rabenhorst - Linux / O S

Der Tor-Speed

nospam@example.com (Kai Raven) — Mon, 13 Nov 2006 17:04:57 +0100

Immer wieder höre ich mir – im Zeitalter von "fetten" Breitbandanbindungen – verständliches Gemecker über die niedrigere Geschwindigkeit beim anonymisierten Websurfen mit Tor an. Mir persönlich ist das Nebensache, mal abgesehen von den auftretenden Fehlschlägen bei der Namensauflösung von einzelnen Adressen, weil z. B. der Exit Node bzw. dessen DNS überlastet ist.

Aber ein Blick auf die Interna des "Tor Netzwerks" sollten jedem Meckerer klar machen, dass es bei einer Browser Verbindung über Tor nun mal nicht mit einer vorherigen Abfrage bei einem DNS-Server und dem nachfolgenden "direkten" und unverschlüsselten Abrufen von Inhalten getan ist, wobei ja auch dort eine "direkte" Verbindung zwischen Clientrechner und Website eher die Ausnahme ist. Im Normalfall werden die Anfragen und Abrufe über mehrere Router, Gateways usw. transportiert, wobei die beteiligten Rechner im Gegensatz zum Tor Netz meistens aus leistungsstarken Maschinen mit guten Anbindungen bestehen und eben nicht aus Privatrechnern mit den gängigen Internetanbindungen, auf denen oft zeitgleich anderen Verbindungen abgewickelt werden.

Das Tor Netz ist höchst unterschiedlich: Man findet dort Tor Router, die auf leistungsstarken Rechnern mit Standleitungen großer Bandbreite laufen, aber auch den kleinen Kauf-PC, der gerade mal die geforderten 20 kilobytes Minimum für Tor abzwacken kann. Manche Tor Nodes können für die Namensauflösung der angefragten Adressen auf gute DNS-Anbindungen zurückgreifen, manche eben nicht. Tor Router laufen auf Linuxmaschinen, die genug gleichzeitige TCP-Verbindungen öffnen können oder auf Windowsrechnern, die von Microsoft künstlich beschränkt wurden und erst einmal selbst gepatcht werden müssen. Einige Tor Nodeadmins aktualisieren ihre Tor Version regelmäßig, um an möglichen Verbesserungen bezüglich Verbindungen, Namensauflösung und Geschwindigkeit teilzuhaben, andere Admins lassen ihre Nodes mit veraltenen Tor Versionen vor sich hin dümpeln.

Bei allen Vorgängen spielt bei Tor die Verschlüsselung eine große Rolle – angefangen bei der ersten Verbindung vom lokalen Tor Proxy zum ersten Kontaktnode im Tor Netz, über die Aushandelung von Schlüsseln bis zur Ver- und Entschlüsselung der transportierten Daten zwischen allen drei Tor Routern, die pro Anfrage beteiligt sind. Das bedeutet "Arbeit" – sowohl auf der eigenen Maschine, als auch auf allen Tor Routern – also Zeitaufwand.
Kleine Übung: Man nehme eine dicke Zwiebel, löse die Schalen so von außen nach innen, dass jede Schale unbeschädigt bleibt und füge anschließend die Zwiebel wieder mit allen Schalen zusammen.

Und last but not least seid Ihr nicht alleine da draußen. Ein Tor Node hat vielleicht gerade einmal zehn Verbindungen, während zeitgleich ein anderer Tor Node Hunderte von Verbindungen abzuwicklen hat. Es gibt Tor "Nutzer", die sich mit dem Abruf von Webseiten oder E-Mails zufrieden geben und es gibt Nutzer, die jedes Videofile und jedes Programm megabyteschwer über die "Leitungen" des Tor Netzes heruntersaugen.

Trotzdem ein paar Tipps am Ende, die hier zu einer teilweisen Verbesserung (die wird in einem Netz wie Tor immer relativ bleiben) der Geschwindigkeit beigetragen haben:

Statt der stabilen Version wird die aktuelle Entwicklerversion von Tor heruntergeladen und eingesetzt.
Für Firefox wird die Erweiterung Fasterfox installiert, mit der man mit ein paar Klicks auf "Optimiert" oder "Turbo" die Einstellungen ändern bzw. verbessern kann, die sich auf die Performance und Netzwerkfunktionen von Firefox auswirken.
Es wird die aktuelle 3.0.5-Beta von Privoxy heruntergeladen und eingesetzt, die u. a. die Konfigurationsoption forwarded-connect-retries n für die Privoxy Konfigurationsdatei config[.txt] bietet und angibt, wie oft (mit n = 1-3 würde ich testen) Privoxy einen erneuten Verbindungsversuch unternimmt, wenn eine weitergeleitete Verbindung fehlschlägt, sich also auch auf die Weiterleitungen zum Tor Proxy bezieht:
forwarded-connect-retries is mainly interesting for socks4a connections, where Privoxy can't detect why the connections failed. The connection might have failed because of a DNS timeout in which case a retry makes sense, but it might also have failed because the server doesn't exist or isn't reachable. In this case the retry will just delay the appearance of Privoxy's error message.

Ansonsten: Benutzt Tor wie es ist oder lasst es bleiben. Wählt selbst Eure Prioritäten: Dauernder Zeitgewinn und Speed oder Schutz vor Profiling, Data-Mining und Vorratsspeicherung. Und wer das nächste Mal meckert, bekommt den Tor-Speed Link vor den Latz geknallt.

Spielen mit dem Stick

nospam@example.com (Kai Raven) — Sun, 05 Nov 2006 22:04:54 +0100

Seit Tagen spiele ich mit meinem neuen Mitglied der Peripheriefamilie herum. Es ist ein Voyager Flash USB 2.0 Stick von Corsair:

Hinter dem Voyager sieht man mein altes Pen Drive, das ich vor ein paar Jahren gekauft hatte – mit 32 MB und für ca. 80/90 DM. Der Voyager mit 4 GB kostete mit Versandgebühren 87 Euro. Den Stick gibt es auch mit 8 GB Speichergröße. Auf seine Sticks gibt Corsair 10 Jahre Garantie.

Mit dem Stick wurde eine Mini-CD geliefert, auf der sich neben Treibern für die alten Windowsversionen und einem PDF-Manual ein englischsprachiges Windowsprogramm befindet:

Mit der Applikation kann man den Stick formatieren, über das Kopieren der benötigten Dateien von einem Windows 98 Medium bootbar machen und partitionieren. Hinter der Partitionierung verbirgt sich TrueCrypt, mit dem der Stick in eine normale Partition und eine verschlüsselte TrueCrypt-Partition aufgeteilt werden kann.

Daneben lag der Verpackung noch ein Trageband mit Karabinerhaken bei, wenn man den Stick um den Hals tragen will und ein stabiles, 60 cm langes USB-Verbindungskabel.

Zu den Leistungsdaten gibt Corsair auf der Webseite für den eingesetzten Dual Channel NAND Speicher bis zu 33 MB/Sek. für Lesevorgänge und 16 MB/Sek. für Schreibvorgänge an, im Manual 20 MB/Sek. für's Lesen und 15 MB/Sek. für's Schreiben. Letztere Angaben sind realistischer. Damit ist der Voyager zum Beispiel im Vergleich mit dem OCZ Rally Stick nicht der Schnellste, aber bei der bisherigen Arbeit mit verschiedenen Applikationen empfinde ich die Geschwindigkeit als akzeptabel.

Was für den Voyager spricht, ist sein Design und die stabile Verarbeitung – für diejenigen, die darauf Wert legen und ebenso von Produkten fasziniert sind, wie sie z. B. für das Militär produziert werden, um auch unter härtsten Bedingungen zu funktionieren.

Ich werde mich mit Sicherheit nicht dauernd im Regenwald, in der Antarktis oder unter Unterwasser aufhalten, aber mit dem Voyager wäre das kein Problem. Das zeigen die Abbildungen aus dem Kapitel zur Verarbeitungsqualität aus dem techPowerUp! Bewertungsartikel von W1zzard, der wie andere Benutzer allerlei mit der 1 GB Version des Sticks angestellt hatte:

Der Voyager in köchelndem Wasser und im Eisfach.

Der Voyager nach einer Tour in der Spülmaschine und im Toaster.

Der Voyager auf einer Pizza gebraten und vom Auto überfahren.

Man muss dem Autoren glauben, aber nach seinen Tests war der Voyager immer noch funktionsfähig. OK, nach der Tour mit dem Auto musste der Stecker etwas gerade gebogen und nach der Pizza der Stick neu formatiert werden. Ähnliche Misshandlungen durch andere Tester zeigten gleiche Ergebnisse. Zur Widerstandsfähigkeit trägt die Gummiarmierung bei, die allerdings auch allerlei Partikel anzieht (wie auf dem Foto oben zu sehen ist), was alle Benutzer kritisierten. Aber der Stick ist schließlich zum Arbeiten da und nicht, um ihn jeden Tag herausgeputzt zur Schau zu stellen.

Für das Arbeiten mit dem Stick und die Ausstattung mit Applikationen habe ich mich bei PortableApps, der Portable Freeware Collection, ocepjs Portable USB Drive Seite und in der Liste usb applications von kikizas.net umgesehen.

Auf den Seiten finden sich alle möglichen Programme, die für den USB-Stick angepasst wurden und entweder über eine Batchdatei oder einen eigenen Programmstarter aufgerufen werden. Daneben gibt es auch Applikationen, die ihre Daten und Einstellungen ebenfalls nicht in der Windows Registry oder im Dateisystem des Hostrechners verewigen, sondern im eigenen Programmverzeichnis.

Die Aktualität der Programmversionen variiert dabei. Findet man zum Beispiel bei PortableApps den FTP Client FileZilla in Version 2.2.28 und Thunderbird Portable in Version 1.5.0.5, gibt es die beiden Programme bei ocepj in Version 2.2.29 und 1.5.0.7.

Was trotzdem ab und an zu Problemen führt, ist der Gebrauch absoluter Pfadangaben und der wintypische Gebrauch von Partitionsbuchstaben. Wenn man dann an einem fremden Computer einsteckt, keine relativen Pfadangaben im Programm möglich sind oder sich das Programm nicht flexibel auf den geänderten Laufwerksbuchstaben einstellt, muss manuell nachkorrigiert werden...mit Linux wäre das einfacher.

Übrigens Linux. Das will ich demnächst auch noch mit dem USB-Stick testen. Dafür gibt es die Mini-Linuxdistribution Damn Small Linux (DSL) oder Puppy Linux zusammen mit QEMU-Puppy, um Puppy Linux im Emulator QEMU laufen zu lassen.

Auf jeden Fall sollte es für die eingesetzte Linuxdistribution eine große Bandbreite an Applikation geben und Linux muss ohne die Notwendigkeit, vom Stick zu booten, laufen, denn ich gehe bewußt davon aus, dass man nicht in jedem Internetcafe und an jedem fremden Rechner in das BIOS bzw. von einem USB-Stick booten darf. Da die Mehrheit der fremden Rechner unter Windows laufen dürften, habe ich mich vorerst auf Windows konzentriert.

Zum Aufrufen der Windows-Applikationen eignet sich vorzüglich der Programmstarter PStart, der im Systray als Icon erscheint, über das ein eigenes Startmenü angelegt werden kann:

PStart Startmenü und Einstellungsfenster.

Da ich aktuell tagsüber auch an einem Windows 98 Rechner sitzen "darf", kommt hinzu, dass man für bestimmte Programme die Windows 95/98/ME Version einsetzen muss. Aber auch das schlägt unter Umständen fehl, wenn es sich um ein nicht gewartetes System handelt, dem die aktuellen Updates fehlen – wie ich leidvoll erfahren musste.

Nun zur Kryptografie.

Bei dem Einsatz von Verschlüsselungslösungen muss man immer im Hinterkopf behalten, dass man den USB-Stick nicht nur am heimischen PC einsteckt, sondern auf fremden Rechnern mit Windows 95 bis XP, mit eingeschränkten Benutzerechten bzw. fehlenden Adminrechten. Die verschlüsselten Daten sollten möglichst plattformunabhängig wieder zu entschlüsseln sein, auch unter Linux. Deshalb auch der Gedanke mit dem emulierten Linux, der noch weiter zu verfolgen ist.

Da haben wir zuerst GnuPG. Unter Windows sind dabei die GNUPGHOME und die gpgProgram Variable ausschlaggebend sowie die Angabe des GnuPG Programmpfads in der PATH Variable. Alle an die Laufwerksbuchstaben und fixe Programmpfade gebunden, die sich auf einem fremden Windowsrechner ändern und unter Umständen aufgrund der fehlenden Rechte auch nicht zu beeinflußen sind.

Die bisherige Lösung ist der Einsatz der GPGshell GUI, die auf dem USB-Stick installiert wird. Wie auf der GnuPG Mailingliste zu lesen war, arbeitet Timo Schulz an einer portablen Version der WinPT GUI.

Zur Verwendung der GPGshell installiert man zunächst die GPGshell wie gehabt auf dem lokalen Rechner und ladet sich dann das Copy2Usb Tool herunter, das von Roger Sondermann, dem Autoren der GPGshell, zur Verfügung gestellt wird. Nach Prüfung und Entfernung der enthaltenen Signatur, indem man die Datei copy2usb.exe.gpg mit GnuPG öffnet, kopiert man das Tool in das GPGshell Programmverzeichnis und führt es aus.

Das Tool kopiert danach alle notwendigen Dateien und Programme für GPGshell und GnuPG in das anzugebende Verzeichnis. Anschließend kopiert man noch die persönlichen GnuPG Dateien (Schlüsselringdateien, gpg.conf usw.) in das angelegte Unterverzeichnis GnuPG-Home. Im Endergebnis kann man alle GPGshell Programme bzw. GnuPG vom USB-Stick ausführen, wie man es von WinPT, GPA oder den anderen GnuPG GUIs gewohnt ist, ohne sich um irgendwelche Variablen kümmern zu müssen.

Die GnuPG / GPGshell Installation kann man auch für die portable Version des Thunderbirds mit Enigmail nutzen. Dazu wird im Thunderbird Wurzelverzeichnis auf dem USB-Stick (wo der Programmstarter PortableThunderbird.exe liegt) die Datei PortableThunderbird.ini angelegt, die für die Nutzung von GnuPG mit Enigmail zwei Einträge aufweisen muss, die relativ vom Thunderbirdverzeichnis ausgehend auf die Verzeichnisse verweisen, die gpg.exe und die persönlichen GnuPG Dateien enthalten:

GPGPathDirectory=..\gpgshell #Verzeichnis mit gpg.exe
GPGHomeDirectory=..\gpgshell\gnupg-home # Verzeichnis mit GnuPG Dateien

Bei mir liegen Thunderbird im app\thunderbird Verzeichnis, die GPGshell im app\gpgshell und die GnuPG Dateien im app\gpgshell\gnupg-home Verzeichnis.

Damit ist die portable Nutzung von Thunderbird mit Enigmail und GnuPG auf jedem Rechner möglich.

Für die Verwaltung von Passwörtern und -phrasen habe ich einfach das lokale Verzeichnis der KeePass Applikation (mit der deutschen Sprachdatei) und die KeePass Datenbankdatei auf den Stick kopiert. Von KeePass gibt es die Linuxvariante KeePassX, aber ob die KeePass Windowsdatenbank wirklich kompatibel mit der Linuxversion ist, muss sich noch zeigen. Ansonsten bietet sich als Alternative der Password Gorilla an.

Was verschlüsseltes Instant Messaging angeht, ist nur Gaim mit OTR plattformübergreifend zu nutzen. Gaim hat allerdings eine miserable bzw. rudimentäre Jabberunterstützung. Die portable Version von Miranda läuft mit OTR Plugin ebenfalls stabil – den Client gibt es bis jetzt aber nur für Windows. Beide bieten keine GnuPG Verschlüsselung für Jabbersessions, die den Jabberstandards entspricht, womit wir zu Psi kommen.

Von Psi kann man sich bei Openmessenger eine portable Version von Psi erstellen lassen, es geht aber auch anders: Man kopiert das Psi Programmverzeichnis einer x-beliebigen Version in ein Psi Programmverzeichnis und das Profilverzeichnis PsiData in ein Unterverzeichnis auf den Stick und startet Psi dann mit einer Batchdatei:

@echo off
SET PSIDATADIR=.\PsiData
start psi.exe
exit

Eine Nutzung der oben erwähnten GnuPG/GPGshell Installation mit Psi ist nicht möglich, auch nicht durch Setzen der GnuPG Variablen in der Batchdatei, so dass es zur Zeit keine Version von Psi gibt, mit der man portabel GnuPG verschlüsselte Jabberchats ausführen könnte. Hier rächt sich, dass sich die Psi-Entwickler OTR verweigern.

Kommen wir zur Verschlüsselung von Daten auf dem USB-Stick an sich – schließlich hat man bis jetzt den privaten GnuPG Schlüsselring (auch wenn der natürlich mit einer starken Passphrase gesichert ist), das Thunderbird Mailverzeichnis, Jabber Kontaktlisten oder Chathistorien auf dem Stick. Dazu kommen noch andere Dokumente, die man zum Beispiel mit der portablen OpenOffice Version erstellt hat.

Das vielbeschworene TrueCrypt, das ich ja bei mir bereits mit der Voyager Applikation nutzen könnte, ohne TrueCrypt überhaupt zu installieren, ist hier nicht zielführend. Ebenso wenig closed Source Programme wie Easy Crypto, das an vielen Stellen im Web als Alternative gehandelt wird.

TrueCrypt ist gut, aber nicht für den portablen Einsatz. Klar kann man entweder wie beim Voyager eine TrueCrypt Partition anlegen, eine TrueCrypt Containerdatei oder eine TrueCrypt Traveller Disk auf dem Stick erstellen, aber das setzt alles voraus, dass man TrueCrypt auf dem fremden Hostrechner installiert bzw. mit Adminrechten arbeiten kann, um die virtuellen Devices anlegen und nutzen zu können – bei fremden Rechnern (s. o.) nicht vorauszusetzen. Deshalb eignet sich TrueCrypt allenfalls für die verschlüsselte Archivierung von Daten, auf die man nachträglich nur am heimischen Rechner oder an Rechnern mit entsprechenden Rechten zugreift.

Die Lösungen, die mir zur Zeit vorschweben: Mini-Linux im Emulator (s. o.) mit verschlüsseltem Dateisystem oder irgendeine Skriptlösung, die aus den verschiedenen Verzeichnissen und Dateien mit sensiblem Inhalt ein Archiv schnürt und das Archiv symmetrisch mit GnuPG verschlüsselt. Vor dem Transport des Sticks wird gepackt, verschlüsselt und die Originaldateien werden geshreddert (was bei Flashspeichern nicht so gut sein soll, wie ich am Rande gelesen habe). Am fremden Rechner wird das Archiv entschlüsselt (zur Not dann auch an einem Linuxrechner mit installiertem GnuPG möglich) und die Dateien und Verzeichnisse an ihre Ursprungsorte verschoben. Vor dem Abstecken beginnt der Zyklus von neuem.

Für die Paranoiker: Gegen Spionageabsichten auf fremden Rechnern hat man eh keine Chance. Entweder könne Software-Keylogger laufen, es sind Hardware-Keylogger im Rechner oder an der Tastaur verbaut, ein Spionageprogramm fertigt im Hintergrund permanente Screenshots an oder eine Videoüberwachungskamera im Rücken linst Dir über die Schulter, wenn ein Freak nicht direkt mit Tempestangriffen herumspielt. Eigentlich wäre es ratsam, für den portablen Einsatz an fremden Rechnern spezielle Identitäten und Accounts einzurichten und zu nutzen, die man bei einer merkbar gewordenen Kompromittierung aufgibt und verfallen lässt.

Zum Abschluß noch ein paar Anmerkungen zu einzelnen, portablen Applikationen.

Bei verschiedenen Programmen stellt sich das Problem der Synchronisierung: Ich nehme unterwegs einen neuen Schlüssel in den öffentlichen GnuPG Schlüsselring oder einen neuen Passworteintrag im Passwordmanager auf, rufe unterwegs Mails mit Thunderbird ab. Am heimischen Rechner will ich nicht mit den portablen USB-Versionen auf dem Stick arbeiten, sondern mit den lokalen Versionen.

Für diesen Zweck gibt es die PUSS (Portable Utility and Security Suite), die so eifrig auf PortableApps beworben wird. Mit PUSS legt man für jedes Programm ein Profil an, das die Pfade zu den lokal und auf dem Stick angelegten Verzeichnissen oder Daten speichert. Über die Auswahl der Profile sollen sich dann Dateien und Verzeichnisse synchronisieren lassen:

Einige Tests mit Kopieraktionen zwischen einem portablen und lokalen Thunderbird, bei dem auch alle Vererbungen für Ordner abgeschaltet und für einzelne Ordner unterschiedliche Vorhaltezeiten vergeben wurden, brachte zum Vorschein, dass sich der Ungelesen/Gelesen Status von einzelnen Nachrichten, Vorhaltezeiten und Threaddarstellungen nicht auf den USB-Stick übertragen ließen. Es sind zwar alle Nachrichten vorhanden und Thunderbird präsentiert sich mit allen Erweiterungen vom USB-Stick genauso wie die lokale Variante, aber die lokalen Einstellungen waren gelöscht und für jeden Ordner wurde beim Öffnen eine neue Zusammenstellungsdatei erstellt. Auch eine parallele Nutzung von Portable Thunderbird von der Festplatte in einer FAT32 Partition und vom USB-Stick, der ebenfalls FAT32 formatiert ist, brachte keine Änderung.

Fazit: Wenn niemand einen anderen Tipp hat, ist Thunderbird mit Konservierung aller Ordnereinstellungen und Nachrichtenstatus nicht zu synchronisieren und ich werde ihn lieber unterwegs nur zum Überblick und zum Versand nutzen, ohne die E-Mails vom Server zu löschen und zu Hause alle Mails noch mal abrufen.

Für die Synchronisierung von Verzeichnissen und Dateien, die nicht durch Programmeinstellungen beeinflusst werden, ist PUSS trotzdem ganz nützlich.

Als Dateimanager für Windows finde ich noch den freeCommander sehr nett, den ich jetzt auch lokal als Exploreralternative einsetze:

So viel erst einmal zur USB-Stick Bastelei. Weitere Berichte folgen.

Neben der Arbeit mit dem USB-Stick gab es noch weitere Basteleien die letzten Tage: In den PC wurde eine 200 GB WD SATA Festplatte eingebaut, für die es in dem HP Kauf-PC keinen Käfig gab, weil HP meint, eine Platte reicht und bei der ich mich frage, was da noch drauf soll, wo eh 180 GB ungenutzt auf der anderen Platte stehen. Aus einem ausgeschlachteten Tower kam noch ein Floppylaufwerk aus nostalgischen Motiven und Misstrauen gegenüber USB-Sticks hinzu und eine Soundkarte, weil Sound on-board einfach Mist bleibt.

Jedenfalls genug Platz für Fedora Core 6 Linux, das bereits installiert ist und auf weitere Konfiguration und Nutzung wartet :)

Nachträge:

Ich habe jetzt Torpark durch Tor Version 0.1.1.25 0.1.2.3-alpha (Start mit tor.exe -f torrc) und Portable Firefox 2.0 (Profil von Torpark kopiert und Erweiterungen für Firefox 2.0 angepasst) mit FoxyProxy für Tor ersetzt.
Ich mag Torpark nicht. Tor an den Firefox 1.5.0.7 zu binden, der immer noch wie Tor 0.1.1.23 Bestandteil von Torpark ist, so dass bei Beendigung von Firefox auch Tor beendet wird, ist doch Schwachsinn. Als ob man Tor nur zum Websurfen nutzt. Morgen mal testen, ob es auch auf dem ollen Windows 98 Rechner läuft.

Die Psi-Lösung mit der Batchdatei funktionierte auf einem Windows 98 Rechner nicht, fliegt runter. Mobil wird vorerst Portable Miranda eingesetzt.

WackGet

nospam@example.com (Kai Raven) — Thu, 26 Oct 2006 00:35:14 +0200

Ich bin ja trotz allerlei Downloadmanager (auch für Browser) immer noch Fan von wget. Bei der Suche nach portablen Applikationen für meinen neuen USB-Stick (dazu später mehr), bin ich über WackGet gestolpert, einer minimalistischen wget GUI (inklusive wget) für Windows, die es auch in Deutsch lokalisiert gibt.

WackGet wird über ein Icon im Systray bedient, das auch den Status der Downloads neben einem Tooltipfenster anzeigt. Man kann eine Menge (u. a. Privoxy als Proxy für anonyme Downloads über Tor, Logfiles) einstellen, Downloadlinks, die man z. B. im Browserfenster kopiert, können über die Zwischenablage und das Systrayicon in WackGet übernommen und in die Warteschlange eingereiht werden. Alternativ ist auch die manuelle Eingabe der URL über eine Extrafenster möglich. Speicherverbrauch ist imo auch akzeptabel. Und das ganze Ding ist auch noch Open Source / GPL Software.

Wer WackGet nicht nur direkt und stand-alone einsetzen will, sondern im Browser, installiert sich noch die FlashGot Erweiterung (deutschsprachige Version) und fügt in den FlashGot Einstellungen die WackGet_de.exe in die Liste der Download-Manager ein.

WackGet beim Leersaugen der Site eines CCTV Herstellers (Info- und Bedienfenster).

WackGet im Systray.

Jabbin auf Watchlist

nospam@example.com (Kai Raven) — Fri, 20 Oct 2006 21:56:09 +0200

Mal beobachten: Von Jabbin, einem Psi-Fork ist die 2.0 beta erschienen. Bietet wie Psi auch OpenPGP Verschlüsselung für Chats und Instant Messages, aber zusätzlich und im Gegensatz zu Psi VoIP per Google Talks Jingle, so dass man theoretisch mit allen Clients, die GTalks Jingle verwenden, auch VoIP machen kann. Das linux.com Review hört sich allerdings noch nicht berauschend an, aber das könnte ja noch werden. Fällt dann allerdings wieder die Möglichkeit flach, SIP Calls per Zfone zu verschlüsseln. Wie Psi bietet auch Jabbin leider keine Unterstützung für OTR und von den ESessions (Encrypted Sessions) für Jabber habe ich schon lange nichts mehr gehört.
Ich muss mal seufzen.

GNU ccRTP Bibliothek für ZRTP

nospam@example.com (Kai Raven) — Sun, 08 Oct 2006 08:08:03 +0200

Wie mir Werner Dittmann, einer der Entwickler des freien SIP Softphones MiniSIP mitteilte, hat er in Zusammenarbeit mit dem GNU ccRTP Projekt die Erweiterungungsbibliothek libzrtpcpp für die GNU ccRTP Bibliothek bereitgestellt, die Phil Zimmermanns ZRTP Protokoll für sicheres und verschlüsseltes VoIP integriert. Die GNU ccRTP Bibliothek implementiert neben ZRTP RTP/RTCP und das Secure Real-time Transport Protocol (SRTP) und wird von Entwicklern von SIP Softphones genutzt.

MiniSIP Hauptfenster unter Windows XP.
MiniSIP wird zur Zeit überarbeitet.

Laut Dittmann wird für Entwickler, die GNU ccRTP als Basis verwenden, die Nutzung von ZRTP wesentlich vereinfacht. Verzichtet ein Entwickler auf eine aufwendige GUI wie bei Zfone und beschränkt sich auf die grundlegenden Funktionen von ZRTP, ist nur eine 2- bis 3-zeilige Änderung im Code einer bestehenden Softphoneapplikation erforderlich.

Einer der ersten Clients, die libzrtpcpp für ZRTP einsetzen, ist das SIP Softphone Twinkle, das für Linux verfügbar ist. Da MiniSIP und Twinkle bezüglich ZRTP auf der gleichen Codebasis beruhen, sind beide Clients ZRTP-kompatibel.

Für Twinkle wurde auch eine Oberfläche für ZRTP realisiert, die in der Twinkle GUI integriert ist und dem Nutzer sowohl alle ZRTP Informationen anzeigt, als auch die Steuerung von ZRTP ermöglicht.

Twinkle Softphone.
Die ZRTP gesicherte Verbindung wird durch das Schlossicon angezeigt.

Chatten über's Netz

nospam@example.com (Kai Raven) — Fri, 26 May 2006 21:43:59 +0200

Gerade in Jabber:

(20:42:06) raven: hi <wartet darauf, dass jan auch hi sagt>
(20:42:29) jan: LOL
(20:42:32) jan: hi
(20:42:39) jan: :-D

Ja, es ist ein Kreuz...Ich habe mich ja auch vor einiger Zeit u. a. in Jabber Killing Spree dazu ausgelassen, Florian und Jan reicht es auch – es wird ein Kreuz bleiben. Trotzdem noch einmal die hoffnungslosen Hinweise:

Ich mag diese Höflichkeits- und Gesprächseinleitungs-Rituale auch nicht.
Ich beiße nicht.
Einmalige Anfragen kann man mir auch per good old E-Mail schreiben.
Solange ich nicht von Spim geflutet werde, kann man an mich auch Nachrichten schicken ohne Authorisationsgedöns, da in Psi (0.10-Daisy-x5-ah, gibt es aber auch ähnlich/gleich in der Standardversion) zur Zeit "Ignore events from contacts not already in your roster" deaktiviert ist.
Zu 99% kann man sich auf meinen Status verlassen, ich erwarte eine halbwegs realistische Statusanzeige auch von anderen Usern.

Ansonsten beschäftige ich mich außer einiger Nebenarbeiten am PC und der Homepage mit Zimmermanns zfone, das ja jetzt als Beta für alle wichtigen Plattformen verfügbar ist. Verschlüsseltes VoIP als wichtiger Bestandteil gegen Inhaltsvorratsspeicherung fehlt mir noch – Anonymisierung per Tor oder ähnlichem gegen Verkehrsdatenvorratsspeicherung geht ja schlecht wegen der Latenzzeiten.

Wo wir bei Vorratsspeicherung sind – Hinweis auf das Weblog Daten-Speicherung von Patrick Breyer, der auch beim Arbeitskreis / der Initiative gegen Vorratsspeicherung mitwirkt.

Dazu hatte ich mir zuerst Gizmo vorgenommen, das von Zimmermann als mit zfone "getestet" bezeichnet wird. Zur Zeit speichert das Ding aber nicht die Änderung des SIP Ports auf 5060 für zfone. Mir wäre ein noch "offenerer" SIP Client noch lieber – hatte da minisip im Auge, das einmal im Wiki zu einer Chaosradiosendung erwähnt wurde. Mit zfone selbst habe ich zur Zeit unter Windows das Problem, dass die Installation hängt, ob beta1 oder beta2. Muss ich mal weiter schauen.

Ick glotz TV - halbwegs

nospam@example.com (Kai Raven) — Wed, 24 May 2006 20:24:52 +0200

Das ist seit heute mein neues Spielzeug – AverTV DVBT-T USB 2.0 von Avermedia – obwohl mein TV-Konsum mit den Jahren immer mehr abgenommen hat. Aber gut, als "PC-Potato" braucht man so was :)

Nach stundenlangem Aktualisieren, Neustartwahnsinn, Treiberupdates bis zum Abwinken und Recherchieren im Web lief das Ding endlich unter Windows XP. Eigentlich hatte ich mir das Ding geholt, weil es laut Infos im Web auch gut unter Linux laufen soll und ich zuerst über eine Linuxanleitung bei gulli gestolpert war. Außerdem gefiel mir die robuste, klobige Bauweise.

Ganz so robust klappt das aber unter Windows XP immer noch nicht. Als Admin funktioniert merkwürdigerweise die Fernbedienung nicht, als User crasht die Avermedia TV-Applikation mit einen Fehler bezüglich ntdll.dll, aber die Fernbedienung geht. Läuft nur, wenn ich dieses QuickTV Startprogramm als Admin laufen lasse. Scheiß Windows. Der Empfang ist sehr gut, wenn ich die passive Antenne mit Magnetstandfuß an meine Magnetpinnwand klatsche, die Bildqualität super. So weit, so gut, so schlecht.

Mal wieder qemuht

nospam@example.com (Kai Raven) — Sun, 01 Jan 2006 15:52:08 +0100

So, jetzt mal etwas anderes. Bei den ganzen Sachen aus der internationalen und nationalen Twilight Zone wird man ja ganz irre.
Das letzte Mal als ich mir Qemu angesehen habe, klappe das ja gar nicht so gut, ist aber auch schon etwas her. Nun habe ich mir den Emulator in der Version 0.8.0 wieder vorgenommen und dazu noch das Qemu Accelerator Kernelmodul.
Die Installation lief ohne Probleme, dann noch die tmpfs Größe angepasst und udev, meine olle W2K CD in's Laufwerk geworfen und ab ging es. W2K und Qemu laufen sehr stabil und W2K in Qemu genauso "flott" wie unter VMware:) Mal sehen, was man damit noch so anstellen kann bzw. dort noch zu erkunden ist.

Typischer W2K Nervscreen in Qemu nach der Installation.

Als Informationsquelle haben mir dabei geholfen: Die Qemu Doku, der Qemu Eintrag im UbuntuUsers Wiki, das How to install QEmu on Ubuntu Linux (Hoary+) von den Codepoets. Ich muss schon sagen, für Ubuntu und von Ubuntu-Usern gibt es gute Informationen. Dann bin ich noch über den grafischen Qemu Launcher für Debian gestolpert, zu dem ich zur Zeit gar nichts sagen kann.

Xmas-Kitsch-Desktop

nospam@example.com (Kai Raven) — Mon, 19 Dec 2005 14:34:00 +0100

Wer noch nach einer passenden Desktopausstattung zu Weihnachten sucht und es – passend zum Fest – etwas kitschig mag, dem empfehle ich das Frosted Wallpaper von vladstudio, Xsnow für über den Desktop treibende und auf Fenstern hockenden Schneeflocken und ein passendes winterliches Theme. Nur den Glühwein gibt's nicht virtuell. In der Hinsicht empfehle ich, mal nicht den gewöhnlichen "Christkindl XYZ" zu nehmen, sondern Heidelbeerglühwein mit einem Schuss Amaretto oder Bourbon :)

Na, wer hat einen noch kitschigeren Xmas-Desktop?

Wohl bekomm's

nospam@example.com (Kai Raven) — Thu, 15 Dec 2005 22:05:00 +0100

Eine verschlüsselte PDF Datei? Nein, links PDF in dem dollen Dokumentenviewer Evince, rechts im guten, alten Xpdf. PDF ist übrigens ein Reader zur Gesundheitskarte, mit der ja mal wieder alles noch besser, schöner und sicherer werden soll, uns wie der schöne ePass zig Millionen kostet und sicher langfristig das eine oder andere Sicherheits- und Datenschutzproblem.

Via Die elektronische Gesundheitskarte. Als Ergänzung siehe Technische Spezifikation der elektronischen Gesundheitskarte.

Digitales Sahnebonbon für Xfce

nospam@example.com (Kai Raven) — Thu, 15 Dec 2005 11:45:00 +0100

Gerade über Betablogers Gnome ohne Gnome auf das GTK2 Theme Digital Cream aufmerksam geworden:

Jo, sieht mit Xfce sehr schön aus und ist eine willkommene Abwechslung zu meinem sonstigen Themefavoriten Ana.
Aber warum mag Betabloger das Xfce Panel nicht? Gerade das ist für mich eine willkommene Alternative zum Gnomepanel :)

1 x Vorratsspeicherung, wer will noch mehr?

nospam@example.com (Kai Raven) — Wed, 14 Dec 2005 23:04:00 +0100

So, nun ist also die Vorratsspeicherung aller Daten von E-Mails, SMS, Handy- und Festnetz-Telefonaten, VoIP Verbindungen bis auf deren Inhalt sowie Login- und Lokalisierungs-Daten für die Dauer von mindestens sechs Monaten bis unendlich von der großen Koalition der Volksverdreher, Volksverräter – Verzeihung, Volksvertreter der Sozialdemokraten und Konservativen abgenickt.

Die totale Überwachung ist es noch nicht, wie ich in einigen Weblogs las, denn dazu gehört auch die generelle Vorratsspeicherung des Inhalts und die Daten aller noch nicht erfassten Dienste und Anwendungen im Internet, aber zum einen kann das ja noch kommen und die Direktive hat einen Erweiterungsspielraum integriert, so dass ich vielleicht in ein paar Jahren dazu schreiben muss, wenn ich noch darf und zum anderen ist die Vorratsspeicherung all dieser Schlüssel zu den damit zu verknüpfenden Inhalten der Anfang der totalen Überwachung.

Einer Überwachung, die am Anfang nur der Bekämpfung des Terrorismus dienen sollte und mittlerweile in der Direktive gewollt schwammig gegen "Kriminalität" und "Störungen" gerichtet sein soll. Was kommt als Nächstes dazu? Die technische Infrastruktur zum Absaugen der Daten inklusive aller Inhalte wurde ja seit den 90er Jahren aufgebaut – ebenfalls durch die EU abgesegnet, von der ETSI und FCC in Standards gegossen und von der Bundesregierung in der TKÜV und den Technischen Richtlinien niedergelegt.

Was ich ansonsten davon halte – dazu brauche ich hier wohl nichts mehr zu sagen. Stattdessen verweise ich auf Einträge zur Vorratsspeicherung, die ich hier und im alten Weblog angelegt habe.

Noch ein Verweis auf die Heise Meldung Analysen zur Vorratspeicherung von TK-Verbindungsdaten stehen noch aus, in der sich folgender Text findet:

Auf Seiten der Provider heißt es dazu, dass man statt harter Zahlen das klassische Totschlagargument präsentiert bekam: "Wollen Sie verantworten, dass ein Terroranschlag nicht verhindert oder aufgeklärt werden kann?" Lorenz Kappei, Jurist bei 1&1, meint: "Damit ist die Diskussion immer gleich auf eine andere Ebene gehoben. Was kann man da noch sagen?" Der Hinweis auf die beträchtlichen Kosten – bei 1&1 rechnet man mit einem hohen sechsstelligen Betrag, bei einem Netzbetreiber wie MCI mit einem zweistelligen Millionenbetrag – verbiete sich angesichts dieser Argumentation.

Ich würde dem BKA oder Verfassungsschutzbeamten, dem Innenminister oder Stammtischhardliner zum Beispiel folgendes sagen:

Erstens

Die Verantwortung für einen nicht verhinderten oder nicht aufgeklärten Terroranschlag kann aufgrund der langen und komplexen Vorgeschichte eines Anschlags, der Verschiedenartigkeit der Kommunikation und Organisation der Terroristen und der unterlassenen Beseitigung der Ursachen des Terrorismus seitens verschiedener Akteure unmöglich bei einer einzigen Größe liegen. Man mag es kaum glauben, aber das schließt sogar die ein, die solche tumben Fragen stellen.

Zweitens

Der Frager kennt mit Sicherheit die Sache mit dem Hasen und dem Igel. Die Überwachungsaktionisten im Europäischen Parlament wähnen sich zur Zeit in der Rolle der Hasen, aber sobald terroristische Organisationen mitbekommen, wohin der Hase in Sachen Überwachung läuft, wird sich der Igel neue und dem Hasen unbekannte Stacheln zulegen.
Btw. werden Hasen in manchen Geschichten auch Feigheit unterstellt.

Drittens

Ich wiederhole mich: Es gibt keine absolute Sicherheit. Auch keine absolute Sicherheit gegen Terroranschläge. Selbst in einer Geselschaft, die ein noch drastischeres Überwachungsregime errichten wird, wird es Menschen geben, die bereit dazu sein werden, unter Einsatz ihres Lebens und mit neu erlernten taktisch-strategischen Verhaltensweisen terroristisch aktiv zu werden. Und sie werden erfolgreich sein. Der Preis, den diese Gesellschaft dafür bezahlen wird ist all das, was der Frager mit Überwachung zu verteidigen hofft – unsere Grund-, Bürger- und Menschenrechte. Diese Gesellschaft der Zukunft wird eine neue terroristische Bedrohung kennen lernen, den eigenen Staat.

Zum Schluß noch einen Hinweis auf meine Anleitung Anonym Mailen und Posten mit Remailern unter Linux, der ich in den letzten drei Tagen anlässlich der bevorstehenden Entscheidung im Europäischen Parlament eine Anleitung zum Gebrauch des Mixminion Type III Remailers hinzugefügt habe. Die Anleitung ist so gut wie komplett, in den nächsten Tagen werde ich noch ein wenig feilen.

Mixminion ist wie Mixmaster ein System zur Versendung anonymer E-Mails. Ein bedeutender Unterschied zu Mixmaster ist die Möglichkeit bei Mixminion, über Single-Use Reply Blocks (SURBs) auf relativ unkomplizierte Weise anonyme Nachrichten zu beantworten, was eine vollständige, zweiseitige Kommunikation ermöglicht, ohne sofort einen Nymaccount besitzen zu müssen und deshalb Cipherpunkremailer und Nymserver zu bemühen. Viel Spaß damit ihr Hasen.

Und jetzt trinke ich einen Whiskey auf die Freiheit und schaue Xsnow beim Schneien zu.

Siehe auch:

Europaparlament beschliesst Vorratsdatenspeicherung
EU-Parlament beschließt Vorratsdatenspeicherung
Wir sind alle Verbrecher
Brauchen wir ein neues Brieftaubengesetz?
Data Retention / Vorratsdatenspeicherung beschlossen
Vorratsdatenspeicherung ist ein Skandal
Neues Internet-Angebot für Europa - Komplettüberwachung inklusive
Totalüberwachung perfekt
Abgesang auf die Demokratie
ULD zur Entscheidung des EU-Parlaments zur Vorratsdatenspeicherung
Vorratsdatenspeicherung: Niemand hat die Absicht, seine Bürger zu überwachen

Verschlüsselte Sessions für Jabber

nospam@example.com (Kai Raven) — Thu, 04 Aug 2005 13:29:36 +0200

In der Jabber Community wurde gestern von Peter Saint-Andre eine neue Diskussion zur Frage der Verschlüsselung von Jabber unter dem Motto "The Great Encryption Debate" gestartet. Die Diskussionsgrundlage stellt die Jabber Protokollerweiterung JEP-0116: Encrypted Sessions dar, die gestern von Saint-Andre und Ian Paterson von der Jabber Software Foundation sowie Dave Smith veröffentlicht wurde. Aktualisierte Fassungen gibt es bei ClientSide.

Der Ausgangspunkt der Diskussion sind zwei Probleme.
Das erste Problem besteht darin, dass zwar mit RFC 3923 ein Standard für die Ende-zu-Ende Verschlüsselung mit S/MIME Zertifikaten für Jabber existiert, aber kein Jabberclient Entwickler den Standard umsetzt.
Das zweite Problem beruht darauf, dass man bei Clients wie PSI, Kopete, Centericq und JBother mit OpenPGP Schlüsseln arbeiten kann, weil diese Clients die Jabber Protokollerweiterung JEP-0027 umsetzen. Die Voraussetzung, dass die Mehrheit der Jabber Benutzer GnuPG verwenden will, sich mit GnuPG auskennt und GnuPG Schlüssel besitzt aber nicht gegeben ist.

Die Diskussion dreht sich neben den Problemen mit den existierenden Verschlüsselungslösungen auch um die Frage, welche Verschlüsselungsmethode dem Charakter und den Merkmalen von Jabber am besten entspricht.

Da Jabber Kommunikation sitzungs- und datenstromorientiert ist, was sowohl die Dauerverbindung zu einem Jabber Server angeht, als auch den Charakter der Kommunikation zwischen den Benutzern (kurze, interaktive Chatsitzungen über eine kontinuierliche Verbindung zu einem Server statt einzelner E-Mails über einen sporadisch kontaktierten E-Mail Server) sollte nach Meinung der drei Autoren der Fokus bei der Jabberverschlüsselung auch mehr auf der Verschlüsselung ganzer Jabbersitzungen liegen. Im Gegensatz zur Verschlüsselung einzelner Objekte (eine E-Mail, eine Datei, ein Jabber Nachrichtenkörper) wie bei der Verschlüsselung per OpenPGP oder S/MIME.

Deshalb stellt die Grundlage von JEP-0116 SSH und das SSH Transport Layer Protokoll dar, um ein Protokoll zu definieren, nach dem zwischen Endpunkten der Kommunikation ein sicherer Tunnel aufgebaut wird, in dem alle Elemente eines Jabber Datenstroms verschlüsselt übertragen werden. Aus diesem Grund spricht die Protokollerweiterung auch vom Protokoll für verschlüsselte Sessions oder kurz "ESessions".
Dieser Ansatz würde auch mehr dem Potential und der Dynamik von Jabber entsprechen, wenn man an die Verwendung des XMPP Protokoll von Jabber für andere Anwendungen wie VoIP oder Videoconferencing denkt.

Gleichzeitig richtet die Erweiterung auch die Methode der Verschlüsselung an den Kommunikationscharakter von Jabber aus, indem es Methoden und Ziele des Off-the-Record Messaging (OTR) in die ESessions integrieren will. Kurz gesagt, Authentifizierung und Verschlüsselung würden sich nur auf die stattfindende Kommunikation beziehen.

Das heißt für die Verschlüsselung, dass nach Beendigung der Kommunikation weder die eigentlichen Kommunikationspartner noch dritte Parteien die abgefangenen bzw. abgespeicherten und verschlüsselten Kommunikationsinhalte wieder entschlüsseln können, selbst wenn ein Angreifer in den Besitz eines verwendeten Schlüssels gelangt.

Für die Authentifizierung würde die Umsetzung von OTR in die ESessions bedeuten, dass sich die Kommunikationsendpunkte zum Anfang der Sitzung vergewissern können, dass sie mit dem echten Endpunkt kommunizieren und sich sicher sein können, dass während der Kommunikation die Inhalte wirklich von der echten Entität stammen, im Nachhinein die Inhalte aber keinem Endpunkt eindeutig und beweisbar zuzuordnen sind bzw. von jeder dritten Partei stammen können.

Die ESessions setzen dazu die Diffie-Hellmann Schlüsselvereinbarung, regelmäßigen Wiederaustausch von Verschlüsselungskeys, SHA-256 oder Whirlpool, HMAC Algorithmen und öffentliche Schlüssel im OpenPGP, SSH und x509 Format ein.

Neben einer ganzen Reihe offener Fragen deckt die Encrypted Sessions Erweiterung (noch) nicht die Verschlüsselung von Multi-User-Chat (MUC), dem Jabber Pendant zu IRC und von Nachrichten, die ein Kommunikationsendpunkt an viele Kommunikationspartner versendet, ab.

Aber die Erweiterung trägt ja nicht umsonst den Status "Experimentell", bietet aber meiner Meinung nach einen neuen und positiven Weg, eine Verschlüsselungsmethode zu realisieren, von der sowohl die Jabber Benutzer als auch die Jabberclient Entwickler profitieren könnten - vorausgesetzt, sie ist wirklich einfach zu implementieren und anzuwenden, wie es die Autoren versprechen. Dabei wäre es schön, wenn die Encrypted Sessions mit OTR kompatibel wären, OTR und Encrypted Sessions "irgendwie" in einem gemeinsamen Protokoll aufgehen würden oder jeder Jabber Client flexibel beide Methoden anbieten könnte.

Für Preisjäger

nospam@example.com (Kai Raven) — Thu, 28 Jul 2005 13:20:33 +0200

Schnäppchenjäger und Auktionsfans haben jetzt auch unter Linux die Möglichkeit, das unter Windows bekannte, freie Programm Preispiraten zur Suche und zum Preisvergleich zu nutzen. Unterstützt werden eBay, atrada und Amazon Shops. Man kann auch Auktionen beobachten und die Auktionen anzeigen lassen, die in Kürze beendet werden.
Das ca. 10 MB große tar.gz Archiv wird einfach heruntergeladen, entpackt und dann das Programm mit $ ./Preispiraten gestartet. Obwohl "für SuSe Linux 9.3" optimiert, lief es auch mit Fedora Core 4 ohne Probleme.
Laut eigenen Angaben finanziert sich das Programm über Verträge mit den Anbieterplattformen bzw. die Klicks, wenn Benutzer sich nähere Informationen über Anklicken eines Angebots im Browser anschauen.

Zwei Kryptosplitter

nospam@example.com (Kai Raven) — Wed, 27 Jul 2005 19:13:04 +0200

Von GnuPG wurde die Version 1.4.2 veröffentlicht. Die Neuerungen im Überblick:

Einige Buxfixes und zusätzliche Funktionen für die Verwendung von GnuPG mit OpenPGP Smartcards, darunter auch das Zusammenarbeiten des gpg-agents mit den Smartcards.
Im Schlüsseleditor (gpg --edit-key) und für die Import- und Exportkommandos bzw. -optionen gibt es das "clean" Kommando zur Bereinigung von User-IDs bzw. Schlüsseln, das nicht nutzbare Zertifikate entfernt - bei meinem Schlüssel wurden redundante Eigenzertifikate entfernt. Wäre auch ganz nützlich bei den OpenPGP Keyservern.
Im Smartcard- / Schlüsseleditor und bei Dateinamenabfragen gibt es jetzt die Vervollständigung von Kommandos und Dateinamen, halt wie in der Shell.
Neue Exportoption export-reset-subkey-passwd für das Kommado --export-secret-subkeys zum Exportieren der privaten Unterschlüssel, die den exportierten, privaten Unterschlüssel mit leerer Passphrase ablegt (zur Weiterverwendung in einem Kontext, wo GnuPG automatisiert ohne Passphraseabfragen eingesetzt wird).

Wer GnuPG selbst kompiliert und LDAP Keyserver mittels curl benutzt: Der Bekanntgabe ist ein kleiner Patch angehängt, der einen Bug in g10/keyserver.c behebt.

Wired hatte gestern im Artikel Privacy Guru Locks Down VOIP über ein neues Projekt von PGP-Altvater Phil Zimmermann berichtet, über das schon seit zwei Jahren Andeutungen im Web kursieren.
"My Next Big Project" wird am 28. Juli von Zimmermann auf der gerade stattfindenen Black Hat USA 2005 Konferenz im Caesars Palace in Las Vegas vorgestellt.

Hinter der Geheimnistuerei verbirgt sich ein neuer VoIP Client mit Verschlüsselung, der laut einem Artikel von de.internet.com auf dem plattformübergreifenden Open Source SIP Softphone Shtoom basiert.
Wird vielleicht endlich etwas Bewegung in den Markt verschlüsselnder VoIP Softphonelösungen bringen, der ja leider von Skype dominiert wird. Folgerichtig heißt es auch bei Shtoom zur Frage der Kompatibilität zu Skype: "Not going to happen. Skype uses a proprietary protocol - reverse engineering that is not even close to being on my list of things to do".

Trotzdem müsste Zimmermanns VoIP Phone aber gehörig was zu bieten haben, um am Skype Quasimonopol zu kratzen. Imo ein wenig zu spät.
Bruce Schneier vermutet in Encrypted VOIP Phone, dass Zimmermanns Applikation auch Open Source und Free sein wird wie Shtoom. Warten wir es ab. Demnächst will Zimmermann die Protokollbeschreibung veröffentlichen. Die Black Hats dürfen schon mit einem Prototypen spielen. Angesichts des Überwachungswahns ist jede freie, sich an Standards orientierende aber auch gute Alternative zu Skype zu begrüßen.

Technisches zur Vorratsspeicherung

nospam@example.com (Kai Raven) — Sun, 24 Jul 2005 00:34:26 +0200

Da es mit der Datenvorratsspeicherung immer ernster wird und hier eh Privoxy und Tor laufen, habe ich schon mal - bzw. zusätzlich - meine Kommunikation zwischen GnuPG und den Keyservern "torifiziert" / anonymisiert. Dazu in die gpg.conf gesetzt:

keyserver-options http-proxy=http://127.0.0.1:8118 broken-http-proxy
keyserver x-hkp://sks.keyserver.penguin.de

Für die möglichst anonyme Verwendung der Schlüssel und GnuPG selbst steht folgendes bereit:

# hidden-encrypt-to 85E51B0F
# hidden-recipient
# throw-keyids
# no-comments
# no-emit-version

Von Mixmaster und Mixminion ganz zu schweigen.

Auch für den Jabber-Client PSI wartet ein extra Nutzerkontoprofil, für das in den Einstellungen unter Verbindungen folgendes steht:

Proxy: "Tor" mit
Typ: SOCKS Version 5
Server: 127.0.0.1
Port: 9050

Server-Name: 217.10.10.196 (gerade aktuelle IP von jabber.ccc.de)
Port: 5223

Und in der torrc, damit für die Jabberkommunikation stabile TOR Nodes genommen werden:

LongLivedPorts 5223 (5223 gehört eh per default zur Option)

Soweit erst einmal als technische Antwort auf die Vorratsspeicherung, was die "IP-basierte Kommunikation" angeht.

Der Krieg mit den Passwörtern

nospam@example.com (Kai Raven) — Thu, 21 Jul 2005 15:35:36 +0200

Die Netzzeitung berichtet in Viele Menschen wählen zu einfache Passwörter und Futurezone in Passwörter als Sicherheitsrisiko zum "Susi-Phänomen".

Sprich, viele Leute wählen als Passwörter Namen, Begriffe oder kurze Passphrases aus ihrer unmittelbaren Umgebung, die der erwähnten Studie nach von einer Minderheit munter durch die Gegend geplaudert werden. Sinnwidrig geht knapp die Hälfte dieser Leute auch noch davon aus, ihre Passwörter wären sicher.

Bei mir sehen Passwörter, die ich zum Teil vom APG (Automated Password Generator) Server generieren lasse, zum Beispiel so aus:

Andere Leute bevorzugen Würfel, aufgezeichnete Geräusche aus der Natur oder andere Quellen als Ausgangsmaterial für die Erzeugung (pseudo-)zufälliger Passwörter.

Klar, das sich solche Passwörter kein normaler Mensch merken kann, womit ein weiteres Problem verbunden ist, auf das Bruce Schneier bezüglich eines Ratschlags von Microsoft-Mann Jesper Johansson bereits in Write Down Your Password einging.
Auch ich oute mich hiermit, denn ich schreibe schon seit einiger Zeit die wichtigsten Passwörter auf. Ein anderer Teil ist in einem kleinen Datenbankprogramm für Passwörter gespeichert, die mit einem der wichtigen Passwörter gesichert ist. Die aufgeschriebenen Passwörter sind auf einer Visitenkarte in einer Plastikhülle ausgedruckt, die ich immer bei mir trage.

Noch besser wäre es natürlich, wenn das getreu der Devise "I think paranoia can be instructive in the right doses. Paranoia is a skill" von Cyberpunkveteran John Shirley eine Art doppelwandiger Plastikcontainer wäre mit einer Chemikalie, die beim Zerbrechen des Containers die Visitenkarte auflösen würde :)

Sylpheed Claws & gpgme

nospam@example.com (Kai Raven) — Sun, 17 Jul 2005 08:52:59 +0200

Gestern habe ich mir den letzten GTK2 Snapshot meines Lieblings-MUA Sylpheed-Claws kompiliert. Endlich verwenden dessen GnuPG Plugins pgp/inline, pgp/mime und pgp/core auch die gpgme 1.X Bibliothek. Bisher musste ich immer ausschließlich für Sylpheed-Claws gpgme 0.3.X parallel zu gpgme 1.X installieren, das z. B. schon längst von den GnuPG GUIs GPA und Seahorse benutzt wird. Allerdings muss man für den 1.9.13-rc3 Snapshot auch dann libetpan-0.38-pre installieren, wenn man keine IMAP Unterstützung mit libetpan benötigt (--disable-libetpan). Das ist bei neueren Versionen aus dem CVS seit der 1.9.13-rc3 behoben.

Neben der IMAP Implementation über libetpan wird nun zum Drucken libgnomeprint und libgnomeui verwendet, also grafischer Druckdialog, Druckvorschau usw.

Xfce und Devil's Pie

nospam@example.com (Kai Raven) — Sun, 10 Jul 2005 15:21:37 +0200

Einige Leute, die Xfce als Desktop einsetzen, werden bestimmt schon Devil's Pie kennen.
Ich habe mir das gestern mal angesehen und muss sagen, eine nützliche Ergänzung für Xfce. Xfce selbst besitzt ja keine Funktionen zur Fenster-Workspace-Manipulation, außer alle Tasks auf allen Workspaces anzuzeigen, zu gruppieren und die Anzahl der Workspaces im Pager festzulegen. Will man ein Fenster auf alle Workspaces oder sticky setzen, maximieren usw. muss halt das Fenstermenü bemüht werden. Für manche Fenster bekommt man auch nicht eine festbleibende Fenstergröße gespeichert.

Hier kommt Devil's Pie in's Spiel, der Fenster bei ihrer Erstellung erkennt und ihre Darstellung anhand von Regeln manipuliert.

Zum Beispiel möchte ich sicherstellen, dass auf allen Workspaces immer das PSI Chatfenster zu sehen ist, bevor ich mich überhaupt per PSI eingeloggt habe, weil daran auch die Aktivierung des Benachrichtigungs-Popups von PSI geknüpft ist - jedenfalls bei der CVS PSI Version, die hier im Einsatz ist - und ich immer sofort loschatten kann, egal wo ich mich befinde.

Dazu legt man eine Regel in der XML Konfigurationsdatei für Devil's Pie an, die so aussieht:

<flurb name="PSI Chatfenster auf allen Workspaces">
    <matchers>
      <matcher name="DevilsPieMatcherWindowName">
        <property name="application_name" value="psi"/>
        <property name="window_role" value="unnamed"/>
      </matcher>
    </matchers>
    <actions>
      <action name="DevilsPieActionSetWorkspace">
        <property name="pinned" value="TRUE"/>
      </action>
    </actions>
</flurb>

Die Regel besagt: Erkenne alle Fenster mit dem Fensternamen "psi" und der Rolle "unnamed" (zur Unterscheidung des PSI Hauptfensters mit der Rolle "psimain", das auf dem ersten Workspace verbleibt) und "pinne" diese Fenster auf alle Workspaces.

Die Match-, Aktions- und Eigenschaftnamen und ihre Werte sind in der Devil's Pie beiliegenden Referenz aufgeführt, die Werte für Fenster / Applikationen und Rollen kann man schnell ermitteln, wenn man Devil's Pie im Vordergrund laufen lässt, denn in der beiliegenden Beispielkonfiguration dient die erste Regel zur Ausgabe aller Fensterwerte, die man für die Konfiguration benötigt.
Andere Aktionen sind u. a. das Ausblenden des Fensters in der Tasklist oder im Pager, die Bestimmung der Fenstermaße, die Zuordnung der Fensterdekoration des ausgewählten Fenstermanagertehemes, das Ablegen eines Fensters auf allen oder einem bestimmten Workspace oder die Bestimmung des Transparenzgrades eines Fensters.

Mit ähnlichen Regeln wird nun der Nextview EPG immer auf dem vierten Workspace gestartet, alle Terminals auf dem 2., der Bluefish Editor immer maximiert und gFTP (oder andere Datentransferprogramme) immer auf dem 3.

Günstig ist es, Devil's Pie zu Beginn des Xfce Starts ausführen zu lassen. Ich kopiere eh immer zur Beeinflussung des Xfce Starts als User die /etc/xdg/xfce4/xinitrc nach ~/.config/xfce4 und habe darin nach dem Aufruf von dbus-launch den Aufruf

devilspie -a $HOME/.devilspie/config.xml &

gesetzt.

XFCE Mouse

nospam@example.com (Kai Raven) — Tue, 05 Jul 2005 15:33:56 +0200

Es nervte mich schon die ganze Zeit, von GDM Gnome Login Screens serviert zu bekommen, obwohl ich Xfce benutze und deshalb habe ich mir gestern mal ein Xfce GDM Theme gebastelt, das auf dem Theme Tobacco Sky basiert. War etwas schwierig ein schönes Mausfoto zu finden, denn die meisten Fotos zeigen tote Mäuse - nicht gerade eine gute Werbung für Xfce.
Ich schätze mal wegen Fedora spezifischen Sperenzchen funktionieren zwar nicht alle GDM Spezialitäten, aber für eine lokale Einzelplatzanmeldung reicht es und die Grundsachen wie Herunterfahren, Reboot, Desktopauswahl gehen. Außerdem will ich nicht so tief in die Kunst der GDM Themegestaltung eintauchen. Leider habe ich noch keine Antwort bezüglich der Erlaubnis der Bildverwendung, deshalb nur ein Screenshot:

XFCE Mouse Theme