan Frech wrote:

( ... Kai Ravens PGP-Anleitung ... )

> http://members.interdesk.ch/pgpkeys/pgp5kurs/pgp5kurs.htm

Hier ist was viel neueres:

http://home.kamp.net/home/kai.raven/pgpanltg.htm

Ludwig

[Michael Cordes]

glot...@sun529.rz.ruhr-uni-bochum.de (Jakob Kreuzfeld) schrieb am Wed, 15

Dec 1999 17:44:00 -0100:

>Wurden die es hier nur Übersetzt oder Neu geschrieben? auch hier gilt

Die Sourcecodes wurde gescannt und Korrektur gelesen.

Wenn es also noch keine unsichtbaren Programmzeilen gibt sollten dabei die
angeblichen Backdoors aufgefallen sein.

cya
Mithi

[Dietz Proepper]

Jens Dittmar wrote:
>* Jakob Kreuzfeld fragt:
>> Ist er Para wenn ich sage das J.K.S. ist dadurch entstanden das
>> Geldgierige Menschen Vegetarischen Kühen ihre Verwandte zu essen
>> garben um Futtermittel zu sparen?
>
> Na, offensichtlich. Zum einen gibt es das JKS möglichwerweise schon
>eine ganze Weile länger, zum anderen ist das Crossing (MCD zu JKS)
>mindestens ebenso umstritten wie die ganzen Ursachentheorien selbst.

Genauso wie nachwievor umstritten ist, ob das Waldsterben von der
Luftverschmutzung herrührt. Im Labor relativ zweifelsfrei belegbar,
man streitet sich um 'relativ'. Naja, bin keinesfalls ein Infektions-
spezialist ,)

~dietz

[Mark Nowiasz]

Jakob Kreuzfeld <glot...@sun529.rz.ruhr-uni-bochum.de> wrote:

>Ist es weiterhin Para wenn ich zb sagen würde AIDS ist aus einem Labor
>oder denkst du das ein mensch einen Grünen Meeraffen gefi..t hat?

Ja ist es - die ersten dokumentierten AIDS-Fälle traten IIRC in den 50er Jahren
auf, da gabe es sowas wie Genlabors nicht. (IIRC war es ein Seemann, der
dann später - wie auch seine Frau - an AIDS gestorben ist, die Ärzte konnten
sich nicht erklären, was der Mann hatte und haben das Blut für spätere
Untersuchungen aufgehoben, ein HIV-Test in den 90ern auf das Blut war
positiv).

Irgendwie scheinen immer mehr Leute schlechte Filme / Bücher zu lesen und
diese auch für voll zu nehmen - ebenso wie die solche lustigen Gerüchte,
daß die NSA jeden Code knacken kann usw.

Gruß,
Mark
--
|\ _,,,---,,_ Mark Nowiasz <buck...@gmx.de>
/,.-'' -. ;-;;,_ GPG/PGP-Keys available at keyservers/request.
|,4- ) )-,_..;\ ( '-' http://anarch.free.de/~buckaroo/
'---''(_/--' -'\_) IRC: Buckaroo | Voice: +49 179 4917624

[Lutz Donnerhacke]

* Mario Roßa wrote:
>Hi, obwohl ich PGP und sonst auch kein Verschlüsselungsprogramm verwende da
>es nicht notwenig ist, habe ich also über diese Programme keine Ahnung.

Kurz: Du weißt nicht, wie man sich schützt, und hast keine Ahnung.

>Was ich jedoch 100% weiß ist, das mindestens das Pentagon & der CIA einen
>Generalschlüssel für PGP besitzen.

Trotzdem weißt Du Dinge, die ich nicht weiß, obwohl ich - im Gegensatz zu
Dir - den Sourcecode gelesen habe.

>In den USA ist dies ein Gesetz für Verschlüsselungsverfahren die unter das
>Waffengesetzt fallen ein Generalkey oder ähnliches bei Staat zu hinterlegen.
>Ansonsten machen sich die Programmierer Strafbar.

Du kennst Dich auch mit der rechtlichen Situation besser aus, als ich, denn
dieses Gesetz kenne ich nicht. Ich kenne nur Exportrestriktionen für
Software und Dual Use Güter, sowie Wassenarabkommen, die auch nur Export
betreffen.

Da PGP nicht als Software exportiert wurde, ist eine solche Genehmigung
nicht notwendig. Für den Export wurde vor einigen Tagen aber eine
Genehmigung erteilt.

>Unter das Waffengesetz fällt in den USA glaube ich alles was stärker 128 Bit
>verschlüsselt, oder waren es 48 Bit?

Du kennst Dich auch mit der aktuellen rechtlichen Situation besser aus, als
ich, denn ich hatte mal gelesen, daß die Kryptoexporte nicht mehr beim DoD
sondern beim DoC liegen und außerdem steht in meinen Wassenarunterlagen 56bit.

>> Da muss ich was verpasst haben. Oder hast Du vergessen, Paranoia adäquat
>> zu kennzeichnen?
>

>Ja, da hast Du etwas verpasst.

Dich.

[Lutz Donnerhacke]

* Mario Roßa wrote:
>Ach noch etwas, angesichts der Tatsache das PGP <= 4.000 Bit verschlüsselt
>stellt sich hier nicht die Frage ob PGP unter das Waffengesetz fällt.

Du kannst - im Gegensatz zu mir - die Stärke von Verschlüsselungsverfahren
jeder Colour in einer einzigen Bitzahl ausdrücken. Respekt!

[Sascha Luck]

Martin Schroeder wrote:
> Den Aufwand kann er sich sparen, wenn er OpenBSD nimmt. Läuft aber nicht
> auf Bonschendosen...

^^^^^^^^^^^^^^
Was um Himmelswillen ist denn das? Wenn du Macs meinst, tut es doch:

http://www.openbsd.org/plat.html
s.

--
"[...] The tree of liberty must be refreshed from time to time,
with the blood of patriots and tyrants."
-- Thomas Jefferson

[Arnim Weidner]

Mario Roßa schrieb:
>
> Denn
> warum sollte ich mich über etwas so im Detail kundig machen, wie Du, was
> mich im Gegensatz zu Dir nicht interessiert?? Ich nenne soetwas
> Zeitverschwendung.

Das hat manche Firma auch gedacht, und dann war auf einmal die
ganze Arbeit des letzten Jahres Zeitverschwendung.

Arnim

[Michael Ströder]

"Mario Roßa" wrote:
>
> > Unter das Waffengesetz fällt in den USA glaube ich alles was stärker
> > 128 Bit verschlüsselt, oder waren es 48 Bit?

> Ach noch etwas, angesichts der Tatsache das PGP <= 4.000 Bit

> verschlüsselt
> stellt sich hier nicht die Frage ob PGP unter das Waffengesetz fällt.

Man merkt, Du hast echt voll die Ahnung von der Materie...immer ganz
vorne mit dabei...boah ey.

Ciao, Michael.

[Lutz Donnerhacke]

* Mario Roßa wrote:
>Lutz Donnerhacke <lu...@iks-jena.de> schrieb in im Newsbeitrag:
>slrn85hht...@taranis.iks-jena.de...

>> * Mario Roßa wrote:
>>>Hi, obwohl ich PGP und sonst auch kein Verschlüsselungsprogramm verwendeda
>>>es nicht notwenig ist, habe ich also über diese Programme keine Ahnung.
>>
>> Kurz: Du weißt nicht, wie man sich schützt, und hast keine Ahnung.
>

>Länger: Ich halte es nicht für nötig meine eMail usw. per PGP zu
>verschlüsseln da ich keine Sicherheitsrelevanten Nachrichten verschicke.
>Oder ist es für jemanden Interessant zu wissen wie ich das Wetter gestern
>fand und wann ich mich mit wem wo treffe?

Es ist interessant zu wissen, was Du verschlüsselst und was nicht. Es ist
dann noch interessant zu wissen, mit wem Du verschlüsselt kommunizierst und
wann Du das tust. Aber Du kannst Kahns 'The Codebreakers' auch als Fiction
Roman lesen.

>> >Was ich jedoch 100% weiß ist, das mindestens das Pentagon & der CIA einen
>> >Generalschlüssel für PGP besitzen.
>>
>> Trotzdem weißt Du Dinge, die ich nicht weiß, obwohl ich - im Gegensatz zu
>> Dir - den Sourcecode gelesen habe.
>

>Schön das es solche Leute wie dich gibt. Meine Hochachtung. Der Source
>fürfte Umfangreich gewesen sein. Ich verlasse mich, wenn Ich selbst keine
>Lust etwas zu überprüfen oder mich nicht dafür Interessiere, sagen wir
>einmal PGP lieber auf öffentliche Medien, Messageboard & Newsgroups. Denn

>warum sollte ich mich über etwas so im Detail kundig machen, wie Du, was
>mich im Gegensatz zu Dir nicht interessiert?? Ich nenne soetwas
>Zeitverschwendung.

Ich behaupte - im Gegensatz zu Dir - jedoch keine Dinge, die nicht stimmen.
Diese Aussage beziehe ich - im Gegensatz zu Dir - auf Kenntnis von Fakten.
Und Fakten nehme ich - im Gegensatz zu Dir - auch dann wahr, wenn sie meinen
Meinungen und Überzeugungen wiedersprechen. Nun warte ich darauf, ob Du in
der Lage bist ebenso wie ich Irrtümer einzugestehen.

>>>In den USA ist dies ein Gesetz für Verschlüsselungsverfahren die unter das
>>>Waffengesetzt fallen ein Generalkey oder ähnliches bei Staat zu hinterlegen.
>>>Ansonsten machen sich die Programmierer Strafbar.
>>
>> Du kennst Dich auch mit der rechtlichen Situation besser aus, als ich, denn
>> dieses Gesetz kenne ich nicht. Ich kenne nur Exportrestriktionen für
>> Software und Dual Use Güter, sowie Wassenarabkommen, die auch nur Export
>> betreffen.
>

>Sorry, Ich war allerdings der Festen Meinung das, das auch für das Inland
>also nicht nur für den Export gelten würde.

Was sagt das für Deine Schlußkette aus?

>> Da PGP nicht als Software exportiert wurde, ist eine solche Genehmigung
>> nicht notwendig. Für den Export wurde vor einigen Tagen aber eine
>> Genehmigung erteilt.
>

>Das PGP nach Deutschland nur über den Source kommen konnte wußte ich. Das
>mit der Genehmigung wußte ich nicht.

Was sagt das für Deine Schlußkette aus?

>>>Unter das Waffengesetz fällt in den USA glaube ich alles was stärker 128 Bit
>>>verschlüsselt, oder waren es 48 Bit?
>>

>> Du kennst Dich auch mit der aktuellen rechtlichen Situation besser aus, als
>> ich, denn ich hatte mal gelesen, daß die Kryptoexporte nicht mehr beim DoD
>> sondern beim DoC liegen und außerdem steht in meinen Wassenarunterlagen
>> 56bit.
>

>Ich denke bei meinen Schwankungen zwischen 48 <-> 128 Bit liegt es auf der
>Hand das ich mit nicht sicher bin.

Was sagt das für Deine Schlußkette aus?

>Das trifft mich eigentlich nicht im geringsten. Dein erstes Posting sehe ich
>mal als kompliement und nicht als totale Verars**e an. Ist das O.K.??
>Trotzdem schön das es noch Leute gibt die einem durch die Blume zu verstehen
>geben wie doof Sie doch eigentlich sind, obwohl Sie die Person nicht einmal
>kennen.

Es trifft mich sehr, daß jemand es fertigbringen kann, Aussagen über
Produkte, die er nicht einmal kennt inUmlauf zusetzen, obwohl er
nachweislich keine Ahnung hat.

Es freut mich, daß Du mich verstehst. Es freut mich noch mehr, daß ich
Ansätze von Erkenntnis bei Dir zu sehen glaube. Nun noch etwas Logik auf
Deiner Seite und dann wird das schon.

[Michael Fischer v. Mollard]

"Mario Roßa" <prakt...@hermes.materna.de> writes:

> fürfte Umfangreich gewesen sein. Ich verlasse mich, wenn Ich selbst keine
> Lust etwas zu überprüfen oder mich nicht dafür Interessiere, sagen wir
> einmal PGP lieber auf öffentliche Medien, Messageboard & Newsgroups. Denn
> warum sollte ich mich über etwas so im Detail kundig machen, wie Du, was
> mich im Gegensatz zu Dir nicht interessiert??

Weil Du in öffentlichen Medien absurde Thesen über Dinge darüber
äusserst? Warum, wenn Du es nicht kennst und es Dich nicht
interessieren?

> Ich nenne soetwas Zeitverschwendung.

Zeitverschwendung Ist es offenbar, Deine Beiträge zu lesen.

--
MfG MFvM

[Jakob Kreuzfeld]

Mario Roßa <prakt...@hermes.materna.de> wrote:

> Michael Fischer v. Mollard <mf...@gmx.de> schrieb in im Newsbeitrag:
> ca3dt47...@u37.num.math.uni-goettingen.de...
> > glot...@sun529.rz.ruhr-uni-bochum.de (Jakob Kreuzfeld) writes:
> >
> > > Hallo! Hätte da mal einige Fragen bzgl. PGP. Es ist ja bekannt das der

> > > CIA und das Pentagon und wer weis noch wer den Generalschlüssel für die
> > > neueren Ausgaben der PGP Programme haben!
>

> Hi, obwohl ich PGP und sonst auch kein Verschlüsselungsprogramm verwende da
> es nicht notwenig ist, habe ich also über diese Programme keine Ahnung.

> Was ich jedoch 100% weiß ist, das mindestens das Pentagon & der CIA einen

> Generalschlüssel für PGP besitzen. In den USA ist dies ein Gesetz für

> Verschlüsselungsverfahren die unter das Waffengesetzt fallen ein Generalkey
> oder ähnliches bei Staat zu hinterlegen. Ansonsten machen sich die
> Programmierer Strafbar.
>

> Unter das Waffengesetz fällt in den USA glaube ich alles was stärker 128 Bit
> verschlüsselt, oder waren es 48 Bit?
>

> > Da muss ich was verpasst haben. Oder hast Du vergessen, Paranoia adäquat
> > zu kennzeichnen?
>
> Ja, da hast Du etwas verpasst.

> > MfG MFvM

Dafür bekomste mal nen dicken........ (K.. Ahmmmmm) Lob Danke

-Uli

der ganz viel Rindfleisch essen tut!

[Jakob Kreuzfeld]

Michael Cordes <post...@mail.netwave.de> wrote:

Hi Mithi!

Endlich mal was konkretes damit kann mensch arbeiten.....!? Wenns da
kein Terrorgesetz gibt das die Backdoors für Staatliche Stellen
erlaubt????

Danke

-ULI

[Jakob Kreuzfeld]

Matthias Schniedermeyer <m...@citd.owl.de> wrote:

> #include <hallo.h>

>
> > Ist es weiterhin Para wenn ich zb sagen würde AIDS ist aus einem Labor
> > oder denkst du das ein mensch einen Grünen Meeraffen gefi..t hat?
>

> Und was ist so "undenkbar" daran das ein solches Meeraeffchen dich KRATZT
> (oder auf eine andere Weise verwundet, oder du warst vorher schon
> verwundet.) und du dabei mit dem Blut des abenfalls nicht unbedingt 100%
> "intakten" Meeraeffchens in Beruehrung kommst?

Das mit dem Meeraffen ist von Biologen widerlegt worden ist ein anderer
Virus beim Äffchen.....

Was ist undenkbar? Das Helmut Kohl keine Hände hat und darum keine
Spende annehmen konnte?

oder das ein Blasen lassen kein Sex ist vor allen nicht von seinen
Untertanen!

Ich meine damit das das Scharf anfangen sollte zu denken und nicht
fröhlich zum schlachten gehen sollte.

See ya

-ULI

[Jakob Kreuzfeld]

Mark Nowiasz <buck...@gmx.de> wrote:

> Jakob Kreuzfeld <glot...@sun529.rz.ruhr-uni-bochum.de> wrote:
>
> >Ist es weiterhin Para wenn ich zb sagen würde AIDS ist aus einem Labor
> >oder denkst du das ein mensch einen Grünen Meeraffen gefi..t hat?
>

> Ja ist es - die ersten dokumentierten AIDS-Fälle traten IIRC in den 50er
> Jahren auf, da gabe es sowas wie Genlabors nicht. (IIRC war es ein
> Seemann, der dann später - wie auch seine Frau - an AIDS gestorben ist,
> die Ärzte konnten sich nicht erklären, was der Mann hatte und haben das
> Blut für spätere Untersuchungen aufgehoben, ein HIV-Test in den 90ern auf
> das Blut war positiv).

Ist schon lange wiederlegt worden Pech für dich......

>
> Irgendwie scheinen immer mehr Leute schlechte Filme / Bücher zu lesen und
> diese auch für voll zu nehmen - ebenso wie die solche lustigen Gerüchte,
> daß die NSA jeden Code knacken kann usw.

Das werden sie nicht doch dann gibt's halt Terrorgesetze die die Firmen
zwingen für Staatliche Stellen ein Hintertürchen offen zu lassen.

Bis denne

-ULI

[Jakob Kreuzfeld]

Ludwig Huegelschaefer <Ludwig.Hue...@gmx.net> wrote:

>
> Hier ist was viel neueres:
>
> http://home.kamp.net/home/kai.raven/pgpanltg.htm

Danke

-ULI

[Matthias Schmidt]

servus,

>Ist nicht, wie ich höre, vielmehr OpenBSD in dieser Hinsicht das Maß
>aller Dinge?

Mit OBSD ist die Gefahr von Buffer - Overflows o.ae. geringer als unter
Linux, da alle vorhandenen Programme akribisch auf Sicherheitsluecken
geprueft werden. Siehe www.openbsd.org

Ebenso sind standartmaessig PGP, Kerberos, OpenSSH etc. dabei.

Ist das System allerdings schlecht administriert, hilft auch OBSD
nichts.

mfg

matthias

--

ask for pgp/gpg key
www.xhr.purespace.de

[Ives Steglich]

In article <83aij8$p46$1...@penthesilea.Materna.DE>,
prakt...@hermes.materna.de says...

> Das trifft mich eigentlich nicht im geringsten. Dein erstes Posting sehe ich
> mal als kompliement und nicht als totale Verars**e an. Ist das O.K.??
> Trotzdem schön das es noch Leute gibt die einem durch die Blume zu verstehen
> geben wie doof Sie doch eigentlich sind, obwohl Sie die Person nicht einmal
> kennen.
>

naja ich weiß nicht, mit was du dich aus kennst, aber wenn ich etwas
über Dinge posten würde, über die du sehr gut bescheid weißt, und dzu
dann feststellen müstest, dass ich da den größten Müll schreibe den
man überhaupt zu diesem Thema verfassen kann, dann würdest du mit an
Sicherheit grenzender Wahrscheinlichkeit ähnlich reagieren

also bitte reg dich nicht so auf, sondern laß lieber diese
unqualifizierten Postings zu Themen, zu denen du augenscheinlich keine
Ahnung hast, und wo deine 100% Sicherheit etwas zu wissen, aus Medien
und News entnommen Kommentaren zum Thema stammt ...

> MfG Mario R.
>

Dalini
--
Statutory Disclaimer: The above is not necessarily a FeM e.V. position.
e-mail: dal...@acm.org - http://dalini.home.pages.de
s-mail: Steglich, Max-Planck-Ring 18 D308, 98693 Ilmenau
FeM - Forschungsgemeinschaft elektronischer Medien e.V.
e-mail: f...@rz.tu-ilmenau.de - http://fem.tu-ilmenau.de

[Ives Steglich]

In article <83amjs$rof$1...@penthesilea.Materna.DE>,
prakt...@hermes.materna.de says...

> Angesichts der Tatsache das ich a) keine Firmenbezogenen Daten per eMail
> verschicke, b) wenn eMails normalerweise nur an Freunde usw. mit Inhalten
> die nicht Sicherheitsrelevant sind, c) die Newsgroup ist eine Ausnahme und
> enthält auch keine Sicherheitrelevanten Daten.
>
Dein Topic war nicht auf EMail beschränkt
PGP kann mehr als eMail verschlüsseln
wenn eMail und News deine einzigstne Sicherheitssorgen sind,
bzw die du da sowiso nicht hast, dann ist ja gut

[Ole Streicher]

Hallo Lutz!

lu...@iks-jena.de (Lutz Donnerhacke) writes:
> >Was ich jedoch 100% weiß ist, das mindestens das Pentagon & der CIA einen
> >Generalschlüssel für PGP besitzen.

> Trotzdem weißt Du Dinge, die ich nicht weiß, obwohl ich - im Gegensatz zu
> Dir - den Sourcecode gelesen habe.

Hast Du nicht selbst erst unlaengst den Link auf die Tatsache
gepostet, dass die Kenntnis des Quelltextes *nicht* reicht?

SCNR :-)

Tschuessi

Ole

--
Hi! I'm a .signature virus! Copy me into your ~/.signature to help me
spread!

[Michael Ströder]

"Mario Roßa" <prakt...@hermes.materna.de> wrote:
>
> Angesichts der Tatsache das ich a) keine Firmenbezogenen Daten per eMail
> verschicke, b) wenn eMails normalerweise nur an Freunde usw. mit Inhalten
> die nicht Sicherheitsrelevant sind, c) die Newsgroup ist eine Ausnahme
> und enthält auch keine Sicherheitrelevanten Daten.

Schon alleine deine E-Mail-Adresse (s.o.) ist firmenbezogen.

Anstelle deines Arbeitsgebers würde ich Dich ob deiner triefenden
Unkenntnis und Ignoranz hochkant rausschmeißen.

Ciao, Michael.

[Lutz Donnerhacke]

* Ole Streicher wrote:
>lu...@iks-jena.de (Lutz Donnerhacke) writes:
>> >Was ich jedoch 100% weiß ist, das mindestens das Pentagon & der CIA einen
>> >Generalschlüssel für PGP besitzen.
>> Trotzdem weißt Du Dinge, die ich nicht weiß, obwohl ich - im Gegensatz zu
>> Dir - den Sourcecode gelesen habe.
>
>Hast Du nicht selbst erst unlaengst den Link auf die Tatsache
>gepostet, dass die Kenntnis des Quelltextes *nicht* reicht?

Yep. Den Link auf den ACM-Klassiker 'Reflections on trusting trust' habe ich
aber schon lange nicht mehr gepostet. Allerdings glaube ich bei PGP auch zu
verstehen, was da drine steht.

[Michael Fischer v. Mollard]

Michael Ströder <michael....@inka.de> writes:

> Schon alleine deine E-Mail-Adresse (s.o.) ist firmenbezogen.
>
> Anstelle deines Arbeitsgebers würde ich Dich ob deiner triefenden
> Unkenntnis und Ignoranz hochkant rausschmeißen.

Nun ja, auch wenn sein Verhalten nicht gerade Vertrauen in eine Firma,
deren "Kerngeschäft [...] in der Entwicklung und Vermarktung von
Produkten, Lösungen und Dienstleistungen der Geschäftsfelder:
IT-Management, IT-Servicemanagement, Application Engineering, Unified
Messaging, Mobile Solutions" liegt, weckt, halte ich es doch für
übertrieben, den Praktikanten gleich rauszuwerfen.

--
MfG MFvM

[Mario Roßa]

Michael Ströder <michael....@inka.de> schrieb in im Newsbeitrag:
3858EF85...@inka.de...

"Mario Roßa" <prakt...@hermes.materna.de> wrote:
>>
>> Angesichts der Tatsache das ich a) keine Firmenbezogenen Daten per eMail
>> verschicke, b) wenn eMails normalerweise nur an Freunde usw. mit Inhalten
>> die nicht Sicherheitsrelevant sind, c) die Newsgroup ist eine Ausnahme
>> und enthält auch keine Sicherheitrelevanten Daten.

>Schon alleine deine E-Mail-Adresse (s.o.) ist firmenbezogen.

>Anstelle deines Arbeitsgebers würde ich Dich ob deiner triefenden
>Unkenntnis und Ignoranz hochkant rausschmeißen.

Danke Michael, das mit der Ignoranz solltest Du mir aber noch mal genauer
erklären. Wenn ich etwas hasse dann sind es genau solche postings wie dieses
hier.
Ich denke Du kannst das ganze dich auch ein wenig anders Artikulieren. Ich
denke Du weißt ganz genau was ich mit Firmenbezogenen Daten meine, außerdem
Sprach ich zum größten Teil von meinem Privaten eMail Account (habe ich
vergessen zu erwähnen). Außerdem habe Ich keine Möglichkeit die Daten zu
ändern.

MfG Mario R.

PS:

Ich würde mich bei euch bedanken wenn wir dieses Thema abschließen könnten
da es sich sowieso nur in die Richtung der Gegenseitigen Beleidigungen usw.
entwickelt.

[Ole Streicher]

Hallo Lutz!

lu...@iks-jena.de (Lutz Donnerhacke) writes:
> >Hast Du nicht selbst erst unlaengst den Link auf die Tatsache
> >gepostet, dass die Kenntnis des Quelltextes *nicht* reicht?

> Allerdings glaube ich bei PGP auch zu verstehen, was da drine steht.

Und woher weisst Du dass Dein Compiler kein Backdoor hat ala

if (source_code_is_pgp())
install_backdoor_for_kgb()

versteckt hat? Der Geck ist ja gerade, dass das Backdoor *nicht* im
Quelltext des Programms sondern nur im "urspruenglichen" Quelltext des
Compilers auftaucht.

[Mario Roßa]

> Danke Michael, das mit der Ignoranz solltest Du mir aber noch mal genauer
> erklären. Wenn ich etwas hasse dann sind es genau solche postings wie
dieses
> hier.

Nein, lieber nicht. Ich wollte dieses Thema ja beenden. Außerdem sollten es
die meißten gemerkt haben das Ich es eingesehen habe das mein
Posting zum Ursprünglichen Thema wie von anderen schon gesagt,
unqualifiziert und zum Thema PGP der größte Schrott war den man dazu hätte
Schreiben können.

Ich denke wenn man jetzt sagt:

Für PGP gibt es keinen Generalkey, da sich in meinen Augen ein paar Leute
damit Fachkenntnis den Sourcecode angeguckt haben und ihn auch nach
eigenen Aussagen (wenn Ich das richtig verstanden habe) für "sauber" halten.
Außerdem ist es fahrläßig von mir noch nie PGP benutzt zu haben, eventuell
werde Ich dies dann auch irgenwann einmal tun. Zu diesem Thema gibt es ja
jetzt hier genug Links. Ich danke euch nocheinmal für eure Netten postings
und Entschuldige mich für meine vielen Rechtschreibfehler, diese sind zum
größten Teil aus zu schnellem schreiben entstanden.

Ihr seht, ich resigniere.

Ich hoffe das Thema ist jetzt entgültig beendet und ich werde mich in
Zukunft nur noch zu Themen äußern über die Ich bescheit weiß.

MfG Mario R.

[Lutz Donnerhacke]

* Ole Streicher wrote:
>Hallo Lutz!
>lu...@iks-jena.de (Lutz Donnerhacke) writes:
>> >Hast Du nicht selbst erst unlaengst den Link auf die Tatsache
>> >gepostet, dass die Kenntnis des Quelltextes *nicht* reicht?
>> Allerdings glaube ich bei PGP auch zu verstehen, was da drine steht.
>
>Und woher weisst Du dass Dein Compiler kein Backdoor hat ala
>
>if (source_code_is_pgp())
> install_backdoor_for_kgb()
>
>versteckt hat?

Das ist 'Reflections on Trusting Trust'. Der Text sagt aber auch klar aus,
dass der Compilersource das nicht enthalten darf und nur deswegen, weil der
Compiler sich selbst übersetzt, das alles überlebt.

>Der Geck ist ja gerade, dass das Backdoor *nicht* im Quelltext des Programms
>sondern nur im "urspruenglichen" Quelltext des Compilers auftaucht.

Und das setzt voraus, dass der Hack schon zu einer Zeit implementiert wurde,
als es den PGP Source noch gar nicht gab. Und dies halte ich für ziemlich
unwahrscheinlich. Insbesondere, wenn es nicht nur ein von mir nachgepatchter
gcc (add Ada) sowie die native Compiler von OSF/1 und RS6000/AIX betreffen
soll.

[stefan...@gmx.de]

Aber Du kannst Kahns 'The Codebreakers' auch als Fiction
> Roman lesen.

Gibt es dazu eine ISBN?
Ansonsten wer Absolut keine Ahnung hat sollte vieleicht doch nicht
verschlüsseln

[Thomas Hochstein]

"Mario Roßa" <prakt...@hermes.materna.de> schrub/wrote:

> Was ich jedoch 100% weiß ist, das mindestens das Pentagon & der CIA einen

> Generalschlüssel für PGP besitzen. In den USA ist dies ein Gesetz für
> Verschlüsselungsverfahren die unter das Waffengesetzt fallen ein Generalkey
> oder ähnliches bei Staat zu hinterlegen. Ansonsten machen sich die
> Programmierer Strafbar.

Du solltest demnächst, wenn Du etwas "100%ig" zu wissen glaubst,
vielleicht doch noch einmal darüber nachlesen. Das würde sicherlich
helfen, Peinlichkeiten zu vermeiden.

-thh

[Sebastian Luettich]

* Mario Roßa schrob:
> Ives Steglich <dal...@acm.org> schrieb in im Newsbeitrag:
> MPG.12c307667aac7f859896e1@localhost...

> > naja ich weiß nicht, mit was du dich aus kennst, aber wenn ich etwas
> > über Dinge posten würde, über die du sehr gut bescheid weißt, und dzu
> > dann feststellen müstest, dass ich da den größten Müll schreibe den
> > man überhaupt zu diesem Thema verfassen kann, dann würdest du mit an
> > Sicherheit grenzender Wahrscheinlichkeit ähnlich reagieren
>

> Mit Aicherheit nicht. Ich würde nicht sofort anfangen zu versuchen jemanden
> aufs Korn zu nehmen, sondern ihm das ganze
> auf einer freundlicheren Art zu vermitteln. Komunikationskompetenz heißt das
> ganze dann in etwa, um jetzt nicht schon wieder
> eine Debatte über Komunikations anzuregen werde ich mal die Worte "denke
> Ich" hinzufügen.

Es geschah auf freundliche Art und Weise. Jedoch muss ich sagen das hier
eine ganz besondere Situation entstand. Du hast im Brustton der Ueberzeugung
[HUMBUG] zum besten gegeben. An und fuer sich waere das nicht so schlimm,
jedoch muss man davon ausgehen, das in dieser ng eine nicht unbetraechtliche
Zahl lurker sitzen, die ebendiese Falschaussagen im Hinterkopf behalten,
weil sie sie eventuell nicht verifizieren und dann zur naechstbesten
Gelegenheit ebenso weitertragen. Diese entstehenden Missverstaendnisse
muessen im Interesse der Ernsthaftigkeit des Themas ausgeraeumt und richtig
gestellt werden.

> > also bitte reg dich nicht so auf, sondern laß lieber diese
> > unqualifizierten Postings zu Themen, zu denen du augenscheinlich keine
> > Ahnung hast, und wo deine 100% Sicherheit etwas zu wissen, aus Medien
> > und News entnommen Kommentaren zum Thema stammt ...
>

> Unqualifiziert kann schon sein, damit habe ich auch kein Problem. Bei

Also ich haette ein Problem, wenn ich mit meiner Unqualifiziertheit andere
belehren woellte.

> anderen auch nicht. Warum sollte Ich mich nicht aufregen? Aber angesichts
> der
> Tatsache das in dieser NG ein Großteil der Postings auf so eine Art und
> Weise beantwortet werden hätte Ich damit rechnen müssen.

Du schrammst arg an der Trolligkeit entlang.

Sebastian

[Sebastian Luettich]

* Jakob Kreuzfeld schrob:

> Mark Nowiasz <buck...@gmx.de> wrote:
> > Irgendwie scheinen immer mehr Leute schlechte Filme / Bücher zu lesen und
> > diese auch für voll zu nehmen - ebenso wie die solche lustigen Gerüchte,
> > daß die NSA jeden Code knacken kann usw.
>
> Das werden sie nicht doch dann gibt's halt Terrorgesetze die die Firmen
> zwingen für Staatliche Stellen ein Hintertürchen offen zu lassen.

Clipperchip muss nicht eingesetzt werden.

Sebastian

[Sebastian Luettich]

* Jakob Kreuzfeld schrob:

> Michael Cordes <post...@mail.netwave.de> wrote:
> > glot...@sun529.rz.ruhr-uni-bochum.de (Jakob Kreuzfeld) schrieb am Wed, 15
> > Dec 1999 17:44:00 -0100:

> > Die Sourcecodes wurde gescannt und Korrektur gelesen.
>

> Endlich mal was konkretes damit kann mensch arbeiten.....!? Wenns da
> kein Terrorgesetz gibt das die Backdoors für Staatliche Stellen
> erlaubt????

Du scheinst da etwas falsch zu verstehen. Der Grund sind die
Exportrestriktionen der USofA, die verbieten das Programm in der
elektronischen Form auszufuehren, nicht jedoch die gedruckte Source.
Dieses Buch, im uebrigen kannst auch Du das kaufen, wird exportiert und
ausserhalb der USofA wieder eingescannt und korrekturgelesen. Irgendwo
existiert da auch eine Seite die die eingesetzte Technik der Scanner und
Programme etc. beschreibt. Dies alles geschieht mittels Eigeninitiative, es
hat also insofern keine Institution staatlicherseits Einfluss. Es kann also
keine Backdoor eingebaut werden, da der eingescannte Sourcecode ja frei
zugaenglich ist.

Sebastian

[Ludwig Huegelschaefer]

Sebastian Luettich wrote:

(...)

> Also ich haette ein Problem, wenn ich mit meiner Unqualifiziertheit andere
> belehren woellte.

Die mußt Du ja erstmal erkennen. Das ist die erste Stufe der
Qualifizierung.
Von wem stammt der folgende Spruch? "Die Mittelmäßigkeit kennt nichts
größeres als sich selbst."

Also ich erkenne mich da gelegentlich selber.

Ludwig

[Dietz Proepper]

Mario Roßa wrote:
>Lutz Donnerhacke <lu...@iks-jena.de> schrieb in im Newsbeitrag:
>slrn85hht...@taranis.iks-jena.de...
>> * Mario Roßa wrote:

>> >Hi, obwohl ich PGP und sonst auch kein Verschlüsselungsprogramm verwende
>da
>> >es nicht notwenig ist, habe ich also über diese Programme keine Ahnung.
>>

>> Kurz: Du weißt nicht, wie man sich schützt, und hast keine Ahnung.
>
>Länger: Ich halte es nicht für nötig meine eMail usw. per PGP zu
>verschlüsseln da ich keine Sicherheitsrelevanten Nachrichten verschicke.
>Oder
>ist es für jemanden Interessant zu wissen wie ich das Wetter gestern fand
>und wann ich mich mit wem wo treffe?

Wie Lutz sagte, Du hast nicht verstanden. Wie Zimmermann sagt,
wer keine Geheimnisse hat ist entweder ein unglaublicher Langweiler oder
unglaublich dumm. You choose.
Wenn Du jetzt damit anfängst, zu erzählen, "aba wenn ich Geheimnisse ver-
sende dann kann ich ja anfangen zu verschlüsseln" dann übersiehst Du daß
alleine durch dieses Verhalten Beobachtern signalisiert wird daß sich bei
Dir irgendwas potentiell interessantes abspielt.

BTW, weiß Dein Praktikumsplatzgeber, was Du für Unsi^WDinge erzählst?

*curious*

~dietz

[Dietz Proepper]

Lutz Donnerhacke wrote:
>* Ole Streicher wrote:

>>Der Geck ist ja gerade, dass das Backdoor *nicht* im Quelltext des Programms
>>sondern nur im "urspruenglichen" Quelltext des Compilers auftaucht.
>
>Und das setzt voraus, dass der Hack schon zu einer Zeit implementiert wurde,
>als es den PGP Source noch gar nicht gab. Und dies halte ich für ziemlich
>unwahrscheinlich. Insbesondere, wenn es nicht nur ein von mir nachgepatchter
>gcc (add Ada) sowie die native Compiler von OSF/1 und RS6000/AIX betreffen
>soll.

Letzten Endes wie überall - der Schritt von vernünftiger Vorsicht
zu klinischer Paranoia ist klein. Wahre Gewissheit gibt das im
echten Leben eben selten.

<Paranoia> Wer kann mir zusichern, daß die gesamte öffentliche Crypto-
Gemeinde nicht von den bösen Außerirdischen vom Sirius gesteuert
wird? </> (das war eindeutig der klinische Fall ;)

~dietz

[who cares?]

Ole Streicher <o...@ifh.de> wrote:
> Hallo Lutz!

> Und woher weisst Du dass Dein Compiler kein Backdoor hat ala

> if (source_code_is_pgp())
> install_backdoor_for_kgb()
sorry, richtiger müßte es lauten:
install_backdoor_for_nsa()
;)
paul

--
das ist Moses, das sind die Propheten!
Marx

[Lutz Donnerhacke]

* Dietz Proepper wrote:
><Paranoia> Wer kann mir zusichern, daß die gesamte öffentliche Crypto-
>Gemeinde nicht von den bösen Außerirdischen vom Sirius gesteuert
>wird? </> (das war eindeutig der klinische Fall ;)

Ich.

Wir sind nicht böse.

[Chris Kronberg]

Mario Roßa wrote:
>
> > Es ist interessant zu wissen, was Du verschlüsselst und was nicht. Es ist
> > dann noch interessant zu wissen, mit wem Du verschlüsselt kommunizierst
> und
> > wann Du das tust. Aber Du kannst Kahns 'The Codebreakers' auch als Fiction
> > Roman lesen.
>
> Danke für Deinen Hinweis, im Moment aber lese ich etwas anderes. Wie gesagt

Und wo ist das Problem ?

*snip*
> Du könntest mir ja mal sagen an was für einen Textstelle Du erkennst das ich
> nicht dazu bereit bin Irrtümer eizugestehen? Reicht es nicht zu sagen das
> ich der Festen Überzeugung war. Irren ist Menschlich, ich bin mir sicher das
> auch Du nicht fehlerfrei bist. Ich stimme Dir auch zu das ich etwas
> Behauptet habe, allerdings war ich der Felsenfesten Überzeugung recht zu
> haben. Deswegen brauch man aber nicht sofort jemanden so hoch zu nehmen.
> Eventuell hätte ich mein Posting ja auch anders Formulieren können.

Bzw. vorher auf Richtigkeit ueberpruefen koennen ?

*snip*
> > >> Da PGP nicht als Software exportiert wurde, ist eine solche Genehmigung
> > >> nicht notwendig. Für den Export wurde vor einigen Tagen aber eine
> > >> Genehmigung erteilt.
> > >
> > >Das PGP nach Deutschland nur über den Source kommen konnte wußte ich. Das
> > >mit der Genehmigung wußte ich nicht.
> >
> > Was sagt das für Deine Schlußkette aus?
>
> Eigentlich nur das Ich das mit der Genehmigung nicht wußte? Würde Ich
> jedenfalls aus so einem Text interpretieren.

Es bedeutet, dass Du aufgrund einer fehlerhaften Basis zu
einer falschen Schlussfolgerung kommst.

> > Es freut mich, daß Du mich verstehst. Es freut mich noch mehr, daß ich
> > Ansätze von Erkenntnis bei Dir zu sehen glaube. Nun noch etwas Logik auf
> > Deiner Seite und dann wird das schon.
>
> Was für eine Logik? Ich denke ich bin Logisch genug, denke ich jedenfalls,

Falsch gedacht.

> wie Du sieht denke Ich viel und mache mir auch Gedanken.

Was aber nichts ueber die Qualitaet der Gedanken aussagt. Eine
(gutgemeinte !) Empfehlung: Lies Dich in die Grundlagen mathematischer
Logik ein. Hat auch mir geholfen.

Gruss,

Chris.

[Bernd Eckenfels]

"Mario Roßa" <prakt...@hermes.materna.de> wrote:
> Ach noch etwas, angesichts der Tatsache das PGP <= 4.000 Bit verschlüsselt
> stellt sich hier nicht die Frage ob PGP unter das Waffengesetz fällt.

40 nicht 40000.... was raucht ihr praktikanten?

Gruss
Bernd

[Bernd Eckenfels]

"Mario Roßa" <prakt...@hermes.materna.de> wrote:
> Hi, obwohl ich PGP und sonst auch kein Verschlüsselungsprogramm verwende da
> es nicht notwenig ist, habe ich also über diese Programme keine Ahnung.

> Was ich jedoch 100% weiß ist, das mindestens das Pentagon & der CIA einen
> Generalschlüssel für PGP besitzen.

:) woher weisst du das 100%? Die Schluesselhinterlegung in manchen Produkten
ist dokumentiert und der Source von PGP frei. Auch in den neueren Versionen
ist da nichts von FBI zu finden... (wenn dann wohl eher NSA .. :)

Gruss
Bernd

[Rolf Kutz]

Jakob Kreuzfeld:
> Mark Nowiasz <buck...@gmx.de> wrote:
> > Ja ist es - die ersten dokumentierten AIDS-Fälle traten IIRC in den 50er
> > Jahren auf, da gabe es sowas wie Genlabors nicht. (IIRC war es ein

> Ist schon lange wiederlegt worden Pech für dich......

Ist es nicht.

--
Rolf

[Arnim Weidner]

Mark Nowiasz schrieb:

>
> Ja ist es - die ersten dokumentierten AIDS-Fälle traten IIRC in den 50er Jahren

> auf, da gabe es sowas wie Genlabors nicht. (IIRC war es ein Seemann, der
> dann später - wie auch seine Frau - an AIDS gestorben ist, die Ärzte konnten
> sich nicht erklären, was der Mann hatte und haben das Blut für spätere
> Untersuchungen aufgehoben, ein HIV-Test in den 90ern auf das Blut war
> positiv).

Siehe aktueller Spiegel. Da steht drin wie AIDS ueber die
Menschheit gekommen ist. Stichwort: Polio-Impfung.

Arnim

[Eric Wick]

Jakob Kreuzfeld wrote:

> neueren Ausgaben der PGP Programme haben! Ich habe gerade 2.6.2 für den
> MAC bekommen (jetzt bitte keine Grundsatzdiskussion über Systeme Bitte!)
> 1. Bis zu welcher Version ist das Teil sicher?

Irgendwo bei 2.6.2i oder ähnlich ist Schluß, man könnte sagen ab den
PGP-Versionen die großkotzig beworben wurden (wohl kaum zufällig). Das
Bundesministerium für Sicherheit hat übrigens zu GnuPG geraten da diese
Version mit freiem Quellcode kommt und jeder diesen überprüfen und
kompilieren kann. Es ist also weit genug nach oben durchgedrungen das
alle anderen Versionen Well-Known-Keys verwenden deren privaten Rest die
NSA auf einem 486er mal kurz aufmacht.

> 2. Gibt es da eine Kurzbeschreibung für? Oder kann mir mal wer erklären
> wie ich das Teil handhaben muss?

Sollte doch wohl im Archiv mit drinstecken, eine Langform und eine
Kurzform die alle Befehle auflistet. Ich meine die 2.6.x gibt auch durch
einfaches "pgp" eine Kurzreferenz aus.

--
Hi! I'm a .signature virus! Copy me into your ~/.signature to help me
spread!

Linux-Home-Networking: http://www.hanse-net.de/eric.wick
Und tschuess und wech sagt Eric

[Sebastian Luettich]

* Eric Wick schrob:

> Jakob Kreuzfeld wrote:
>
> > neueren Ausgaben der PGP Programme haben! Ich habe gerade 2.6.2 für den
> > MAC bekommen (jetzt bitte keine Grundsatzdiskussion über Systeme Bitte!)
> > 1. Bis zu welcher Version ist das Teil sicher?
>
> Irgendwo bei 2.6.2i oder ähnlich ist Schluß, man könnte sagen ab den
> PGP-Versionen die großkotzig beworben wurden (wohl kaum zufällig). Das
> Bundesministerium für Sicherheit hat übrigens zu GnuPG geraten da diese
> Version mit freiem Quellcode kommt und jeder diesen überprüfen und
> kompilieren kann. Es ist also weit genug nach oben durchgedrungen das
> alle anderen Versionen Well-Known-Keys verwenden deren privaten Rest die
> NSA auf einem 486er mal kurz aufmacht.

Das ist [HUMBUG]. Der Quellcode der Versionen auch > 2.6.3 ist ebenso
bekannt, da der Export dieser Versionen in elektronischer Form in den
USofA restrikt gehandhabt wird. Deshalb wurde der Sourcecode von PGP
ausgedruckt und in Buchform exportiert. Dieses Buch wurde in fiesester
Kleinarbeit eingescannt und korrekturgelesen, keine OCR erkennt 100,00%
sicher. Die Sourcen sind also ebenso bekannt und wurden auch von
kompetenten Leuten analysiert.

Sebastian

[Mark Nowiasz]

Eric Wick <eric...@hanse-net.de> wrote:

>Irgendwo bei 2.6.2i oder ähnlich ist Schluß, man könnte sagen ab den
>PGP-Versionen die großkotzig beworben wurden (wohl kaum zufällig). Das
>Bundesministerium für Sicherheit hat übrigens zu GnuPG geraten da diese
>Version mit freiem Quellcode kommt und jeder diesen überprüfen und
>kompilieren kann. Es ist also weit genug nach oben durchgedrungen das
>alle anderen Versionen Well-Known-Keys verwenden deren privaten Rest die
>NSA auf einem 486er mal kurz aufmacht.

Aeh, Du weisst, dass der Source von pgp > 2.6.3 ebenso offen Sourcecode hat
und auch jeder ueberpruefen und compilieren kann?

HMm, ist das nun die Masche der Geheimdienste, um die Verbreitung von pgp
zu verhindern:

"Wir koennen es zwar nicht knacken, verbreiten aber das Geruecht, dass
wir es koennen bzw. dass Hintertueren drin sind".

WIe man hier sieht, funktioniert das sogar - die Leute verbreiten das sogar
im Brustton der Ueberzeugung.

BTW: gibt es eigentlich irgendwelche Beweise (ausser Geruechten), dass der
NSA auch nur entfehrnt das kann, was sein Ruf besagt: Brechen von
irgendwelchen Codes in sehr schneller Zeit, Abhoeren und Mitschneiden von
allen Auslandsgespraechen usw?

Gruss,
Mark
--
|\ _,,,---,,_ Mark Nowiasz <buck...@gmx.de>
/,.-'' -. ;-;;,_ GPG/PGP-Keys available at keyservers/request.
|,4- ) )-,_..;\ ( '-' http://anarch.free.de/~buckaroo/
'---''(_/--' -'\_) IRC: Buckaroo | Voice: +49 179 4917624

[Dietz Proepper]

Stefan Hoops wrote:
>dietz...@rotfl.franken.de (Dietz Proepper) schrieb:

>
>><Paranoia> Wer kann mir zusichern, daß die gesamte öffentliche Crypto-
>>Gemeinde nicht von den bösen Außerirdischen vom Sirius gesteuert
>>wird? </> (das war eindeutig der klinische Fall ;)
>

>Endlich einer der sich der "Matrix" hingibt :-)

Anfänger! Das ist nicht 'die Matrix'!

naja, genug davon

~dietz

[Ludwig Huegelschaefer]

Eric Wick wrote:
>
> Jakob Kreuzfeld wrote:
>
> > neueren Ausgaben der PGP Programme haben! Ich habe gerade 2.6.2 für den
> > MAC bekommen (jetzt bitte keine Grundsatzdiskussion über Systeme Bitte!)
> > 1. Bis zu welcher Version ist das Teil sicher?
>

> Irgendwo bei 2.6.2i oder ähnlich ist Schluß,

Da das alles mittlerweile so gut bekannt ist, solltest Du das genauer
angeben können.

> man könnte sagen ab den
> PGP-Versionen die großkotzig beworben wurden (wohl kaum zufällig).

Die Werbung kommt, weil die mittlerweile auch verkauft werden.

> Das
> Bundesministerium für Sicherheit hat übrigens zu GnuPG geraten da diese
> Version mit freiem Quellcode kommt und jeder diesen überprüfen und
> kompilieren kann. Es ist also weit genug nach oben durchgedrungen das
> alle anderen Versionen Well-Known-Keys verwenden deren privaten Rest die
> NSA auf einem 486er mal kurz aufmacht.

Du kannst mir diese Stelle, wo an diese Well-known-keys mitverschlüsselt
wird, sicher im Sourcecode der 6.02i zeigen.

Ludwig

[Ingmar Camphausen]

stefan...@gmx.de wrote:
:
:
: Aber Du kannst Kahns 'The Codebreakers' auch als Fiction
:> Roman lesen.
:
: Gibt es dazu eine ISBN?

0-6848-3130-9 (2. Aufl.)

Ingmar

__ __
\_V_/ ___Y___ +-----------+
|\__/. .\ Ingmar Camphausen | USE PGP! |\ O---m /|
\ \_____/| ing...@in-berlin.de | (key via server |/`-------'\|
\_U__////_/ (NeXTmail/MIME OK!) | or on request) +-----------+
--
Echelon-No-Archive: Yes ;-}

[Eric Wick]

In article <385E245C...@gmx.net>, Ludwig.Hue...@gmx.net says...

>Da das alles mittlerweile so gut bekannt ist, solltest Du das genauer
>angeben können.

Ich beziehe es auf Empfehlung des Bundesministeriums lieber GnuPG zu verwenden,
wenn es keinerlei Grundlage dafür gäbe, würde sowas nicht veröffentlicht
werden.
Gleiches Beispiel ist die fantastische P3-Seriennummer, jeder kann sie im Bios
deaktivieren und schon gehen Millionen von Boards und Prozessoren über den
Tisch weil die User sich deswegen sicher fühlen. Keiner weiss das die
Seriennummer mittels Skriptsprachen temporär wieder eingeschaltet werden kann.

Immer wieder erstaunt mich die Blauäugigkeit der Anwender die sofort zufrieden
sind wenn ausgerechnet die Herausgeber eines Produkts darüber Aussagen machen.
Im Fall PGP wurde Phil Zimmermann auf gleicher US-Gesetzesgrundlage angeklagt
auf deren Basis heute die neueren Versionen verkauft werden. Alles nur weil
2.6.x den Staatsorganen lediglich Brute Force als Ansatzpunkt bietet.

Ich warte täglich auf das Posting worin die Backdoor-Bombe der neuen PGPs
platzt.

--
This posting offers only my personal meanings
ByeBye
Eric

[Mark Nowiasz]

Eric Wick <e.w...@deutschepost.de> wrote:
>In article <385E245C...@gmx.net>, Ludwig.Hue...@gmx.net says...
>
>>Da das alles mittlerweile so gut bekannt ist, solltest Du das genauer
>>angeben können.
>
>Ich beziehe es auf Empfehlung des Bundesministeriums lieber GnuPG zu verwenden,
>wenn es keinerlei Grundlage dafür gäbe, würde sowas nicht veröffentlicht
>werden.

Aha - also das übliche Getratsche ala "Ohne Feuer kein Rauch?"

OK, ich kann Dir mehrere gute Gründe erzählen, warum man lieber gpg statt
pgp einsetzen soll (auch aus der Sicht des Ministeriums), und alle
haben nichts mit Sicherheit zu tuen.

1. Das Ministerium hat gpg mit einer 6 stelligen Summe (den genauen Betrag
habe ich nicht im Kopf) gesponsort, da ist es natürlich logisch, daß man
das Produkt empfiehlt, was man finanziell uterstützt hat.

BTW: wenn Du konsequent wärst, müßtest Du auch hier Paranoia entwickeln,
nach der Lesart "Das Bundesministrium hat das gpg-Team bestochen, daß
sie einen Zweitschlüssel in gpg implementieren"

2. gpg läuft unter ger GPL, währen pgp in nicht-privaten Einsatz Schweinegeld
kostet

3. Warum sollte man sich von einer amerikanischen Firma abhängig machen, wenn
es eine europäische Alternative gibt?

>Gleiches Beispiel ist die fantastische P3-Seriennummer, jeder kann sie im Bios
>deaktivieren und schon gehen Millionen von Boards und Prozessoren über den
>Tisch weil die User sich deswegen sicher fühlen. Keiner weiss das die
>Seriennummer mittels Skriptsprachen temporär wieder eingeschaltet werden kann.

Aha - Skriptsprachen bieten die Möglichkeit, Assembler-Befehle auszuführen?
Aua.

BTW. die Seriennummer ist nichts besonderes oder gar neues - IIRC hatten schon
Motorolaprozessoren etwas ähnliches drin; dadurch konnte man Produkte pro
Computer lizensieren.

BTW2: Es gibt auch ohne Seriennummer im Prozessor immer noch Möglichkeiten,
den Computer eindeutig zu identifizieren - Windows2000 OEM plant ja sowas,
als erste Möglichkeit würde mir die MAC-Adresse einfallen.

>Immer wieder erstaunt mich die Blauäugigkeit der Anwender die sofort zufrieden
>sind wenn ausgerechnet die Herausgeber eines Produkts darüber Aussagen machen.
>Im Fall PGP wurde Phil Zimmermann auf gleicher US-Gesetzesgrundlage angeklagt
>auf deren Basis heute die neueren Versionen verkauft werden. Alles nur weil
>2.6.x den Staatsorganen lediglich Brute Force als Ansatzpunkt bietet.

Sag mal, tut das nicht beim Posten furchtbar weh, wenn Du einen solchen Unsinn
verbreitest?

Phil Zimmermann wurde angeklagt, weil er im Verdacht stand, pgp aus den
USA exportiert zu haben (die wahrscheinlichste Erklärung des Auftretens
von pgp auf internationalen Servern war eher, daß die Server Mirrors waren
und auch pgp gleich mitgemirrored haben=, und bis vor kurzem war es immer
noch nicht erlaubt, pgp in elektronischer Form aus den USA zu exportieren -
deshalb ging man den etwas umständlichen Weg des Exports über den ausgedruckten
Quellcode über Bücher.

Ach noch was - gpg und pgp >=5.0 verwenden die gleichen Algorithmen, die
Keys sind austauschbar - was sagt das über die Sicherheit von gpg aus?

>Ich warte täglich auf das Posting worin die Backdoor-Bombe der neuen PGPs
>platzt.

Wahrscheinlich wartest Du auch täglich auf die Bestätigung, daß die Mondlandung
in Wirklichkeit in einem Fernsehstudio stattgefunden hat.

Irgendwie witzig, daß die Möglichkeit für jeden, sicher zu verschlüsseln. eine
neue Generation Paranoiker hervorgebracht hat - man sollte meinen, daß die
Paranoiker, die meinen, daß der Staat jede Mail liest mit pgp/gpg zufrieden
wären, aber nein, selbst der offene Sourcecode der Verschlüsselungsprogramme
beruhigt die Paranoiker nicht - da kann man Gallileo gut verstehen, was er
bei seinem Kampf gegen die Ignoranz gefühlt haben mag.

Gruß,
Mark
--
|\ _,,,---,,_ Mark Nowiasz (buck...@blackbox.free.de)
/,.-'' -. ;-;;,_ PGP-Key available at keyservers/request.
|,4- ) )-,_..;\ ( '-' http://www.free.de/~buckaroo/
'---''(_/--' -'\_) IRC: Buckaroo | Voice: +49 179 47624

[Ludwig Huegelschaefer]

Eric Wick <e.w...@deutschepost.de> wrote:

> In article <385E245C...@gmx.net>, Ludwig.Hue...@gmx.net says...
>
> >Da das alles mittlerweile so gut bekannt ist, solltest Du das genauer
> >angeben können.

ach ja, und zum Rest von meinem Posting hast Du nix zum sagen gehabt.

(...)

> Ich warte täglich auf das Posting worin die Backdoor-Bombe der neuen PGPs
> platzt.

Das gibts tatsächlich allwöchentlich in alt.security.pgp. Die sind
ähnlich aussagekräftig wie Deine abstrusen Annahmen bezüglich Backdoors.
Zum Rest hat Mark schon kompetent Stellung genommen.

Viel Spaß beim Paranoia füttern.

Ludwig

--
Ludwig Huegelschaefer PGP-encrypted mail welcome!
PGP public key available on most keyservers. RSA/2048 key-ID: F19274B1

[Eric Wick]

Mark Nowiasz wrote:

> habe ich nicht im Kopf) gesponsort, da ist es natürlich logisch, daß man
> das Produkt empfiehlt, was man finanziell uterstützt hat.

Logisch wäre es in dem Fall, wo gleichzeitig der Quellcode geändert
werden kann a la Kohl-Manier "Gib mir Geld und Du kriegst Deine
Gesetzesgrundlage". Eine Verschlüsselung von Mails mit Allerweltstools
sehe ich grob betrachtet als Spielzeug für die Massen an. Es gibt
vielleicht ein gutes Gefühl seine Infos vor jedermann geschützt zu
haben, aber vor Leuten deren Budget hoch genug ist schützt es nicht.

> 3. Warum sollte man sich von einer amerikanischen Firma abhängig machen, wenn
> es eine europäische Alternative gibt?

Nur ist gpg kein Kommerzprodukt an dessen Verkauf die Regierung etwas
verdienen kann, scheinbar haben die irgendwas anderes im Hinterkopf.

> Aha - Skriptsprachen bieten die Möglichkeit, Assembler-Befehle auszuführen?
> Aua.

Ist das wirklich neu für Dich? Active-X formtiert Festplatte hätte
niemals in irgendeiner Zeitschrift auftauchen dürfen wenn es nicht
funktionieren hätte. Findige Programmierer mogeln auch Viren auf die
Platte obwohl die Interpreter der Skriptsprachen "angeblich" in einer
Sandbox laufen.

> BTW2: Es gibt auch ohne Seriennummer im Prozessor immer noch Möglichkeiten,
> den Computer eindeutig zu identifizieren - Windows2000 OEM plant ja sowas,
> als erste Möglichkeit würde mir die MAC-Adresse einfallen.

Realplayer & MS-Mediaplayer?

> Ach noch was - gpg und pgp >=5.0 verwenden die gleichen Algorithmen, die
> Keys sind austauschbar - was sagt das über die Sicherheit von gpg aus?

Beides sind Spielzeuge für die breite Masse an Benutzern, Daten mit
Firmengeheimnissen würde ich damit nicht verschlüsselt auf öffentlichen
Wegen transportieren wollen.

> wären, aber nein, selbst der offene Sourcecode der Verschlüsselungsprogramme
> beruhigt die Paranoiker nicht - da kann man Gallileo gut verstehen, was er
> bei seinem Kampf gegen die Ignoranz gefühlt haben mag.

Wie gesagt, die Zeit der Entschlüsselung hat die Komponente Budget
eingebaut. Wenn die Internetgemeinde eine Woche an einem 64Bit RSA
Schlüssel rechnet, setzen die richtigen Leute da einen Rechner an der
1024Bit codierte Mails mal kurz per Bruteforce entschlüsselt.

Wenn man nun dem User suggeriert pgp oder gpg wären DIE Allheilmittel
und nicht zu entschlüsseln, dann sollte jeder überlegen wovor und
wieweit sie wirklich schützen. Die Argumentation "absolut sicher" ist
jedenfalls Fehl am Platze.

Weihnachtliche Grüße
Eric

[Florian Laws]

In article <38652395...@hanse-net.de>, Eric Wick wrote:
>
>Logisch wäre es in dem Fall, wo gleichzeitig der Quellcode geändert
>werden kann a la Kohl-Manier "Gib mir Geld und Du kriegst Deine
>Gesetzesgrundlage". Eine Verschlüsselung von Mails mit Allerweltstools
>sehe ich grob betrachtet als Spielzeug für die Massen an. Es gibt
>vielleicht ein gutes Gefühl seine Infos vor jedermann geschützt zu
>haben, aber vor Leuten deren Budget hoch genug ist schützt es nicht.

Aha. Kannst Du das auch näher begründen?

>> Aha - Skriptsprachen bieten die Möglichkeit, Assembler-Befehle auszuführen?
>> Aua.
>
>Ist das wirklich neu für Dich? Active-X formtiert Festplatte hätte
>niemals in irgendeiner Zeitschrift auftauchen dürfen wenn es nicht
>funktionieren hätte. Findige Programmierer mogeln auch Viren auf die
>Platte obwohl die Interpreter der Skriptsprachen "angeblich" in einer
>Sandbox laufen.

[ ] Du kennst den Unterschied zwischen Aufrufen von Funktionen einer
Betriebsystemschnittstelle und Assembler-Befehlen.

>> BTW2: Es gibt auch ohne Seriennummer im Prozessor immer noch Möglichkeiten,
>> den Computer eindeutig zu identifizieren - Windows2000 OEM plant ja sowas,
>> als erste Möglichkeit würde mir die MAC-Adresse einfallen.
>
>Realplayer & MS-Mediaplayer?

man GUID
man GUIDGEN

>> Ach noch was - gpg und pgp >=5.0 verwenden die gleichen Algorithmen, die
>> Keys sind austauschbar - was sagt das über die Sicherheit von gpg aus?
>
>Beides sind Spielzeuge für die breite Masse an Benutzern, Daten mit
>Firmengeheimnissen würde ich damit nicht verschlüsselt auf öffentlichen
>Wegen transportieren wollen.

Wie Du willst. Die Dienste werden sich freuen.

>Wie gesagt, die Zeit der Entschlüsselung hat die Komponente Budget
>eingebaut. Wenn die Internetgemeinde eine Woche an einem 64Bit RSA
>Schlüssel rechnet, setzen die richtigen Leute da einen Rechner an der
>1024Bit codierte Mails mal kurz per Bruteforce entschlüsselt.

Nachdem Bruce Schneier afaik einmal vorgerechnet hat, dass ein Rechner
der 1024 Bit-Schlüssel in vernünftiger Zeit knacken kann, dafür mehr
Energie bräuchte, als im gesamten Universum vorhanden ist, würde mich
das Budget einer Behörde, die mal eben ein Paralleluniversum anzapft,
doch sehr interessieren.

>Wenn man nun dem User suggeriert pgp oder gpg wären DIE Allheilmittel
>und nicht zu entschlüsseln, dann sollte jeder überlegen wovor und
>wieweit sie wirklich schützen. Die Argumentation "absolut sicher" ist
>jedenfalls Fehl am Platze.

Ja. Allerdings droht die Gefahr nicht dort, wo Du sie siehst.

Florian

[Mark Nowiasz]

Eric Wick <eric...@hanse-net.de> wrote:
>Eine Verschlüsselung von Mails mit Allerweltstools
>sehe ich grob betrachtet als Spielzeug für die Massen an. Es gibt
>vielleicht ein gutes Gefühl seine Infos vor jedermann geschützt zu
>haben, aber vor Leuten deren Budget hoch genug ist schützt es nicht.

Belege für diese wiederum vollkommen abstruse These? Unten machen wir mal
eine kleine Rechnung auf.

>> 3. Warum sollte man sich von einer amerikanischen Firma abhängig machen, wenn
>> es eine europäische Alternative gibt?
>
>Nur ist gpg kein Kommerzprodukt an dessen Verkauf die Regierung etwas
>verdienen kann, scheinbar haben die irgendwas anderes im Hinterkopf.

Scheinbar ist die richtige Wahl - was haben die denn im Hinterkopf?

>> Aha - Skriptsprachen bieten die Möglichkeit, Assembler-Befehle auszuführen?
>> Aua.
>
>Ist das wirklich neu für Dich? Active-X formtiert Festplatte hätte
>niemals in irgendeiner Zeitschrift auftauchen dürfen wenn es nicht
>funktionieren hätte. Findige Programmierer mogeln auch Viren auf die
>Platte obwohl die Interpreter der Skriptsprachen "angeblich" in einer
>Sandbox laufen.

Aua - inwiefern ist Active-X eine Skriptsprache? Bevor Du Dich noch
lächerlicher machst, rede doch bitte nur von Dingen, von denen Du auch nur
etwas Ahnung hast. Active-X sind echte, vollwertige Programme, die im
Gegensatz zu Skriptsprachen keinen Interpreter benötigen und - wenn sie
ausgeführt werden - die volle Kontrolle über Windows haben. Ich frage
Dich nochmal: welche Skriptsprache (im Web fällt mir da nur EGMA-Skript
ein, VB-Skript ist nicht plattformunabhängig) bietet die Möglichkeit,
Assemblerbefehler auszuführen?

>> Ach noch was - gpg und pgp >=5.0 verwenden die gleichen Algorithmen, die
>> Keys sind austauschbar - was sagt das über die Sicherheit von gpg aus?
>
>Beides sind Spielzeuge für die breite Masse an Benutzern, Daten mit
>Firmengeheimnissen würde ich damit nicht verschlüsselt auf öffentlichen
>Wegen transportieren wollen.

Aha - warum nicht?

>> wären, aber nein, selbst der offene Sourcecode der Verschlüsselungsprogramme
>> beruhigt die Paranoiker nicht - da kann man Gallileo gut verstehen, was er
>> bei seinem Kampf gegen die Ignoranz gefühlt haben mag.
>

>Wie gesagt, die Zeit der Entschlüsselung hat die Komponente Budget
>eingebaut. Wenn die Internetgemeinde eine Woche an einem 64Bit RSA
>Schlüssel rechnet, setzen die richtigen Leute da einen Rechner an der
>1024Bit codierte Mails mal kurz per Bruteforce entschlüsselt.

Aha. Nun zu der kleinen Rechnung:

als absolut unterstere physikalische Grenze, in der ein Computer
etwas tuen kan, nehmen wir mal die Zeit, in dem ein Photon einen Atomkern
durchquert an, das sind 10^-23 Sekunden (Obwohl das vollkommen unrealistisch
ist - eine realistische Grenze liegt etliche Größenordnungen darüber, dazu
kommt noch, daß Entschlüsselungen Millionen von Zustandsänderungen erfodert)

Um ein 128 bit symetrisches Verfahren wie IDEA mit Bruteforce zu knacken,
sind 2^128 Durchläufe im ungünstigsten Fall notwendig, bei 10^-23 Sekunden
bräuchte man ca. 10 Millionen Jahre, bei den vollkommen unrealistisch
niedrigen Schaltzyklen, die ich angenommen habe - realistisch pro Chip
wären Milliarden Jahre.

Und nun erzähl mir mal, welche Art Hardware das in kurzer ausrechnen soll?

>Wenn man nun dem User suggeriert pgp oder gpg wären DIE Allheilmittel
>und nicht zu entschlüsseln, dann sollte jeder überlegen wovor und
>wieweit sie wirklich schützen. Die Argumentation "absolut sicher" ist
>jedenfalls Fehl am Platze.

Au weia - es gibt hundertausende von Kryptoanalytikern weltweit, derjenige,
der eine ernsthafte Schwäche in den Algorithmen von gpg oder pgp winden
würde, würde weltberühmt und bräuchte sich um seine berufliche Zukunft keine
SOrgen zu machen - und dennoch ist bisher noch nichts bekannt.

Aber OK, der einzig mathematisch bewiesenermaßßen sicherer Algorithmus ist
der One-Time-Pad - auch wenn die Schlüsselhandhabung etwas unangenehm ist.

Aber bleib ruhig bei Deiner Paranoia und vertraue eher unbekannten
Algorithmen mehr als Algorithmen, die seit Jahren bekannt und erfolglose
Zielscheibe der besten Kryptoanalytiker sind - die wahre Schwachstelle bei
Verschlüsselung verbirgt sich bei Alogrithmen vom Kaliber gpg / pgp nicht
in der Verschlüsselung, sondern bei der Maschine (Tempest) bzw. ganz
altmodisch bei den Menschen, die im Fall der Fälle keine guten Geheimnis-
träger sind oder empfänglich für Bestechungen sind.

[Lutz Donnerhacke]

* Mark Nowiasz wrote:
>Dich nochmal: welche Skriptsprache (im Web fällt mir da nur EGMA-Skript

s/G/C/

>Aha. Nun zu der kleinen Rechnung:

...

>Und nun erzähl mir mal, welche Art Hardware das in kurzer ausrechnen soll?

Die Annahme, es gäbe keinen Fortschritt der Theorie, ist fragwürdig.

>Au weia - es gibt hundertausende von Kryptoanalytikern weltweit, derjenige,
>der eine ernsthafte Schwäche in den Algorithmen von gpg oder pgp winden
>würde, würde weltberühmt und bräuchte sich um seine berufliche Zukunft keine
>SOrgen zu machen - und dennoch ist bisher noch nichts bekannt.

Die Annahme, Fehler seien offensichtlich, ist fragwürdig.

[Thomas Hochstein]

lu...@iks-jena.de (Lutz Donnerhacke) schrub/wrote:

> Die Annahme, es gäbe keinen Fortschritt der Theorie, ist fragwürdig.

[...]

> Die Annahme, Fehler seien offensichtlich, ist fragwürdig.

Akzeptiert. Der Schluß daraus, pgp <=2.6.3 sei sicher, höhere
Versionsnummern aber nicht, ist IMHO dennoch bisher durch nichts fundiert.

-thh

[Mark Nowiasz]

Lutz Donnerhacke <lu...@iks-jena.de> wrote:
>>Und nun erzähl mir mal, welche Art Hardware das in kurzer ausrechnen soll?
>

>Die Annahme, es gäbe keinen Fortschritt der Theorie, ist fragwürdig.

Die Annahme habe ich nicht getätigt.

Wenn Du Dir den Kontext ansiehst, so ging es um Brute-Force um mehr nicht -
wo stand da etwas von analytischen Methoden?

Selbstverständlich ist es denkbar, daß irgendwann neue mathematische
Methoden entwickelt werden - dann sind jedoch nicht nur pgp / gpg, sondern
einge nicht unbeträchtliche Zahl von Algorithmen im Eimer.

Dann jedoch auf andere Produkte zu verweisen, ist genauso falsch.

>>Au weia - es gibt hundertausende von Kryptoanalytikern weltweit, derjenige,
>>der eine ernsthafte Schwäche in den Algorithmen von gpg oder pgp winden
>>würde, würde weltberühmt und bräuchte sich um seine berufliche Zukunft keine
>>SOrgen zu machen - und dennoch ist bisher noch nichts bekannt.
>

>Die Annahme, Fehler seien offensichtlich, ist fragwürdig.

OK - nur gilt das nicht nur für pgp >=5.0, sondern auch für pgp <=2.6.3i.

[Juergen Nieveler]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Thomas Hochstein <expire...@usenet.th-h.de> schrieb in im
Newsbeitrag: d.c.s.99122...@dragon.akallabeth.de...
> lu...@iks-jena.de (Lutz Donnerhacke) schrub/wrote:

>
> > Die Annahme, es gäbe keinen Fortschritt der Theorie, ist
> > fragwürdig.

> [...]

> > Die Annahme, Fehler seien offensichtlich, ist fragwürdig.
>

> Akzeptiert. Der Schluß daraus, pgp <=2.6.3 sei sicher, höhere
> Versionsnummern aber nicht, ist IMHO dennoch bisher durch nichts
> fundiert.
>
> -thh

Wer hat eigentlich bewiesen, daß PGP 2.6.3 sicher ist? Gibt es dazu
Unterlagen, oder ist das auch so eine Glaubensfrage?

Und auf welcher Version basiert GPG?

- --
Juergen Nieveler

Support the ban of Dihydrogen Monoxide: http://www.dhmo.org/

"The people united can never be ignited!"
Sgt. Colon, Ankh-Morpork City Watch (Night Shift)

PGP-Key available under
www.netcologne.de/~nc-nievelju/

-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 6.5.1 for non-commercial use <http://www.pgp.com>
Comment: Please use Encryption!

iQA/AwUBOGfNQVBuJhweubPnEQInZgCfVBMQxFWSaiPxE9v/mgWBxpH42+UAoKl4
3k9mzK6ywDwuEkv6NPMtVYy5
=jHR3
-----END PGP SIGNATURE-----

[Ulrich Kuehn]

Florian Laws wrote:
>
> In article <38652395...@hanse-net.de>, Eric Wick wrote:
> >

> >Wie gesagt, die Zeit der Entschlüsselung hat die Komponente Budget
> >eingebaut. Wenn die Internetgemeinde eine Woche an einem 64Bit RSA
> >Schlüssel rechnet, setzen die richtigen Leute da einen Rechner an der
> >1024Bit codierte Mails mal kurz per Bruteforce entschlüsselt.
>

> Nachdem Bruce Schneier afaik einmal vorgerechnet hat, dass ein Rechner
> der 1024 Bit-Schlüssel in vernünftiger Zeit knacken kann, dafür mehr
> Energie bräuchte, als im gesamten Universum vorhanden ist, würde mich
> das Budget einer Behörde, die mal eben ein Paralleluniversum anzapft,
> doch sehr interessieren.
>

Bevor ihr hier noch mehr Verwirrung stiftet: Unterscheidet bitte
zwischen symmetrischen und asymmetrischen Verfahren. Die 64 bit RSA
challenge greift das SYMMETRISCHE Verfahren RC5 mit 64 bit
Schluessellaenge an.
Uebliche Schluessellaengen fuer ASYMMETRISCHE Verfahren (auch
Public-Key-Verfahren genannt) liegen heute bei mindestens 1024 bit.
Daneben ist kein gut analysierter symmetrischer Algorithmus bekannt, der
mehr als 256 bit Schluessellaenge besitzt, dies ist die obere
Anforderungsstufe fuer AES, auch symmetrisch; jetzt kommt aber bitte
nicht mit 5fach DES oder sowas.
Zur Vergleichbarkeit von symmetrischen und asymmetrischen
Schluessellaengen siehe z.B.
den Artikel von Lenstra und Verheul, "Selecting cryptographic key
sizes", http://www.cryptosavvy.com/

Ciao,
Ulrich

[Eric Wick]

Mark Nowiasz wrote:

> Aua - inwiefern ist Active-X eine Skriptsprache? Bevor Du Dich noch

MS hat es als Alternative oder Konkurrent zu Javascript vom Klassenfeind
Sun Netscape ins Rennen geschickt. Es wird auch oft als Active-Scripting
tituliert.

> ausgeführt werden - die volle Kontrolle über Windows haben. Ich frage

> Dich nochmal: welche Skriptsprache (im Web fällt mir da nur EGMA-Skript

> ein, VB-Skript ist nicht plattformunabhängig) bietet die Möglichkeit,
> Assemblerbefehler auszuführen?

Moment mal, da war doch was vom BSI:

---schnipp---
In letzter Zeit wurden in den verbreiteten WWW-Browsern Microsoft
Internet Explorer und Netscape Communicator zahlreiche neue
Sicherheitslücken entdeckt, die durch aktive Inhalte (ActiveX,
JavaScript, Java u.a.) in WWW-Seiten ausgenutzt werden können. So können
Angreifer beispielsweise Nutzerkennung mit Passwörtern oder auch lokal
gespeicherte Daten von privaten und kommerziellen Internetnutzern
ausspionieren. Grund für diese Fehler sind vor allem Programmierfehler -
eine risikofreie Implementierung scheint kaum möglich zu sein. Selbst
die Browserhersteller haben in diesem Zusammenhang schon dazu geraten,
das Ausführen aktiver Inhalte, insbesondere von JavaScript, in den
Browsern abzustellen. Da sich der Internet-Nutzer einem kaum
einschätzbaren Schadenspotential aussetzt, rät das BSI dringend, bei der
Nutzung des Internets auf aktive Inhalte zu verzichten.

Während Java oder ActiveX jedoch nur auf wenigen WWW-Servern Verwendung
findet, sind viele WWW-Server heute ohne JavaScript nur noch
eingeschränkt darstellbar; sicherheitsbewusste Internet-Nutzer werden so
konsequent von deren Angeboten ausgesperrt. Dabei ist JavaScript auf der
großen Mehrzahl der WWW-Server nicht notwendig. Meist wird es
ausschließlich für optische Spielerein genutzt. Diese WWW-Server könnten
mit dem gleichen Funktionsumfang und Informationsangebot ohne JavaScript
auskommen. Das BSI empfiehlt deswegen den Betreibern von WWW-Servern
dringend, vollständig auf JavaScript zu verzichten oder zumindest für
ihre sicherheitsbewussten Kunden Alternativangebote bereitzustellen, die
ohne aktive Inhalte dargestellt werden können.

Pressesprecher: M. Dickopf, Tel.: (0228) 9582-307, Fax: (0228) 9582-403,
Postfach 200363, 53133 Bonn - e-mail: dic...@bsi.de
---schnapp---

Ich drücke es mal anders aus, so benutzt wie gedacht und geplant mögen
die aktiven Inhalte was geniales sein, leider strotzen die immer
unübersichtlicheren Browser und Mailclients aber so vor Bugs das man
genau den von mir erwähnten Effekt erhält. Durch Ausnutzung bekannter
Fehler können die Skripte weitaus mehr als erwünscht.

> Um ein 128 bit symetrisches Verfahren wie IDEA mit Bruteforce zu knacken,
> sind 2^128 Durchläufe im ungünstigsten Fall notwendig, bei 10^-23 Sekunden
> bräuchte man ca. 10 Millionen Jahre, bei den vollkommen unrealistisch
> niedrigen Schaltzyklen, die ich angenommen habe - realistisch pro Chip
> wären Milliarden Jahre.

Du rechnest jetzt mit einem Chip der Durchläufe machen muß, teile den
Prozess auf hunderte bis tausende Prozessoren aus aktueller Fertigung
auf und die Zeit schwindet. Die Grenze der maximal verfügbaren
Energiemenge dafür wird durch technischen Fortschritt auch ständig
geringer.

Es ist müßig hier auszudisktutieren ob es etwas absolut 100% sicheres
gibt, mein Standpunkt bleibt das klare NEIN da der technische
Fortschritt uns morgen präsentiert was wir heute für unmöglich halten.

[Mark Nowiasz]

Eric Wick <eric...@hanse-net.de> wrote:
>Mark Nowiasz wrote:
>
>> Aua - inwiefern ist Active-X eine Skriptsprache? Bevor Du Dich noch
>
>MS hat es als Alternative oder Konkurrent zu Javascript vom Klassenfeind
>Sun Netscape ins Rennen geschickt. Es wird auch oft als Active-Scripting
>tituliert.

Auch Java ist keine Skriptsprache, sondern eine in (Pseudo-)Code compiliertes
Programm. Es spielt auch keine Rolle, was Microsoft wie bezeichnet - eine
Skriptsprache ist Active-X gewißt nicht.

[snip]

>Ich drücke es mal anders aus, so benutzt wie gedacht und geplant mögen
>die aktiven Inhalte was geniales sein, leider strotzen die immer
>unübersichtlicheren Browser und Mailclients aber so vor Bugs das man
>genau den von mir erwähnten Effekt erhält. Durch Ausnutzung bekannter
>Fehler können die Skripte weitaus mehr als erwünscht.

Zugegeben - aber was hat das alles mit dem Einschalten der Prozessor-
kennung per Assembler zu tuen? Javascript & co. können eine Menge Unfug
machen - aber definitiv kein Assemblercode ausführen, das kann nur
Active-X und das ist keine Skriptsprache.

>> Um ein 128 bit symetrisches Verfahren wie IDEA mit Bruteforce zu knacken,
>> sind 2^128 Durchläufe im ungünstigsten Fall notwendig, bei 10^-23 Sekunden
>> bräuchte man ca. 10 Millionen Jahre, bei den vollkommen unrealistisch
>> niedrigen Schaltzyklen, die ich angenommen habe - realistisch pro Chip
>> wären Milliarden Jahre.
>
>Du rechnest jetzt mit einem Chip der Durchläufe machen muß, teile den
>Prozess auf hunderte bis tausende Prozessoren aus aktueller Fertigung
>auf und die Zeit schwindet. Die Grenze der maximal verfügbaren
>Energiemenge dafür wird durch technischen Fortschritt auch ständig
>geringer.

OK - dann hast Du 1000 Prozessoren, die einen Befehl (wie auch das möglich
seien soll) in der Zeit, in dem ein Photon einen Atomkern durchquert,
ausführt - und es kann sich dabei logischerweise nur um ein Zustandsänderung
handeln. Rechts rechnet mal aus, daß für eine Entschlüsselung mehrere
Millionen Zustandsänderungen nötig sind, und da war es das mit Deinen
N-Prozessoren.

Aber gut, daß Du Energie ansprichst:

Nehmen wir mal an, ein Zustand (sprich: ein Bit) würde durch ein Elektron
gespeichert und gehen wir mal davon aus, daß zu einer Zustandsänderung
ein Elektronenvolt nötig ist (auch komplett unrealistisch, um ein Elektron
in eine andere Bahn zu schicken bzw. es vom Atom zu lösen, brauchst Du
mehr Energie, außerdem haut Dir dann noch Heisenbergs Unschärferealtion in
die Quere), dann brauchst Du bei 128 Bit 2^128 Zustandsänderungen mit
je 1 einem Elektronenvolt, die Energie die dafür notwendig ist, ist
ungefähr 5 * 10^19 Joule.

Ein Kernkraftwerk liefert Leistung in der Größenordnung von mehreren Mega-
Watt (Joule/Sekunde), sprich ein Kernkraftwerk bräuchte alleine ungefähr
208 Millionen Jahre, um die Energie zu liefern, die notwendig wäre,
nur um die Zustände zu ändern.

Und jetzt erklär mir mal, wo die NSA die Milliarden Kernkraftwerke versteckt
hat, um Deinen Supercomputer zu betreiben, der PGP mit Brute-Force knackt.

>Es ist müßig hier auszudisktutieren ob es etwas absolut 100% sicheres
>gibt, mein Standpunkt bleibt das klare NEIN da der technische
>Fortschritt uns morgen präsentiert was wir heute für unmöglich halten.

Dein Standpunkt ist OK, wenn auch falsch - der One-Time-Pad z.B. kann
defintiv (und das ist mathematisch belegt) nicht geknackt werden, und
ist auch leicht zu implementieren:

Einwegschlüssel, die mindestens so lang sind wie der zuverschlüsselnde
Text, dann ein XOR mit Text und Schlüssel.

Daß soetwas nie ohne den passen Schlüssel entschlüsselt werden kann,
liegt auf der Hand.

Dein Standpunkt sei Dir unbelassen - von mir aus kann jeder seine Paranoia
pflegen, wie er will, aber bitte behaupte anhand von Gefühlen / Glauben
nicht solchen hahnebüchenen Unsinn über pgp/gpg.

[H. Eckert]

eric...@hanse-net.de (Eric Wick) wrote:
> Ich drücke es mal anders aus, so benutzt wie gedacht und geplant mögen
> die aktiven Inhalte was geniales sein, leider strotzen die immer
> unübersichtlicheren Browser und Mailclients aber so vor Bugs das man
> genau den von mir erwähnten Effekt erhält. Durch Ausnutzung bekannter
> Fehler können die Skripte weitaus mehr als erwünscht.

Ich mag diesen ganzen graphischen Firlefanz schon gar nicht erst,
da er (auch wenn die Leute es gepeilt haben und nur kleine Icons
durch die Gegend schaufeln) die Anzeigezeiten drastisch erhöht.
(Für jedes Fitzel-Bildchen muß erstmal eine neue TCP-Verbindung
zum Server aufgemacht werden, außerdem drückt es die lokalen
Caching-Kapazitäten, wenn zu einer dargestellten Seite dutzende
Einzeldateien gehören)

Aus Sicht der Benutzungs-Interaktion ist die Möglichkeit von
direkte(re)m Feedback auf die Aktionen aber durchaus von Vorteil.
Wenn ich einen normalen Link anklicke (und die Maustaste noch
nicht loslasse) dann wird der Link selektiert dargestellt. Das
hat man bei einfachen Bildchen nicht. Nun ist es aus Sicht des
ursprünglichen HTML-Entwurfs (mal von Lynx o.ä. ganz abgesehen)
natürlich besser, "richtige" Links mit textuellen Bezeichnungen
zu verwenden, aber auf sämtliche graphischen Elemente zu verzichten
ist inzwischen nur schwer möglich, für die Mehrzahl der einfachen
Benutzer vermutlich sogar undenkbar...

Der universelle und klar strukturierte Ansatz des ursprünglichen
HTML ist ein wesentlicher Grund für den Erfolg des WWW. Leider
wurde in Folge daraus ein verworrenes Dickicht aus verschiedenen
Weiterentwicklungen garniert mit mehreren wild eingesponnenen
Zusätzen (Javascript, CSS, und die unzähligen anderen Verrenkungen,
die von ihrer Art her schon gar nicht richtig zu HTML passen), so
daß es nicht verwunderlich ist, wenn daraus Monsterprogramme
resultieren, die die Ergebnisse des Wildwuchses auch nur mäßig
bändigen können. Die Verschmelzung in ein monolithisches Programm,
in dem möglichst alle IP-Dienste vereint werden führt dazu, daß
wenig versierte Benutzer das Internet mit den verschiedenen
Facetten ihrer Applikation gleichsetzen und die verschiedenen
Dienste nicht voneinander zu trennen vermögen.

Wenn man sich ansieht, welcher Aufwand getrieben wird, um die
Zustandslosigkeit vom HTTP zu umgehen, kann einem auch nur noch
schlecht werden. Es ist höchste Zeit, daß dieser ganze Wirrwarr
abgelöst oder zumindest ergänzt wird um ein Verfahren, was den
derzeitigen Web-basierten Anwendungen gerecht wird.

Gruß,
Ripley
--
http://www.in-berlin.de/User/nostromo/
==
"You don't say what kind of CD drive or hard disks you have, but since it is
causing you trouble I'll assume it is IDE." -- comp.unix.bsd.freebsd.misc

[Eric Wick]

Mark Nowiasz wrote:

> Zugegeben - aber was hat das alles mit dem Einschalten der Prozessor-
> kennung per Assembler zu tuen? Javascript & co. können eine Menge Unfug
> machen - aber definitiv kein Assemblercode ausführen, das kann nur

Wenn durch einen Browserbug (gibts ja auch massig von) ein ausführen von
Systemroutinen möglich ist indem man hineinspringt, dann ist bei einem
Win9x das Betriebssystem selber als auch wohl das Bios erreichbar.
Gerade durch die starke Verknüpfung von Exploiter und I-Exploiter
scheinen solche Dinge möglich zu sein. Wieder ein Grund mehr ein
Betriebssystem zu verwenden das Rechtevergaben auf alle Dateien
unterstützt.

> Ein Kernkraftwerk liefert Leistung in der Größenordnung von mehreren Mega-
> Watt (Joule/Sekunde), sprich ein Kernkraftwerk bräuchte alleine ungefähr

500MW für kleine bis mittlere Anlagen. Okay derzeitiger Stand der uns
bekannten Technik legt dem ein Limit auf.

> Daß soetwas nie ohne den passen Schlüssel entschlüsselt werden kann,
> liegt auf der Hand.

Es sei denn die alte US-Grundlage besteht noch wo 40Bit von 64 bei der
Behörde hinterlegt werden mussten. Die heutige nutzbare Schlüssellänge
scheint dem ein Schnippchen zu schlagen.

[Mark Nowiasz]

Eric Wick <eric...@hanse-net.de> wrote:

>
>> Ein Kernkraftwerk liefert Leistung in der Größenordnung von mehreren Mega-
>> Watt (Joule/Sekunde), sprich ein Kernkraftwerk bräuchte alleine ungefähr
>
>500MW für kleine bis mittlere Anlagen. Okay derzeitiger Stand der uns
>bekannten Technik legt dem ein Limit auf.

Nicht nur derzeitig - ich habe hier mit 1eV gerechnet (und das nur für
die Zustände des Schlüssels), für den Algorithmus brauchst Du erheblich
mehr Zustandsänderungen als 2^128.

>> Daß soetwas nie ohne den passen Schlüssel entschlüsselt werden kann,
>> liegt auf der Hand.
>
>Es sei denn die alte US-Grundlage besteht noch wo 40Bit von 64 bei der
>Behörde hinterlegt werden mussten. Die heutige nutzbare Schlüssellänge
>scheint dem ein Schnippchen zu schlagen.

Aua, es wird immer bizarrer - bitte nun genau Referenzen auf diese
angebliche US-Grundlage hier posten - und wenn dies getan ist, bitte
belegen, welche Grundlagen nichtexistente US-Gesetze für Europa haben.

Gruß,
Mark
--
|\ _,,,---,,_ Mark Nowiasz <buck...@gmx.de>
/,.-'' -. ;-;;,_ GPG/PGP-Keys available at keyservers/request.
|,4- ) )-,_..;\ ( '-' http://anarch.free.de/~buckaroo/
'---''(_/--' -'\_) IRC: Buckaroo | Voice: +49 179 4917624

[Lutz Donnerhacke]

* Wolfgang Keller wrote:
>On Sat, 25 Dec 1999 21:05:41 +0100, Eric Wick wrote

>> Wenn die Internetgemeinde eine Woche an einem 64Bit RSA
>> Schlüssel rechnet, setzen die richtigen Leute da einen Rechner an der
>> 1024Bit codierte Mails mal kurz per Bruteforce entschlüsselt.
>

>Nur 'mal kurz' zu den ungefähren Größenordnungen:
>
>2**1024 = 2**960 * 2**64, und 2**960 ist so ungefähr gleich einer 1 mit
>289 Nullen dahinter, wenn mich mein Taschenrechner nicht belügt.
>
>So viele (1 mit 289 Nullen dahinter) Schlüssel _mehr_ müßte man
>durchprobieren - 'Mal kurz' kommt man da nicht sehr weit, auch nicht, wenn
>man alle Atome des Universums (lächerliche 10**50, wenn mich mein
>Physikprof nicht belogen hat) hernimmt und sie vom Urknall bis zum
>Verdampfen des letzten scharzen Lochs rechnen läßt.

Asymmetrische Verfahren haben aus einem ganz einfachen Grund lange
Schlüssel: Man muß nicht probieren, sondern hat mächtige mathematische
Werkzeuge.

Beispiel: Wie lauten die Primfaktoren von 49?

Deine Annahme besagt, daß man alle Zahlen von 0 bis 48 durchprobieren muß.

[Ralph Angenendt]

Lutz Donnerhacke <lu...@iks-jena.de> wrote:
> Asymmetrische Verfahren haben aus einem ganz einfachen Grund lange
> Schlüssel: Man muß nicht probieren, sondern hat mächtige mathematische
> Werkzeuge.

Es ging aber explizit um Brute-Force Angriffe auf die Verschlüsselung.
Das bei asymmetrischen Verfahren andere Werkzeuge effizienter sein
können um die Verschlüsselung zu brechen dürfte klar sein, aber darum
ging es dem Fragenden nicht.

Ralph
--
Once you pull the pin, Mr. Grenade is no longer your friend.

[Lutz Donnerhacke]

* Ralph Angenendt wrote:
>Lutz Donnerhacke <lu...@iks-jena.de> wrote:
>> Asymmetrische Verfahren haben aus einem ganz einfachen Grund lange
>> Schlüssel: Man muß nicht probieren, sondern hat mächtige mathematische
>> Werkzeuge.
>
>Es ging aber explizit um Brute-Force Angriffe auf die Verschlüsselung.
>Das bei asymmetrischen Verfahren andere Werkzeuge effizienter sein
>können um die Verschlüsselung zu brechen dürfte klar sein, aber darum
>ging es dem Fragenden nicht.

Dann ist die Frage so sinnvoll wie: Wie lange muß ich paddeln, um von
Dresden San Fransico zu kommen? Ich möchte dazu ein Dingi und ein
Plastepaddel nehmen.

[Ralph Angenendt]

Lutz Donnerhacke <lu...@iks-jena.de> wrote:

> * Ralph Angenendt wrote:
> >
> >Es ging aber explizit um Brute-Force Angriffe auf die Verschlüsselung.
> >Das bei asymmetrischen Verfahren andere Werkzeuge effizienter sein
> >können um die Verschlüsselung zu brechen dürfte klar sein, aber darum
> >ging es dem Fragenden nicht.
>
> Dann ist die Frage so sinnvoll wie: Wie lange muß ich paddeln, um von
> Dresden San Fransico zu kommen? Ich möchte dazu ein Dingi und ein
> Plastepaddel nehmen.

Ich denke, daß versucht worden ist, _genau_ das dem Fragenden
beizubringen. Aber er mußte ja behaupten, daß 1024-Bit Schlüssel
einfachst per Brute Force knackbar sind.

[Bernd Eckenfels]

Lutz Donnerhacke <lu...@iks-jena.de> wrote:
>>Es ging aber explizit um Brute-Force Angriffe auf die Verschlüsselung.
>>Das bei asymmetrischen Verfahren andere Werkzeuge effizienter sein
>>können um die Verschlüsselung zu brechen dürfte klar sein, aber darum
>>ging es dem Fragenden nicht.

> Dann ist die Frage so sinnvoll wie: Wie lange muß ich paddeln, um von
> Dresden San Fransico zu kommen? Ich möchte dazu ein Dingi und ein
> Plastepaddel nehmen.

Naja, Brite Force angriffe probieren den ganzen Schluesselraum durch. Der
Schluesselraum bei RSA besteht aber (optimalerweise) nur aus den 2-Tupeln
(x,y) mit x prim, y prim und z=x*y... das ist deutlich weniger als alle
Zahlen.

Gruss
Bernd

[Mario Roßa]

Michael Ströder <michael....@inka.de> schrieb in im Newsbeitrag:
3858D391...@inka.de...
"Mario Roßa" wrote:
>
> > Unter das Waffengesetz fällt in den USA glaube ich alles was stärker
> > 128 Bit verschlüsselt, oder waren es 48 Bit?

> Ach noch etwas, angesichts der Tatsache das PGP <= 4.000 Bit
> verschlüsselt
> stellt sich hier nicht die Frage ob PGP unter das Waffengesetz fällt.

> Man merkt, Du hast echt voll die Ahnung von der Materie...immer ganz
> vorne mit dabei...boah ey.

Das habe ich nie behauptet.

Ciao, Michael.

[Mario Roßa]

> Es ist interessant zu wissen, was Du verschlüsselst und was nicht. Es ist
> dann noch interessant zu wissen, mit wem Du verschlüsselt kommunizierst
und
> wann Du das tust. Aber Du kannst Kahns 'The Codebreakers' auch als Fiction
> Roman lesen.

Danke für Deinen Hinweis, im Moment aber lese ich etwas anderes. Wie gesagt
es mag ja interessant sein zu Wissen was ich verschlüsselt übertrage usw.
Ich tu dies aber nicht, und halte es für meinen Privaten Schriftverkehr für
unnötig.

> >Schön das es solche Leute wie dich gibt. Meine Hochachtung. Der Source
> >dürfte Umfangreich gewesen sein. Ich verlasse mich, wenn Ich selbst keine
> >Lust etwas zu überprüfen oder mich nicht dafür Interessiere, sagen wir
> >einmal PGP lieber auf öffentliche Medien, Messageboard & Newsgroups. Denn
> >warum sollte ich mich über etwas so im Detail kundig machen, wie Du, was
> >mich im Gegensatz zu Dir nicht interessiert?? Ich nenne soetwas
> >Zeitverschwendung.
>
> Ich behaupte - im Gegensatz zu Dir - jedoch keine Dinge, die nicht
stimmen.
> Diese Aussage beziehe ich - im Gegensatz zu Dir - auf Kenntnis von Fakten.
> Und Fakten nehme ich - im Gegensatz zu Dir - auch dann wahr, wenn sie
meinen
> Meinungen und Überzeugungen wiedersprechen. Nun warte ich darauf, ob Du in
> der Lage bist ebenso wie ich Irrtümer einzugestehen.

Du könntest mir ja mal sagen an was für einen Textstelle Du erkennst das ich
nicht dazu bereit bin Irrtümer eizugestehen? Reicht es nicht zu sagen das
ich der Festen Überzeugung war. Irren ist Menschlich, ich bin mir sicher das
auch Du nicht fehlerfrei bist. Ich stimme Dir auch zu das ich etwas
Behauptet habe, allerdings war ich der Felsenfesten Überzeugung recht zu
haben. Deswegen brauch man aber nicht sofort jemanden so hoch zu nehmen.
Eventuell hätte ich mein Posting ja auch anders Formulieren können.

> >>>In den USA ist dies ein Gesetz für Verschlüsselungsverfahren die unter
das
> >>>Waffengesetzt fallen ein Generalkey oder ähnliches bei Staat zu
hinterlegen.
> >>>Ansonsten machen sich die Programmierer Strafbar. > >>
> >> Du kennst Dich auch mit der rechtlichen Situation besser aus, als ich,
denn
> >> dieses Gesetz kenne ich nicht. Ich kenne nur Exportrestriktionen für
> >> Software und Dual Use Güter, sowie Wassenarabkommen, die auch nur
Export
> >> betreffen.
> >
> >Sorry, Ich war allerdings der Festen Meinung das, das auch für das Inland
> >also nicht nur für den Export gelten würde.
>
> Was sagt das für Deine Schlußkette aus?

Angesichts der Tatsache das Ich der Meinung war das dies im Inland auch so
wäre würde dies Aussagen das, das mit dem Generalkey nicht so abwegig wäre.
Übrigens habe Ich mich mit diesem Satz für mein Posting entschuldigt.

> >> Da PGP nicht als Software exportiert wurde, ist eine solche Genehmigung
> >> nicht notwendig. Für den Export wurde vor einigen Tagen aber eine
> >> Genehmigung erteilt.
> >
> >Das PGP nach Deutschland nur über den Source kommen konnte wußte ich. Das
> >mit der Genehmigung wußte ich nicht.
>
> Was sagt das für Deine Schlußkette aus?

Eigentlich nur das Ich das mit der Genehmigung nicht wußte? Würde Ich
jedenfalls aus so einem Text interpretieren.

> >>>Unter das Waffengesetz fällt in den USA glaube ich alles was stärker
128 Bit
> >>>verschlüsselt, oder waren es 48 Bit? > >>

> >> Du kennst Dich auch mit der aktuellen rechtlichen Situation besser aus,
als
> >> ich, denn ich hatte mal gelesen, daß die Kryptoexporte nicht mehr beim
DoD
> >> sondern beim DoC liegen und außerdem steht in meinen Wassenarunterlagen
> >> 56bit.
> >
> >Ich denke bei meinen Schwankungen zwischen 48 <-> 128 Bit liegt es auf
der
> >Hand das ich mit nicht sicher bin.
>
> Was sagt das für Deine Schlußkette aus?

Das ich Dir das mit den 56bit wohl unweigerlich glauben muß und es auch tu,
da ich halt die
genaue Bitzahl im Gegensatz zu Dir nicht weiß.

> >Das trifft mich eigentlich nicht im geringsten. Dein erstes Posting sehe
ich
> >mal als kompliement und nicht als totale Verars**e an. Ist das O.K.??
> >Trotzdem schön das es noch Leute gibt die einem durch die Blume zu
verstehen
> >geben wie doof Sie doch eigentlich sind, obwohl Sie die Person nicht
einmal
> >kennen.
>
> Es trifft mich sehr, daß jemand es fertigbringen kann, Aussagen über
> Produkte, die er nicht einmal kennt inUmlauf zusetzen, obwohl er
> nachweislich keine Ahnung hat.

Damit muß man leben, es gibt überall Menschen wie mich. Und Du wirst ihnen
auch nicht aus den Weg gehen können. Nobody is perfect.

> Es freut mich, daß Du mich verstehst. Es freut mich noch mehr, daß ich
> Ansätze von Erkenntnis bei Dir zu sehen glaube. Nun noch etwas Logik auf
> Deiner Seite und dann wird das schon.

Was für eine Logik? Ich denke ich bin Logisch genug, denke ich jedenfalls,
wie Du sieht denke Ich viel und mache mir auch Gedanken.

MfG Mario R.

[Mario Roßa]

Lutz Donnerhacke <lu...@iks-jena.de> schrieb in im Newsbeitrag:
slrn85hht...@taranis.iks-jena.de...
> * Mario Roßa wrote:
> >Hi, obwohl ich PGP und sonst auch kein Verschlüsselungsprogramm verwende
da
> >es nicht notwenig ist, habe ich also über diese Programme keine Ahnung.
>
> Kurz: Du weißt nicht, wie man sich schützt, und hast keine Ahnung.

Länger: Ich halte es nicht für nötig meine eMail usw. per PGP zu
verschlüsseln da ich keine Sicherheitsrelevanten Nachrichten verschicke.
Oder
ist es für jemanden Interessant zu wissen wie ich das Wetter gestern fand
und wann ich mich mit wem wo treffe?

> >Was ich jedoch 100% weiß ist, das mindestens das Pentagon & der CIA einen
> >Generalschlüssel für PGP besitzen.
>
> Trotzdem weißt Du Dinge, die ich nicht weiß, obwohl ich - im Gegensatz zu
> Dir - den Sourcecode gelesen habe.

Schön das es solche Leute wie dich gibt. Meine Hochachtung. Der Source

fürfte Umfangreich gewesen sein. Ich verlasse mich, wenn Ich selbst keine

Lust etwas zu überprüfen oder mich nicht dafür Interessiere, sagen wir
einmal PGP lieber auf öffentliche Medien, Messageboard & Newsgroups. Denn
warum sollte ich mich über etwas so im Detail kundig machen, wie Du, was
mich im Gegensatz zu Dir nicht interessiert?? Ich nenne soetwas
Zeitverschwendung.

> >In den USA ist dies ein Gesetz für Verschlüsselungsverfahren die unter

das
> >Waffengesetzt fallen ein Generalkey oder ähnliches bei Staat zu
hinterlegen.
> >Ansonsten machen sich die Programmierer Strafbar.
>
> Du kennst Dich auch mit der rechtlichen Situation besser aus, als ich,
denn
> dieses Gesetz kenne ich nicht. Ich kenne nur Exportrestriktionen für
> Software und Dual Use Güter, sowie Wassenarabkommen, die auch nur Export
> betreffen.

Sorry, Ich war allerdings der Festen Meinung das, das auch für das Inland
also nicht nur für den Export
gelten würde.

> Da PGP nicht als Software exportiert wurde, ist eine solche Genehmigung

> nicht notwendig. Für den Export wurde vor einigen Tagen aber eine
> Genehmigung erteilt.

Das PGP nach Deutschland nur über den Source kommen konnte wußte ich. Das
mit der Genehmigung wußte ich nicht.

> >Unter das Waffengesetz fällt in den USA glaube ich alles was stärker 128

Bit
> >verschlüsselt, oder waren es 48 Bit?
>
> Du kennst Dich auch mit der aktuellen rechtlichen Situation besser aus,
als
> ich, denn ich hatte mal gelesen, daß die Kryptoexporte nicht mehr beim DoD
> sondern beim DoC liegen und außerdem steht in meinen Wassenarunterlagen
56bit.

Ich denke bei meinen Schwankungen zwischen 48 <-> 128 Bit liegt es auf der
Hand das ich mit nicht sicher bin.

> >> Da muss ich was verpasst haben. Oder hast Du vergessen, Paranoia
adäquat
> >> zu kennzeichnen?
> >
> >Ja, da hast Du etwas verpasst.
>
> Dich.

Das trifft mich eigentlich nicht im geringsten. Dein erstes Posting sehe ich
mal als kompliement und nicht als totale Verars**e an. Ist das O.K.??
Trotzdem schön das es noch Leute gibt die einem durch die Blume zu verstehen
geben wie doof Sie doch eigentlich sind, obwohl Sie die Person nicht einmal
kennen.

MfG Mario R.

[Mario Roßa]

Michael Fischer v. Mollard <mf...@gmx.de> schrieb in im Newsbeitrag:
ca3dt47...@u37.num.math.uni-goettingen.de...
> glot...@sun529.rz.ruhr-uni-bochum.de (Jakob Kreuzfeld) writes:
>
> > Hallo! Hätte da mal einige Fragen bzgl. PGP. Es ist ja bekannt das der
> > CIA und das Pentagon und wer weis noch wer den Generalschlüssel für die
> > neueren Ausgaben der PGP Programme haben!

Hi, obwohl ich PGP und sonst auch kein Verschlüsselungsprogramm verwende da
es nicht notwenig ist, habe ich also über diese Programme keine Ahnung.

Was ich jedoch 100% weiß ist, das mindestens das Pentagon & der CIA einen

Generalschlüssel für PGP besitzen. In den USA ist dies ein Gesetz für

Verschlüsselungsverfahren die unter das Waffengesetzt fallen ein Generalkey
oder ähnliches bei Staat zu hinterlegen. Ansonsten machen sich die
Programmierer Strafbar.

Unter das Waffengesetz fällt in den USA glaube ich alles was stärker 128 Bit

verschlüsselt, oder waren es 48 Bit?

> Da muss ich was verpasst haben. Oder hast Du vergessen, Paranoia adäquat
> zu kennzeichnen?

Ja, da hast Du etwas verpasst.

> MfG MFvM

[Mario Roßa]

Ives Steglich <dal...@acm.org> schrieb in im Newsbeitrag:
MPG.12c307667aac7f859896e1@localhost...
> In article <83aij8$p46$1...@penthesilea.Materna.DE>,
> prakt...@hermes.materna.de says...

>
> > Das trifft mich eigentlich nicht im geringsten. Dein erstes Posting sehe
ich
> > mal als kompliement und nicht als totale Verars**e an. Ist das O.K.??
> > Trotzdem schön das es noch Leute gibt die einem durch die Blume zu
verstehen
> > geben wie doof Sie doch eigentlich sind, obwohl Sie die Person nicht
einmal
> > kennen.
> >

> naja ich weiß nicht, mit was du dich aus kennst, aber wenn ich etwas
> über Dinge posten würde, über die du sehr gut bescheid weißt, und dzu
> dann feststellen müstest, dass ich da den größten Müll schreibe den
> man überhaupt zu diesem Thema verfassen kann, dann würdest du mit an
> Sicherheit grenzender Wahrscheinlichkeit ähnlich reagieren

Mit Aicherheit nicht. Ich würde nicht sofort anfangen zu versuchen jemanden
aufs Korn zu nehmen, sondern ihm das ganze
auf einer freundlicheren Art zu vermitteln. Komunikationskompetenz heißt das
ganze dann in etwa, um jetzt nicht schon wieder
eine Debatte über Komunikations anzuregen werde ich mal die Worte "denke
Ich" hinzufügen.

> also bitte reg dich nicht so auf, sondern laß lieber diese
> unqualifizierten Postings zu Themen, zu denen du augenscheinlich keine
> Ahnung hast, und wo deine 100% Sicherheit etwas zu wissen, aus Medien
> und News entnommen Kommentaren zum Thema stammt ...

Unqualifiziert kann schon sein, damit habe ich auch kein Problem. Bei
anderen auch nicht. Warum sollte Ich mich nicht aufregen? Aber angesichts
der
Tatsache das in dieser NG ein Großteil der Postings auf so eine Art und
Weise beantwortet werden hätte Ich damit rechnen müssen.

MfG Mario R.

[Mario Roßa]

Ach noch etwas, angesichts der Tatsache das PGP <= 4.000 Bit verschlüsselt
stellt sich hier nicht die Frage ob PGP unter das Waffengesetz fällt.

> Unter das Waffengesetz fällt in den USA glaube ich alles was stärker 128

[Mario Roßa]

Arnim Weidner <wei...@stud.uni-hannover.de> schrieb in im Newsbeitrag:
3858D510...@stud.uni-hannover.de...
> Mario Roßa schrieb:

> >
> > Denn
> > warum sollte ich mich über etwas so im Detail kundig machen, wie Du, was
> > mich im Gegensatz zu Dir nicht interessiert?? Ich nenne soetwas
> > Zeitverschwendung.
>

> Das hat manche Firma auch gedacht, und dann war auf einmal die
> ganze Arbeit des letzten Jahres Zeitverschwendung.

Angesichts der Tatsache das ich a) keine Firmenbezogenen Daten per eMail
verschicke, b) wenn eMails normalerweise nur an Freunde usw. mit Inhalten
die nicht Sicherheitsrelevant sind, c) die Newsgroup ist eine Ausnahme und
enthält auch keine Sicherheitrelevanten Daten.

Für das Fehlferhalten von Firmen kann Ich nichts, ich denke auch nicht das
Du mir soetwas sagen wolltest. Würde ich eine Firma besitzen hätte Ich mich
dann denoch garantiert mit diesem Thema beschäftigt.

MfG Mario R.