diff --git a/20220516/nit-20220516.txt b/20220516/nit-20220516.txt new file mode 100644 index 0000000000000000000000000000000000000000..1e5bd68470f09fa2e15f46f339debbd4ee18977e --- /dev/null +++ b/20220516/nit-20220516.txt @@ -0,0 +1,228 @@ +Aufgabe: aktuelle Nachrichten auf das Thema "Bürgerrechte und IT" absuchen +seit letzter Woche Montag +Hinweis: https://www.heise.de/newsticker/ +Links bitte in den Mumble-Chat schreiben. + +Ergebnisse: + + - Sensible Daten deutscher Bürger landen in US-Cloud. + Die Teilnahme ist nicht freiwillig. + 13.05.2022, 16:22 Uhr + Zensus 2022: Datenschutz-Probleme beim Online-Portal + https://www.heise.de/-7091744 + + Zitat aus dem Artikel: + Der "private Bereich" (Subdomain fragebogen.zensus2022.de) werde nach + erfolgreicher Anmeldung mit den Zugangsdaten im Webbrowser sichtbar. + Die Daten, die hier übermittelt würden, seien mit einem Zertifikat des + ITZBund Ende-zu-Ende verschlüsselt. + Was genau mit den Anmeldedaten passiert und wie personenbeziehbar die + sind, weiß ich nicht. + Die Wortwahl finde ich allerdings seltsam: E2EE bedeutet normalerweise eine + Verschlüsselung zwischen ver- und entschlüsselnder Person, ich gehe aber + davon aus, dass die anfallenden Daten nicht von einer Person ausgewertet + werden, sondern ein Software-System die Auswertung unterstützt. + www... ist von Cloudflare, die persönlichen Daten werden unter + fragebogen.zensus2022.de eingegeben, mit einem vom DFN ausgestellten + Zertifikat. + + Ausweg: Auch Briefform ist möglich. + + - Bereits aus der Letzten Woche bekannt, hat aber diese Woche + einige Aufmerksamkeit erhalten, die EU-Chatkontrolle: + 13.05.2022?17:46 Uhr + eco-Meldestelle: Chatkontrolle ein "Freifahrtschein für staatliche Überwachung" + https://www.heise.de/-7091843 + + Es gibt übrigens eine Petition gegen die Chatkontrolle: + https://aktion.campact.de/datenschutz/chatkontrolle-stoppen/teilnehmen + (Dieser Link dient nur zur Information. Aus Neutralitätsgründen + empfehlen wir weder, die Petition zu unterschreiben, noch, dies + nicht zu tun.) + + - Und ein Thema, was mMn in der Politik vollkommen unzureichend geklärt wurde, + ist die Luca App. Auf das Thema aufmerksam macht nun wohl die + Datenschutzbeauftragte des Landes Brandenburg. + 13.05.2022?16:46 Uhr + Zwecklos gespeichert: Datenschützerin kritisiert Luca-App und warnt vor WhatsApp + https://www.heise.de/-7091593 + + Siehe auch: Vorträge des CCC zu diesem Thema: + https://www.ccc.de/de/updates/2021/luca-app-ccc-fordert-bundesnotbremse + + - Keine staatliche Überwachung, aber auch ein Datenschutzproblem. + 16.05.2022?11:15 Uhr + Warum Google weiter für "Stalkerware" wirbt + https://www.heise.de/-7091444 + + - 13.05.2022?14:48 Uhr + Europarat: Abkommen ermöglicht grenzübergreifende digitale Beweissicherung + https://www.heise.de/-7091186 + +Steganographie und Schlüsselaustausch, 16.05.2022, 15:54:14 +~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ +Situation: Kommunikation ist nur öffentlich möglich. +Ziel: Sich auf einen gemeinsamen geheimen Schlüssel einigen. +Lösungsidee: asymmetrische Verschlüsselung, öffentliche Schlüssel + +Grundprinzip: Irgendetwas ist mathematisch schwieriger als etwas anderes. +Hier: Der Logarithmus ist schwieriger zu berechnen als die Potenz. +Beispiel: 7^5 = 16807 kann ich mit Papier und Bleistift berechnen. + Für den Logarithmus von 16807 zur Basis 7 hätte ich lieber + einen Computer. +Im Computer: 100stellige Zahlen; wir rechnen modulo einer Primzahl p. + +Alice denkt sich eine Zahl a aus --> ihr geheimer Schlüssel. +Bob denkt sich eine Zahl b aus --> sein geheimer Schlüssel. +Beide einigen sich auf eine - öffentliche - gemeinsame Zahl g +(und auf dieselbe Primzahl p). +(Achtung: g ist nicht zufällig, sondern < p und idealerweise +ein Erzeuger (Generator) der zyklischen Gruppe Z_p.) + + Alice schickt g^a (mod p) an Bob. + Bob schickt g^b (mod p) an Alice. + + Beide berechnen g^(a · b) = (g^a)^b = (g^b)^a --> gemeinsamer geheimer Schlüssel + +Praktische Umsetzung in der Steganographie: +Alice schickt an Bob ein Katzenbild, das die unverschlüsselten Zahlen g, p und g^a (mod p) enthält. +Dies sind einfach nur drei zufällig wirkende Zahlen. +Ein Geheimdienst kann daraus nicht erkennen, daß ein Schlüsselaustausch stattfindet. + +[...] Siehe: https://gitlab.cvh-server.de/pgerwinski/ad/-/blob/2022ss/20220512/ad-20220512.txt + +Problem: Der Schlüsselaustausch wird abgefangen. + Wie kann man verbergen, daß überhaupt ein Schlüsselaustausch stattfindet? + +Idee: Wir schicken eine Zufallsfolge von Zahlen. + Wieviele Bits müssen wir versenden? + z.B. Schlüssel mit 2048 Bits, 3 Zahlen --> 3 Zahlen à 2048 Bit + 1. Versuch: + - Sende 12 Bit (Zahl von 0 bis 4095): Länge der Zahl. + - Sende die Zahl selbst. + - Nächste Zahl. + Problem: Das fällt auf. + 2. Versuch: + - Wie oben, aber wir senden zusätzlich "zu kurze" Zufallszahlen, + z.B. 13 Bit, 700 Bit, 2039 Bit, 3 Bit, 3048 Bit, 3770 Bit, 12 Bit + Der Algorithmus extrahiert diejenigen, die passende Größen haben. + Problem: Die 12-Bit-Zahlen könnten auffallen (viele 0-Bits). + 3. Versuch: + - Die 12-Bit-Zahlen komprimieren, z.B.: + zuerst 4 Bit mit der Länge der Längen-Zahl (z.B. 3 für 8-Bit-Länge), + danach erst die eigentliche Länge. + Beispiel: Ich möchte eine 15-Bit-Zufallszahl versenden. + Die Zahl 15 selbst hat 4 Bit. + Kodierung: + 0 1 0 0 1 1 1 1 x x x x x x x x x x x x x x x + `--v--' `--v--' `-------------v-------------' + 4 (fest) 15 Zufallszahl + Problem: 3 etwa gleich lange Zahlen könnten auffallen, + insbesondere dann, wenn die ersten zwei Primzahlen sind + und die dritte nicht. + + Problem: Wenn unser Zufall "zu gut" ist, fällt er auf, + da die LSBs in Bildern nicht 100% zufällig sind. + 5. Versuch: ... + +https://en.wikipedia.org/wiki/Steganalysis + +Idee: Ich "dekomprimiere" den Zufall, den ich aus dem Bild extrahiere, + und erhalte eine Folge verschieden langer, zufälliger Zahlen. + Daraus wähle ich Zahlen, die zufällig passen. + z.B.: Wenn eine der Zufallszahlen eine passende Primzahl ist, + verwende ich diese. Dadurch kann ich g und p übertragen. + Danach ersetze ich eine passende nicht-Primzahl durch g^a (mod p). + Behauptung: Dann ist es in der Praxis nicht möglich, zu erkennen, + daß ein Schlüsselaustausch stattfand. + +Praktische Benutzung: + - Empfangsbereitschaft: + Ich schicke auf diese Weise meinen öffentlichen + Schlüssel an Bekannte und warte auf Antworten. + Ob die kommen, ist ungewiß. + - Senden: + Ich extrahiere aus einem "Katzenbild" einen öffentlichen Schlüssel + und antworte mit einer geheimen Nachricht einschließlich Schlüsselaustausch. + Ob die geheime Nachricht überhaupt gelesen wird, ist ungewiß. + - Erst nachdem man einmal eine sinnvolle Antwort bekommen hat, + weiß man, daß die Nachrichten überhaupt gelesen wurden. + + +IT und Energieverbrauch +======================= + +Vorbemerkung, 16.05.2022, 16:29:37 +~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ +Anfangs definiert: Nachhaltige IT, + also Software-Nachhaltigkeit: + Nutzen der unbegrenzten Softare-Ressourcen zum Wohl der Menschheit + + informationelle Selbstbestimmung: Datenschutz, Privatsphäre + +"IT und Energieverbrauch" fällt eigentlich + unter Hardware-Nachhaltigkeit: + Nutzen der begrenzten Hardware-Ressourcen zum Wohl der Menschheit + + soziale Gerechtigkeit + +Problem: Manchmal widersprechen sich beide Ziele. + Software-nachhaltige Software verbraucht u.U. mehr Hardware-Ressourcen + als Software-nicht-nachhaltige Software. + +Beispiel: Krypto-Währungen + +Digitale Zahlungssysteme, 16.05.2022, 16:34:19 +~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ +Was muß ein digitales Zahlungssystem leisten? + + Fälschungssicherheit + + Schnelle Bearbeitung + + Zahlungsnachweis: Rückverfolgbarkeit: Nachweis, daß ich etwas wirklich bezahlt habe. + - Rückverfolgbarkeit: Welche meiner Kunden haben wann was gekauft? + --> Der Anbieter des Zahlungssystems sammelt zentral Daten, + die eigentlich nur Händler und Kunden etwas angehen. + + Anonymität: Nicht-Rückverfolgbarkeit von privaten Einkäufen o.ä. + - Anonymität: Nicht-Rückverfolgbarkeit von Steuerhinterziehungen + und sonstigem illegalen Handel + + Sicherheit (für Händler) zur Liquidität (der Kunden) + o Ressourcenverbrauch + o Personalbedarf + +Anwendung dieser Kriterien (--:++) auf: + + * Bargeld + - Fälschungssicherheit: + + - Schnelle Bearbeitung: o + - Zahlungsnachweis: -- (separater Beleg erforderlich) + - Anonymität: ++ (Münzen), + (Banknoten mit Seriennummer) + - Rückverfolgbarkeit illegaler Geschäfte: - + - https://de.wikipedia.org/wiki/Geldw%C3%A4sche#Vorgehen_bei_Geldw%C3%A4sche + geht grundsätzlich von Bargeld als Ausgangswertform aus. + Kryptowährungen werden später aber auch erwähnt. + - Websuche: kein eindeutiges Ergebnis + - Liste der EZB: An allen Automaten, an denen Geld ein- oder ausgezahlt + werden kann, müssen die Seriennummern erfaßt werden, nicht jedoch an + Kassen von Supermärkten oder auch Spielcasinos. + - Beispiel: Schutzgelderpressung. Regelmäßige, kleinere Zahlungen. + - Liquiditätssicherheit: ++ + - Ressourcenverbrauch: o + - Personalbedarf: -- (hoher Personalaufwand) + + * Kartensysteme: Debit- und Kredit-Karten, Lastschrift per Karte + - Fälschungssicherheit Debit- und Kredit-Karten von Banken: ++, von privat: ?, Lastschrift per Karte: -: + - Schnelle Bearbeitung: ++ + - Zahlungsnachweis: Banken: ++, privat: ? + - Anonymität: ? (Debit- und Kredit-Karten: Identifikation über die Karten-Nr.) + - Rückverfolgbarkeit illegaler Geschäfte: ++ (?) + - Liquiditätssicherheit: Debit- und Kredit-Karten von Banken: ++, von privat: ++, Lastschrift per Karte: - + - Ressourcenverbrauch: + + - Personalbedarf: + + + * Bitcoin + - Fälschungssicherheit: ++ + - Schnelle Bearbeitung: - + - Zahlungsnachweis: ++ + - Anonymität: - + - Rückverfolgbarkeit illegaler Geschäfte: - + - Liquiditätssicherheit: - (Kursschwankungen während des Transaktionszeitraums) + - Ressourcenverbrauch: -- (hoher Energieverbrauch für Transaktionen, + hoher Hardware-Verbrauch für Herstellung von BitCoins) + - Personalbedarf: ++ (evtl. bis auf: überproportional viel Werbung)