 So, in unserem nächsten Vortrag lernt ihr etwas darüber, was passiert, wenn das tolle TPM und das tolle Intel ME dann doch irgendwie nicht so toll sind. Und was denn schiefgehen kann, wenn man seine Kies auf so einem TPM initialisieren will. Dazu helfen euch jetzt gleich die Handprofessoren, Doktoren, Weiß und Vorarbeiter, bitte einen schönen Applaus. So, also herzlichen Dank für die nette Einführung, auch herzlich Dank für die zahlreichen Zuhörerinnen. Es wird heute ein Vortrag, wo ich ein bisschen auch mit dem Kollegen Vorler von der Realität irgendwie auch ein bisschen massiv gerempelt worden bin. Eigentlich war unsere Intention wirklich zu diskutieren, wie macht man Kryptografie robuster und auch in einem feindlichen Umfeld. Und ich habe gelernt, ein neues Basswort, Risa Aliens, Kryptografie, war eigentlich wirklich als Titel geplant. Jedoch müssen wir, glaube ich, wegen der realen Entwicklung noch ein paar Einordnungen gleich am Anfang machen. Also zunächst mal die übliche gute Nachricht, die ich auch immer gerne bringe, wissenschaftlich starke Kryptografie ist selbst gegenüber mächtige Geheimdienstgegner. Wahrscheinlich das Einzige, was überhaupt hält, aber es hält. Also wir haben einigermaßen die Sachen verstanden, die Sachen, die freundlicherweise im Zusammenhang mit der Snowden-Geschichte veröffentlicht wurden, zeigten auch, dass die Kryptografen in der NSE mit Wasser koffen. Und da gab es eigentlich für die großen Mengen Geld, die da reingeworfen wird, relativ wenig Überraschung da. Also man kann sagen, Krypto hält oder um es mal ein bisschen lürlicher von Bruce Schneier zu machen, Vertrau auf die Mathematikverschlüsselung ist dein Freund. Also insofern, eigentlich eine ganz gute Situation bis diese gute Situation auf die reale Welt kommt. Wir Kryptografen können wirklich eine Art Magie entwickeln. Wir können mit ein paar Bits, die man sicher speichert, wirklich sicher gegen alle möglichen Angriffe bestehen. Das Problem ist, wenn diese paar wenigen Bits aber nicht mehr sicher sind, dann können wir halt gar nichts mehr machen. Und man kann es auch, wenn man es ein bisschen modell theoretisch macht, kann man auch sagen, Naja, irgendwas muss die berechtigten Kommunikationspartner von den Angreifern unterscheiden. Und das kleinste, was wir anbieten können, sind ein paar wenige Bits, die sicher gespeichert werden müssen. Weniger können wir nicht machen. Also wir sind mit unserem Latein nicht am Ende, aber eigentlich schon in der Situation, wo wir gesagt haben, okay, passt auf ein paar Bits auf, mehr können wir nicht für euch tun. Und genau das ist das, was ja im Moment episch uns um die Ohren fliegt. Also es gab hier auch schon einen sehr interessanten Vortrag, deswegen will ich auch gar nicht so arg ins Detail zu gehen. Aber der Titel ist einfach zu schön, how to hack a turned off computer. Oder, dass man beliebigen Code ausführt auf dieser Management Engine. Und diese Management Engine ist relativ spannende Geschichte, insbesondere für meine Forschungsarbeiten. Ganz interessant, weil dank der Intel Management Engine kann ich auf die lesterliche Frage, wo mich eigentlich Leute schon seit Jahrzehnten immer, na ja, seit anderthalb Jahrzehnten damit aufziehen. Wann ist endlich das Jahr von Minix auf dem Desktop? Kann ich inzwischen freundlich grinsen und sag, seit 2012 ist es in deinem Desktop und niemand hat es gemerkt. Also diese Management Engine läuft in der Tat auf diese Minix 3, was ein akademisches Projekt mit, das irgendwie über Jahre halt niemand benutzt hat. Und jetzt bin ich auch im Minix Staring Committee und wir waren ziemlich traurig, dass wenig Beteiligung letztes Jahr von der Konferenz war, bis wir dann mitgekriegt haben, dass das Minix, was wir da entwickelt haben, wirklich auf allen Intel-Plattformen läuft. Und damit ist wirklich diese lesterliche Bemerkung, dass Minix auf mehr Rechnern läuft, auf Windows als auch Mac, weil auch Mac haben die Intel-Hackware und diese selber ME-Geschichte drin. Ein ganz witziges Detail, aber wie gesagt, bei den witzigen Detail ist natürlich das Hauptproblem da, wenn das nicht ordentlich gemacht worden ist, dann können da Sicherheitslücken kommen. Und offensichtlich ist es so, dass die zwar dieses Minix genommen haben, da steht aber halt unan einer freien Lizenz und nicht GPL und dann natürlich die ihre Arbeiten und Modifikationen nicht veröffentlicht haben und sich offensichtlich nicht gut genug damit auskennt, das einigermaßen sicher zu machen. Minix ist ein Militant auf Sicherheit gedrimmtes System. Das hat so Flexibilitäten, zum Beispiel, dass alle Nachrichten für eine gewisse Prozessorarchitektur genau wie an 20 weit lang sind. Also es gibt sehr wenig Angriffsvektoren, die wir da haben. Und es ist ein Micro-Cone System, ich weiß nicht genau, wie die genaue Code-Entwicklung ist, aber in der Anfangszeit waren wir da bei unter 10.000 Lines of Code. Und das ist auch wieder ein schöner Moment, wo man als Betriebssystem-Professor relativ einfach die Welt erklären kann. Linux hat inzwischen 10 oder 20 Millionen Zeiten auf Code. Windows irgendwie 100 Millionen, frag mich nicht. Und es ist auch so ein Lämmer, dass man sagt, alle 1.000 Programmzeilen gibt es einen Fehler. Und jetzt können wir ausrechnen, das ist bei Minix halt 20.000 Fehler, bei Linux 20.000 Fehler. Und bei Minix vielleicht eine Handvoll Fehler und da könnte man eigentlich vorbei gehen und das anschauen. Kleines weiteres Lämmer, wie Problematis sind Fehler, da ist die Antwort, wenn man mit C programmiert, kann man davon ausgehen, dass ein Fehler mit hoher Wahrscheinlichkeit echte Schmerzen verursacht. Also die Gruppe der Sachen, der Fehler, die wirklich zu ignorieren sind oder ignoriert werden können, sind bei C deutlich geringer als bei anderen Systemen. Insofern sage ich also, die reine Information, dass Minix ein sehr kleines System ist, das so klein ist, dass man so wunderbar in einer Vorlesung erklären kann, ist wirklich direkt verbunden mit der Sicherheit. Okay, neben diesen Problemen, dass wir Ärger auf der untersten Ebene haben, waren andere Dinge, das wir über Jahre lang auch verfolgt haben, diese TPM-Diskussion und hier gibt es wieder etwas sehr bizarres. Hier, wenn RSA verwendet, wer vielleicht meine alten Diskussionen mit RSA und ECC kennt, weiß, dass ich RSA eigentlich ganz, ganz, ganz, ganz hab. Und das hat auch eine Reihe von Gründen, nämlich es gibt Sicherheitsbeweise, sie wirklich hatte Sicherheitsbeweis, es ist verstandene Mathematik und es ist eine relativ kurze Implimierung, wo man doch nicht allzu viel falsch machen kann. Und da das ja immer noch ein bisschen eine Hackerkonferenz ist, seien mir auch ein paar Sachen hier erlaubt. Zunächst mal, was ist RSA? Wir brauchen Primzahlen. Wenn wir 2048-Bitschlüssel haben, brauchen wir 1024-Bit-Lange Primzahlen, die multipliziert man. Erste Frage an den Mathematiker, gibt es die? Ja, es gibt Primzahlen in jeder Menge. Zwei in Zwiebel gibt es ja und da hat man eine Formel, die sagt, also die Anzahl der Primzahlen ist etwa X durch L in X, also ganz grob gesagt, alle 1024-Zahlen sind, ist eine Primzahl. Also man hat irgendwie zwei hoch zehn hoch 15 mögliche Primzahlen und wer ein bisschen aufpasst, sollte bei Mathematikern immer zusammenzucken, wenn die in ungefähr gleich schreiben, dann bedeutet es gleich bis auf einen linearen Faktor, der möglicherweise beliebig groß sein kann. Und dass es für die Leute implementieren, immer so mäßig befrieden, deswegen haben wir nochmal nachgeguckt und für X größer als 17 gilt, dass diese Abschätzung schon sehr genau ist. Und in Vertrauen für echte Systeme sollten wir Primzahlen, die deutlich größer sind als 17, verwenden. Ja, das war ein mathematischer Witz. Vielen Dank für die Leute, die es gewunden haben. Okay, zurück zu der Hackerwelt. Wie sieht es in der praktischen Imlimitierung aus? Schauen wir uns mal GPD an. Das bedeutet, wir nehmen halt Zahlen, Zufallszahlen und testen sie dann. Zuerst mit einem Ziv-Algorithmus, also ein einfaches Durchtauteil der Primzahlen, das war ein Kleiderkleid 2009, das muss ich glaube ich hier nie machen. Der zweite Teil ist ein Fermat-Test, der ist auch so niedlich, dass sich die Vigintpedia-Artikeln nehmen, das ist alles. Und der dritte Test ist ein bisschen ausführlicher, weil dann mit Bit hin und her geschubst wird ein bisschen, aber das ist der komplette Code. Also wir machen Zufallszahlen und machen diese wenigen Seilen-Tests durch. Und haben dann eine hohe Wahrscheinlichkeit, dass es eine Primzahl ist, multiplizieren das dann, sind fertig, was kann da passieren. Nochmals Erinnerungen, wir sind in einem Raum, wo wir 2.015 Primzahlen zu verfügen haben, also da kann doch nichts schiefgehen. Außer man kommt auf die tolle Idee, wir machen mal ganz schnelle Primzallerzeugung. Mein erster Eindruck war, nein, echt lieber nicht, dann habe ich gesagt, guck dir mal die Literatur ein, habe die zwei, drei Tage angeguckt, und dann kam ich zur Entscheidung echt lieber nicht. Und die Praxis haut dann hier auch nochmal voll auf die Computersicherheit ein. Nämlich diese TBM-Systeme, die kriegen das hin, die haben ein Schlüssel, also einer der zentralen Schlüsse ist der Storytutti, der wird genau einmal erzeugt in der Lebenszeit des Gerätes. Also einmal, also hier ist keine Notwendigkeit, das mit einer unsicheren Schnellen erzeugen zu machen, wird allerdings trotzdem gemacht. Weiterhin haben die ganzen TBM-Tips eine Schlüssellinge kleiner gleich 2.048 Bit. So, und dann passierte der Preis-Werte-Total-Schaden, das haben die Kollegen in einem Vortrag hier auch gemacht, als Professor muss ich dann nochmal darauf hinweisen, dass die Hauptidee, haben die jungen Leute auch ordentlich hingeschrieben, von 1996 ist, unmodifiziert. Dieser Koppersmini unmodifiziert gar nichts. Und was ich Ihnen sehr dankbar bin, ist, dass Sie da bei den ganzen Sachen mal die Preisliste dran geschrieben haben. Also, ich weiß nicht, wie das in Bitcoin ist, aber das sind Sendbruchteile in Dollar. Und für das 4.048, was die höchste Schlüssellinge für TBM-Tips ist, ist es Kosten von 944 Dollar. Wer sieht noch was Ultra-Bizarres? Ja, also, irgendjemand erklärt mir nach dem dritten Bierbau, wie man das hinkriegt, das 3.072, eine 10 hoch 17-mal größere Sicherheit gegen Angriffe haben, als 4.096. Also, ihr merkt, es ist an Bizarretät relativ wenig zu überbieten. Gut, wie gesagt, wenn wir gerade bei Sachen sind, die in die Hose gehen können, habe ich auch noch überlegt, was gibt es noch aus dem letzten Jahrtausend, nämlich den Bleichenberger Angriff, und da hat eine Gruppe um Mojano Böck und anderen Autoren, auch mit Robot, das sehr schön gezeigt, dass es heute auch noch genau geht, also kleinen Firmen wie F50, Tricks und Cisco, und so bei 27 der hunderträufigsten Web Services unter anderem Facebook und KIPAL. Das ist, glaube ich, die Firma, die irgendwas mit Geld macht. Das ist irgendwie auch ein Punkt, wo ich irgendwie sage, das ist eine Sache, wo man sich fragt, und da werde ich nicht näher aufgeben, aber ich weiß, kommt das mit 96, Bleichenbacher 98. Ihr merkt, ich stehe auf alte Angriffe, insofern seid versichert im Lauf des Vortrags, kommen dann noch ältere Geschichten raus, aber das ist natürlich relativ schmerzhaft. Also, wir sollten hier auch noch mal sagen, was wir empfehlen, es hilft alles nix, wir brauchen Open Source im Booting, wir müssen weg von Uffi, wir brauchen sowas wie Coreboot, Libreboot oder Uboot, und das muss jetzt relativ schnell passieren, weil ansonsten haben wir, ziehen wir Kryptografen auch wehrlos, also wenn die uns, die uns aus der Ebene wegschießen und dann alle Bits, die wir irgendwie sichern wollen, einsammeln, dann können wir auch keine Magie machen. Interessant ist das auch Google, das im Bereich des NERF, schöner Akronym für Non-Extensive-Reduce-Firmware, sehr stark weiter betreibt. Kommen wir zu dem Thema, das ich eigentlich hauptsächlich bespielen wollte, das ist robuste Kryptografie. Und jetzt gebe ich mal wirklich ein paar Sachen, die sehr vom Ingenieur's mäßigen Standpunkt interessant sind, aber natürlich mathematisch fundiert sind. Erste Regel XOR ist dein Freund. Das bedeutet, wenn man zum Beispiel aus mehreren Quellen den Zufall nimmt und es dann XORt, dann tut man eigentlich das System stärken. Also es bedeutet auch, ich hab 15 schlechte Rentenquellen und eine gute und wenn ich alles zusammen in XOR tue, ich weitgehend die Eigenschaft der guten Geschichte. Auch hier muss man ein paar Sachen beachten, aber XOR ist dein Freund, ist, denke ich, mal als erste Ernährung schon mal ein gutes Punkt. Zweitens, man kann Sachen doppelt hechen, das hab ich auch vor vielen Jahren gemacht, ist heute auch erste Mal Blockchain. Bei Bitcoin der Fall, dass die zweimal hechen, die machen das halt nicht richtig, denn fehlt ein XOR und dadurch haben sie nicht die Sicherheit, die sie natürlich durch höhere Sachen, durch doppelt hechen erreichen. Längere Schlüssellängen, das ist generell eine gute Empfehlung, außer wenn ihr euch an die vorletzten Folie erinnert, also es ist kein Allheilmittel, aber für sehr viele Sachen ist eine lange Schlüssellänge doch eine deutlich bessere Idee. Gut, historische Sachen, Kryptofon, ein Telefon des Auchsnoten ganz gern benutzt, haben wir da für 2003 ein Design gemacht, und da können wir sehen, schon damals, wo die Rechte etwas langsamer waren, wir haben das für Handy gemacht, ging das irgendwie, dass wir 4096-Bit die für Helmen machen? Wir haben es einmal gehächt und dann haben wir vor der Schlüsselableitung es ein zweites Mal gehächt, aber mit einer modifizierten Hechtfunktion, also hier ist ein bisschen kürz dargestellt, wir nehmen die SHA2-Funktion von damals, aber tun die mit dem anderen Wertparamen derisieren. Das hat zum Beispiel die Eigenschaft, ihr könnt überlegen, wenn man Kollisionsprobleme hat und zwar mal hintereinander hecht und schon nach einem hechten Kollision da ist, dann hilft es nicht allzu sehr weiter. Aber durch das Umparame derisieren, wie gesagt, es ist manchmal nur ein Bit, also im Prinzip wäre Bitcoin sehr viel sicher, wenn sie nach dem, also sicherer gegen einige Angriffssachen, wenn sie nach dem ersten Heaching ein Bit umrambeln würden. Also es ist irgendwie manchmal ein bisschen gruselig, wenn man sich überlegt, dass man ein Bit an der richtigen Stelle gesetzt oder nicht gesetzt wirklich drastische Auswirkungen hat. Später dazu noch ein paar weitere Bemerkungen. Und hier aus der beliebten Serie X-Ora ist dein Freund. Wir haben damals AS256 und Hufig einfach mit X-Ora verknüpft. Das ist eine Verknüpfung, die die schöne Eigenschaft hat, das dann Angreifer beide Funktionen brechen muss, etwas verkürzt dargestellt, aber durchaus zutreifend. Also wie gesagt, es sind relativ einfache Sachen. Bei Hechtfunktionen ein bisschen darauf achten, X-Ora ist ganz spannend. Kommen wir nochmal zur Hechtfunktion. Da möchte ich hier heute mal ein bisschen Werbung für Schaar 512 machen. Ich bin da mein, man sollte lieber Schaar 512 nutzen als Schaar 256. Warum? Naja, Abschneiden ist okay. Man kann, wenn man nur 256 Bit ist, kann man die anderen Bit schlicht und einfach verwerfen. Wer es nochmal im Standard hat, kann sich Angungsschar 356 im Prinzip, mit einer leichten Modifikation, Schaar 512 mit abgeschnittenen Bit. Zweiter Punkt, kryptografisch hochwertige Bit, genauer gesagt schön randomisierte Bit, kann man immer brauchen. Also, wer bei 512 Bit Ausgabe hat, dann hat man noch zusätzlichen paar Rendumbits rumliegen. Wie schon gesagt, man kann dann noch überlegen, X-Ora ist ein Freund und das in einere Sachen nochmal anzubringen. Weiterhin ist Schaar 512 sehr schnell auf 64 Bit. Der Plattform ist eigentlich fast genauso schnell auf älteren Plattformen wie Schaar 256. Und wie gesagt, rein aus dem kryptografischen Bauchgefühl hat in Schaar 512 mehr Runden und man hat 64 Bit-Operation. Also von allen kryptografischen Bauchgefühl wird da deutlich mehr durcheinander gewirbelt und die Sicherheit auch in einer gewissen Weise erhöht. Gut, das machen wir kurz. Längere Kurven nochmal ein Hinweis. Ich bin der Meinung unter anderem die Gruppe um Detail Burnstein. Hat das schöne Arbeit gemacht bei der kleinen Kurve. Er hat auch irgendwie, das war 156 Bit Kurve, interessante Ergebnisse gehabt. Er hat auch längere Kurven bereitet, aber das nicht mit dem Nachdruck bearbeitet, die man vielleicht dafür braucht. Und außerdem bin ich halt wirklich der Meinung, wenn man schon auf die elektrischen Kurven kommt, ist Schaar 256 Bit wirklich sehr nah an der Grenze, wo man irgendwie sagt, das könnte schnell problematisch werden. Insbesondere weil auch die GB verwiesen hat auf die Probleme, die RSA bei Quantencomputern hat, muss ich sagen, eliptische Kurven wegen der kleinen Schüssellänge, wird ich von dem Bauchgefühl sagen, da knallst deutlich früher als bei den RSA-Operationen. Gut, alles da. Jetzt in dem zweiten Teil, tut mir ein geschätzter Kollege Christian Vorler, mal ein paar konstruktive Tipps geben, wie man wirklich bestehende Systeme besser nutzen kann. Und es ist eigentlich auch überraschend. Wir haben uns in einem Vorfeld da nochmal reingeguckt und sind an einigen Stellen gekommen, dass zum Beispiel einige neue Ideen, TLS zum Beispiel 1.3, eigentlich auf den ersten Blick gut aussehen, außer wenn man mal ein paar andere Angriffsmodelle zugrunde legt. Insofern sind die Arbeiten, die Christian jetzt vorstellt, glaube ich auch vom hohen Maße praxisrelevant. Hallo, jetzt wird es gleich ein bisschen technisch werden. Da müsst ihr jetzt halt durch. Okay, und zwar geht es jetzt in den richtigen Einsatz von AES. Also das Problem ist, dass jetzt die ganzen Hersteller von Softwareprodukte irgendwie Sicherheit bewerben, indem sie erzählen, wir nutzen AES. Das ist zwar nicht so die schlechteste Idee, AES zu nutzen, aber in der Regel findet man halt nicht raus, wie sie das einsetzen. Da kann man auch viel falsch machen. Das schauen wir uns gleich mal an. Das heißt, wenn jemand behauptet, der macht AES und dann erstmal nachfragen, wie das eingesetzt wird und wenn man das nicht rausfindet, dann ist das meistens ein Indiz dafür, dass da ein Fehler gemacht wird. Und dann schauen wir uns mal an hier. AES ist keine Wunderwaffe, das ist aber nur eine Blockschiefe. Das heißt, ich kann mit AES ein Glas Sexblock verschlüsseln, bzw. ein Schiefer Sexblock entschlüsseln und die Blockgröße ist 28 Bit, das heißt 16 Bit. Das hilft jetzt in der Regel nicht so wirklich viel, weil in der Regel habe ich dann Nachrichten, die ein wenig größer sind an 16 Bit. Wenn man so irgendwie der TINES anschaut, hat er auch Netzwerkspakete. Und da ist jetzt die Frage, wie kann ich jetzt ein größer Glas Sex verschlüsseln und dann ist die Antwort irgendwie klar. Ich zahke den in Blocken und bearbeile die Blocken nacheinander irgendwie mit AES ab. Das ist so die Elementarstrategie. Dann schauen wir uns mal an. Wenn man da in AI vorgeht, dann geht das auf jeden Fall schief. Dann könnte ich vorstellen, man tut jeden Block einmal durch AES jagen, Nachteil, gleiche Glas Sexblocken, gleiche Schiffertexblocken, alles schon mal gehört. Das heißt, da bleibt Struktur erhalten. Und wenn der Struktur halten bleibt bei der Verschlüsselung, dann ist das irgendwie extrem schlecht. Alles, was wir gerade nicht haben, das ist eine Idee, warum wir Kriptografie nutzen, damit der Struktur nicht verüblich bleibt. Falls doch, gibt es da das Wikipedia Beispiel, das wir irgendwie alle kennen. Das heißt, das ist irgendwie AES verschlüsselt, das ist Military Grade Security, da gibt es da Leute, wir werben halt ihre Software mit Military Grade Security und machen dann sowas. Das ist irgendwie schlecht. Nächster Schritt, was man machen kann, wir wissen alle, man macht Schlüsselstrom. Wir nehmen AES, ein Karrieren Schlüsselstrom. Die Idee ist schon mal gar nicht mal so schlecht, weil wir haben irgendwie gelernt, so One-Time-Feds funktioniert. Das wollen wir eben wieder ein bisschen emulieren. Dann gibt es hier jetzt die einfache Variante. Dann verschlüssel ich jetzt, was in dämischem Counter, verschlüsselt den und tut das Ergebnis, der Schlüsselstrom daraus kommt XO an, mit meinem Klartext. Und das Problem ist hier bei dieser Variante, hier gibt es kein Zustand, das ist zustandslos, das heißt, das ist deterministisch. Das heißt, jedes Mal, wenn ich hier anwerfe, die Verschlußungsverfahren, kommt da gleich Schlüsselstrom raus. Und wir wissen, wenn ein One-Time-Fed mehrmals anwenden, ist auch eine schlechte Idee. Dann kommt, das heißt, ich muss jedes Mal bei AES der Schlüssel wechseln, wenn ich da jetzt einen neuen Arsch verschlüsseln möchte. Und das ist irgendwie, nicht so wie ich es praktisch habe. Wenn ich jetzt vergesse, die Schlüssel zu wechseln, bei dem Einstrandverfahren, dann fällt es erstmal gar nicht so auf, weil ich habe hier jetzt einmal ein Trucksverschlüssel, dann einmal Beastie. Und hier sieht man erstmal, die Struktur ist weg, weil es rauschen, das ist schon mal eben ganz angenehm. Das Problem ist jetzt nur, ich habe zwei Mal gleich ein Schlüsselstrom, das heißt, wenn ich die schiefere Textiksohre, dann kürze ich da weg. Und dann, genau, kommt irgendwie das raus und da kann man sich vorstellen, dass es jetzt nicht so, der Riesenaufwand ist aus diesem X-Ohr, dann die zwei Klartext ist extra hier. Das kriegt man auch, wie wir noch als Geheimdienst sind, selbst als schlechter Geheimdienst. Es gibt man auch noch als Student noch hin. Es ist eventuell mal eine Übungsaufgabe für Bachelor- Studenten. Das ist jetzt nicht so schwer. Deswegen, also wie funktioniert es richtig? Das heißt, vor dem Zustand, das heißt, wenn ich einen Schlüssel nur habe, möchte ich damit mehr in der Nachricht verschlüsseln, brauche ich einen Zustand. Das nennen wir hier Nanz. Und das heißt, und beim Counter-Mode setzt sich halt mein Counter, anfangs werde ich nicht auf 1, sondern ich setze den auf dein Zustand. Wenn ich einen neuen Nachricht verschlüssel, wirf ich mir einen neuen Zustand aus, einen neuen Nanz. Und das heißt, wenn ich einen neuen Nanz anfange, bekomme ich immer wieder einen neuen Schlüsselstrom. Und das ist halt vorteilhaft. Das heißt genau, wenn ich einen neuen Schlüsselstrom heiße, das kann ich nicht wieder benutzen. Und sobald sich jetzt das Ganze ist sicher, sobald sich kein Nanz-Schlüsselpaar wiederholt. So weit so gut. Das heißt, die Anforderung halt hier ist jetzt den Nanz dann nicht wiederholt. Und das ist halt so richtig kritisch. Es gibt uns, genau, es gibt da noch so mehrere Verschlußungsverfahren. Die Nanz, die sind alle nanzbasiert. Und das erste Problem, ich gesagt habe, man darf den Nanz irgendwie aufpassen, dass er sich nicht wiederholt. Und das zweite Problem ist, man schützt nicht die Integrität der Nachricht damit. Das heißt, wenn ich da was mit verschlüsseln, zum Beispiel so eine Banktransaktion, ist es zwar im Geschick, dass die Enventer niemals lesen kann, aber wenn ich das Format irgendwie kenne, in der Banktransaktion, kann ich es so manipulieren, dass der Betrag sich ändert oder die Empfängeradresse und es auch kontrolliert. Und eventuell möchte man das nicht. Genau. Und deswegen gibt es die authentizierte Verschlußung. Das heißt, als Kriptograph ist man auch auf die Idee gekommen, seit längerem schon, dass man nicht nur die Vertraulichkeit irgendwie schützen möchte per Nachricht, sondern auch die Integrität. Und das ist nur ein Rutsch. Und das ist auch im Immunis. Genau. Das ist jetzt das große Ziel. Und wie funktioniert das so ein Verfahren? Ich habe jetzt wie gesagt meinen Niedermannanz und mein N und mein Klartext P, dann kippe ich da rein und dann fällt das nicht mit der Schiffrotext raus, sondern es fällt auch noch so ein kriptografischer Prüfsommer raus, ja. Und das heißt, wenn ich jetzt die Inputs ändere, ändert sich auch alle Ausputs bei der Verschlußung. Das heißt, ich bekomme jedes Mal, wenn ich dann mindestens ein Bit-Endler kippe ich mal und der Schiffrotext. Das ist schon mal ganz nett. Und wenn ich einschlüsseln, ja, ganz einfach, dann kippe ich wieder so ein valides Nanz Schiffrotext-Tagpaar rein und jetzt kommt mein Klartext raus, juhu. Und das ist, da klug ist jetzt, da haben wir, wenn ich jetzt irgendwie, wenn ich das hier mal manipuliert, das heißt, wenn ich jetzt Nanz, Schiffrotext oder Tech-Endere, dann gibt es eine Fehlermeldung, ja. Dann heißt das, der Klartext ist nicht valide, das heißt, die Eingabe ist invalide und ich gebe eine Fehlermeldung. Das ist irgendwie ganz nett, so was will ich eigentlich haben. Ja, da gibt es irgendwie so zwei ganz berühmte Verfahren. Das eigentlich ist der Call-O-A-Counter-Mode. Der wird eigentlich überall, der ist in der Industrie weiterbreitet. Dann gibt es zum Beispiel so bei Sachen wie IPsec oder auch bei TLS und so weiter. Und das ist, das Problem, also das Gute ist, das Ding ist super schnell, der Call-O-A-Counter-Mode. Ein Nachteil ist, der ist ein bisschen fragil. Wir schauen uns gleich mal an. Und das andere Verfahren, das ich ja noch empfehlen kann, ist das IPsec Codebook von Rockaway damit gebaut. Und das, genau. Also wenn man die Wahl hat, sollte man der OZB einsetzen. Problem ist halt auch wieder hier bei allen Verfahren, wenn sich ein Land wiederholt, dann ist es, dann fricht es alles zusammen. Ja, und ich habe mir das nochmal angeschaut, wie schlimm das die Situation ist. Wenn sich ein Land wiederholt, 2011 und das heißt, das Schlimme ist, das ist wirklich total kaputt. Das heißt, ich kann ja immer von Ofen 1 Angriff finden. Das heißt, ich kann das Ding in Echtzeit alles kaputt machen. Vertraulichkeit und Integrität. Und das möchte man nicht so wirklich haben. Also das ist irgendwie, das heißt, wenn sich ein Land wiederholt, ist es eine Mitleid-Kalastrophe. Ja, und das ist irgendwie vom Design hier nicht so gut. Das heißt, da muss man, wie gesagt, weil irgendwie, also die Anforderung für ein Kryptograf, das ist ein Mathematiker, man hat so einen Zustand, der sich wiederholt. Das ist irgendwie so nicht so schlimm. Aber in der Praxis ist das echt ein Problem. Ich schaue mir das auch gleich an. Erst mal nochmal hier ein bisschen GZM-Bashing. GZM, das ist wirklich, das ist extrem fagil. Also das muss man aufpassen, wenn man es einsetzt. Wenn ihr es einsetzt, dann bitte nur mit 96 bitten ans. Ansonsten gibt es Probleme, da können Transkollision auftreten, weil dann was gehäscht wird. Das möchte man eigentlich nicht tun. Und die Häschfunktion hat dann nur ein bisschen Schwächen. Dann, kurz nach dem GZM rauskam, hat sich mal nichts vergessen. Also Microsoft ist nicht angeschaut und hat gemeint so, oh, das Problem ist, wenn ich jetzt die Prüfzimmer kürze, dann wird das Ganze extrem unsicher. Das heißt, das sind überproportional stark ab die Sicherheit. Das heißt, Kürzen ist eine schlechte Idee und das ist auch so eine komische Eigenschaft, die man nicht haben möchte. Das andere, was rausgefunden hat, ist, wenn man eine Balance der Holung legt, zieht er noch ein Schlüssel raus. Da geht man noch ein Schlüssel, freie Haus. Das Gute ist, GZM hat zwei Schlüssel, ein Schlüssel zu verschlüsseln, ein Schlüssel für die Intriquität, für die Prüfzumme und es fällt dann nur der Schlüssel raus für die Prüfzumme. Das ist aber trotzdem eh nicht schlimm. Das möchte man eigentlich nicht, wenn man einen Fehler macht, der Schlüssel rausfällt. Das ist halt auch so viel Fagil und es gibt noch ein paar Handvoll schwache Schlüssel, weil das ist epoch RLKM. Das RLKM steht an Falle Garovil Multiplication, das heißt, da findet man eine Multiplikation statt. Dann kann man nicht denken, Multiplikation mit Null, ist zwar nicht die beste Idee, wenn man seine Nullschlüssel hat, weil irgendeine Nachricht mal Null ist immer Null, unabhängig nach Nachricht. Wenn eine Prüfzumme unabhängig nachricht ist, ist irgendwie nutzlos und hat auch weitere Schlüssel, die auch irgendwie noch Schwächen haben. raus kam, ich sag, hat sich das mal Nils Ferguson angeschaut, da ist er Microsoft tätig und hat dann so ein Papier geschrieben, da stand drin, ja, ich kann das nicht so welche empfehlen, besser nicht. Wenn ihr keine andere Wahl habt, dann nutzt GCM, aber bitte, bitte, nicht niemals die Prüfzumme kützen. Ja, genau, das Zweite, hier haben wir Zvotsnüttel, RFC 4103 im U6, da steht beschrieben, wie man denn jetzt GCM bei IP6 benutzt und da steht drin, ja, wenn er es implementiert, natürlich müsst ihr dann die volle Prüfzumme unterstützen, ich glaube, es kann man auch gleich anders implementieren, ich glaube, es ist nicht möglich, dass man es nicht mehr anders implementiert und aber was optional auch erlaubt ist, ihr dürft die Prüfzumme kützen von 16 Beit auf 12 oder 8 Beit und das ist natürlich eine schlechte Idee, ja, weil dann die Sicherheit, die Sicherheit, wenn man nur 8 Beit hat, ist als wesentlich geringer, als man der vermutet. Das heißt, erst mal tu was, wer admin ist, erst mal nachschauen, IP6, nutzt ihr GCM mit kurzen Prüfzummen und dann das Feature deaktivieren, das hilft. Dann, genau, jetzt jetzt wieder zurück zum Nanz-Rios, nachdem ich viele Vernachteile von GCM aufgezählt habe. Der Vorteil ist, dass es verdammt schnell, aber der Preis ist Fakulität. Und für Nanz, genau, Wiederholung, es war praxisrelevant, da gab es ja irgendwie Diskussion am Anfang, als der da rauskam und irgendwie da nicht mal drei Beispiele, ja, ich glaube schon, ja, weil erster Grund ist halt, ja, Programmierer machen Fehler und auch Leute, die so was sein, machen auch mal Abendsufähle. Und genau, da gibt es jetzt schon drei lustige Beispiele, eins so, irgendwie so kleine Pletscher aus Redmond, mit so einem Niesen-Software Börd-Excel, hat das irgendwie nicht so richtig hinbekommen beim ersten Anlauf, dann das andere, was ich ja noch habe, ist so Winsip, auch so irgendwie Niesen-Software, die keiner nutzt. Und das dritte haben wir jetzt dieses Jahr ganz brandneu, ist Crack hier, WPA2, Wi-Fi, ja, auch so ein Niesenprodukt. Und das ist so, sieht man, das geht halt immer wieder, also es hält sich groß in Firmen, Gegen- und Standart- und Komitees und so, das kriegt man sich nicht so richtig hin. Das heißt, da gibt es dann irgendwie ein Problem. Und ich denke auch in Zukunft wird es immer wieder Probleme geben, ja. Und das andere ist, wenn man sich mal schaut so, die ganzen App-Stores, was da an Software gibt, der hat einen, der nutzt halt viele Leute, also es gibt halt irgendwie, ich denke, jede zehnte App, die irgendwie so ARS einsetzt, wird so irgendwie diesen als Nans hier den Super-Zahn-Generator von XKCD verwenden. Das heißt, das ist alles schlimm, weil sie mal das anschaut. Ja, also das ist halt ein strukturelles Problem. Das andere sind also Bedienfehler, ja, wir sind auch teilweise mal schuld, nicht mal die Programmiere. Das heißt, was man da oft macht, ist jetzt hier, ja, Restaurant-Backup, ja, und der Nans ist halt dann persistent geschrieben worden, irgendwo auf Platte, den letzten Wern so, dann wird es wiedergeladen, oder man lohnt der WDWL-Maschinen, da kann auch mal was schiefgehen bei Nans, dass man den Nans öfters aufkommt, oder das andere ist, wenn man zu wenig Entropie hat, dann zieht man öfter mal die Leichenans, ja, ist irgendwie alles unlustig. Das Problem, also das Gute, die Nachricht ist, das Problem wurde eigentlich 2006 schon gelöst, ja, von den Kuptergärfen. Da gab es jetzt ein Pave, das rauskam, das hat es vorgestellt, ein Verfahren, das ist Missus-Resistant-Aesgames, heißen die, und die bietet auch Sicherheit, wenn man das mit dem Lanz vergeigt, ja. Genau, und das coole ist, die haben in der Stütze ein beliebig langen Ansatz in der Regel, das Verfahren. Das heißt, wenn man da Netzwerkspakete verschlüsselt, dann kann man den Hetter als Lanz nehmen und den Payload als Klartext, wunderprima, das sollte man mal machen, und zwar überall. Das Verfahren, ich sagte, wurde vorgestellt, da gibt es auch einen RFC für, das heißt, es gibt jetzt keinen Grund, das ist immer nichts zu implementieren, als Entwickler, und das ist mein Mensch. Und genau, da gibt es noch eine Schwäche, also SIFE ist eigentlich idiotensicher, das heißt, man kann auch einen Lanz wiederholen, aber es hat nicht immer nicht voll idiotensicher, deswegen habe ich dann noch 2016 an dem Verfahren gearbeitet, das ist ganz noch verstärkt. Warum ist das, warum ist SIFE nicht idiotensicher? Ja, man muss ja noch die kryptoshralsche Prügsumme verifizieren. Und, äh, ja, und wenn man das nämlich hinkriegt, ja, wir erinnern uns hier Apple zum Beispiel, ich kriege das auch nicht immer hin mit Go-to-Failback, das heißt, wenn das Apple passiert, können wir es eventuell auch andere Firmen passieren, haben wir uns da gedacht, und deswegen haben wir das irgendwie gezogen gebaut, dass, selbst wenn man jetzt irgendwie die Verifikations versammelt, dass dann irgendwie, genau, dass dann immer noch, wenn das irgendwie bemerkbar wird, indem man das so baut, dass da Klartext, wenn man den SIFE Manipuliert, immer weißes Rauchen ergibt, das heißt, man hat immer weißes Rauchen, und dann war die Idee so, eventuell fällt es bei, wenn man den Input validiert, dann auf bei der Einputvalidierung, dass da irgendwie nur weißes Rauchen ist und dass es kein valider Eingabe ist oder die Software wirft exception oder stört Apple oder so, ja, genau, und das, wie wir es genau machen, überspring ich mal aus Gründen der Zeit, genau, und aber das Ding ist, hier tut was, benutzt diese Mythos, das ist in der Eskims, ja, die haben einen gravierende Nachteil, man muss zweimal komplett über den Klartext gehen, das heißt, das dauerteile ein bisschen länger als Angriff erfahren, das heißt, das ist nicht so super effizient, und jetzt kann es natürlich sein, dass man jetzt irgendwie Echtzeit-Anforderungen hat, dieses Nicht-Erlauben, ja, dann was soll ich tun, wenn das eben technisch nicht möglich, sterilisierbar ist, ja, nicht im Panik verfallen, auch da hab ich irgendwie die Gipfel-Lösung, da war ich dabei, die mitzuentwickeln, und die Antwort hier ist Robusta Eskims, die hießen vorher mal Lansmisjus, Resisten da Eskims, und wir haben das jetzt unbeneinander noch nach Robust, weil es da irgendwie ein bisschen Konflikt gehabt, finanzielle Kupterzene, und was wir da gebaut haben, ja, 2012 war ein Verfahren, MECOE, da kann man jetzt irgendwie, wenn man da jetzt irgendwie Probleme hat in dem Lanz, im Lanz sie wiederholt, dann ist hier immer noch die Integrität immer noch gewährleistet, Integritätsschutz, und die Vertraulichzeit bleibt auch noch irgendwie je nachdem, wie schlimm man da Fehler macht, noch teilweise halten, oder eventuell auch ganz, also was man auf jeden Fall erkennen kann, wenn man den Lanz wiederholt, dass zwei Glatex den gleichen Präfix haben, ja, das konnte man eben nicht wegkriegen, wenn wir nur einmal über den Glatex gehen, genau, das, die Idee hat sich dann irgendwie fortgepflanzt, das heißt, da gab es dann auch diesen Caesar Competition, und das er steht auch für Robust, das, genau, und die Caesar Competition sucht halt ein Nachfolger für GZM, ja, das ist der Gruptekompetition auch von Dan Bernstein, der hat die da angedrückt, das ist der Schirm her, und da haben wir jetzt ein Nachfolger von MECOE, auch, wie darf ich, auch mit, bei Poets, da war ich auch wieder mit dabei gewesen, das Rennen geschickt, wir haben es jetzt weiter ohne gepackt, leider nicht in die Dritte, weil wir waren wahrscheinlich ein bisschen zu super schwer gewichtig und auch nicht so performant auf Hardware. Was noch im Rennen ist, was ich empfehlen kann in Köln, das ist ein Zusammenschluss aus ASCOPA und ELMT, das waren eigentlich zwei, zwei Rundenverfahren, die sind jetzt zusammen geschlossen, ist jetzt noch Drittrundenkandidat, was es jetzt noch gibt, was ich noch empfehlen kann beim Caesar Competition, was ich mal näher anschauen kann, ist EASY, EASY ist ein Missususist in der ESCIM mit von Phil, und genau, zumindest hat er Phil mitgemacht, das sind jetzt zwei Kandidaten, die ich ja noch empfehlen kann, genau, und jetzt schauen wir uns mal an, also alle die Verfahren sind irgendwie beweisbar sicher, und genau, und das heißt, da gibt es immer so einen Sicherheitsbeweis, und da gibt es immer so einen Sicherheitsschranke, und wenn man einfach sieht, ist das eine Burftesecurity Bound, also die haben alle so komische Bounds, ja, und da gibt es jetzt so drei Parameter, Q, L und T, Q sind die Anzahl Nachrichten, die man damit verschlüsselt, L sind die Anzahl Blöcke, die man insgesamt verschlüsselt, und T ist die Zeit, und was hier steht ist, ihr könnt ungefähr so 100 Terabyte unter einem Schlüssel verschlüsseln, ein paar 100 Terabyte, und dann soll ihr ein Schlüssel wechseln, genau, und natürlich ist es nur sicher, wenn auch ESS sicher ist, wer jetzt gedacht, man ist den Nutzer im ESS, und ja, genau, also die Idee ist auch irgendwie bei Poets, das ist immer sonst, also das ist halt super strong, also super heavyweight, weil wir machen ja die erste Lane, die obere Lane, ist da einfach nur eine Prübsumme über den Glartext, die unter der Lane ist eine Prübsumme über den Schiffritext, und der mitten drinnen ist die Verschlüsselung, genau, das heißt, die kriptekrasche Prübsumme ist ja ziemlich irgendwie über den Glartext und Schiffritext, und das zweite coole Ding, ja, wenn ich hier zum Beispiel was manipuliere bei C2, dann bekommt ab M2 weißes Rauschen raus, das heißt, da kann ich auch wieder, da ist auch wieder die Idee, dass man, wenn man, wenn man jetzt die Verbrikation nicht richtig macht, dass man da vielweise Rauschen hat, und das ist damit, dass man irgendwie vielleicht auffahnen konnte bei der Eingabevalidierung, das heißt, dass auch noch ein bisschen Schutz drinnen, dass man die Verbrikation nicht richtig hinbekommt, weil so eine Ifa-Frage ist nicht immer ganz einfach, zu implementieren, genau, jetzt bin ich auch schon zu gut wie durch, hab's gleich geschafft, dann darf wieder Rüdi, und genau, also was ich mit das zu tun sollt, niemals nicht einen Ansiedler holen, das ist ein mittlerer Kalastrophe, das ist also, das ist praktisch so ein Unfall, das irgendwie, das irgendwie, genau, also, und jetzt die Frage ist so, wie soll ich meine Daten verschlüsseln, da gibt's jetzt, ich sag, da gibt's mal Schauen, da gibt's jetzt vier Kategorien, die erste ist die stärkste, die vierte ist die schwächste, und man soll jetzt schauen, dass man jetzt irgendwie schaut, kann ich einen Verfahren aus der Kategorie eins nehmen, lässt das mein, irgendwie mein, mein Umfeld zu bei Anfallerungen, wenn nicht, dann zwei, wenn nicht drei, und dann sonst ein vier. Das heißt, da ist eine klassische Verschlußelung, die wir so kennen, bei denen es so eine ziemlich schwächste, schächte Sache tun kann. Das heißt, wir müssen jetzt irgendwie schauen, dass wir mal besser werden, und mal so auf eins und zwei kommen, und nicht nur bei drei und vier rumdümbeln hier, damit wir es fahren, auch Wuster und Stärker werden in Zukunft. Ah, dein Zitat noch. Ja, ich hab noch eins, ja, genau, also, ja, einer allerwichtigsten Botschaft für heute ist, redet verdammt nochmal mit Kriptografen, ja. Also, ihr macht ja einen Haufen cooler Software, und die fällt da auseinander, weil man nie mit uns geredet hat. Also, wir sind irgendwie beide, unsere E-Mail-Adresse und so Telefonnummer sind irgendwie im Internet, stehen die, und man kann es mal ansprechen, und man kann mal mal nach Berlin kommen und mit uns reden beim Kästchen. Ja, noch mal, also vielen Dank, ich möchte das auch noch mal ein bisschen aufgreifen. Also, damit es noch mal ganz klar ist, dass das jetzt wirklich ein praxisrelevantes Problem ist. Also, wenn ich mich nicht täusche, das ändert sich aber als letztes Mal reingeguckt hab, war wirklich in TLS die Überlegung, wir sind clever, wir benutzen keine Verfahren, wo nicht Identifizierung mit eingebaut ist, und wir verwenden zwangsweise das GCM, also Galatas Counter-Mode. Dass es auch supi bis auf die Tatsache, wenn Nouns wiederholt wird, ist das katastrophalschwächer als alle katastrophal alle viele, die man auf der unteren Ebene machen kann. Also, Gryptografie ist relativ schwer, aber nochmal der Pelvenkristian wirklich deutlich wiederholt. Die Grypto-Gemeinde hatten starken wissenschaftlichen Teil, die auch offen publizieren und so weiter. Also, insofern nochmal da der Hinweis, da mal reinzugucken, was da ist, ist wirklich eine gute Idee. Und nochmal wirklich an dieses Redet mit Gryptografen mal anpassen, kommt jetzt der Grund, warum hier so voll ist, weil wir noch was mit Blockchain machen wollen in der nächsten Folie. Auch da möchte ich an ein paar Stellen sagen, ein bisschen Reden mit Gryptografen wäre ganz angenehm gewesen. Also, wir arbeiten da auch an verschiedenen virtuellen Kooperationspartnern. Also, wir möchten da auch besser werden in Richtung Verteilter-Echtzeit, aber da arbeiten wir schon intensiv daran. Also, wer da noch weitere Tipps hat, was es dann noch Verworschungseinrichtungen gibt, der kann sich auch bei uns freundlich melden. So, mal ein paar Worte zu Bitcoin. Ich habe es mal schon vor Jahren hier gemacht, ich hätte damals vielleicht Bitcoin kaufen sollen, anstatt es sicher zu evaluieren. Nein, das soll man nicht machen. Ich bin der altmodische Professor, ich bin der Meinung, wenn von, also von führenden kapitalistischen Zeitungen gefragt wird, wie sicher das ist, dann solltest du nicht irgendwelche Aktien drin haben, um da zu antworten. Ich will zwar so sagen, die Gryptografie in Bitcoin wäre eine befriedigende Bachelorarbeit. Das sind schon, und das reicht eigentlich. Die Krypto ist so stark, dass eine befriedigende Bachelorarbeit völlig dazu führt, dass die Probleme woanders zu sagen sind. Es ist vorsichtig, Amateur-Kryptografie. Doppelt hält besser, die Hasche hechen zweimal hintereinander, aber wie gesagt, meine Erweiterung nach dem ersten Hech, ein Bit umzurembeln und dann weiterzuhechten, würde bedeuten, dass zum Beispiel die Kollisionseigenschaften sich nicht einfach weiter verabend. Also diese zweimal Hech hintereinander bringt zum Beispiel die Kollision nicht allzu viel, wenn sie nach dem ersten Hech ein Bit gerembelt hätten, weitergehecht, hätten sie eine deutlich bessere Eigenschaften gehabt. Also so ist jetzt das Doppelhech ziemlich nicht besonders relevant. Also jedenfalls wenn man starke, sagen wir mal. Was relativ cool ist, ist, dass die die Public Keys nicht veröffentlichen, sondern halt hier auch ein zweimal gehechte Konto-Nummer und da sieht man, dass die möglicherweise doch ein paar Hackerkonferenzen gehört haben und gewusst haben, sie sind nicht so fit in Krypto, machen wir es lieber mal ein bisschen robuster und so weiter. Insofern ist das eigentlich relativ erfreulich, aber wenn die jungen Leute mit oder alten Leute oder was immer für Leute mal mit Kryptogramm geredet hätten, hätten wir ganz interessante Implikationen gehabt. Es ist ganz lustig, der Bitcoin-Hauptauto hat gesagt, oh ja, jetzt zeichnen die alle Leute mit Spezialhatwer und unser demokratischer Ansatz. Jeder PC hat eine Stimme und alles verteilt. Geht dem Bach runter und wir sollten ein Gentlemen Agreement machen, das nur auf CPUs gemeint wird. Ach, es ist schön junge Leute dann. Ich mache ein Konzept von kapitalistischen Anarchisten, die irgendwie alles so designen, dass keine zentrale Stelle ist und will mit diesen verteilten Anarchokapitalisten weltweit Gentlemen Agreements zu machen. Ohne der Geschichte vorzugreifen, ist es nur beschränkt gelungen. Wobei das Werk alles lustig, da werden schlecht bezahlte Berliner Professoren hier rumwählen und gute Witze drüber machen. Das Problem ist, wenn man hier Fehler macht, dann hat es auf einmal Auswirkungen, dass irgendwie eine große Menge an Energie völlig sinnlos verheizt wird. Und da muss ich auch sagen, am Anfang habe ich gesagt, heute kommt runter, es ist ein Kraftwerk, was mir dann erst irgendwann mal 7 heiß eingefallen hat, mit der Erhöhung der Hesching-Komplexität, tut praktisch linear auch der Stromverbrauch irgendwie steigen. Also es ist schon auf dem Weg, eine deutliche Umwelt-Zauerei zu werden und wir Krypto-Hippies können natürlich sagen, hey, können wir wenigstens nur mit Wasserkraft meinen und so weiter, aber unser Einfluss auf erteilte Krypto-Kapitalistischen Anarchisten ist relativ überschaubar. Also insofern ist es wirklich kein Witz, dass einige Sachen, die wir haben, wirklich hilfreich gewesen wären, wenn die mit Kryptografen geredet hätten. Und hier haben wir auch ein Bild, was ich mal einfach mal vorstellen wollte, dieses Buch auf dem Demokratich zu halten. Das ist sehr verwandt mit der Frage Passwort-Hesching. Also Passwort-Hesching ist die Idee aus dem gehäschten Passwort, solle sehr schmerzhaft, sehr arbeitsspeicherintensiv sein, das Passwort wieder zurückrechnet, also ein klassischer Proof-of-Work. Das ihr seht, dass das nicht ganz aus der Welt ist. Eskript wird zum Beispiel in Leitcoin verwendet, das ist auch eine der größeren Sachen. Und die haben Eskript verwendet, die haben aber auch nicht mit Kryptografen geredet, wie man die Parameter dafür nüftig wird mit dem Ergebnis, dass jetzt mit ein bisschen Verspätung da auch Essex kommen und dieselbe Problemartike, die man bei Bitcoin haben, haben wir dort genauso. Auch hier kriege ich manchmal ein bisschen die Krise, wo ich sage, wir hätten das alles demokratisch halten können, wenn ihr mit uns geredet hättet. Wir hätten euch umfangreiche Änderungen gesagt, nämlich genau eine Zahl geändert, ein Parameter geändert. Dann wäre die ganze Sache auf einmal eine demokratische Veranstaltung gewesen und nicht so, dass jetzt irgendwie sinnlos Sachen verbrannt werden und irgendwelche nur noch Fabriken mitspielen dürfen. Das ist manchmal selbst für Hacker und Mathematiker, die wissen, dass Zahl eine gewisse Magie hat, relativ gruselig. Also hier ein Ess, mit Parameter richtig einzustellen, wer die gute Idee. Dann gibt es noch Passwort Hexing-Bettbewerbe, da ist Agoni 2i, ne, war nicht 2d. Du hast den, du hast die Tippwähler wieder reingemacht, wenn du wieder hinten biegst, das ist immer die Probleme, da wäre es eine Mierungen, ja, das muss hier sein, aber Kathina Stonefly, da hat er ja sich auch als Hauptautor rausgemogelt, also Christian ist der Autor des ganzen Frameworks. Mit Autor, Co-Autor. Das habe ich zusammen mit Stefan Lux und Wendel gemacht und das Kathina Stover ist eine Implementierung, die ganz besonders diese Sachen adressiert und, ne, so sieht es aus, ihr seht, das ist ein bisschen was, aber wenn man große Geschichten erwartet, ist es relativ überschaubar. Das sind relativ naheliegende Funktionen und das Schöne ist halt an den Arbeiten von Forerler et al, dass da also sehr brutale Sicherheitsschranken, also sehr ordentliche, mathematische Sicherheitsschanken da ist. Also noch einmal, man könnte eskript nehmen mit ein bisschen cleveren Parameter oder man könnte das andere Passwort-Heshing machen und dann hätte man mathematisch beweisbar, dass die Leute nicht das auf Spezial-Hatware relativ einfach machen können. Also noch einmal, diese Sache, die wir mehrfach sagen, redet mit Kryptografen noch einmal, eine Zahl in diesen Bitcoin-artischen Sachen richtig gesetzt, hätten wir es weiterhin demokratisch nicht mit Kryptografen geredet, gesagt, okay, wir machen Gentleman-Ecrimen, bedeutet halt, dass irgendwie im Moment eine obzöle Menge an Energie einfach fürs Mining verbrannt wird und zwar völlig nutzlos, Entschuldigung, ich stehe eigentlich auf Hechtfunktionen, aber irgendwie sinnlos, irgendwie davon hin zu hechten und alles weg zu schmeißen, das kann nicht so die pfiffische Idee sein. Wenn man pro VonWerk ist, noch einmal, hier wäre es hilfreich gewesen, entweder also mit mit Kryptografen zu regnen oder zumindest mal die Damen und Herren von Lightcoin, da mal überlegen, dass man die Parameter vielleicht ein bisschen ordentlich setzen könnte. Gut, ich bin der Meinung, dass wir wegkommen müssen von dem sinnlosen Heizen und deswegen wäre ich in den nächsten Monaten auch mit dem Doktoranden zusammen mal ein bisschen arbeiten, Proof of Work nützlich zu machen. Das sind schon Ideen, die da im Bereich Storage sind, da ist Filecoin zum Beispiel, ein Kandidat, der ähnliche Sachen macht oder Netzwerkservice, ich habe durchaus die Überlegung, dass es vielleicht sinnvoll ist, bei der Anonymisierung des Web-Treffings nicht auf das Tor- Projekt zu vertrauen, dass seine Hauptfinanzierung vom amerikanischen Verteidigungsministerium hat. Also ich hätte ganz gerne eine Konstruktion, wo Router, Netzwerkservice, Torartische Services anbieten und damit praktisch auch nebenher mein, also das Praktikgeräte, sich selbst finanzieren und wenn man irgendwie halt mal ein bisschen träumt, dann kann man halt sagen, man entwickelt einen Router, den stellt man in der dritten Welt in die Sonne. Solange Sonne ist, tut er Energie machen und Services machen und wenn die Sonne weg ist, holt er das Strom, aber bezahlt es mit der Arbeit, die er gemacht hat. Also dieser Traum eines wirklich ganz autonomen Systems, das möchte ich noch aufverhalten, vielleicht ein Schritt zurück. Ich habe einfach keine Lust, dass irgendwie Mining, also wirklich 2 hoch 70 oder 2 hoch 73 Operationen immer insinnlose Umsetzung von Strom in Wärme gemacht werden. Also vielleicht gibt es ja, danke schön. Und um es nochmal zu wiederholen, den ganzen Mist hätte man, also diese Sachen sind anspruchsvoll und da sind sehr viele Fragen zu klären. Deswegen ist es eine schöne Promotion. Und ich bin dann altmodiger Professor, wenn es irgendwie die Welt nicht revolutioniert, eine gute Promotionsthema ist es auf jeden Fall, insofern passiert die Revolution im Rahmen meiner dienstlichen Aufgaben, was irgendwie von Professoren in meinem Alter immer eine ganz angenehme Perspektive auch ist. Aber um noch einmal zu betonen, wenn die Damen und Herren, die das gemacht hätten, wirklich das Passwort-Heshing angeguckt hätten, wenn diese Leitkollen Leute, die die Parameter richtig gemacht hätten, also nochmal macht euch die Kraft von euch programmieren und Mathematik an, oh nee, sogar von euch Programmierer, lichst die Mathematik, die wir euch präsentieren, setzt die Zahl richtig und ihr habt eine bessere Welt dadurch, zumindest sagen wir mal in dieser virtuellen Welt. Warte mal in Auswirkungen, aber nochmal, ich sage, also erstens möchte ich einen wirklichen Beruf auf nützlicher, gesellschaftlich nützlicher Arbeit, zweitens, wenn ich dieses alte Beruf aufwärkt, das hätten wir weiterhin demokratisch gehalten, wenn die Leute dieses Passwort Heshing gemacht hätten, entweder das Eskript oder halt, sagen wir mal, die Sachen mit richtig hart brutalen Sicherheitsbeweisen, die Christian da unter anderem entwickelt hat. Kommen wir nochmal zum Ende. Wir sollten was tun, ist irgendwie das Ding und ich habe ja damals gesagt, Kryptomagie ist, dass man auf einer kleinen Finger nagelt, großen Fläche oder mit ein paar programmiert sein Kot erzeugen kann, die in die Geheimdienste nicht brechen können. Das hat schon ein bisschen was Magisches. Die problematisch ist, wenn man halt nicht reingucken kann und die Leute das halt schlecht implementieren, wie das jetzt bei Infineon in Zusammenhang mit den TPM-Chips passiert hat. Oh, da haben wir eine Folie, die muss ich, glaube ich, nachhalten. Also bei den TPM-Chips Infineon war einer der Hauptkandidaten und da ist es einfach so, das ist zwar vom BSI zertifiziert worden, aber offensichtlich reicht es nicht aus. Wenn das Open Source gewesen wäre, wenn man reingucken könne, dann hätten talentierter Dr. Rand wirklich nur wenige Stunden gebraucht, um aufzuschreien und das Fehler zu finden. Also wir brauchen wirklich auf der untersten Ebene Open Source ganz dringend, wir brauchen freie Software, die verhindert Hintertüren und ermöglichtes Finder und Fehler. Doch mal zusammenzufassen, das BSI ist gutmütig, sie haben auch sehr gute Kryptografen, aber sie haben es nicht gefunden. Am BSI ist noch eine der staatlichen Organisationen, die ich noch am ehesten vertraue. Sie haben es da ebig gefehlt. Nochmals Erinnerung, diese Infineon-Tipps stecken in den ganzen Google-Grundwuchs an, wo in Amerika wirklich eine ganze Generation von Schülern mit rumspringt. Die haben es vermasselt. Also offensichtlich klappt es nur, wenn es öffentlich ist. Und da darf ich noch mal auf meine Gesetzen, Kolleginnen und Kollegen Bernstein, Lange und Natja ... Namen vergessen? Mit Tanja ... Entschuldigung, Natja Henning. In dem Vortrag war einer der Highlights, wo sie gezeigt haben, Ha, das sind die Ergebung, also die Submissionsveröffentlichen für diese Prosquantumsache. Und innerhalb des ersten Abends, die haben sich wirklich Spaß gemacht und haben irgendwie 10 Prozent von den Sachen innerhalb von drei Stunden zerdrummert. Nehmen wir einfach mal zur Kenntnis. Die öffentliche Kryptografie ist so viel besser als Kryptografie hinter verschlossenen Türen. Dass es wirklich hier ein Punkt ist, es ist nichts ideologisches, aber der Code muss lesbar sein. Es ist vernünftigerweise einer Open-Source-Lizenz, aber er muss lesbar sein. Die Community muss da reingucken. Keine Behörde ist offensichtlich dazu in der Lage, das in irgendeiner Weise ordentlich zu machen. Der letzte Teil wird nicht bei Tuvat. Der letzte Teil von Tuvat ist auch ein bisschen launig. Das haben wir erlaubt. Aber da irgendwie die Mathematik scheinbar so abschreckend ist, dass es kaum jemand programmiert, gehen jetzt immer mehr Mathematiker dazu über brandneue Protokolle direkt zu implementieren. Als erstes muss ich sehr als sehr positives Beispiel den Herrn Kollegen Heiko Stammer erwähnen. Der hat auch am Datengarten einen sehr schönen Vortrag gemacht. Das ist eine sehr verteilte Schlüsselerzeugung und Schwellwerk-Kryptografie. Das sind so Sachen, wie wenn man sagt, in der Welt, wo man wenig Leuten vertrauen kann, ist es gut kryptografischer Verfahren haben, wo man mathematische Beschreibung hat des Vertrauens. Also muss man einen aus einer Gruppe vertrauen, zwei aus einer Gruppe, das können wir alles mit Schwellwerk-Kryptografie ganz gut machen. Wie gesagt, das sind ganz aktuelle Implementierungen von 1987. Ja, du kannst ruhig lachen, das sind Weichen hier, aber ihr könnt auch auf diese Folie warten, weil diese Sachen, das ist jetzt auch ausgeflogen, Blind Signature, wo ich also mit einem Master Studenten von mir ein bisschen was entwickelt habe 2016, auch auf der Open Tech Summit vorgestanden habe, basiert auf Blind Signature von David Schaum und die sind von 1983. Und wir haben uns auch nur so viel Zeit gemacht, dass wir endlich abgelaufen sind. Also Spaß beiseite. Nicht alles, was wir hier machen, also erlebliche Kurven ist schon relativ harte Mathematik. Auch die Schwellwerk-Kryptografie ist durchaus harte Mathematik. Ich will es gar nicht so sagen, also guckt es einfach an, dann ist es löstbar. Aber es gibt einen ganzen Kanon voll Sachen, wo es wirklich eine kurze Frage an Kryptografen benötigt, um dann den richtigen Tipp in die richtige Richtung zu machen. Auch diese Sache, dass wir halt programmieren, das war jetzt ein bisschen arg schnippig gesagt, also wir tun idiotensichere Krypto entwickeln. Idiotensicher ist ein relativ begriffen, armes, eingebettetes Gerät ohne interne Zufallsquelle. Hat halt keine gute Zufallsquelle. Also insofern nochmal, wir arbeiten wirklich an Systemen, möglichst robust zu sein in anderen. Eine Nachricht, die hier nochmal vielleicht an die Standardisierung geht, ist wirklich der Punkt zu sagen, Gallo-Accounter-Mode ist offensichtlich für einige Probleme, also wenn die Leute richtig Nouns machen, wunderbar Suppi, aber willkommen in der realen Welt, Angreifer können dann irgendwie anfangen, im Nouns zu rempeln und dann auf einmal die Sicherheit und die Integrität des ganzen Systems nachhaltig gefährden. Insofern ist das glaube ich keine gute Idee, das einzige Sache zu machen. Enden wir mit den guten Worten von etwas Nouns. Krypto ist keine dunkler alte Kunst, sondern es ist wirklich eine basic protection, eine grundlegende Schutz da. Wir müssen implementieren und aktiv daran forschen und nochmal um zusammenzufassen zu sein. Auch nach vielen Jahren Nouns muss ich sagen, Kryptografie ist das, was uns vor der Barbarie der für Geheimdienste schützt. Die Politik hat da auch in den letzten Jahren nicht unbedingt sehr gute Ergebnisse gezeigt. Insofern vielen Dank für eure Aufmerksamkeit. Da fehlt mir ein, zwei Folien noch. So, es hat sehr geheißen, man soll die Kryptografen fragen, nur leider ist die Zeit jetzt alle. Das heißt, ihr dürft wie angekündigt die Fragen über ein Käffchen stellen, allerdings leider nicht mehr hier drin. Aber trotzdem ein Runde schöner Applaus für unsere beiden Vortragungen. Vielen Dank.