X-Pire 2.0 (Der “Digitale Radiergummi”)
Oder: Nicht nur das Internet vergißt nichts. Nichts ist dämlich genug, um nicht auch außerhalb des Internets immer wieder aufgegriffen zu werden.
Ein Leser fragt an, ob ich nicht mal was zu dieser Meldung auf dem Heise Newsticker sagen könnte. Vor einiger Zeit habe ich schon unter „Idiotische Kryptographie, Made in Germany” geschrieben, warum der Radiergummi des „Krypto-Professors” Michael Backes nicht funktionieren kann und technisch gesehen nur gequirlter Dünnschiß ist. Da hatte der „Krypto-Professor” einfach nicht verstanden, was Sicherheit und was Kryptographie ist. Sicherheit ist, wenn’s auch dann noch funktioniert, wenn sich einer nicht mehr an die Spielregeln hält. Krypto-Zeugs, das nur funktioniert, solange sich alle an die Regeln halten, fällt unter Gesellschaftsspiele (oder Publikationsgeneratoren), aber nicht unter Sicherheit.
Nun haben die doch laute Heise tatsächlich so einen Wettbewerb „Vergessen im Internet” veranstaltet. Was ja an sich schon fragwürdig ist, denn es beruht ja schon wieder auf den Annahmen, daß sich alle an die Spielregeln halten (was sie nicht tun), und daß es ausgerechnet die Deutschen wären, die die Spielregeln vorgäben, obwohl sie sonst so gar nichts zum Internet beitragen (und kein Schwein interessiert sich da draußen für deutsche Spielregeln).
Nun hat ein Schüler, zehnte Klasse, X-Pire aufgegriffen und dran rumgebastelt. Und das P3 genannt. Den will ich da noch nicht mal kritisieren, für zehnte Klasse ist das ja mehr als OK. Und man lernt ja, indem man sich mit sowas beschäftigt. Und objektiv gesehen muß ich völlig bestätigen, daß das, was der Zehntklässler da abliefert ein ganz erhebliches Stück besser und sicherer als der Quatsch ist, den dieser „Krypto-Professor” da zusammengemurkst hat. Der Zehntklässler hat nämlich – im Gegensatz zum Professor – das Problem immerhin verstanden. (Allerdings geht’s in seiner Beschreibung ziemlich unstrukturiert durcheinander wie Kraut und Rüben, aber das kann man ihm auch nicht anlasten, dazu fehlt einfach die Ausbildung.)
Seine Verbesserung besteht darin, daß er die Entschlüsselung nicht in Software, sondern in einem geschlossenen Chip betreiben will, der Nutzer also nie an den Schlüssel kommt, sondern alles im Chip abläuft. Der Chip soll das Bild dann in das HDMI-Signal einbetten, damit es innerhalb des Rechners nirgends auftaucht.
Im Prinzip ein richtiger, aber nicht neuer Gedankengang. Das ganze nennt man normalerweise Digital Rights Management, und sowas gibt’s seit – weiß nicht aus dem Stand – irgendwie 20 Jahren oder so. Jeder ordinäre DVD-Player funktioniert im Prinzip so.
Funktionieren würde es freilich nicht, weil die Aufgabenstellung viel zu komplex ist. Man zeigt ja nicht wie bei einem DVD-Player nur ein feststehendes rechteckiges Bild an, sondern Webseiten müssen ja auch skaliert, gedreht, geschoben, überlagert usw. werden und es wird ja auch nicht immer nur ein Bild angezeigt, sondern auch mal hunderte. Oder einen Screendump fertigen. Und Webseiten müssen auch mal gecached werden. Und wie soll das mit dem Einbau des Chips überhaupt funktionieren? Das HDMI-Signal entsteht in der Graphikkarte. Also müßte man die umbauen. Viel zu komplex und zu aufwendig, es gibt viel zu viele Modelle und Methoden. Wie will man so einen Chip in Smartphones und Tablets einbauen? Es gibt locker eine Milliarde PCs und andere webtaugliche Geräte auf der Welt. Sollen wir die alle wegschmeißen und neue kaufen? Warum soll ich als Nutzer überhaupt Geld für so nen Scheiß ausgeben? Um Facebook anzugucken? Das guck ich mir ja nicht mal kostenlos an. Der Denkfehler liegt in der Interessenlage. Bilder wollen nämlich öfter gezeigt als gesehen werden. Meist ist es erst einmal der Anbieter, der will daß man guckt und nicht der Nutzer. Wenn jemand also will, daß ich mir was angucke, dann kann er nicht noch erwarten, daß ich mir erst neue Rechner kaufe. Rutsch mir den Buckel runter, dann schaue ich sie mir eben nicht an. Die Lektion haben die Musik-Händler schon gelernt, die Musik nun ohne DRM als normale MP3s verkaufen. So ein Chip wäre – wenn er überhaupt effektiv funktionieren könnte – ein Schuß ins eigene Knie. Ein teurer obendrein.
Aber ich will’s nicht kritisieren. X-Pire war für einen Krypto-Prof eine extreme Blamage, es mit einem Chip zu ergänzen ist für einen Zehntklässler aber eine durchaus respektable Arbeit. Aus dem Jungen kann was werden (falls er ne Uni mit ner brauchbaren Informatik-Ausbildung findet, was in Deutschland aber nahezu aussichtslos ist).
Völlig lächerlich ist aber die Veranstaltung dazu. Der Präsident des Mitausrichters, Ex-SAP-Chef Henning Kagermann, soll gesagt haben:
„Da kommt ein junger Mann, nimmt sich das Konzept von X-Pire, entwickelt von Michael Backes, dem Superstar der Verschlüsselungsszene, und macht es noch besser.”
Oje, oje. Das erklärt freilich, warum die SAP-Software so lausig ist. Selbst wenn man die für eine Laudation nötige Übertreibung abzieht, ist das noch ein Witz.
Michael Backes, der „Superstar der Verschlüsselungsszene”. Ich lach mich tot…
15 Kommentare (RSS-Feed)
Komm, laß die Kirche im Dorf.
Das Paper ist meilenweit von professionell entfernt, und vieles hat er nicht verstanden, rührt da Entwurf, Protokoll, Implementierung kreuz und quer durcheinander, murkst sich da einfach was zusammen und schmeißt mit Fachbegriffen um sich, die er nicht richtig verstanden hat.
Geschenkt. Das ist ein Zehnt-Klässler, um die 16 Jahre. Nicht mal Oberstufe! Woher soll der das besser wissen und können? Die meisten Informatik-Professoren können das nicht besser, und viele nicht mal so. Guck dir nur mal den Quatsch von Backes an. Warum soll man von einem Zehntklässler also mehr verlangen?
Fachlich und industriell ist das ein Witz, aber wäre ich Informatik-Lehrer an der Schule, hätte ich ihm dafür durchaus eine gute Note gegeben. Es ist immer eine Frage des Maßstabes.
Dem Link auf P3 fehlt ein http://
Verdammt, schon wieder der Firefox-Fehler. Greift man mit Firefox auf eine Webseite zu und kopiert dann den URL, ist das http:// mit drin. Greift man auf ein PDF zu, fehlt es.
Quellen
——-
en.wikipedia.org
de.wikipedia.org
[…]
> “Und das P3 genannt”
Link funktioniert nicht, der Browser interpretiert das als Unterverzeichnis
Eigentlich hab ich es vorhin korrigiert, bitte mal auf Reload drücken, anscheinend hängt noch die alte Version im Browser-Cache.
Wäre es nicht zielführender und praktischer, einfach ein “Verfallsdatum” in ein Metadatenfeld zu schreiben und die Dienste im Netz (Facebook, Flickr, Google …) halten sich netterweise daran?
Das ist zwar keine Garantie, aber die gibt es bei dem Verschlüsselungsgeraffel ja sowieso nicht.
Es wäre zumindest ein nettes Feature für eine Social-Web-Plattform, wenn man bei Fotos ein “Verfallsdatum” angeben könnte.
Für “schöne” Bilder wird man das nicht nutzen, aber für Partyschnappschüsse wäre es ja vielleicht ganz nett. Man weiß ja nie, wie peinlich solche Fotos in ein paar Jahren sein können. 🙂
@Flusskiesel: Nein. Denn wären alle auf der Welt „nett”, bräuchte man keine Kryptographie und IT-Sicherheit. Die Erfahrung zeigt, daß sich niemand dran hält. News-Artikel sollten ursprünglich auch eine Verfallszeit von z. B. 1 Monat haben und sind nach 25 Jahren trotzdem noch da.
Das Grundproblem bei der ganzen Sache ist, dass man Leuten nicht Dinge zugänglich machen kann, ohne sie ihnen zugänglich zu machen.
Wenn jemand ein Bild auf seinem eigenen Computer sehen kann, kann er es auch irgendwie speichern. Man kann mit Hardware Chips und sowas versuchen das Umgehen von sowas schwieriger zu machen, aber gänzlich funktioniert es eben nicht. Dazu kommt, dass jede Erschwerung eben auch teuer und\oder sehr unkomfortabel für den Benutzer wird.
Und deshalb gibt es eben auch kein taugliches, universelles DRM. Wenn du den Kuchen essen und einfrieren willst, hast du für eines keinen ganzen Kuchen.
Dear Hadmut,
mit “about:config” -> “browser.urlbar.formatting.enabled” -> false und “browser.urlbar.trimURLs” -> false gibt es künftig keine Probleme der erwähnte Art (mehr), bei keinerlei content type.
🙂
ist der größere kritikpunkt nicht der wettbewerb selber?
der scheint mehr der beweihräucherung seiner veranstalter zu dienen als konkrete resultate hervorbringen zu wollen…
Wieso sollte es irgendwas bringen, ein Bild mit einem Verfallsdatum zu versehen? Völlig egal, wie gut das ganze gesichert ist: Sobald das Bild auf dem Bildschirm angezeigt wird, kann jeder Volltrottel einen screenshot machen und es irgendwo hochladen. Ohne Verfallsdatum, ohne Verschlüsselung und mit einer Bildbezeichnung mit vollem Namen und Adresse. Was bleibt, ist der schwammige Rechtsweg. Also sind wir genau da, wo wir ohne das ganze tamtam jetzt schon sind.
Sicher sind nur Bilder, die keiner sehen kann. Damit sie keiner sehen kann, dürfen sie nicht hochgeladen werden. As simple as that!
@Hadmut
Aber mit wie auch immer geartetem Kryptogeraffel kann das doch erst recht nicht hinkriegen, wie Du ja selbst gezeigt hast.
Zumal es ja in erster Linie um Bilder bei Facebook und Co geht.
X-Pire 3.0, diesmal von McAfee: http://www.heise.de/security/meldung/McAfee-will-Facebook-Fotos-per-App-schuetzen-1669943.html
Ich hatte dir das schon vor ein paar Tagen versucht zu schicken, jedoch blockiert dein Spamfilter meine Absenderdomain.
Und du hast keine Ahnung wie lange und ausgiebig ich gelacht habe, als ich das Konzept von dem Buben gelesen habe. Für einen Schüler der zehnten Klasse ist das allerdings durchaus beeindruckend. Nicht nur wegen der Teile, in denen er zeigt, tatsächlich ein altersentsprechend profundes Verständnis zu haben, sondern auch in denen, in denen nur “Namedropping” mit Technologiebegriffen betrieben wird.
Der könnte es heute schon weit im Wissenschaftsbetrieb bringen 😀
Da stören solche Fehler, die ich wirklich mal eher auf Schlampigkeit oder fehlendes Gegenlesen schiebe, wie “Verschlüsselung durch Up- und Download” obendrein auch nicht.