Wenn der Großteil, der Befehle, die man auf der Kommandozeile eintippt, irgendwas mit Git zu tun hat, kommt man irgendwann an den Punkt, dass jeder Befehl – ob Git oder nicht – mit einem „git“ davor auszuführen versucht wird:
$ git make xfour git: 'make' is not a git command. See 'git --help'. Did you mean one of these? blame merge stage
Diagnose: Git-Syndrom!
Gerade für Anfänger ist die Art und Weise wie asymmetrische Verschlüsselung funktioniert in der Regel schwer verständlich. Mein letzter Beitrag zum Thema GnuPG beschäftigte sich daher auch mit einer eher trivialen Frage: GnuPG und digitales Signieren.
Mit der Zeit habe ich aber immer mal wieder ein wenig mehr mit GnuPG zu tun gehabt und dabei einige sehr spannende Dinge gelernt. Eines davon möchte ich heute vorstellen, nämlich wie man eine gültige verschlüsselte Nachricht schreibt, die aber nicht von sich aus weiß, mit welchem Schlüssel man sie entschlüsseln kann.
Eine GnuPG-Nachricht besteht nicht nur aus der verschlüsselten Botschaft, sondern ist deutlich komplexer aufgebaut: zum einen kann der zu verschlüssende Text komprimiert werden, was das Phänomen erklärt, dass eine verschlüsselte Botschaft kleiner ist als der Klartext. Die Nachricht wird auch nicht wirklich mit dem öffentlichen Schlüssel des Empfängers verschlüsselt, sondern mit einem sogenannten „Session Key“, zu Deutsch: Sitzungsschlüssel. Dieser wird benutzt, um mittels eines symmetrischen Verfahrens die Nachricht zu verschlüsseln. Der Sitzungsschlüssel wird dann mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und gespeichert. Das hat den Vorteil, dass bei Nachrichten, die an mehrere Empfänger gehen sollen, der gesamte Klartext nur einmal verschlüsselt werden muss und nur die vergleichsweise geringe Informationsmenge, die der Sitzungsschlüssel darstellt, für alle Empfänger mit deren öffentlichen Schlüssel verschlüsselt werden muss. Damit der Empfänger die Nachricht möglichst schnell entschlüsseln kann, enthält sie daher auch einen Hinweis auf den für die Entschlüsselung notwendigen Schlüssel.
Will man allerdings möglichst anonym kommunizieren, das heißt so kommunizieren, dass ein Beobachter, der die Nachricht mitschneidet, nicht weiß, an wen die Nachricht gerichtet ist, darf kein Hinweis auf den Empfänger vorhanden sein. Dies lässt sich bewerkstelligen, indem man den Hinweis auf den für die Entschlüsselung notwendigen Schlüssel entfernt beziehungsweise erst gar nicht speichert. Beim Empfänger führt dies dazu, dass er jeden einzelnen seiner geheimen Schlüssel ausprobieren muss, in der Hoffnung, dass einer davon passt.
Dies lässt sich von der Kommandozeile aus wie folgt bewerkstelligen:
$ gpg --armor -R 'Anonymer Empfänger <anonymous@example.com>' --encrypt blogsnippet.txt
Wichtig ist hierbei, dass keine Signatur erzeugt wird, also „–sign“ fehlt, da sonst durch Mitschneiden der Nachricht bekannt wäre, wer der Absender ist. Der dazugehörige Abschnitt aus der man page:
--hidden-recipient name
-R Encrypt for user ID name, but hide the key
ID of this user's key. This option helps to
hide the receiver of the message and is a
limited countermeasure against traffic anal‐
ysis. If this option or --recipient is not
specified, GnuPG asks for the user ID unless
--default-recipient is given.
Eine solche Nachricht (blogsnippet.txt.asc) sieht dann wie folgt aus:
-----BEGIN PGP MESSAGE----- Version: GnuPG v1 hQIMAwAAAAAAAAAAAQ//WPw1Am9ys+7n9cLM9epfadAqnl4bxEwTOs5cqRoEYR1s xvAxCXzW937tN8/IIBBt5t2ua4RSU0on+8tGD2mQaoN+UZeKcSadAy9LM4zMpAUk bSYHCpJvEM7o7eJ4Hupr9TO25VUU1kRTlvLapPAXNGYJRJSpounvyyUA0YYlFfYF B0M42lBZ24qecUB2smRJL3C3/G0AMxZvw7y5yWKYT8T60CdrRNPVoQz0XLPD3JkX gv/IiQBBqvcheaMvjivMdmhh/q15nLOzwe+7qFzhS6EqA9Yrh1ke2ZJAdRw6EAO8 OWJ9nVRo53BjS8RIVDAJaE7ew+vYx7+xLhloEXNKPnmyeVifREVSlxcsYnWudEkD WAbebrXpazwdBxpnnwLEDrfqoc2k3jO6En1C2cro6cqR8mbvNVphuSK5EwloVn38 hqEoQxK4cOzVEuQNSqYBJnKZBBFBHU7runf0e0P8q9MsjPI1DtHH4NgwlCNilEgd iFN3G4YqDhetnnMgv1Bv9fPmatfADvRTt3vrQOVLuvJYsFDzbLpn+iBcZPDRhIlP lmdsV6S0ejiO/mguFaYZj62tWn7cJpvTdPHbxwvy/EbXZTlrWwF0H2GMFeFmReiq cYYzYjTZTm/12+HlKwcHjYnMgDQNTtYoWVcRx6SZHDRhZ1PrE8rAdhxaqqd3I/PS wLsBu0v9Z6M/1/AsoFKGsH2GOQU+JE8r7tg9FyW8+hebq1eQxpM25eZaYyqc2OPq K3MT7ama8fN8ifZ7ss3JuIRblrq9oQpBQR9OVDxY7UbleuWbQ8VXK/5fogQ25Sgj FpN6CBK9Kul3O/EthlQh7KD/jzRToHrnHnetAiGfb24QG/cy9DWoYaxNblNuwJi5 8H3HqFAO/GQyA2XV8ArksyheqVyUrikoW+wWIPETQs0ssKt/dEv8WwNsJ8gPXOzq 6RSI4Svlop15RzetvDfT7l9xSQ23otcD07WNKm2+TZuY0Grp+4BMNZMpwoMQMGaD LRzE6aIMQiofEMpiJqyXZxi7NO/N2oDXVIIauKEKorppk8Lc+LxutNORFqOzeNAb laF1UEGDhuqQV8esW90JLmbmBpfEIURrFLKGs5OK2h12R/0E8m6mzwfFsTZ8/xN9 S/Efr9cLKTf/y81AX4qYmfvoLHJM6+/bG/j8sBndWGtIohhvH73G6rVAjDiq =I9QO -----END PGP MESSAGE-----
Der Versuch sie zu entschlüsseln, wenn der passende geheime Schlüssel fehlt, sieht wie folgt aus (IDs unkenntlich gemacht):
$ gpg --decrypt blogsnippet.txt.asc
gpg: anonymous recipient; trying secret key 00000000 ...
gpg: anonymous recipient; trying secret key 00000001 ...
gpg: anonymous recipient; trying secret key 00000002 ...
gpg: anonymous recipient; trying secret key 00000003 ...
gpg: encrypted with RSA key, ID 00000000
gpg: decryption failed: secret key not available
Vielleicht hat da draußen ja jemand mehr Glück und kann die Nachricht da oben entschlüsseln ;)
Es versteht sich von selbst, dass diese Methode nicht geeignet ist, um in E-Mails benutzt zu werden. E-Mails enthalten Empfänger- und Absenderinformationen (und den Betreff) grundsätzlich unverschlüsselt, es macht also Verschlüsselung nur umständlicher und bringt keinen Sicherheitsgewinn. Wie auch in der man page angesprochen, ermöglicht dies nur eine eingeschränkte Verteidigung gegenüber Verkehrsanalysen. Bei niederfrequenter Kommunikation auf von vielen Nutzern besuchten Diensten dürfte dies allerdings für eine deutliche Erschwerung der Verkehrsanalyse sorgen.
Falls wer das Äon-Ticket braucht, bitte einfach bei mir melden. Raum Regensburg/Straubing sollte zu machen sein.
Was Schüler sagen und wie Lehrer das verstehen sollten.
| Schüler | Lehrer |
| Ich habe es mit x zusammen gemacht. | Ich habe von x abgeschrieben. |
| Ich habe dasselbe wie x. | Ich habe von x abgeschrieben. |
| Ich habe die Hausaufgaben vergessen. | Ich hatte keinen Bock auf den Scheiß. |
| Mir ist nicht mehr eingefallen. | Ich wollte mich mit dem Scheiß nicht zu lange aufhalten. |
| Ich hatte keine Zeit für die Hausaufgaben | Ich hatte Besseres zu tun. |
| Ich habe es nicht gekonnt. | Ich habe es nicht versucht. |
| Ich finde die Aufgabe gerade nicht. | Ich habe die Aufgabe nicht und kann sie deshalb nicht finden. |
| Ich weiß es nicht. | Ich habe noch nicht angefangen darüber nachzudenken. |
| Ich habe das $fach-Heft zu Hause vergessen. | Ich habe das Heft dabei, die Aufgaben nicht gemacht und tue so als hätte ich es vergessen. |
Ja, enthält Vorurteile und ist sicher auch unfair gegenüber ehrlichen Schülern. :P
BODE Chemie hat schon vor Längerem einige Pluspunkte bei mir gesammelt, zu denen sich jetzt noch weitere hinzugesellen werden.
BODE Chemie vertreibt bestimmte Desinfektionsmittel unter der Marke „Kohrsolin“, die bereits 1921 als Marke registriert wurde. Dass die Marke bereits so alt ist, hatte ich nicht geahnt, als ich folgende Anfrage herausschickte:
An: BODE Chemie Info
Betreff: Kohrsolin: NamesherkunftGuten Abend,
in unserer Gruppe kam die Frage nach der Herkunft des Produktnamens “Kohrsolin” auf. Ich vermute, dass der Name aus den beiden Teilen “kohr”, abgeleitet von “Kern”, und “solin”, abgeleitet von “solvere” für “(auf)lösen”, zusammengesetzt ist. Demnach würde das sowas bedeuten wie “Kernlöser”, was ein Hinweis auf die Fähigkeit mit einigem Zeitaufwand selbst hartnäckige Sporen (“Kerne”) abtöten zu können wäre.
Liege ich damit richtig? Gibt es überhaupt eine Erklärung dazu?
Mit freundlichen Grüßen
– Steven Koenig
Ich musste zwar zwei Wochen auf die Antwort warten, war aber erstaunt, dass ich überhaupt eine erhielt und die sieht wie folgt aus:
An: Steven Koenig
Betreff: Kohrsolin Namensherkunft: *ref#xx-xxxxxSehr geehrter Herr König,
vielen Dank für Ihre Anfrage, bitte entschuldigen Sie vielmals die späte Beantwortung. Ich habe nun Rückmeldung von der entsprechenden Abteilung erhalten. Da es den Namen Kohrsolin schon sehr lange gibt, weiß dort leider niemand mehr, wie er zustande kam.
Es tut mir leid, dass wir Ihnen hier nicht weiterhelfen konnten.
—
Wir hoffen, Ihnen mit dieser Information geholfen zu haben und stehen Ihnen für weitere Fragen zur Verfügung. Bitte antworten Sie bei Rückfragen direkt auf diese EMail, damit wir Ihre Frage zuordnen können.Freundliche Grüße
Lilly Strüven
Expert Consulting & Training
BODE SCIENCE CENTER
Und das ist doch mal eine Antwort, mit der ich leben kann: am falsch geschriebenen Nachnamen erkenne ich, dass da jemand tatsächlich selbst die Antwort getippt hat und immerhin weiß ich jetzt, dass selbst BODE nicht mal mehr weiß, woher der Name „Kohrsolin“ kommt.
Falls das jemand da draußen liest und eine eigene Idee hat, woher der Name kommen könnte, würde ich mich über eine E-Mail freuen.