Bei der Crypto von Go scheint noch mehr ranzig zu sein, schreibt mir gerade ein Leser:

Die Go Leute können mal schön kacken gehen, und endlich mal SHA1 abschaffen, bevor sie mir was über post-quantum erzählen.

Go Cypto sind ganz spezielle Saboteure, die uns seit einem dreiviertel Jahr zwingen, RSA nur mit SHA1 (bekanntermaßen broken) einsetzen zu können, weil RSA-SHA2-256 und RSA-SHA2-512 bzw deren negotiation in Go kaputt sind.

Du updatest also deine Workstation auf eine aktuelle openssh Version, die SHA1 deprecated, und dann kannst du nicht mehr von deinen git repos auf self-hosted Gitea pullen. Keyexchange failed weil Go Crypto (Gitea ist in Go geschrieben) kein RFC-8303 kann.

Dann musst du erstmal SHA-deprecation an deinem client ausschalten, damit du wieder an dein git kommst.

Und mit dem Workaround gammelt SHA1 weiter vor sich hin.

Gitea bug: 17798.
Go issue: 49269.

Ich für meinen Teil würde eh empfehlen, grundsätzlich von RSA auf Ed25519 umzusteigen bei SSH. Das aktuelle SSH macht außerdem auch noch einen Post-Quantum-Keyexchange oben drüber.

Permalink

Schlagzeile des Tages:
Ein lupenreiner Sozialdemokrat

HARR HARR HARR

Permalink

Lacher des Tages: Die Grünen schlagen vor, das 9€-Ticket zu verlängern, und das über eine Beschneidung des Dienstwagenprivilegs zu finanzieren.

Wun-der-schön! Chef's Kiss! Ich bin ja nicht häufig Grünen-Fan, aber DER Vorschlag ist 1a. Trolling vom Feinsten.

Woher ich das weiß? Weil es Lindner zu dieser ultrahochnotpeinlichen Panik-Reaktion getrieben hat:

Es sei »linke Polemik, die pauschale Versteuerung eines Geschäftswagens als Privileg zu bezeichnen, denn es ist vor allem eine Steuervereinfachung«, so Lindner.

Oh ACH SO ist das! Gut, dass wir das mal geklärt haben!

Permalink

Old and busted: Operationelle Herausforderungen.

New hotness: Makroökonomischer Gegenwind.

Mit dem begründet Nvidia ihre desaströsen Geschäftszahlen. Völlig überraschend kaufen ihnen nämlich die Gamer ihre völlig überteuerten Gaming-Grafikkarten nicht ab, und die Kryptominer sind als Kunden auch weggebrochen.

Bevor jetzt hier die große Mitleidswelle losgeht:

Der Umsatz soll demnach bei 6,7 Milliarden US-Dollar liegen und die Bruttomarge von 65,1 auf 43,7 Prozent fallen.

Jahaa, meine Damen und Herren. Im Katastrophenjahr, wo ihnen alles zwischen den Fingern zu Staub zerbröselt, da machen die immer noch knapp 50% Marge. Und warum? Weil die Leute bereit waren, ihnen ihren Scheiß zu den Freudenhauspreisen abzukaufen.

Jetzt sind jedenfalls die Lager voll mit obsoleten Grafikkarten, und solange das so ist, werden sie nicht die nächste Generation vorstellen. Wie voll sind die Lager? So voll:

"Preisgestaltungsprogramme" mit Vertriebspartnern sollen nun zum Abverkauf der vollen Lager führen. Rund 1,32 Milliarden US-Dollar kosten Nvidia die hohen Lagerbestände und damit verbundene Rückstellungen

Weia. Jetzt sollen Rabattaktionen Abhilfe schaffen.

Aber mal so Pi mal Daumen gerechnet: Wenn der Preis dabei nicht um mindestens 50% sinkt, werden wir immer noch verarscht, denn zu der Marge kommen ja die Lagerkosten, und die sind ja laufende Kosten, d.h. je länger Nvidia auf den vollen Lagern sitzt, desto mehr Lagerkosten fallen an.

Permalink

Ach. Ach was. Kaum ist Olaf "Cum-Ex" Scholz mal wieder in der Schussbahn, kommt plötzlich Bewegung in den seit Jahren festgefahrenen Fall: Es gibt ein Überraschungs-Geständnis!

Ich glaube ja bei sowas nicht an Zufall. Was meint ihr, hat Scholz den Kompromatkoffer geöffnet? Würde mich ja wundern, wenn der so vorausschauend ist, einen Kompromatkoffer zu haben. Nichts an seiner bisherigen Politik deutet auch nur das geringste Anzeichen von vorausschauender Planung an.

Was bleibt also übrig als Erklärung... Ist dem Mann seine Sterblichkeit vor Augen geführt worden? Möglicherweise durch eine dem Kanzleramt unterstellte Behörde wie ... einem Geheimdienst?

Sagt mal, seid ihr eigentlich auch so froh, dass das hier nicht wie in Russland ist? Geht doch nichts über einen demokratischen Rechtsstaat. Keine Oligarchen zu sehen hier. Bei uns gibt es auch keine politischen Gefangenen. Die werden stattdessen in die forensische Psychiatrie eingewiesen. Gut, beim Polizeirecht sind wir den Russen voraus, aber das werden die schon aufholen.

Permalink

Siemens Energy hat dieses Jahr schon eine Milliarde Verlust aufgehäuft.

Ihr denkt euch jetzt wahrscheinlich: Boah diese Scheiß Russen immer mit ihren Scheiß Sanktionen!1!!

Aber nein, stellt sich raus: Der Großteil des Verlustes war wegen der Windkrafttochter in Spanien, Gamesa.

Die Verluste begründete er mit einer schwierigen Marktsituation und "Fehlern in der Vergangenheit".

Fehler? In der Vergangenheit? Bei Siemens?!? Un-denk-bar!

Permalink

Zu dem Post-Quantum-Wettbewerb der NIST hat Bruce Schneier noch eine interessante Anmerkung:

Three other finalists, Kyber, Saber, and Dilithium, were weakened with new techniques that will probably work against some of the other algorithms as well. (Fun fact: Those three algorithms were broken by the Center of Encryption and Information Security, part of the Israeli Defense Force. This represents the first time a national intelligence organization has published a cryptanalysis result in the open literature. And they had a lot of trouble publishing, as the authors wanted to remain anonymous.)
Permalink

Gute Nachrichten! Gerhard Schröder darf in der SPD bleiben.

Da gehört er auch hin.

Die verdienen sich gegenseitig.

Permalink

Wenn jemand 200.000€ Bargeld in einem Bankschließfach hat, dann weißt du ja schon, dass die wahrscheinlich nicht aus einer legitimen Quelle kommen.

Wenn es sich dann auch noch um einen SPD-Politiker handelt, gegen den in der Cum-Ex-Affäre ermittelt wird, und bei diesen Ermittlungen haben sie das Geld gefunden, dann kann ich nur sagen: Passt wie Arsch auf Eimer.

Hey, mir fällt da noch ein SPD-Politiker ein, der in die Cum-Ex-Affäre verwickelt ist, bei dem man mal gucken gehen könnte! Wisst ihr, wen ich meine?

Update: Oh, der ist auch anderen eingefallen:

Kanzler Scholz gibt sich im Cum-ex-Skandal bisher schmallippig, nun wurde angeblich eine größere Summe bei einem SPD-Kollegen gefunden. Laut Scholz' Sprecher kommt der Fund überraschend, Scholz werde sich aber »sachdienlich« äußern.
I'm shocked, I tell you. Shocked!
Permalink

Ah, geht los mit dem Agitprop gegen Dan Bernstein. (Kontext)

Für mich persönlich ist jetzt bei Matthew Green der Zeitpunkt gekommen, die Reißleine zu ziehen. Der ist einfach zu häufig negativ aufgefallen. Erst mit Agitprop gegen GnuPG, dann mit Agitprop für Cryptocurrencies, und jetzt halt mit Agitprop gegen Dan Bernsteins Post-Quantum-Transparenzvorstoß. Ich betrachte den ab jetzt als NSA-U-Boot und schiebe ihn in meinem Threat Model auf die Angreiferseite.

Da kann er es sich neben Eric Rescorla bequem machen.

Diesen Go-Crypto-Typen, den er da zitiert, hatte ich noch nicht auf dem Radar, aber was der da schreibt ist geradezu grotesk schlecht. Da hat sich das Go-Team entweder einen naiven Anfänger oder einen Idioten eingetreten. Ich würde deren Crypto erstmal lieber nicht trauen nach diesen Aussagen.

Das war schon immer das Bedrohungsmodel in der Kryptographie, dass du davon ausgehst, dass dein Feind eine rechenschaftsfreie Regierungs- oder Militärbehörde mit unendlich viel Budget ist. Selbstverständlich musst du dann gucken, ob die nicht Kryptographen bestochen haben könnte. Nicht zuletzt weil die NSA ja tatsächlich RSA Inc bestochen hat, damit sie ihren Backdoor-DualEC-RNG weltweit verteilt haben. Das ist ja kein Fiebertraum, dass die NSA Kryptographen bestechen könnte!

Das ist seit echt vielen Jahren ganz normales Standardvorgehen, dass man z.B. bei komischen Konstanten in Krypto-Verfahren fragt, wo die herkommen, und ob die vielleicht irgendwas kryptografisch schwächer machen oder mit einer Hintertür versehen.

Seit vor 50 Jahren die S-Boxen von DES unerklärlich von der NSA kamen, ist das Teil des Bedrohungsmodells. Das Konzept hat sogar einen Namen: Nothing-up-my-sleeve Number.

Hier so zu tun als verbreite djb Verschwörungstheorien oder als beleidige er hier Kollegen, das ist so dermaßen jenseits von gut und böse, dass ich mit sehr viel Aufwand überhaupt die Annahme im Raum stehen lassen kann, dass das ein Versehen von dem Go-Typen war. Böse Absicht ist so viel wahrscheinlicher.

Update: Ein Leser schreibt, auch der Go-Typ ist schon durch GnuPG-Bashing aufgefallen. Ich habe mich auch schon abfällig über die Codequalität von GnuPG geäußert und das Dateiformat ist furchtbar, aber GnuPG war das Tool, mit dem Snowden sein Leben vor dem Zugriff der US-Behörden geschützt hat. Mit GnuPG. Nicht mit "age", nicht mit Google-Crypto, nicht mit Cloudflare-Crypto, nicht mit Microsoft-Krypto. Mit GnuPG. Wer also GnuPG generell die Existenzberechtigung absprechen will, und dann auch noch sein Gehalt von Google und Cloudflare nimmt, die um US-Regierungsaufträge konkurrieren, der ist mir direkt suspekt.

Permalink

Die USA haben ihre Lektion aus den Schulmassakern gelernt:
MARSHALL - In response to the Texas school shooting that left 19 children dead May 24, the local school system and Sheriff's Office are rolling out some beefed up security measures in 2022-23, including putting AR-15 rifles in every school.

Das sollten sie mal konsequent weiterdenken und noch Handgranaten in den Schulen bereithalten. Vielleicht noch ein paar Raketenwerfer.

Permalink

Die Nummer mit dem TÜV und den bayerischen AKWs geht weiter. Jetzt hat nicht mehr nur Greenpeace Bedenken sondern auch das Umweltministerium. Das Bundesumweltministerium versteht sich, das bayerische ist ja in CSU-Okkupation und kümmert sich daher um das politische Überleben der CSU, nicht um das tatsächliche Überleben der Bürger. Die weisen das selbstredend zurück.
Ein Sprecher des Ministeriums sagte dazu: "Der TÜV Süd ist einer der renommiertesten und mit Fragen der Kernkraft am besten vertrauten Experten." Bei der Bewertung zentraler und entscheidender Fragen solle auf die bestmögliche Expertise zurückgegriffen werden.

Ja klar, daher nehmen wir die mit dem Staudamm in Brasilien. Bayern erkennt Expertise, wenn sie sie sehen! Der TÜV Süd hat den Brasilianern ihren maroden Damm durchgewunken? Geil! Die nehmen wir für unsere AKWs!1!!

Permalink

Das Hauptproblem bei Wind- und Solarstrom ist ja, dass wir keine großen Speicher haben, bei denen wir an windigen oder Sonnentagen einspeisen und die uns dann über die anderen Tage bringen.

Ich nahm immer an, das sei halt schwierig oder teuer. Tesla hat ja den Australiern diesen fetten Batteriepuffer hingebaut, mit lauter Lithium-Ionen-Akkus mit Graphitanoden. Lithium ist halt nicht billig und muss aus Ländern wie Australien, Chile, China oder Argentinien hergeschafft werden. Hier sind die bekannten Lithiumreserven nach Ländern. Die Anoden macht man als Graphit, das kommt fast ausschließlich aus China im Moment.

Es bietet sich also nicht gerade an, hier jetzt eine fette Akkuproduktion hinzuklotzen. Dachte ich jedenfalls.

So richtig eine Wahl haben wir bei den Speichern nicht, es gibt auch in der Lausitz schon einen recht respektabel großen, aber der hat so 50 MWh Kapazität, während das Tesla-Ding in Australien 450 MWh hat. Da spielen wir nicht mal in derselben Liga.

Aber gerade erklärt mir ein Leser, dass man auch statt Lithium Natrium nehmen kann, und statt Graphit kann man Anoden aus Holz bauen. Wat? Wieso hör ich da zum ersten Mal von? Natrium kann man aus Meersalz gewinnen, da haben wir genug von, und Holz hat Europa auch ausreichend da.

Da stellt sich mir ja jetzt aber doch die dringende Frage, wieso hier nicht reihenweise Produktionskapazitäten für solche Akkus geschaffen werden!? Wartet die Politik da auf einen Arschtritt von jemandem oder was geht?

Der Leser meint, da passiert aus dem gleichen Grund nicht, wieso bei uns mehr Wind- als Solar gebaut wird. Solar kann sich einfach jeder aufs Dach packen, Wind braucht eine Infrastruktur, an der die Energiemafia künstlich Dinge verknappen und mitverdienen kann. Der Leser meint auch, dass Solarstrom billiger als Windstrom ist in der Herstellung. Das ist also nicht die unsichtbare Hand des Marktes, die dafür gesorgt hat, dass wir fast doppelt so viel Windenergie wie Solarenergie nutzen.

Permalink

Wie schlimm ist die Lage? So schlimm:

In den Niederlanden wächst die Sorge, dass angesichts der anhaltenden Trockenheit das Wasser immer knapper wird. Schon jetzt muss vor allem die Landwirtschaft sparen. Die Regierung setzte darum nun einen Notfallplan in Kraft.

Gibt es eigentlich Meerwasserentsalzungskonzepte in Europa? War bisher nirgendwo nötig, oder?

Permalink

Gute Nachrichten! Das Wasser ist nicht weg. Es hat nur, um einen alten Rothschildt-Börsenwitz zu zitieren, jemand anderes.

„Beispiellose Regenmengen“
Death Valley meldet Land unter

[...] Nach „beispiellosen“ Regenfällen gibt es immense Überschwemmungen. Rund tausend Menschen sitzen im Nationalpark in der Mojave-Wüste fest. Alle Straßen waren blockiert.

Permalink

Datenreichtum bei Twitter!

Na sowas. Wenn man Firmen, die es nicht brauchen, seine E-Mail-Adresse oder seine Telefonnummer gibt, dann kommt das irgendwann weg? NA SOWAS!

Twitter has confirmed a recent data breach was caused by a now-patched zero-day vulnerability used to link email addresses and phone numbers to users' accounts, allowing a threat actor to compile a list of 5.4 million user account profiles.

Update: Oh, mir fällt gerade auf, dass ich da voll an dem offensichtlichen Witz vorbeigelaufen bin. „Alle 100 betroffenen User wurden informiert.“ oder so :-)

(Der Rest waren Bots)

Permalink

Wie schlimm ist die Lage? So schlimm:

Germany’s Rhine, one of Europe’s key waterways, is just days away from being closed to commercial traffic because of very low levels caused by drought, authorities and industry have warned.

Crucially, the impending crisis could lead energy companies to cut their output, one of the country’s biggest gas companies has said.

Businesses located along the Rhine or dependent on it to transport or receive goods are warning that they have been forced to scale back activities and reduce loads drastically – and are now on the verge of having to close some production if cargo ships are no longer able to access the river.

Ach komm, buddeln wir halt tiefer (FDP, natürlich), den Rhein!!1!

Update: Nicht nur der Rhein trocknet aus. Die Quelle der Themse liegt trocken, hat sich jetzt über 5 Meilen stromabwärts bewegt.

Permalink

Die Älteren unter euch werden sich noch erinnern, dass es früher Exportrestriktionen für Krypto-Code aus den USA gab.

Wer z.B. Netscape Communicator nutzen wollte, und in Europa saß, musste die "Export-Version" davon benutzen, die bei ihrem https maximal 40 Bit RC4 aushandelte. Absichtlich kastrierte Schlüssellängen, damit die NSA das in Echtzeit entschlüsseln kann.

Irgendwann war das dann weg. Wer sich nicht erinnert oder es nicht miterlebt hat: Daniel J Bernstein hat damals gegen die US-Regierung geklagt, und zwar mit ziemlich durchschlagendem Erfolg.

Heute kennt man ihn eher für qmail, djbdns, NaCL, curve25519, ed25519, Salsa20 oder sein Engagement für Post-Quantum Crypto, also cryptologische Verfahren, die resistent gegen Angriffe mit einem hypothetischen Quantencomputer sind. Er war so früh dran mit seiner Quantencomputer-Arbeit, dass er den Namen des ganzen Forschungsgebietes setzen konnte.

Dan hat auch ein paar andere Male Alarm geschlagen, als viele andere ihn für paranoid hielten. Zum Beispiel zu der Frage, ob man elliptischen Kurven der US-Regierung (in Form von NIST) trauen kann, weil nicht nachvollziehbar ist, ob die NSA da nicht zahlentheoretische Hintertüren eingebaut hat durch geschickte Wahl der Konstanten, aus denen die Kurven konstruiert sind.

Warum erwähne ich das? Er klagt gerade ein zweites Mal gegen die US-Regierung. Er hat mehrere Informationsfreiheitsanfragen gestellt, um die Kommunikation zwischen NIST und der NSA offengelegt zu kriegen, aber nie haben sie ihm die nötigen Unterlagen geschickt. Jetzt hat er ihnen genug Gelegenheit gegeben, sich gesetzeskonform zu verhalten, und wird eben den Klageweg einschlagen.

Ich persönlich haben mehrere Fälle beobachtet, bei denen Dan ein Problem benannt hat, und Monate bis Jahre später haben ihm dann alle zugestimmt, oder Fakten kamen zum Vorschein, die das bestätigt haben. Privat und intern setze ich daher jetzt schon überall wo ich kann auf Bernstein-Krypto.

Grund für diese Klage von ihm ist, dass er annimmt, dass die NSA den gerade laufenden Post-Quantum-Wettbewerb der NIST sabotiert, und daran arbeitet, einen für sich brechbaren Post-Quantum-Standard zu etablieren, wie sie es in der Vergangenheit schon mehrfach getan haben (DES, DSA, DualEC-RNG). Lest euch seine Argumente selber durch. Ich finde das alles mehr als einleuchtend und wünsche gutes Gelingen.

Ich glaube, man kann das hier gerade kaum wichtig genug einschätzen. Das ist einer für die Geschichtsbücher.

Und nur dass das klar ist: Der kämpft da für uns alle. Für mich und für jeden von euch.

Permalink

Ich fahr ja gerade mit dem 9€-Ticket in Brandenburg herum, wenn ich kann. Wunderschöne Burgen und Schlösser und Parks gibt es da zu sehen. Hat sich bisher echt auf ganzer Linie gelohnt für mich.

Für mich ist es auch immer ein Hochgefühl, wenn ich am Horizont (oder von Nahem natürlich) die Windräder rotieren sehe.

Aber Mobilfunkdeckung hast du da halt keine, der Bus fährt einmal in der Woche, und die Bahn ist froh, wenn sie in den Städten stündliche Regionalbahnanbindung anbieten kann.

Eigentlich wäre doch alles völlig klar. Wenn ich da die Regierung wäre, gäbe es eine völlig klare Liste von Dingen, die mal angepackt werden müssen.

Aber wisst ihr, was nicht auf dieser Liste stünde? Noch mehr Polizeibefugnisse. Was zum Henker ist da los? Euch verdorren die Felder wegen Klimawandel und euer Innenminister kümmert sich um … Staatstrojaner?

Wo bleibt denn da eigentlich der Mistgabelmob, der diesen Innenminister Stübgen (CDU, natürlich!) aus dem Amt schmeißt? Wo findet die CDU immer solche unanständigen Menschen?!

Ihr faselt immer von den armen Kindern, aber was ist denn mit den Kindern, die ihr sehenden Auges in die Klimakatastrophe rennen lasst gerade?!

Permalink

Der Gouverneur von Texas karrt Migranten mit Bussen nach Washington DC und New York und setzt sie da in der Fußgängerzone aus.

Damit auch Democrat-Bürgermeister mal mitkriegen, dass wir hier ein Problem mit illegalen Einwanderern haben in diesem Land!1!!

Permalink