Kryptosabotage durch den Bundesnachrichtendienst über die Schweiz

Hadmut, hast Du 15 Jahre gebraucht, um das zu kapieren? Ich, von Jugend an Geheimdienstgeschädigt und bewußt, habe das Wirken dieser Kräfte glatt und durchgängig über die “Wende” erlebt. Es gibt, genau, wie in der Ost-Zone – Personalakten und es gibt auch Leute, die alle 3 Monate darauf schauen, was Du so machst …. sei nicht naiv. Und die haben auch die Macht, Weichen zu stellen.

> Hadmut, hast Du 15 Jahre gebraucht, um das zu kapieren?

Nein, die ersten Hinweise hatte ich ja damals schon, ich habe ja die Schreiben damals schon bekommen.

Nur habe ich es nicht geglaubt, weil ich mich selbst als viel zu unwichtig eingestuft habe, als dass die mich irgend wie beachten oder gar aktiv werden könnten. Ich habe lange Zeit angenommen, dass das hundsgewöhnliche Korruption, Professorendummheit, der Uni-Filz und ich halt dummerweise an den falschen Prof geraten war. Ich habe zwar über die Variante BND nachgedacht, aber keine greifbare Motivation gehabt, weshalb ich das annehmen sollte. Denn ich war auch eine Zeit lang der Meinung (auch vor dem Hintergrund dessen, was MAD und Staatsschutz so treiben), dass der BND nach außen arbeitet und es für die Regierung schon ein gewisses Interesse gibt, der Industrie starke Kryptographie als Standortfaktor zuzugestehen.

Hintergrund dessen war eben auch die Bundestagsanhörung von 1998, wo es ja durchaus gute Argumente gegen ein Kryptoverbot gab und man hinterher auch nichts mehr davon hörte, dass man Kryptographie verbieten will. Das hätte durchaus auf ein nachlassendes Interesse schließen lassen, zumal das Thema dann erst mal für über 10 Jahre von der Bildfläche verschwunden ist und mich eigentlich auch persönlich nicht mehr betroffen hat.

Dass die Bundesregierung faul spielt, ist mir eigentlich erst in Zusammenhang mit der Kinderpornosperre und bei den § 101 UrhG-Ungereimtheiten aufgefallen, wo ich bei einer Abfrage damals den starken Eindruck bekam, dass das eine Geheimdienstschnittstelle ist. Und dann eben der Vorgang, dass ich direkt aus der Bundesregierung heraus abgesägt worden bin. Da ist bei mir der Verdacht gekommen, dass da was richtig faul ist, aber das war dann eben erst wieder so um 2009/2010.

Das war so der Punkt (findet sich auch in meinen Blog-Texten wieder), an dem ich angefangen habe, der Ursache Krypto mehr Gewicht und der Ursache Korruption weniger Gewicht zu geben, und die Professorenkorruption nicht mehr als alleinige Ursache, sondern eher so als die Methode, wie man’s macht, und der Sache einen Anstrich zu geben, bzw. durchaus aus der Gelegenheit noch Kapital zu schlagen, anzusehen.

Es ist vor allem ein Punkt, den ich heute ganz anders bewerte als damals.

Als es damals mit Beth zum offenen Streit kam, so ca. 5 Wochen vor der geplanten Promotionsprüfung, das war so ungefähr April 1998 und damit einige Monate nach der Bundestagsanhörung, und offenbar kurz, nachdem der meine Dissertation an den BND weitergegeben haben muss, kochte der auf einmal hoch wie die wilde Sau. Obwohl der meine Diss kannte und sie (bis auf kleine Korrekturen, sprachliche Verbesserungen, Reihenfolge geradegezogen usw.) schon seit Januar hatte, wurde der jetzt erst wild und brüllte mich massiv an, dass er das Thema beliebig ändern könnte und mir aufgebe, etwas völlig anderes zu schreiben, nämlich eben diese „Virtual Department Architecture” von Zorn.

Damals, und gerade aufgrund der Streitigkeiten zwischen Zorn und der Fakultät, und weil Beth und Zorn der Fakultät zugesichert hatten, dass ich diese dämliche Idee implementieren würde, habe ich das eben als Auswuchs dieser Abmachung mit der Fakultät gesehen. Zorn ist ja dann auch auf die Schnauze gefallen, weil nichts herauskam.

Mittlerweile sehe ich das aber etwas anders. Gerade wegen des zeitlichen Kontexts und auch wegen der NSA-Affäre, die ja auch nicht kurzfristig angelegt worden sein kann.

Bis 1998 war die Politik, vor allem der USA, starke Kryptographie verbieten zu wollen (Clipper Chip usw.). Und Beth hatte damals intensiv getrommelt, dass er für die Bundesregierung ein Key Escrow designen würde, wenn man ihm nur genug Geld gibt. Da waren einige Politiker auch ganz scharf drauf.

Nun gibt’s aber schon ein Schreiben eines hohen BND-Mitarbeiters, dass mein Gutachten nicht an die Öffentlichkeit kommen sollte. Und in meiner Dissertation steht, dass man einen Key Escrow aus informationstheoretischen Gründen nicht erzwingen kann, also das Gegenteil von Beths Aussage. Auch das habe ich damals schon als Grund für die Ablehnung der Diss angesehen, aber nur auf Beths Seite, weil der halt die Dollar-Zeichen in den Augen hatte und total Geld- und Karriere-geil war.

Nachdem nun aber so langsam herauskommt, dass der BND weitaus stärker mit den amerikanischen Geheimdiensten verbandelt ist, als gedacht, und dass man genau damals zu diesem Zeitpunkt einen Politikwechsel vom offenen Key Escrow zur heimlichen Unterwanderung vorgenommen hat, und ich zwei (eigentlich sogar drei, wenn ich ein Schreiben interpretationsfähigen Inhalts an mich selbst dazuzähle) schriftliche Hinweise auf die Einbeziehung des BND in mein Promotionsverfahren habe, werte ich das heute anders.

Eigentlich habe ich heute keine grundsätzlich anderen Informationen als damals. Im Prinzip wusste ich vieles von dem, was heute bekannt ist, auch damals schon.

Aber die Gewichtigung ist eine andere. Ich messe – gerade aufgrund der Erfahrungen Kinderpornosperre, UrhG, NSA, Snowdon – der Sache nun viel mehr Bedeutung bei. Und seit der Kinderpornosperre, bei der ich massiv angegriffen wurde, ist mir durchaus bewusst geworden, dass die nicht nur passiv zuhören, sondern dass die auch aktiv Leute abschießen, und zwar nicht nur die obersten Dienstränge, wenn jemand denen mit einer ungenehmen fachlichen Meinung in die Quere kommt.

Nachdem ich wegen meiner fachlichen Meinung zur Kinderpornosperre sehr massiv aus der Bundesregierung heraus angegriffen worden bin, und sich die Bundesregierung sogar noch die Frechheit herausnahm, andere Provider mit Hinweis darauf einschüchtern zu wollen, bin ich zu dem Schluss gekommen, dass wenn sie es da getan haben, sie es auch auf die gleiche Weise damals getan haben könnten, und des folglich auch getan haben würden, denn die Interessenlage bei Krypto und Key Escrow war viel, viel stärker als bei der Kinderpornosperre. Inhaltlich ist beides eng verwandt. Und beidesmal war das Innenministerium die treibende Kraft im Hintergrund.

Das, worüber ich damals bei der Promotion 1998 nur nachgedacht habe, es aber deshalb verworfen habe, weil ich dachte, dass die nicht so aktiv eingreifen und ich eine viel zu kleine Nummer sei um beachtet zu werden, ist mir dann 2009 real (und wahrscheinlich eben erneut) passiert, nur dass ich bei dem Vorgang 2009 sehr viel genauer mitbekommen habe, wer da was wie dreht und wie das läuft. Seitdem verändert sich meine Sichtweise. Allerdings beschäftige ich mich mit dem Zusammenhang auch erst seit 2012 stärker, als nämlich meine Verfassungsbeschwerde abgewiesen wurde. Deshalb erforsche ich das etwas stärker (und deshalb die vordergründige Ausrichtung des Blogs auf Feminismus – ich muss an der Achse von der Leyen – Baer bohren, weil ausgerechnet diese Achse das greifbare Verbinungsstück zwischen Promotionsfall und Kinderpornosperrenfall ist).

Früher dachte ich, daß der BND im unterschied zur Stasi sich nur für höhere Chargen interessiere. Dem ist nicht so. Doktoranden sind in jedem Fall schon im Lichtkegel dieser [Schimpfwort vom Blogautor gelöscht – bedenkt bitte, dass ich dieses Blog nach außen hin vertreten muss und mäßigt Eure Wortwahl.] …..

@Hadmut
Aber, aber, Du wirst Dir doch keine Beleidigungen zueigen machen wollen?!

Carsten
—
We come in Peace

Da wir gerade beim Thema sind:

Nehmen die gerade TrueCrypt herunter?!?

> Nehmen die gerade TrueCrypt herunter?!?

Das geht mir auch seit gestern so durch den Kopf. Da weiß ich aber noch gar nicht, was ich davon halten soll.

Was mir dabei vor allem Kopfzerbrechen bereitet ist diese angebliche Empfehlung, Bitlocker zu verwenden. Denn bei Bitlocker würde ich drauf wetten, dass das Ding ne backdoor hat. Ich wäre selbst nie auf die Idee gekommen, Bitlocker als die sicherere Variante anzusehen. Ich halte gar nichts für sicher, was von Microsoft kommt. Weil ich nicht glaube, das Microsoft so groß und monopolistisch hätte werden können, wenn sie nicht mit den amerikanischen Geheimdiensten kooperieren würden. Zumal mir mal auf einer Konferenz vor einigen Jahren gesteckt wurde, dass viele amerikanische IT-Konzerne von Geheimdienstmitarbeitern unterwandert seien und selbst gar nicht mehr wüssten, was sie da alles an Backdoors drin haben. (Auch das spricht zeitlich für den oben dargestellten Ablauf, denn diesen Hinweis habe ich 2002 bekommen. Es scheint also tatsächlich so ab 1998 zu einem Strategiewechsel gekommen zu sein.)

@Hadmut

Es gibt auf zerohedge einen Eintrag.
Demgemäß gab es vor kurzem ein Congress-Hearing
auf dem der NSA-Vize vor dem Congress ausgesagt
hat, daß alle großen US IT-Unternehmen mit
der NSA zusammenarbeiten.

Das bedeutet aber, daß MS, Apple, Google mit
Sicherheit an Bord sind.

‘Verschwörungstheorien’ braucht es da nicht mehr.

> Das bedeutet aber, daß MS, Apple, Google mit Sicherheit an Bord sind.

Ja, da habe ich wenig Zweifel. Auch wenn denen es womöglich selbst gar nicht so bewusst ist, weil das zu vertreut und mitunter subversiv passiert. Ich habe Zweifel, ob die Großen das dort selbst noch voll durchblicken.

Wie gesagt, mir wurde um 2002 zugetragen, dass man da unter der Hand und sehr vertraulich Sicherheitsexperten suchte, die beim geheimen Suchen und Aufdecken eingeschleuster Geheimdienstler helfen, weil sich einige Große schon damals durch diese Unterwanderung bedroht fühlten.

Man könnte den Satz aber auch andersherum formulieren: Wer nicht mit an Bord ist, wird nicht zu einem MS, Apple, Google.

Bezüglich TrueCrypt:

Die haben sogar den Zugriff aufs Internet Archive gesperrt, d.h. an ältere, voll funktionsfähige Versionen kommt man nicht mehr so einfach ran.

https://web.archive.org/web/http://www.truecrypt.org/

Auch der Google-Cache wurde komplett gelöscht.

Das scheint ja eine größere Sache zu sein. Ich gehe davon aus, dass die Geheimdienste jetzt die Notbremse gezogen haben, gerade weil TrueCrypt sicher ist.

@Emil: Oha. Sowas könnten die von Truecrypt selbst gar nicht.

Da muss mehr dahinterstecken.

> Auch der Google-Cache wurde komplett gelöscht.

Das GIT-Repo ist auch leer.

Da muss ein hohes Tier fuchsteufelswild geworden sein, weil sich die eigenen Spezialisten als unfähig erwiesen haben.
“Sie kommen nicht dran? So eine unverschämte Frechheit! Das wird Konsequenzen haben.”

Kannst froh sein das du keinen Autounfall hattest oder irgendwo am Baum….

> Kannst froh sein das du keinen Autounfall hattest oder irgendwo am Baum….

So Kategorie iranischer Atomforscher?

Ich las kürzlich ein Interview mit Bruce Schneier wo er u.a. TC als sicher einschätzte.
Hat jemand die neueste Version von TC gesichert?
Meine gesaugten Archive sind ca. 1 Jahr alt …

@ Truecrypt gut, dass ich noch eine 7.1a Installationsdatei hab – leider nur für Windows.

Da gibt es doch bestimmt noch genug Leute, die welche rumliegen haben – die kann man dann untereinander austauschen.

Ich vermute ganz stark das bei Truecrypt die NSA angeklopft hat und nun verlangt hat “Baut Backdoor XY für uns ein”
Da die Entwickler das so natürlich nicht sagen können, haben sie das ganze einfach Offline genommen. Die Empfehlung BitLocker zu benutzen ist für mich da mehr als Eindeutig als Hint zu verstehen.

Durch die Blume heisst das ganze also “Die NSA hat uns am Sack, wir lassen unser Project deshalb lieber sterben”

Just my 2 cents

@morpheus: Ja, genau das vermute ich auch. Es stinkt in jeder Hinsicht in genau diese Richtung.

Bis vor kurzen hat selbst das BSI TC und PGP beworben samt Links.
Ich hab auf die schnelle dort gesucht und nix mehr gefunden (hab es jedoch eilig, da ich weg muß …)
Vielleicht will sich da jemand genau umsehen?

@Hadmut
> So Kategorie iranischer Atomforscher?

Genau. Du kannst froh sein, dass du es nur mit dem BND zu tun hattest und nicht mit dem Mossad.

… schnell zur Erinnerung: Phil Zimmermann hatte ja seinerzeit auch großen Ärger, da sein PGP auf die Cocom-Liste gesetzt worden war. Er hatte noch Glück, da ihm ein Export nicht nachgewiesen werden konnte …

@morpheus
> Da die Entwickler das so natürlich nicht sagen können, haben sie das ganze einfach Offline genommen.

Ich nehme eher an, dass TrueCrypt von offizieller Seite vom Netz genommen wurde, man das aber nicht sagen darf. Dafür spricht auch das gleichzeitige Zuschlagen an allen wichtigen Stellen (Website, GitHub, Internet Archive, Google). Wie Hadmut oben schrieb: “Sowas könnten die von Truecrypt selbst gar nicht.”

Und der Link mit alle Versionen, Source… (410MB):
https://github.com/DrWhax/truecrypt-archive/archive/master.zip

>Truecrypt gut, dass ich noch eine 7.1a Installationsdatei hab

bei Heise kann man sie noch runterladen

TrueCrypt 7.1a Source Code:

https://mega.co.nz/#!uQdlUYbZ!AK8il4xkXWkjYFEYgN4qXtnxn--PTTGnRqY30ksLVOk

Binaries sind (noch) auf Golem erhältlich (http://www.golem.de/news/verschluesselung-raetsel-um-das-ende-von-truecrypt-1405-106812.html)

…ausgerechnet mega…

Ich bevorzuge nach Occam’s Razor vorzugehen.

Fakt 1: Es ist wohlbekannt, dass man sich als Doktorand unter keinen Umständen mit seinem Doktorvater verkrachen sollte (ein Freund drückte es mit “schleimen bis zum Abwinken” aus).

Fakt 2: Forscher in einem Fachgebiet sind gut vernetzt. Es ist wohlbekannt, dass im Zweit- und (ggf. – je nach Promotionsordnung) Drittgutachten fast immer das herauskommt, was der Erstgutachter gerne sehen will. Professoren haben viel zu tun, da wollen Zweit- und Drittgutachter ungern Zeit dafür verschwenden, darüber nachzudenken, was sie von der Arbeit halten sollen.

Dass eine BND-Geschichte verwickelt war – möglich. Aber dass deswegen die Dissertation vereitelt wurde, lässt sich alleine aufgrund der guten Bekanntschaften und Freundschaftsgutachten von Professoren erklären (hasst dich einer, hast du, solange du nicht Professor bist, alle zum Feind) – da braucht man keine weiteren Geheimdienstverschwörungen.

@HellRaiser:

> Ich bevorzuge nach Occam’s Razor vorzugehen.

Occam’s Razor sagt aber, dass die Erklärung das erklären muss, was passiert ist.

Zu Fakt 1: Verdreht die Kausalität. Zuerst hat Beth mir die Diss abgelehnt, dann gab’s den Krach. Bedenke, dass er selbst noch den Prüfungstermin zum 1.7.98 gemacht und einen Zweitgutachter eingeladen hat. Dazwischen und zwischen der Absage ist von mir aus nichts passiert, habe ich Beth nicht gesehen. (Ist übrigens auch eine Masche der Uni gewesen, alles herunterzureden und mir zuzuschieben, indem man die Reihenfolgen vertauscht hat, um mir eine Schuld zuzuweisen.)

Zu Fakt 2: Das gälte für das erste, aber nicht für das zweite Zweitgutachten. Das ist ganz anders gelaufen.

Auch zu der Anmerkung: Du verdrehst die Kausalitäten und Reihenfolgen. Ich habe ja sogar schriftlich, dass sich die Fakultät noch kurz vor der Ablehnung in verschiedenen Sicherheitsfragen auf mich berufen und mich konsultiert hat. Ich hatte damals auch in der Fakultät keine Feinde (Beth und Zorn aber sehr wohl). Feinde habe ich mir dort erst durch die Aufdeckung nach dem Krach gemacht.

Auch Occam’s Razor kann die Zeit-Monotonie nicht umdrehen.

Ja, ausgerechnet mega.
Ich schließe Kim Appendixderwoche nicht wirklich in mein Nachtgebet ein, aber angesichts seiner Erfahrungen mit diversen Agencies, Bureaus und Services fiel mir auf die Schnelle kein treffender (Pun intended) Speicherort ein.

Sind die Entwickler von TC nicht eigentlich unbekannt? hatte sowas gelesen, da kann die NSA ja gar nicht einfach mal ankommen.

@Hadmut

Ich hab inzwischen Mal größere Teile von “Adele” gelesen. Muss schon sagen, dass man Dir da wirklich übel mitgespielt hat, was mir aufrichtig leid tut.

Wobei ich meine, dass es im Zweifel schon ausreichend war, dass Du nicht geantwortet hast “Wie tief?”, als der Prof “Bück dich!” gerufen hat.

Ein Prof ist bei einer Besprechung zu meinem Seminar-Vortrag einmal komplett ausgerastet, als ich ihn auf einen Fehler in seinem Paper hingewiesen habe. Der fing an zu schreien und zu brüllen, was mir denn eigentlich einfiele.

Das hatte mich wirklich schockiert, weil ich auf so einen Ausbruch null vorbereitet war. Das Ego mancher Profs scheint eine unglaublich zerbrechliche Angelegenheit zu sein.

Am Ende schrie er mich an, dass mir das Thema ja völlig gleichgültig sei, da ich nicht einmal die Fehler in seinem Paper bemerkt habe. Äh…

Das war schon echt ein eindrucksvolles Erlebnis.

Uff, das mit TrueCrypt ist ja suspekt.

Zum Glück habe ich /home nicht aufgeräumt und fand dort noch 7.1a.

Naja – bei Linux*.* muß man nicht mal jemanden einschleusen, da kann jeder NSAler was programmieren 🙂 Nach Heartbleed sollte klar sein, wie toll die Code-Prüfung durch JederMan (hust) funktioniert und wie jedermann Code einbringen kann. 1,5 Jahre war https kaputt – kein SuperCodeSecurityPrüfer hat was gemerkt, nicht mal Firmen wie Checkpoint und Cisco – testen so was anscheinend. Also das mit “jeder kann den Code anschauen” stufe ich nun in die Kategorie: Leugnung der Mondlandung ein.

Bezüglich Backdoors nimmt sich OC vs CS nicht viel. MS hätte bei einer echten Backdoor aber sehr viel zu verlieren – bei Linux ist aktuell nur das Vertrauen weg – bei MS wäre es bares Geld. Das würden die kaum tun und haben es bis heute nachweislich auch nie getan. Was getan wurde waren Dienste wie Skype, Outlook.com etc. zu öffnen – aber nicht das OS selbst. Muß auch nicht wirklich, da man ja bei jedem Download personalisiert – so die Dienste Muße haben – an z.B. acrobat.exe einfach einen personalisierten TRojaner im Prozess in Echtzeit des Downloads dran bauen. Und es gibt noch die offizielle Trojaner-Bude Oracle und Adobe mit deren Qualitäts-Software … Wird aber wohl nur bei ganz schlimmen Buben gemacht.

Achso TC: Naja – April ist schon vorbei. Ggf Folge der kursierenden ftp Zugangsdaten. Ernst gemeint kann das nicht sein. Ich denke Bitlocker hat keine backdoor – aber ich denke man kann sich bei MS nicht wirklich darauf verlassen, daß die Crypto wirklich sicher implementieren. Da gab es doch mal was mit NTFS-Verschlüsselung die man dann einfach mal umgehen konnte. War es w2k oder xp? Seit dem traue ich MS nicht wirklich die Kompetenz zu, so etwas sicher einbauen zu können.

Die Geheimdienste haben einen gewaltigen Vorsprung und hervorragende Vordenker. Warum sollten sie die Geschicke des Staates nicht lenken? Warum ist die LINKE nicht Regierungsfähig? Weil sie wissen das sie beobachtet werden und noch nicht mit denen zusammenarbeiten aber das kommt noch dann sind sie auch Regierungsfähig.

Truecrypt wird sicher sein aber nicht die Handhabung. In Windows XP wird keine Lücke mehr geschlossen und dann damit Online gehen?
Wenn mein Rechner gekapert wurde und lustig davon kopiert wird soll ich dann ein TC Container öffnen?
Wie will ich auf einem gekaperten Rechner den Key eingeben ohne das er geloggt wird?

Truecrypt ist nur auf Rechner sicher die nie Online gehen. Denn wer in den Fokus der Geheimdienste geraten ist kann sich nicht mehr schützen. Wer abgeschossen werden kann wird dann auch abgeschossen.
Und wenn Wissen aus einem Container Publik wird sind dann die Entwickler Schuld, oder?

Wer ein Rechner hat und dazu ein Internetanschluss und dann noch glaubt er kann Anonym sein sollte in sich gehen und Nachdenken. Umfassendes Wissen ist nötig um nicht aufzufallen.
Für jedes Forum eine Mailadresse bei wechselnden Anbieter, mehr als 300 sollten es schon sein. Für jeden Freundeskreis ein eigenes Handy und nicht mit umherlaufen und es gibt noch vieles mehr.
Das hört sich irgendwie übertrieben an aber soll ich mit einem Handy meine Freunde in der JVA, Botschaft und Arbeit anrufen? E-Plus ist nicht gut weil sie 180 Tage speichern.

@Michael
> Das [Backdoor einbauen] würden die [MS] kaum tun und haben es bis heute nachweislich auch nie getan.

Na den Nachweis kannst du hoffentlich vorlegen.
Oder meinst du damit die enge Zusammenarbeit mit der NSA, die sich z.B. in den NSA Dokumenten gezeigt hat?

@Noob

> Sind die Entwickler von TC nicht eigentlich unbekannt?

Wenn jemand die gesammten Verbindungsdaten abschnorchelt, weiß er auch, wer das Zeug auf die Server packt, sofern er es nicht sogar sebst war. 🙂

Naja – bei Linux*.* muß man nicht mal jemanden einschleusen, da kann jeder NSAler was programmieren

Linux ist seit über einem Jahrzehnt vollständig kompromittiert. Ich würde sogar sagen, es ist das NSA-Betriebssystem schlechthin. Es keine Backdoor drin, es ist die Backdoor.

Am ehesten würde noch OpenBSD vertrauen, weil deren Chef es sich mit der DARPA verschwerzt hat und das Projekt deswegen nach Kanada umzog.

Die Crypto AG war mir bisher unbekannt. Dass aber eine schweizer Firma enge Verbindungen zur ETH hat ist nicht erstaunlich. Dass ist eigentlich bei allen hightech-Firmen so und ergibt sich schon fast automatisch durch die Grösse der Schweiz. Das heisst überhaupt nichts.

@Joe: Kannst du das hier noch etwas ausführlicher begründen ?
> Linux ist seit über einem Jahrzehnt vollständig kompromittiert.

Dass die Crypto AG auf Veranlassung westlicher Geheimdienste unsichere Verschlüsselungsgeräte in den Nahen Osten und nach Libyen geliefert haben soll, habe ich vor Jahren mal im Spiegel gelesen. Ich hatte mich damals gewundert, wieso eine Schweizer Firma bei sowas mitmacht.

Diese beiden Artikel habe ich noch gefunden:

Geheimdienste unterwandern den Schutz von Verschlüsselungsgeräten
http://www.spiegel.de/spiegel/print/d-9088423.html

Krypto-Handys: Feind hört mit
http://www.spiegel.de/netzwelt/web/krypto-handys-feind-hoert-mit-a-285618-2.html

@lars: http://igurublog.wordpress.com/2014/04/08/julian-assange-debian-is-owned-by-the-nsa/ (Nicht vom Titel verwirren lassen, er hat es nicht wörtlich gesagt.)

Man sollte auch nicht vergessen, daß der Linux-Projektleiter US-amerikanischer Staatsbürger ist, in den USA seinen Wohnsitz hat, und möglicherweise auch einen NSL bekommen hat. Die Firma Red Hat, die im Prinzip die gesamte Entwicklung bei Linux steuert, ist eng vernetzt mit der US-Regierung.

@Hadmut
> Damals, und gerade aufgrund der Streitigkeiten zwischen Zorn und
> der Fakultät, und weil Beth und Zorn der Fakultät zugesichert
> hatten, dass ich diese dämliche Idee implementieren würde, habe
> ich das eben als Auswuchs dieser Abmachung mit der Fakultät
> gesehen. Zorn ist ja dann auch auf die Schnauze gefallen, weil
> nichts herauskam.
Wenn du scharf auf einen Doktortitel gewesen warst, hättest du das mitmachen müssen. Du hättest so den Titel bekommen. Egal dass das fachlich Unfug ist.

> Obwohl der meine Diss kannte und sie (bis auf kleine
> Korrekturen, sprachliche Verbesserungen, Reihenfolge
> geradegezogen usw.) schon seit Januar hatte,
> …
> Und Beth hatte damals intensiv getrommelt, dass er für die
> Bundesregierung ein Key Escrow designen würde, wenn man ihm
> nur genug Geld gibt.
> …
> Und in meiner Dissertation steht, dass man einen Key Escrow aus
> informationstheoretischen Gründen nicht erzwingen kann, also das
> Gegenteil von Beths Aussage.
> …
> Bedenke, dass er selbst noch den Prüfungstermin zum 1.7.98
> gemacht und einen Zweitgutachter eingeladen hat.
Wie passt das zusammen? Wollte Beth zugeben, dass er, wenn man ihm genug Geld gibt, für die Bundesregierung etwas Nichtfunktionierendes baut? Ich halte das für möglich, denn in den Rängen, wo so etwas gelesen und verstanden wird, ist bekannt, wie der akademische Zirkus läuft.
Hast du deine Doktorarbeit veröffentlicht?

> Zumal mir mal auf einer Konferenz vor einigen Jahren gesteckt
> wurde, dass viele amerikanische IT-Konzerne von
> Geheimdienstmitarbeitern unterwandert seien und selbst gar
> nicht mehr wüssten, was sie da alles an Backdoors drin haben.
> …
> Auch wenn denen es womöglich selbst gar nicht so bewusst ist,
> weil das zu vertreut und mitunter subversiv passiert. Ich habe
> Zweifel, ob die Großen das dort selbst noch voll durchblicken.
Das große Problem ist, dass das Fachidioten sind. Die sehen den Elefant im Raum nicht.

> Man könnte den Satz aber auch andersherum formulieren: Wer
> nicht mit an Bord ist, wird nicht zu einem MS, Apple, Google.
Auch das wird klar, wenn man beobachtet, wie sich Machtstrukturen unter vielen Menschen entwickeln. Wie kriegt man die Fachidioten dazu, sich mit der Entwicklung von Machtstrukturen zu beschäftigen?

> Wenn du scharf auf einen Doktortitel gewesen warst, hättest du das mitmachen müssen. Du hättest so den Titel bekommen. Egal dass das fachlich Unfug ist.

Sagt sich so leicht.

1. Dazu hätte ich es erst einmal wissen müssen. Ich habe das ja erst nach der Ablehnung der Diss durch Akteneinsicht herausgefunden, was da eigentlich lief. Wie soll man etwas mitmachen, von dem man nichts weiß?
2. Weil ich es nicht wusste, war ich ja schon nicht mehr an der Uni, sondern war gerade in die Industrie gewechselt. Wie hätte ich das dann noch machen können?
3. Es war nicht umsetzbar. Da war gar nichts da.

> Wollte Beth zugeben, dass er, wenn man ihm genug Geld gibt, für die Bundesregierung etwas Nichtfunktionierendes baut?

So hat der nicht gedacht.

Beth hielt sich selbst für genial und einen der weltweit besten vier Kryptologen, und es sei Aufgabe der Politik, seine Genialität zu erkennen und ihn mit Geld zu bewerfen. Das Kriterium „funktioniert” kam in seiner Welt nicht vor.

> Hast du deine Doktorarbeit veröffentlicht?

Ja, als PDF-Download.

> Das große Problem ist, dass das Fachidioten sind. Die sehen den Elefant im Raum nicht.

Oh, nein. Die haben das Problem schon gesehen. Die wussten nur nicht genau, welche Läuse sie da im Pelz haben und haben deshalb nach Leuten gesucht, die sowas gut und unauffällig finden können. Das sind keine Fachidioten. Die haben nur so viel unter sich, dass sie das gar nicht mehr im Detail durchblicken können.

Und nun noch etwas zu den kleinen Fischen. Ich habe seit vielen Jahren dem akademischen Zirkus den Rücken gekehrt. In der Zwischenzeit war ich auch mal Lehrer und habe dort einiges gesagt, was man in dieser Position nicht sagen darf. Es ging unter anderem um den Versuch der Organisation “young leaders” (Jungvolkführer?) an dieser Schule Multiplikatoren für Zustimmung zu gewalttätigen Einsätzen im Inland und Ausland zu rekrutieren. Das Ergebnis war ein großer Polizeieinsatz wegen einer Amokdrohung gegen mich persönlich.

> Beth hielt sich selbst für genial und einen der weltweit besten
> vier Kryptologen, und es sei Aufgabe der Politik, seine Genialität
> zu erkennen und ihn mit Geld zu bewerfen.
Hat er überhaupt verstanden, dass du ihn in deiner Doktorarbeit widerlegst, als er deinen Prüfungstermin gemacht und den Zweitgutachter eingeladen hat?
Ich habe deine Doktorarbeit inzwischen gefunden. Bei Adele. Leider verstehe ich zu wenig vom Thema, weshalb ich mir sie nicht durchlese.

> Oh, nein. Die haben das Problem schon gesehen.
> …
> Die haben nur so viel unter sich, dass sie das gar nicht mehr im
> Detail durchblicken können.
Dann Flucht nach vorn! Wikileaks hat die richtige Richtung gewiesen.
Ich habe meine Erfahrung im Bereich von medizinischer Versorgung, Versicherungen und politischen Entscheidungen gemacht. Insbesondere Juristen kommen überhaupt nicht auf die Idee, dass sie die wichtigsten Motive für absichtliche oder unabsichtliche Verfälschung übersehen.

@Lohengrin:

> Hat er überhaupt verstanden, dass du ihn in deiner Doktorarbeit widerlegst, als er deinen Prüfungstermin gemacht und den Zweitgutachter eingeladen hat?

Er wusste seit der Bundestagsanhörung 1997, dass ich von seinem Standpunkt abweiche. Denn da haben wir ihm im Institut vorher noch erklärt, was er sagen soll, und seine schriftliche Ausarbeitung beruht sogar auf meinen Texten. Verblüffenderweise hat er in seinem Text für den Bundestag Positionen aus meiner Diss übernommen, die er später als Vorwand für die Ablehnung hergenommen und sie als falsch dargestellt hat.

Erst in der Bundestagsanhörung hat er seinen Standpunkt gewechselt und die Chance auf viel Geld gesehen, weil er dort erst gemerkt hat, dass eigentlich alle Experten die Meinung vertraten, dass ein Kryptoverbot abzulehnen sei, die Politiker aber unbedingt eins haben wollten. Der hat sich dort hingestellt und gesagt, dass er das hinkriegt, wenn man ihm nur ganz viel Geld gibt. Und einige Politiker sind da voll drauf angesprungen. Andreas Pfitzmann war hinterher intensiv damit beschäftigt, denen die Flausen wieder auszutreiben.

Damals hatte Beth verstanden, dass ich anderer Meinung bin als er, aber er wusste nicht, wie und warum. Das war der Punkt, an dem er von mir verlangte, das aufzuschreiben und in die Diss zu übernehmen. So kam das Kapitel 5 zustande.

Erst beim Lesen muss ihm dann klar geworden sein, dass das nicht nur eine politische Meinung von mir war, sondern dass ich das auch informationstheoretisch belegen und kryptographisch verarbeiten kann. Dass merkt man sehr deutlich an seinem Gutachten, indem er versucht, das Kapitel 5 als gar so blöde und falsch hinzustellen und zu widerlegen.

Es war nicht nur, dass ich ihm als Person oder Doktorand nicht in den Kram gepasst habe, sondern es war ganz spezifisch das Kapitel 5, auf das der sich einschoss, obwohl die Diss eigentlich aus den Kapiteln 1 bis 4 besteht. Aber 5 zu widerlegen schien ihm ganz, ganz wichtig zu sein.

Beth stand nach der Bundestagsanhörung in verschiedentlichem Kontakt zur Bundesregierung, und die Kontakte zu einem BND-Mann waren schon älter, der war sogar mal zu einem Vortrag (und zur Anwerbung von Leuten?) bei uns im Institut zu Besuch. Und ich weiß, dass er mein Bundestagsgutachten an den BND-Mann weitergegeben hat, und dass es in den Akten eine schriftliche Bemerkung von ihm gibt, wonach er sich überlebt, was eben jener BND-Mann zu meiner Dissertation sagt. Also drängt es sich geradezu auf, dass er die dem weitergegeben hat, wenn Beth das schon selbst so schreibt, zumal Beth mehrere Ausdrucke der Diss von mir erhalten hatte.

Und es würde zeitlich exakt passen. Zum Bundestagsgutachten hatte jener BND-Mann Beth geschrieben, dass es nicht in falsche Hände gelangen dürfte. Also würde er meine Diss vermutlich mindestens genauso einschätzen. Warum sollte der die anders bewerten?

Womöglich ist Beth die Brisanz aber gar nicht so direkt selbst aufgefallen, sondern eben auf Hinweis jenes BND-Mannes. Denn der ist ziemlich gut in Krypto, wovon ich mich bei seinem Vortrag im Institut selbst überzeugen konnte.

Dass Beth da nicht selbst drauf gekommen ist, sondern das mit dem BND zusammenhängt, würde dann auch erklären, warum Beth so urplötzlich rumgeschwenkt ist.

Denkbar ist auch, dass es gar nicht mal direkt gegen meine Person ging, sondern Beth eher so eine Ansage bekommen hat, dass das Institut in Ungnade fällt, wenn die sowas als Diss publizieren.

@Joe: Der Linux-Kernel selbst steht nicht in der Kritik, sondern die Distributionen.

Hier ein paar Links:
https://www.youtube.com/watch?v=wwRYyWn7BEo
http://falkvinge.net/2013/11/17/nsa-asked-linus-torvalds-to-install-backdoors-into-gnulinux/
http://www.theregister.co.uk/2013/09/19/linux_backdoor_intrigue/
http://mashable.com/2013/09/19/linus-torvalds-backdoor-linux/

Es gibt anscheinend keinerlei Beweise, dass der Linux-Kernel (selbst!) kompromittiert wurde. Und solche Beweise sollten nicht so schwer zu finden sein.

Bzgl.
http://igurublog.wordpress.com/2014/04/08/julian-assange-debian-is-owned-by-the-nsa/
welcher sich auf die Kryptologie-Komponenten bezieht: da gibt es wohl auch keine weiteren Fakten mehr. Auf
http://debianforum.de/forum/viewtopic.php?f=37&t=148775
findet man eine ganz vernuenftige Diskussion, aber Neuigkeiten gibt’s da auch nicht.

Eine fundamentale Schwaeche des politischen Verfolungswahnsinns ist es, das er den Status Quo befestigt, durch Propagierung von Zynismus (welcher vielleicht die ultimative Korruption ist — “hab ich schon immer alles gewusst, und ist doch eh egal”). Die Aufgabe ist es nun, die Sachen besser zu machen.

@ Hadmut

“So Kategorie iranischer Atomforscher”.

Natuerlich, aber das gab es schon mit deutschen Hackern wie Tron.

Der Iran hat dieses Problem auf seine Weise geloest, man hat dann einfach mal einen Bus mit israelischen Zivilisten in Bulgarien in die Luft gesprengt hat…und siehe da… es hat aufgehoert.

Keine schoene Loesung aber effektiv, auch die Atomforscher waren schliesslich Zivilisten.

Das ist die einzige Sprache die diese Mischpoke versteht. Und sie haben sie verstanden.

Der Iran ist cool die lassen sich nichts gefallen.

Ihr schiesst unser Flugzeug ab, wir bomben eures vom Himmel…so einfach ist das.

@Truecrypt
hat SemperVideo was hochgeladen:
http://youtu.be/TtMILYcwrCM

@Joe Das mit OpenBSD sollte sich doch erledigt haben, nachdem bekannt wurde dass die NSA einen Programmierer veranlasst hat eine Hintertür einzubauen, die auch an andere BSDs weitergegeben wurde und erst 5 Jahre später durch den Programmierer selbst aufgedeckt wurde.

@Michael MS hat eine Backdoor in seiner Crypto-API, das ging neulich irgendwo durch die Presse. Alles was darauf aufbaut hat ein Problem. MS verlangt die Nutzung der API wenn die Software von MS “zertifiziert” werden soll. Mit einem UEFI, ohne das kaum noch was zu bekommen ist, schleppt man sich auch MS-Software und Kontakt zu MS-Servern vor dem Boot von Sicherheitssoftware ein.

@yasar Deswegen bin ich ein Freund von Anonymisierungsproxys.

[…] By Hadmut Wieder ein Puzzlestückchen. Ich habe hier im Blog ja schon beschrieben, dass ich der Frage nachgehe, ob ich damals im Promotionsverfahren auf Betreiben des Bundesnachrichtendienstes abgesägt worden bin. Ich war damals an der Bundestagsanhörung zum geplanten Kryptoverbot beteiligt, hatte in meiner Diss einen Abschnitt über Abwehrmethoden gegen staatliche Kommunikationsüberwachung und …weiterlesen… […]

@basti
> Der Iran hat dieses Problem auf seine Weise geloest, man hat dann
> einfach mal einen Bus mit israelischen Zivilisten in Bulgarien in
> die Luft gesprengt hat…und siehe da… es hat aufgehoert.
Ich glaube nicht, dass das vom Iran in Auftrag gegeben wurde. So etwas ist dumm. Mit so etwas erzeugt man Berserker.
Umgekehrt wird das andauernd gemacht. Man tötet Zivilisten und schiebt es dem Feind in die Schuhe.

@noob, @yasar, @geek
Jeder Programmierer hat seinen persönlichen Stil. Da spielt auch die Wortwahl in den Kommentaren eine Rolle. Wenn ein Programmierer neben Truecrypt noch etwas anderes programmiert, wird man die Verbindung herstellen können.
Anonymisierung wird überschätzt. Das macht das Finden von Verbindungen schwieriger, aber nicht unmöglich. Wenn es um etwas so Wichtiges geht, wie die Programmierer von Truecrypt zu identifizieren, wird auch Geld für ein paar Leute da sein, die sich ein paar Tage explizit mit der Identifizierung beschäftigen.

@Oliver K
> Eine fundamentale Schwaeche des politischen Verfolungswahnsinns
> ist es, das er den Status Quo befestigt, durch Propagierung von
> Zynismus (welcher vielleicht die ultimative Korruption ist —
> “hab ich schon immer alles gewusst, und ist doch eh egal”).
Das wäre Sarkasmus, nicht Zynismus. Man muss aber, wenn man erkennt, dass man ein totes Pferd reitet, absteigen. Wenn man nicht verhindern kann, dass man ausspioniert wird, dann muss man den Spion ausspionieren. Das Problem ist ein Ungleichgewicht der Information, und das lässt sich auf zwei Arten auflösen.

Es gibt anscheinend keinerlei Beweise, dass der Linux-Kernel (selbst!) kompromittiert wurde.

Klar, so ein Beweis wäre der Super-GAU für die Three Letter Agencies. Ich gehe aber fest davon aus, daß – bedingt durch das Entwicklungsmodell – Linux an vielen Stellen kompromittiert wurde, und traue diesem Code-Monstrum kein Stück mehr als anderer US-Software.

@Lohengrin

“young leaders”?

Für Gewaltanwendung im In- und Ausand?

https://www.atlantik-bruecke.org/programme/young-leaders-programm/

Atlantikbrücke?

Da war doch was…

Weitere Informationen zur Arbeitsweise des Netzes US-naher bzw. ideologisch gleichgerichteter Medien
http://www.nachdenkseiten.de/?p=21214

In der Ukraine sind “unsere amerikanischen Freunde” ja auch gut zu gange, ihre Söldner sind da zu Gange und Putin wird es in die Schuhe geschoben. Und was die Kiewer Putschisten/Faschisten in der Ostukraine Veranstalten grenzt schon bald an Genozid, ist aber nicht so schlimm, weil die EUSA/NATO sich da osterweitern will…
…warum wohl wurden Pussy Riot in Russland als arme Opfer stilisiert, aber ähnliche Aktionen im Westen mies gemacht?
Warum soll die EU gegen Russland Sanktionen erlassen, sich seöbst dabei schwächen? Warum ist russisches Gas jetzt tabu, und amerikanisches Fracking-GAS DIE LÖSUNG?

KenFM im Gespräch mit: Dr. Daniele Ganser (Teil 1: Ressourcenkriege, Peak-Oil, Imperium USA)
http://www.youtube.com/watch?v=Jyj-ofBUILw

KenFM im Gespräch mit: Dr. Daniele Ganser (Teil 2: NATO-Terror, 9/11, Ausblick und Lösungsansätze)
http://www.youtube.com/watch?v=uHNG7FXKiwg

Werner Rügemer – Jazenjuk made in USA
http://ossietzky.net/9-2014&textfile=2642

Etwas Verspätet, aber hier noch ein Hinweis, daß meiner bescheidenen Meinung nach seit spätestens 2000 etwas faul ist im System.

Bei dem Kommentar von Joe, daß Linux unterwandert ist, kam mir ein Gespräch in Erinnerung, das ich Anfang 2001 mit einem IBM-Oberen führte. Damals war die Aussage die, dass Big Blue in den nächsten Jahren Milliarden in Linux investieren würde um die Vormachtstellung von Microsoft zu brechen.

Siehe hierzu: http://www.channelpartner.de/a/ibm-steckt-milliarden-in-linux-und-asp-geschaeft,1079227 achtet auf das Datum!

Oder auch: http://www.zdnet.de/88170001/ibm-investiert-milliarde-dollar-in-linux/?ModPagespeed=noscript

Und was IBM mit dem 3. Reich verbindet sollte zum Allgemeinwissen gehören. Hierzu eine kleine Anregung: http://www.heise.de/newsticker/meldung/IBM-und-die-Nazis-Ich-Bin-Mitschuldig-36034.html

Und nun kommt Big Blue wieder aus dem Loch gekrochen und will uns noch mehr Big Data und ‘Wölkchen’ schmackhaft machen. Und natürlich wieder mit massivem Geldeinsatz, siehe z.B. hier http://www.netzwoche.ch/News/2014/04/24/IBM-Neue-Server-mehr-Linux-und-Big-Data.aspx

NSA & Co. KG lässt grüßen.

Mann muß ins Grübeln kommen ~:o)

@.O
Es geht um young-leaders.net . Ich glaube nicht, dass die Gleichheit der Namen Zufall ist. Das mit den Young Leaders war nur eins von mehreren Wespennestern in die ich gestochen habe.
Beeindruckend ist, wie der Apparat gegen jemanden, der gegen den Strom schwimmt, vorgeht. Über die übliche Karriere wäre ich rausgefiltert worden, bevor ich vor Schülern stand. Solche Hofnarren kommen durch die Hintertür. Noch einmal werde ich das in Deutschland nicht schaffen. Sonderlich viel bewirkt habe ich auch nicht. Es war aber, wie gesagt, beeindruckend. Meine Vorurteile wurden bestätigt.