Datenkanal

Ein Thema, welches schon lange auf unserer Wunschliste steht, ist das Internetprotokoll der neuen Generation, IPv6.

Die Anfänge unserer heutigen Netzwerk-Kommunikation liegen sehr lange zurück. Im Jahr 1974 wurde der RFC 675 veröffentlicht, der ein Transmission Control Protocol definierte. Dieses wurde sieben Jahre später durch den RFC 791 ergänzt und aus beiden entstand das, was wir heute als TCP/IP kennen. Mittlerweile hat sich die Uhr weitergedreht und es wird viel darüber diskutiert, dass die IPv4-Adressen aufgebraucht sind. Daneben haben sich einige weitere Probleme mit dem Protokoll gezeigt. So begann Mitte der 1990er Jahre die Arbeit an einem neuen Internetprotokoll. Dies wurde mit RFC 2460 (IPv6) spezifiziert. Daneben gibt es eine Reihe weiterer RFCs, die Aspekte von IPv6 genauer festlegen.

Wir sprechen in der Sendung über einige Aspekte von IPv6 und ziehen den Vergleich mit IPv4. Der offensichtlichste Unterschied ist das Aussehen der IP-Adressen. Von Adressen der Form 172.16.23.42 bekommen wir jetzt Adressen der Form fe80::c45d:77ff:fe0a:e8de oder fe80:: oder auch ff02::1%wlp3s0. Wir sprechen über verschiedene Arten der Adressen, Präfixe, Suffixe etc., wie kommt ein Rechner zu einer Adresse und ein wenig zu Routing.

Nach zwei Stunden Sendezeit haben wir einen Überblick zu dem Thema geschaffen. Unser Plan ist es, in einer zweiten Sendung das Thema dann noch weiter zu vertiefen.

Download und Anhören

• 
  DK096-IPv6.opus
• 
  DK096-IPv6.ogg
• 
  DK096-IPv6.mp3

Shownotes

• RFC 8200 (IPv6-Spezifikation)
• RFC 4291 (IP Version 6 Addressing Architecture) [Updates im Kopf des RFC beachten]
• Ethernet Vendor Codes (für MAC-Adressen)
• BGP.HE.NET
• AS60729 bei bgp.he.net
• Präfix 2a0b:f4c1::/48

Dies ist die Fortsetzung des Datenkanals Nummer 77. Nach einigem Vorgeplänkel begeben wir uns weiter auf die Reise und erzählen, was passiert, bis eine Webseite im Browser angezeigt wird. In der letzten Sendung waren wir noch auf der Netzwerkebene geblieben und hatten etwas zu DNS bzw. HTTP erzählt. Diesmal steht die Verbindung und Daten werden ausgetauscht. Wir beschreiben, was der Browser so tun muss, um eine Webseite schließlich vollständig anzuzeigen.

Download und Anhören

• 
  DK078-Webseite-im-Browser-II.opus
• 
  DK078-Webseite-im-Browser-II.ogg
• 
  DK078-Webseite-im-Browser-II.mp3

In unserer 73. Sendung geht es um das Internet im allgemeinen und um dezentrale Systeme im Speziellen. Dazu hat Jörg sich einen „Experten“ besorgt: Tim Schumacher ist Softwareentwickler aus Jena und beschäftigt sich seit 1996 mit dem Internet. Zuerst geht es darum wie das Internet entstanden ist und wie es sich bis heute entwickelt hat. Wir nehmen die Begriffe „zentral“, „föderiert“ und „dezentral“ auseinander und danach geht es um Secure Scuttlebutt. Zum Schluss unterhalten wir uns noch kurz drüber wieso früher nicht alles besser war.

Download und Anhören

• 
  DK073-Dezentrale-Dienste.opus
• 
  DK073-Dezentrale-Dienste.ogg
• 
  DK073-Dezentrale-Dienste.mp3

Musik

• Absinth3 - Firewall (feat. Lisa Marie Perkins)
• Timecop1983 - Lovers (feat. SEAWAVES)

Die ganzen Alben, die Tim für die Sendung vorbereitet hatte, findet ihr in einem Beitrag auf Scuttlebutt.

Shownotes

• NET.ART: Der erste Provider von Tim, existiert inzwischen nicht mehr
• WP: Arpanet
• WP: Internet
• WP: Wireless Local Area Network (WLAN)
• WP: Hypertext Transfer Protocol (HTTP)
• WP: World Wide Web (WWW)
• WP: Domain Name System (DNS)
• WP: Root-Nameserver
• WP: John Postel
• WP: hosts (Datei)
• WP: IPv6
• WP: IPv4
• WP: E-Mail
• WP: Simple Mail Transfer Protocol
• WP: INternet Message Access Protocol
• WP: Router
• WP: Netzwerkadressübersetzung
• WP: Firewall
• WP: Internet der Dinge
• WP: IPv6 Link-Local
• WP: Constrained Application Protocol (COAP)
• Powering IoT Wireless Sensors and ICs without Batteries
• WP: Mesh-WLAN
• WP: Car2Car Communication
• WP: Border Gateway Protocol (BGP)
• WP: Network News Transfer Protocol (NNTP)
• WP: Client-Server Model
• WP: Peer-to-Peer
• WP: Autarkie
• Scuttlebutt
• WP: Gossip Protocol
• WP: Asymetrisches Kryptosystem
• WP: True name
• WP: Curve25519
• WP: Broadcast
• WP: SHA-2
• WP: Blockchain
• WP: Proof of Work
• WP: SSB Message Schemas
• Patchwork
• Patchbay
• Tims Scuttlebutt Client: ngx-ssb-client
• ssb-chess
• WP: Flooding (computer network)
• WP: Texterkennung
• SSB Statistiken
• SSB Daily Active User
• ssb-viewer
• Tor (Netzwerk)
• Secure Scuttlebutt in a One-Billion-Dollar Museum
• Tims Pub
• The Future Will be Technical

Diese Sendung widmeten wir einem etwas aktuelleren Thema. Diverse Computersysteme wurden von der Schadsoftware WannaCry befallen. Wir besprachen, die Hintergründe und Ursachen dazu. Daneben diskutierten wir mögliche Schutzmaßnahmen und die Rolle der Geheimdienste.

Download und Anhören

• 
  DK060-WannaCry.opus
• 
  DK060-WannaCry.ogg
• 
  DK060-WannaCry.mp3

Musik

Zur Überbrückung spielte Jörg am Anfang den Titel Breathe von AXL & ARTH.

Shownotes

folgen.

Der vorige Datenkanal drehte sich ganz um den 31C3 in Hamburg. Dort gab es jedoch so viel zu entdecken und zu hören, dass wir in der Sendung nicht alles beleuchten konnten. Daher haben wir uns noch die jetzige Sendung genommen und einige Worte über den Kongress verloren. Daneben standen auch die Chemnitzer Linux-Tage vor der Tür. Hier warfen wir einen Blick auf die Vorträge und die Veranstaltung. Schließlich fand kurz vor der Sendung der Safer Internet Day statt. Wir bekamen einen Mitschnitt eines Interviews ins Studio. Dort wurde Stefan Schumacher vom Wartburgradio befragt. Im Anschluss an das Interview diskutierten wir noch ein wenig die Inhalte.

Download und Anhören

• 
  DK038-31C3-CLT.mp3
• 
  DK038-31C3-CLT.ogg
• 
  DK038-31C3-CLT.opus

Musik

• The Commonfield von Emerald Park (ab 1:14:14)

Shownotes

Im August 2012 traf sich Jens mit den Entwicklern der Anonymisierungssoftware JonDonym. Das Programm war lange Zeit als JAP bekannt und wurde an der TU Dresden in Zusammenarbeit mit dem ULD in Schleswig-Holstein entwickelt. Vor einigen Jahren wurde die Software in JonDonym umbenannt und der Betrieb in die Firma JonDos GmbH ausgelagert. JonDonym kann kostenlos oder gegen Bezahlung benutzt werden. Die JonDos fungiert als Abrechnungsschnittstelle zwischen den Benutzern von JonDonym und den Betreibern der Server.

Im Gespräch erläutern die Entwicklern die dahinter stehende Firma. Wir besprechen wie JonDonym funktioniert, wo ggf. Angriffe lauern und wie der Nutzer das Internet möglichst anonym betreten kann. Karsten geht darauf ein, inwieweit der Dienst anonym bezahlt werden kann und Georg erklärt, welche Entwicklungen in der Zukunft zu erwarten sind.

Download und Anhören

• 
  DK013-JonDonym.mp3
• 
  DK013-JonDonym.ogg

Shownotes

Jens hat zur Anonymität im Internet das Buch »Anonym im Netz – Wie Sie sich und Ihre Daten schützen« veröffentlicht. Dort beschreibt er neben JonDonym auch weitere Dienste zur Anonymisierung.

Die Shownotes folgen demnächst. Wer mitmachen will, kann das DK013-Pad bearbeiten.Die Shownotes stehen unten, im erweiterten Eintrag.

Foto der Wahlscheine zur Kommunalwahl in NRW 2009 von Awaya Legends (Flickr)

Die Wahlen zu universitären Gremien sprechen in aller Regel wenige Studenten an. Ein Fünftel oder weniger der Wähler kommen ihrem Recht nach. Die Friedrich-Schiller-Universität (FSU) in Jena glaubt nun, ein Gegenmittel gefunden zu haben: Online-Wahlen.

In der aktuellen Wahl sollte das System POLYAS der Firma Micromata zum Einsatz kommen. Über ein Formular meldet sich die Student unter Verwendung seines Geburtsdatums, seiner Matrikelnummer sowie einer festgelegten Passphrase an. Danach wird von der Software ein Wahlschein präsentiert. Studierende geben die Stimme ab und die Software zählt am Ende aus. Eigentlich klingt das alles ganz einfach. Wie jedoch schon der Start zeigte, gibt es eine Vielzahl von Problemen.

Christoph Pregla erzählt im Podcast, dass eine von drei Komponenten der Software zunächst nicht gestartet werden konnte. Es gab dann längere Telefonate zwischen Micromata und der FSU. Die beteiligten Personen verließen dann die Räumlichkeiten. Es ist unklar, was in dieser Zeit mit dem Rechner passierte. Ein Angreifer hätte eventuell leichtes Spiel. Die Software konnte letztlich gestartet werden. Jedoch fiel irgendwann auf, dass die Online-Version des Wahlzettels von der Druckversion abwich. Während auf dem gedruckten Wahlzettel korrekt die Abgabe von drei Stimmen möglich war, konnten online nur zwei Stimmen abgegeben werden. Dieser Fehler führte dann zum Abbruch der Online-Wahl durch das Wahlamt.

Im zweiten Teil des Podcasts erzählt Christoph dann von weiteren Problemen, die er bei der Software sieht und auch von Aktionen, die vom Studierendenrat der FSU geplant werden. Constanze Kurz liefert im ersten Teil einige Informationen zu den theoretischen Problemen von Online-Wahlen und erzählt von der GI- sowie ÖH-Wahl. Es war eigentlich geplant, die Aufzeichnung zu dritt mit Christoph zu machen. Aber wir hatten das Treffen verpeilt. Daher gibt es zwei getrennte Gespräche.

Im folgenden habe ich noch einige Informationen zum Hintergrund aufgeschrieben. Dies entstammt meiner Mitschrift aus der Veranstaltung sowie meiner Erinnerung:
Am 5. April 2012 fand an der FSU eine Präsentation von Micromata statt. Dort sprachen sowohl Vertreter des Wahlamtes wie auch Firmenvertreter. Herr Rüttger vom Wahlamt machte dort deutlich, die Einführung der Online-Wahlen zwei Ziele verfolgen.

1. Erhöhung der Wahlbeteiligung
2. Kostenersparnis durch Vereinfachung des Verfahrens

Im Sommersemester 2012 finden kleine Gremienwahlen, Wahlen zum Stura, zu den Fachschaftsräten und zum Rat der Graduiertenakademie statt. Daneben gibt es eine Urabstimmung über Online-Wahlen. Dadurch ergibt sich gegebenenfalls die Möglichkeit, Online-Wahlen bei studentischen Gremien einzusetzen. Die laufende Online-Wahl berücksichtigt nur Gremien der Uni.

Momentan gibt es an der FSU 18.000 Wahlberechtigte. Für die müssen Zettel gedruckt und versandt werden. Das verursacht für die FSU einen erheblichen Aufwand. Denn es ist viel Personal eingebunden und verschlingt viel Zeit. Des Weiteren wäre das Verfahren nicht umweltfreundlich. Denn aufgrund der geringen Wahlbeteiligung landen mehr als 80 % der Ausdrucke im Papierkorb. Angeblich entstehen dadurch Kosten von ca. 20.000 €. Im Verlauf der Präsentation gab es keine Aussage, was POLYAS kostet. Intuitiv wäre zu erwarten, dass das System weniger Kosten verursacht.

Ein weiteres Ziel ist die Erhöhung der Wahlbeteiligung. Denn schließlich nutzen viele Studenten Facebook, also werden sie ihre Stimme gern online abgeben. So lautete in etwa die Begründung.

Seit 2008 gibt es an der FSU Überlegungen zur Durchführung von Online-Wahlen. Zwei Jahre später fand eine Testwahl mit Micromata an der Graduiertenakademie statt. Am 29. Februar 2012 wurde eine neue Wahlordnung verabschiedet. Diese ermöglicht erstmalig Online-Wahlen.

Im Verlauf der Veranstaltung wurde mehrfach erwähnt, dass die DFG und die Gesellschaft für Informatik (GI) POLYAS einsetzen. Insbesondere letztere als Vereinigung der Informatiker wurde als Beleg aufgeführt, dass das System gut ist. Denn was das schon Informatiker einsetzen … Mir fällt da nur ein: »Der Schuster hat immer die schlechtesten Schuhe«.

Die Studierenden haben mittlerweile alle ein Anschreiben bekommen. Dort steht drin, wo man sich anmelden kann, wie sich das Loginkennzeichen zusammensetzt (Matrikelnummer und Geburtsdatum), wie die Passphrase ist und wie der Fingerprint des SSL-Zertifikats aussieht. Somit wäre der Login und die Wahl theoretisch möglich. Laut Auskunft von Christoph gibt es einen zweiten Anlauf für die Online-Wahl. Dieser startet am 9. Juli 2012. Mittlerweile gibt es dazu eine Wahlbekanntmachung.

Bei der Präsentation gab es an der Stelle Screenshots vom Wahlportal. Lustigerweise war im Suchfeld des Browsers zu lesen, welche Frage derjenige zuletzt an Google gegeben hatte. Diese lautete: »Wie mache ich einen Screenshot?«

Der technische Wahlvorgang war für mich nicht nachvollziehbar. Denn zum einen besteht dieses aus einer Vielzahl von Schritten, wo diverse Dinge passieren. Ich konnte da nicht gleichzeitig mitschreiben und -denken. Jedoch gibt es die Diplomarbeit »Anbindung eines externen Authentifizierungsdienstes an ein Online-Wahlsystem« von Christian Backes. Dort stehen einige Details dazu drin (siehe Shownotes unten).

Schließlich folgten Fragen, die entweder vorab abgegeben wurden oder sich im Anschluss stellten. Ein Teil bezog sich auf Verschlüsselung und Technik. Micromata generiert die Passphrases (TANs) und verschlüsselt diese mit GnuPG. Das Ergebnis wird an die FSU gegeben. Die Erzeugung der TANs könnte jedoch auch bei der FSU erfolgen.

Das System ist abgeschottet. Es läuft nur die Wahlsoftware und keine anderen Dienste. Gleichzeitig findet eine Prüfung mit Aide und Tripwire statt.

Die Software wurde in Java geschrieben. Micromata verwendet Bouncycastle mit 2048 Bit RSA und 256 Bit AES. Weiterhin wird angeblich intern SHA-256 als Hashalgorithmus benutzt. Im Rahmen der Vorführung später waren jedoch Zeilen mit MD5 zu lesen. Auf Nachfrage antwortete ein Vertreter der Firma, dass die Logmeldungen noch nicht angepasst wurden.

Gerade im Lichte des Vorfalls an der FSU ist die Frage nach der Verfügbarkeit interessant. Angeblich gab es bisher einen Hardwareausfall. Dies führte zu sechs Stunden Nichterreichbarkeit. Ansonsten wurde immer 100 % Verfügbarkeit erzielt. Wie wohl die offizielle Zahl für die FSU aussieht?

Die Vertreter des Stura wollten auch wissen, welche unabhängigen Sicherheitsunternehmen den Code geprüft haben sowie wie dieser Test durchgeführt wurde. Nach meiner Mitschrift beantwortete der Vertreter von Micromata die Frage nach den Prüfunternehmen insofern, als das der Code vom BSI und von der DFG geprüft wurde. Einen Penetrationstest soll es seitens der DFG und von »Redteam Aachen« gegeben haben. Auf meine Nachfrage in der Veranstaltung, zu welchem Ergebnis die Tester gekommen sind, wurde gesagt, dass keine Schwachstellen außer Denial of Service gefunden wurden. Ich nahm an, dass es sich um die Firma RedTeam Pentesting aus Aachen und verlinkte darauf. Die Firma nahm Kontakt zu mir auf und teilte mir mit, dass sie keinerlei Auskunft über Kunden und Nichtkunden erteilen und nur in Einzelfällen eine Freigabe der Testergebnisse erteilen. Der Geschäftsführer von Micromata, Herr Reinhard, ließ in der Zwischenzeit mitteilen, dass die obige Aussage so nicht von seinen Mitarbeitern getroffen wurde. Dies betrifft sowohl die Aussage zum BSI wie die zum RedTeam. Damit bleibt also weitgehend offen, welche externe Firma den Code wie geprüft hat.

Irgendwann war meine Batterie am Ende und ich habe nicht weiter mitgetippt. Am Ende ging es noch um das Kompilieren der Software. Das sprach Christoph auch im Podcast an. Daneben gab es weitere eher technische Fragen.

Relativ wenig wurden eher juristische Fragen angesprochen. Constanze erwähnte bereits die Grundsätze, die zuletzt das Bundesverfassungsgericht an Wahlen im Allgemeinen gestellt hat. In den Leitsätzen zum Urteil 2 BvC 3/07 vom 3.3.2009 schrieben die Richter:

Der Grundsatz der Öffentlichkeit der Wahl, […], gebietet, dass alle wesentlichen Schritte der Wahl öffentlich überprüfbar sind, […].

Bei einer klassischen Wahl ist das vollständig gegeben. Da wird ein Papierzettel in eine Urne geworfen. Später werden alle Zettel herausgeholt und ausgezählt. Das Eregbnis wird anschließend übermittelt. Jeder Mensch mit grundlegenden mathematischen Fähigkeiten kann das Verfahren verstehen und sieht, wenn manipuliert wird. Wie ist das bei Online-Wahlen? Schon oben schrieb ich, dass der gesamte Wahlvorgang nicht so auf die Schnelle zu verstehen ist. Bereits hier benötigt man tiefergehende Kenntnisse in der Informatik, um den Ablauf zu verstehen. Das heißt, selbst wenn man davon überzeugt ist, dass die Software fehlerfrei funktioniert, kann nicht jeder die Funktionsweise einfach nachvollziehen. Wie das mit der Fehlerfreiheit ist, sieht man ja am Start des Systems an der FSU.

Insofern bleiben die grundsätzlichen Bedenken bestehen. Selbst die Vertreter von Micromata räumten in der Präsentation ein, dass ihr System nicht den Anforderungen des BVerfG gerecht würde. Aber offensichtlich erheben sie an Uniwahlen andere Ansprüche.

Ich würde mich freuen, wenn sich Studierende der FSU über die Probleme derartiger Wahlsysteme klar werden und ihr Kreuz für die Urabstimmung entsprechend setzen. Gleichzeitig benötigt die Stura die Unterstützung, um Informationen zu verteilen bzw. Gegenaktionen zu planen. Solltet ihr also Probleme sehen, meldet euch beim Stura. Habt ihr weitere Informationen zu POLYAS an der FSU oder anderswo, steht euch das Kommentarfeld offen. Viel Spaß beim Hören des Podcasts.

Download und Anhören

• 
  DK008-Online-Wahlen-an-der-FSU.mp3
• 
  DK008-Online-Wahlen-an-der-FSU.ogg
• MP3 als Torrent
• OGG als Torrent

Shownotes

• WP: Constanze Kurz
• Micromata
• POLYAS
• Diplomarbeit »Anbindung eines externen Authentifizierungsdienstes an ein Online-Wahlsystem« von Christian Backes
• CC-Schutzprofil BSI-CC-PP-0037-2008 des BSI
• WP: Common Criteria for Information Technology Security Evaluation (CC)
• WP: Bundesamt für Sicherheit in der Informationstechnik
• BSI
• Wahlamt der FSU
• Jenapolis: StuRa der FSU Jena erneuert Kritik an Onlinewahlen
• WP: Wahl
• Systeme und Verfahren von Wahlen
• WP: Wahlcomputer
• WP: Digitaler Wahlstift
• Gutachten des CCC zu Wahlcomputern für das Bundesverfassungsgericht
• WP: Internetwahl
• WP: Gesellschaft für Informatik
• Gesellschaft für Informatik
• Infoseite zu Wahlen bei der GI
• Mitteilung von POLYAS zur Wahl der Graduierten-Akademie aus dem Jahr 2010
• WP: Briefwahl
• WP: Wahlpflicht
• Interview mit Gerda Marx zum Rücktritt als Leiterin der Wahkommission bei derStandard.at
• Aufhebung des E-Voting durch den Verfassungsgerichtshof in Österreich
• Papierwahl.at: Details zur Sourcecode-Einsicht
• Papierwahl.at
• WP: Kryptographie
• WP: Hashfunktion
• WP: Secure Hash Algorithm (SHA)
• WP: Message-Digest Algorithm 5 (MD5)
• WP: RSA-Kryptosystem
• WP: Advanced Encryption Standard (AES)
• WP: Geheimhaltungsvertrag
• WP: Quellcode
• Stura der FSU
• WP: Bingo Voting
• WP: Flame (Schadprogramm)
• Pressemitteilung des BVerfG zur Verfassungswidrigkeit von Wahlcomputern
• BVerfG, 2 BvC 3/07 vom 3.3.2009
• Beschluss des Thüringer Oberverwaltungsgerichts zur Wahl an der FSU

Update: Klar gestellt, dass Aussage zur Prüfung des Code von Micromata-Vertretern kam.

Update 2: Micromata widerspricht einer Aussage. Blogbeitrag entsprechend angepasst.