Thinking and Playing and Testing
Jens Scholz hat eine brilliante Idee: Lasst uns alle Little Brother für unsere Nichten/Neffen/Töchter/Söhne/Eltern/Großeltern/Einhörner kaufen, und das Buch so als politische Aktion in die Beststellerliste heben.
Gefällt mir.
I also write about roleplaying games in english und auf Deutsch!
In Hamburg gibt es ja gerade.. ja was, einen ausgemachten Skandal, ein Skandälchen, ein bedauernswertes Missverständnis? Fest steht, dass einige Schulen für die Abrechnung und Organisation des Schulessens auf Fingerabdrücke zur Authentifikation zurückgreifen.
Das ist aus rein praktischen Gründen gar nicht mal so blöd: Irgendein Nachweis ob man ein Essen haben darf oder nicht ist erforderlich. Mit Geld soll dabei eigentlich nicht hantiert werden - schon um nicht die Kinder, welche Essensgeldzuschüsse erhalten zu brandmarken. Bei Biometrie können die Kids ihre Essensmarken nicht verbummeln, sondern haben immer “alles dabei”. Auch ist der notwendige Sicherheitsfaktor bei Schulessen sicher nicht so hoch, dass man sich um Betrugsfälle (merke: Fingerabdrücke alleine taugen eher wenig zur sicheren Authentifikation) sorgen machen muss.
Auf der Kontra-Seite stehen wie so häufig grundsätzliche Bedenken: Wollen wir wirklich schon unsere Kinder daran gewöhnen, dass man überall seinen Fingerabdruck abgeben muss? (Ich weise noch einmal darauf hin, dass es recht wenig sinnvolle und sichere Biometrieanwendungen außerhalb der Verbrechensbekämpfung gibt) Und sind wir wirklich sicher-sicher, dass die Daten nicht abhanden kommen? Anders als ein Kennwort kann ich nämlich meine Fingerabdrücke nicht ändern.
Dazu kommt in diesem Fall, dass wohl bei einigen Kindern entgegen den ausdrücklichen Willen ihrer Eltern die Fingerabdruckdaten in die Datenbank übernommen wurden. Angeblich sogar mit der gegenüber den Kindern ausgesprochenen Drohung , dass sie sonst nichts essen dürften. Sollte das wahr sein, wäre das in der Tat handfestes Skandalmaterial. Was sich aber erst noch zeigen muss.
Mich persönlich regt an der ganzen Sache aber etwas ganz anderes auf. Der Hersteller des Fingerabdruck-Bezahlverfahrens hat mit einer professionellen Pressemitteilung reagiert und sagt zu seinem Verfahren:
Dabei wird keineswegs ein Fingerabdruck genommen und gespeichert. Vielmehr werden sechs Messpunkte an der Fingerkuppe im Computer in eine Zahl umgewandelt, nur diese Zahl ist – anstelle des Schülernamens – gespeichert.
Ach. Dann ist ja alles gut. Nicht! Was der Hersteller da vollmundig als tolle Datenschutzmaßnahme beschreibt ist nämlich tatsächlich genau das Verfahren wie wahrscheinlich 99% aller Fingerabdrucksysteme arbeiten: Man schaut sich den Abdruck an, merkt sich ein paar wichtige eindeutige Merkmale, und wirft den Rest weg. Anwendungsziel ist es ja nicht, zu wissen, wie ein Fingerabdruck ausschaut, sondern einen vorgefundenen Fingerabdruck mittels einer Merkmalsdatenbank einer eindeutigen Person zuzuordnen. Ob ich dazu einen Haufen Bilder oder pro Abdruck sechs Messpunkte speichere ist absolut Banane – im Endeffekt sind die Messpunkte sogar deutlich effizienter.
Diese Verteidigung baut komplett darauf, dass der Empfänger keine Ahnung von Technik hat und lügt ihm dabei fröhlich einen vor. Gnarf.
I also write about roleplaying games in english und auf Deutsch!
Vor ein paar Tagen hat Telepolis mal verschiedene Redaktionen gefragt, ob und wie man ihnen denn verschlüsselte Emails schicken kann. Mit ernüchterndem Ergebnis: Eigentlich hat keine einzige Redaktion hier etwas wirklich parat. Und offiziell schon gar nicht.
Am meisten war ich dann aber von der Süddeutschen enttäuscht:
Nachdem inzwischen alle Sicherungssysteme geknackt werden können, wie der einschlägigen Presse zu entnehmen ist, wollen wir unseren Nutzern nicht falsche Sicherheitsgefühle durch Kommunikation einer vermeintlich sicheren Methode geben. Deshalb auch haben wir keinen anonymen Briefkasten etc. Nur analoge Kommunikation kann halbwegs gesichert werden.
Erstens ist es falsch, und zweitens sowieso. Denn auch analoge Kommunikation kann überwacht werden.
Ich machte meinem Unmut auf Google+ Luft, und ließ mich prompt in eine im Endeffekt sehr ermüdende Diskussion über Sinnhaftigkeit von digitalem Whistleblowing und Verschlüsselung allgemein ein. Mein Fazit daraus:
Digitale Sicherheit ist verflucht schwierig
Selbst für ITler ist das nicht immer komplett verständlich und dazu noch mit so vielen Variablen belegt, dass der Laie eigentlich nur noch zu einem Schluss kommen kann: Dass sich das alles nicht lohnt.
Die (sehr stark vereinfachte) Grundlage von asymmetrischer Verschlüsselung ist die Erkenntnis, dass es (verhältnismäßig) einfach ist, zwei große Zahlen miteinander zu multiplizieren, nicht aber, herauszufinden, welche beiden Zahlen das Endergebnis ausmachten: 23 * 43 ergibt 989. Aber wenn ich nur diese 989 habe, kann ich nicht ohne weiteres herausfinden, aus welchen beiden Primzahlen diese gebildet wurde. Also, bei 989 wohl gerade schon noch. Aber bei größeren eben nicht mehr so einfach. Nach derzeitigem Stand der Technik, ist es im Grunde unmöglich, eine solche asymmetrische Verschlüsselung unterhalb von mehreren hundert Jahren zu knacken. Theoretisch könnten Quantencomputer diese Zeit radikal verkürzen, aber eben nur theoretisch: Die Forschung an diesen Geräten ist noch lange nicht ausgereift. Die derzeit existierenden Quantencomputer sind hochspezialisierte Geräte die Optimierungsprobleme lösen können, aber bei weitem keine Codeknackgeräte.
Einschub: Aber die NSA hat doch soo viele Ressourcen, die haben das bestimmt geknackt!
Nein, haben sie wahrscheinlich nicht. Der Vorteil von PGP als Verschlüsselungsverfahren ist, dass seine Funktionsweise vollständig bekannt ist. Das bedeutet, dass sich jeden Tag hochbegabte Mathematiker und Kryptologen auf der ganzen Welt damit beschäftigen, es zu knacken. Weil demjenigen, der das gelingt mit Sicherheit wissenschaftlicher Ruhm und Ehre, ein Nobelpreis plus sehr lukrative Jobangebote geben wird. Zumal: Die Idee, worauf ein Genie bei der NSA kommen kann, die wird auch jemand anderem außerhalb einfallen. Und solange die NSA nicht einfach alle Mathematiker auf der Welt einstellen kann, werden immer noch mehr außerhalb als innerhalb solcher Geheimdienste arbeiten. Solange also nicht belastbare Quellen von allen Dächern herab verkünden, dass PGP geknackt ist, kann man es getrost als “nicht geknackt” betrachten.
Leider bedeutet die Tatsache, dass eine Verschlüsselung mathematisch gesehen sicher ist noch lange nicht, dass sie auch praktisch sicher ist. Was nützt es mir z.B., dass ich etwas aufwändig verschlüssele, wenn der Empfänger die entschlüsselte Nachricht dann ausdruckt und offen herumliegen lässt? Und das ist der Punkt, an dem die meisten Redaktionen, technischen Laien und sogar genügend technisch versierte Leute aufgeben:
Eine von Ende zu Ende sichere Verschlüsselung des Emailverkehrs bedingt, dass jeder Beteiligte weiß, was zu tun ist, wo die Gefahren liegen, und auf welche Informationen man aufpassen muss. Im Falle von PGP gibt es z.B. folgende Informations”happen”:
Fünf dieser neun Happen müssen nun im Zweifel stets vertraulich behandelt werden. Wenn ein Spion nun einen dieser Happen in die Finger bekommt, lässt sich daraus schon eine Information extrahieren, schlimmstenfalls die gesamte geheime Kommunikation mitlauschen. Das ist, wie schon mehrfach erwähnt, nicht immer einfach. Das bedeutet aber nicht, dass es unmöglich ist. Neben der sicheren Aufbewahrung von privaten Schlüsseln, dem Kennwort und der unverschlüsselten Nachricht sind die Metadaten erwähnenswert:
Für einen Geheimdienstler ist die Information wer mit wem spricht mindestens genauso interessant wie die Nachricht an sich. Und wenn tausend Leute an jemanden schreiben, und davon nur eine Person die Nachricht verschlüsselt, dann ist das schon ein Signal: “Achtung, ich bin eine wichtige Information”. Und diese Information kann dann Anlass für weitere Nachforschungen sein.
Zum Glück gibt es auch hier diverse Möglichkeiten, unter das Radar zu gehen: Es gibt anonyme Maildienste oder die Möglichkeit seine Internet-Spuren via TOR-Netzwerke zu verschleiern. Redaktionen könnten sicherstellen, dass sie jede Menge verschlüsselter Nachrichten empfangen, so dass das “echte” Geheimnis für die Lauscher wieder im Rauschen verlorengeht.
Im Endeffekt gilt es für uns “Überwachte” zwei Dinge zu tun:
Für alle, die jetzt zumindest Schritt 1 angehen wollen, hier eine Kurzanleitung um verschlüsselt kommunizieren zu können. Ich gehe dabei davon aus, dass man bislang irgendwie Webmail und Windows verwendet hat, und das auch weiter tun will. Das Resultat sollte schon ziemlich sicher sein, allerdings fallen z.B. immer noch Metadaten an, und man muss sich auch weiterhin darauf verlassen, dass auch die Empfängerseite sorgsam arbeitet.
An jeder Stelle gilt es, ein vernünftiges Passwort zu wählen und selbiges wirklich nirgendwo aufschreiben. Am besten eine ganze Passphrase, sowas wie “Im Wald d4 sind die Räu-häu-ber?” zum Beispiel. Den USB-Stick nie aus der Hand geben und nur in halbwegs vertrauenswürdige Computer stecken. Dieser USB-Stick mit dem Private Key und das dazugehörige Passwort sind die Haken, an denen die gesamte Verschlüsselung hängt, also bitte-bitte nie aus der Hand bzw. dem Kopf geben. Dazu gilt: Verliert man den USB-Stick oder vergisst man das dazugehörige Passwort, kann man die so verschlüsselten Daten nie wieder entschlüsseln.
Andere aber voraussichtlich auch nicht.
Wer mehr wirklich über Kryptographie wissen will, dem empfehle ich als Start die Einführung in die Kryptographie.
I also write about roleplaying games in english und auf Deutsch!
I just had the most amazing idea (according to my standards, that is. YMMV): This is how we fix the social web
For starters, let's have a look what makes different components awesome:
Each of these things have a downside though:
Now, why don't we add these things together? Let's create a functional social-network-layer for the blogosphere. We expand the weblog standard with the following functions:
The result should be a distributed web application that anyone could either use from a hoster or host themselves. The components are all using open standards and thus allow a plethora of other implementations, so everyone can potentially have the GUI they love most. And we won't have any central authority that can willy-nilly change things and break everyones use-case.
Granted this is a very rough draft, but so far, I cannot see anything wrong with this idea...
I also write about roleplaying games in english und auf Deutsch!
Vor einiger Zeit servierte Karsten beim Rollenspiel Kaffee auf vietnamesische Art: In einer Phin frisch am Tisch zubereitet, mit gezuckerter Kondensmilch verfeinert. Je nach Güte des eigenen Geschirrs schaut das dann so
[caption id=“” align=“aligncenter” width=“284”]
in CC Lizenz von _wli[/caption]
oder gar so aus:
[caption id=“” align=“aligncenter” width=“300”]
in CC Lizenz von Nate Gray[/caption]
Im Endeffekt ist es eigentlich “nur” ein eher bitterer Robusta-Kaffee der durch die Zubereitungsart sehr aromatisch daherkommt und dann mit der Kondensmilch zum Nachtisch geadelt wird – immerhin hat die Milch fast mehr Zucker als Milch in der Dose bzw. Tube. Aber was für ein Nachtisch! Das Spielkind in mir freut sich über das Puzzlespiel (So ein Phin besteht immerhin aus 4 Teilen wenn man den Deckel mitzählt), das recht grob gemahlene Kaffeemehl duftet herrlich, und man hat eben auch einen wunderbar frisch zubereiteten Kaffee zum genießen.
Kann ich nur empfehlen!
I also write about roleplaying games in english und auf Deutsch!
Am Wochenende aßen die Freundin und ich Steak. Gekauft haben wir es an der Fleischtheke des örtlichen Supermarkts Feinkost-Supermarkts. Und da wir an ordentlicher Qualität interessiert waren, kostete das (im Endeffekt vom Azubi leider etwas zu dünn geschnittene) Fleisch knapp 40 Euro das Kilo.
Wir hätten auch welches zu über 60 Euro pro Kilo ausgeben können, aber das gab der Geldbeutel dann doch nicht her.
Tatsächlich ist es so, dass man bei Fleisch noch recht gut eine Korrelation zwischen Qualität, Ethik (so man Fleischkonsum überhaupt ethisch rechtfertigen mag, aber das ist eine andere Diskussion) und Preis hinbekommt. Im Versandhandelsgeschäft schaut das schon etwas anders aus und in Sachen Kommunikationsdienstleistung (Telefon+Internet) wird es dann endgültig unmöglich gezielt nach Qualität+Ethik einzukaufen.
Geht einmal durch folgende Artikel und Kommentare und sucht nach dem gemeinsamen Nenner und den Unterschieden:
Dazu kommt, dass teilweise verflixt viel Aufwand und Recherche nötig ist um überhaupt eine sinnvolle Entscheidung treffen zu können: Ist zum Beispiel ein Biohühnerei aus Bodenhaltung mit optionalen Freilauf per se “besser” als eines aus der Legebatterie? Die Richtlinien für die Bio-Bodenhaltung sind so schwammig, dass die Hühner dort womöglich stressiger leben als in der Batterie, wenn der Landwirt jeden Cent sparen will.
An vielen Stellen hilft es sicherlich, den eigenen Konsum grundsätzlich zu hinterfragen und zurückzuschrauben. Brauche ich dieses oder jenes wirklich? Warum will ich das Ding da haben? Aber andere Sachen sind so elementar, dass man um sie nicht einfach weglassen kann, gleichzeitig aber in der Hand genau derer, die man “bekämpfen” will.
Mir fällt leider keine wirkliche Patentlösung ein.
I also write about roleplaying games in english und auf Deutsch!
Die Grippe liegt in ihren letzten Zügen, und auch wenn die Konzentrationsfähigkeit für Lesevergnügen noch nicht reichte, den Filmstapel konnte ich mal wieder weiter “abarbeiten” und Euch gänzlich unprofessionelle Kurzkritiken präsentieren:
I also write about roleplaying games in english und auf Deutsch!
I have a nasty suspicion: Automated and possibly armed Drones will be a fact of life at some point in the future. We see the rise of 3D printers, capable software and chips, cheap hardware, cameras... We already see a wide spread of drone types in the hands of enthusiasts and military personnel alike, and the technology to build these things isn't rocket science but rather getting easier to grasp every day.
On top of this, thanks to globalism, things that were once “far away” might now hit much closer to home – either because the people living “over there” come to us, or because people that live next to us more or less suddenly decide to have more in common with those “over there” than with their next-door neighbour. (and that doesn't even have to happen due to religious extremism. Think Eastern Standard Tribe.)
Daniel Suarez painted the already frightening picture in Kill Decision. But while his book posits that it'll be governments and their military who'll make use of it most, I am way more frightened by the idea that every splinter extremist group can get their hands on this. We're really not too far away from Rule 34.
So this is my fear: We won't be able to prevent drones to exist. These drones will potentially be in the hands of all those people we'd rather not have to have drones. Maybe we should arm ourselves too? Or build drone-resistant communities?
I also write about roleplaying games in english und auf Deutsch!
Ihr erinnert Euch an meine Ante Portas Idee? Das Ding, wo ich was von Journalismus und Crowdfunding faselte? Da ist ja nix draus geworden – zwar gab es viel positives Feedback von Leuten, die da unter Umständen Geld drauf geworfen hätten, aber eher so gar keines von Journalisten.
Umso mehr freue ich mich über Krautreporter.de, Vera Bunse hat mich darauf aufmerksam gemacht. Im Grunde ist es die gleiche Idee, aber mit einem etwas anderem Ansatz: Anstatt einer Redaktion (wie zum Beispiel bei Matter, die übrigens schon drei sehr lesenswerte Artikel veröffentlicht haben), die dann vertrauensvoll Berichte auswählt und finanziert, können die Crowdfunder hier einzelne Journalismusprojekte direkt unterstützen.
Im Endeffekt bin ich mir aber nicht so sicher, wie erfolgreich das hier werden wird: Die Journalisten müssen hier ein fachunkundiges Publikum vorab en masse überzeugen, und im Endeffekt ist Krautreporter auch nur eine weitere Crowdfunding Plattform. Auch gefällt mir von den 6 Startprojekten eigentlich nur ein einziges überhaupt irgendwie. Auch nur bedingt gefallen mir Details wie die Abwicklung von nicht zustande gekommenen Projekten:
Sollte ein Projekt nicht erfolgreich sein, erhält der Reporter kein Geld. Die versprochene Summe geht in Form von Punkten auf das Konto des Investors. Diese Punkte können dann für ein anderes Projekt verwendet werden.
Man kann zwar das Geld irgendwie über Paypal zurückbekommen, aber das scheint mir schon hakelig. Nichtsdestotrotz wünsche ich Krautreporter alles Gute!
I also write about roleplaying games in english und auf Deutsch!
Gestern war Kinotag: Wir schauten “Der Hobbit – Eine unerwartete Reise”. In 3D und HFR, also mit 48 Bildern pro Sekunde. Insgesamt ein sehr runder Seheindruck, und auch das 3D kam nicht scherenschnittartig, sondern tatsächlich plastisch herüber. Dennoch ist der Seheindruck sehr, naja, ungewohnt. Jemand anders beschrieb es als “Ausstellungsvideo” – und so fühlte es sich tatsächlich anfangs an. Später wurde das alles organischer, und damit sehr rund und angenehm. Ja, ich kann mir vorstellen, dass HFR ein kommendes Ding ist.
Technisch ist “Der Hobbit” wirklich über alles erhaben. Auch die CGI-Tricks fügen sich nahtlos in das Realgeschehen ein – oder sollte man mittlerweile nicht doch eher davon sprechen, dass die realen Schauspieler in dem Computerzeugs nicht mehr unangenehm auffallen? Mein persönliches Highlight war der Rätselwettkampf zwischen Gollum und Bilbo. Hier wird den Schauspielern Raum und Ruhe gegeben, und es zahlt sich aus. Und auch Smaugs Angriff auf den Einsamen Berg zu Beginn ist einfach nur großartig.
Weniger Ruhe hat man in den Action-Sequenzen, und genau das fällt (zumindest mir) dann auch gleich unangenehm auf. Es reicht nicht, dass einer umgeworfen wird. Er muss dann auch noch wo herunterstürzen, dann muss etwas abbrechen, dann muss der Stürzende jemand anders umwerfen, und dann müssen sich alle zusammen noch verzweifelt an irgend etwas festhalten, was dann abreißt oder sonstwie zu weiteren Stürzen führt. Sowas ist mal ganz putzig, wird hier aber zu exzessiv gebracht.
A propos exzessiv: Peter Jackson hat sich sehr viel Mühe gegeben, den Hobbit als Prequel zum Herrn der Ringe zu positionieren. Es muss also ganz viele Anspielungen und Vorahnungen gebracht werden, da wird der Nekromant erwähnt, dunkle Schwerter hergezeigt und Saruman darf politisieren. (Man fragt sich, wieso Gandalf den Meister seines Ordens jemals irgendwie ernst genommen hat. Im Hobbit tut er es jedenfalls nicht mehr.)
Neu hinzugekommen ist ein großer weißer Wal Ork. Dieser gibt den Bösewicht dieses Filmes, da Smaug ja eigentlich so gut wie gar nicht auf der Leinwand zu sehen ist. Und ein Blockbuster so ganz ohne Leinwand-Fiesling, das war wohl einigen zu risikoreich. Im Endeffekt leidet so aber das gr0ße Ganze, weil es einfach zu viele Böse Buben gibt, so dass sie nahezu beliebig werden.
Im Grunde mag ich es ja gerne, wenn Dinge in einen größeren Rahmen gepackt werden, wenn man sieht, daß etwas Teil eines Ganzen ist. Hier aber wirkte es aufgesetzt und lenkte meiner Ansicht nach unnötig von der eigentlichen Heldenreise ab. Dass wir uns dennoch drei Stunden blendend unterhalten fühlten, zeigt aber auch, dass der Film diese Mängel gut verschmerzen kann. Ein wenig mehr Zurückhaltung hätte aber aus einem sehr guten Film einen großartigen machen können.
I also write about roleplaying games in english und auf Deutsch!