 Okay, dann würde ich sagen, können wir am Prinzip anfangen für die, die interessiert sind und zwar neigt sich die Konferenz ja jetzt etwas dem Ende und hier viele Leute hier haben sehr viel über Kryptografie und verwandte Themen gehört und ich stelle mich mal kurz vor als Jack Random, man kann mich auch John, Joe, Jimmy, Bernd oder sonst wie nennen und es geht mir jetzt ein bisschen darum sozusagen die Leute nicht mit dem Gefühl gehen zu lassen, dass man ganz viel gelernt hat, dass man sagt, okay die Programme sind gut, die und die Implementationen sind gut, die Algorithmen sind irgendwie interessant und was sie da machen ist irgendwie ganz cool, weil ich der Meinung bin, dass vieles davon unabsichtlich auch nur so genannte Snake Oil ist und mit Snake Oil meine ich eben, dass die Leute, wenn man von etwas keine Ahnung hat, dann neigt man dazu es als Adder-Bells Heilmittel sozusagen anzupriesen, wenn es in irgendeiner Form wirkt und es geht den Leuten gerade mit Kryptografie ganz stark so, dass halt irgendwas eingesetzt wird, es werden Mails verschüsselt und so weiter und man denkt dann, okay, jetzt muss ich mir um nichts mehr Gedanken machen, im Prinzip kann ich jetzt Terrorist sein und es würde mich nie jemand finden und ich möchte gerne an ein paar Beispiele halt aufzeigen, inwiefern das absolut überhaupt nicht relevant ist, ob man verschüsselt oder nicht und inwiefern das irgendwie die ganze Auseinandersetzung damit beeinflusst und wo man darauf achten sollte genau zur Gliederung geht es halt erstmal nur um das Grundverständnis, was wir sich ja eigentlich erzählen dann ein kleines Gedankenexperiment, wir versetzen uns in die Lage eines Geheimdienst und versuchen quasi zu erörtern, wie würde ich denn an jemanden, über den ich Informationen habe, wenn ich auch davon ausgehe, derjenige verschüsselt und hat ein bisschen Ahnung trotzdem rankommen und dann würde ich so ein paar übliche Angriffswektoren, die so in der Praxis genutzt werden, was auch oft kein Geheimnis ist, ansprechen und natürlich auch, das ist ja auch ein Grund, warum wir das hier machen, mögliche Verteidigungszeneien dursch sprechen. Auch wenn wir in Deutschland gerne dazu neigen, diese sogenannte westeuropäische Arroganz anzuwenden auf andere, ist es ja nicht so, dass jeder Mensch in einem halbwegs rechtsstaatlichen System lebt und auch wenn man für uns sagen kann, naja gut, okay, warum soll ich den jetzt Angst haben, vom Bundesnachrichtendienst oder sonst nichts überwacht zu werden, gehe ich völlig mit, ist natürlich richtig, aber trotzdem ist die Debatte grundsätzlich wichtig, weil es natürlich auch Staaten gibt und natürlich auch Menschen, die auf Know-how und Wissen zurückgreifen müssen, was zum Beispiel hier im Rahmen eines solchen Vortrages behandelt wird, Leute, die verfolgt werden, Leute, die in Staaten leben, unter Repressionen leiden und so weiter und so fort und gerade auch Leute, an die man nicht beim ersten Mal sozusagen denkt, beispielsweise Leute, die lobbyanfällig sind, hochrangige Juristen, die halt irgendwie Interessen begründen müssen und die sich auch ein bisschen schützen müssen vor externen Einflussen. Das ist manchmal gar nicht so klar. Und natürlich auch die Whistleblower-Geschichte ist die Frage, so eine Geschichte wie etwas Norden wird das jemals wieder vorkommen, wenn die technischen Gegebenheiten nicht da sind, dass so jemand quasi auch im Nachhinein anonym bleiben könnte oder könnte man argumentieren, dass wenn die technischen Gegebenheiten da sind, dass jemand anonym bleiben kann, dass dann eben erst Rechtsleute dazu motiviert werden, Mischen da aufzuklären, weil sozusagen die Konsequenzen nicht bei Herrn Snowden dann aussehen. Als kleines Gedankexperiment sieht man jetzt, ach du Scheiße, was ist das denn jetzt? Chris, was hast du gemacht? Ich muss mal kurz, ja, wir gucken mal, was passiert, wenn ich das tue. Ja, okay. Nein, das ist jetzt nicht unbedingt besser geworden. Hast du eine Idee, Chris? Es muss ja irgendwie die Auflösung sein, die, ja, warte mal, ich habe eine Idee. Ich würde es halt ansonsten einfach write-off setzen. Okay, das geht auch. Muss ich halt vorgucken, aber es ist nicht so schlimm. So oder so? Ja, das dürfte, äh, genau, ja. Das ist jetzt schon mal richtig und jetzt müssen wir das noch hier, jetzt habe ich hier die richtige Auflösung hier drüben nicht. Aber was hatten das für ein, was hatten das Ding für eine Auflösung? 680. Das ist ein Prinzip, das, was ich mache, ja. Warte mal. Warte mal, warte mal. Nee, ja, das sieht auch ganz gut aus. Jetzt kann ich das vorhin nicht sehen, aber das ist verkraftbar. Ich weiß also ungefähr, was ich erzähle. Naja. Ähm, genau. Es geht grundsätzlich erstmal darum, bei dem Geheimdienst, denkt man jetzt in vielerlei Hinsicht, wenn man das so gehört hat von der Konferenz, man setzt halt irgendwie an ganz krassen Sachen an, man entwickelt elliptische Kurven, die irgendwie verwundbar sind, man versucht Zufallsgeneratoren in Interprozessoren zu manipulieren, dass die möglichst etwas Deterministisches produzieren und so weiter und so fort. Und ich stelle hiermit eine These auf, die sagt, ja, das ist alles durchaus möglich. Die Interessen dahinter sind durchaus da, ich gehe völlig mit, aber ganz ehrlich in der Praxis, das geht alles viel einfacher. Und diesen Aufwand muss man sich überhaupt nicht geben, weil es kostet auch eine Menge Geld. Und wenn es rauskommt, ist das auch ein Riesen, sage ich mal, Image-Schaden, versuchen Geheimdienst, das ist nämlich genau das, was jetzt gerade passiert. Und gerade klassische Ammitler, die nicht so hoch sitzen, also zum Beispiel die Institutionen wie die Polizei oder die Bundespolizei, die nicht so viele Zugriffsrechte wie die Nachrichtendienst haben, nutzen dann eher so was, was ich hier vorstellen werde. Wenn man jetzt mal so ganz nicht IT-haft von taktischer Kriegsführung spricht, kann man sagen, wenn man ein Gegner hat, das kann zum Beispiel für einen Geheimdienst ein Terrorist sein, das kann aber zum Beispiel auch für einen politischen Verfolgten der Staat sein oder wie auch immer herum gedreht, ist es gut, die Schwächen des anderen zu kennen. Und wenn man die Schwächen des anderen kennt, sind die Stärken dann gar nicht mehr so wichtig. So, und wenn jetzt jemand zum Beispiel ganz sehr doll verschlüsselt, dann ist es auf jeden Fall eine Stärke von ihm, das hat es ja keine Ahnung drauf, hat vielleicht noch ein Rhythmus dafür geschrieben, wenn ich irgendwie öffentlich bekannt ist und keine Ahnung, meinetwegen Bruce Schneier oder irgendein berühmter Mathematiker, kann man sagen, hat sich kryptografisch gut abgesichert. Das bringt aber natürlich nur soweit was, wie der Bezug zur Realität gewahrt werden kann. Das heißt auch Bruce Schneier muss man aufs Klo und auch Bruce Schneier schläft mal und wie jeder andere Mensch würde auch Bruce Schneier mal einen Wähler machen. Und man glaubt das nicht, aber man kann es sich beim entfernesten vorstellen, Strafverfolgungsbehörden nutzen sowas aus und schlagen nämlich genau dann zu, wenn es quasi sich lohnt. Und das ist sogar so einfach und so preiswert, weil am Mittler ja sowieso das Geld kriegen, egal was gerade zu ermitteln ist, dass man sich da richtig Zeit lassen kann. Also man darf ja nicht vergessen, bei so großen Ermittlungsverfahren, wie zum Beispiel das, was gerade gegen die Deutsche Bank läuft, das läuft über Jahre. Das ist nicht so, dass er mal ein Ermittler irgendwie mal in der Hand hat, sondern das Sinnprozesse, der werden über Jahre Beweise gesammelt und dann wird es ausgewertet. Und dann wartet man einfach nur bis hier und da mal was passiert und man irgendwas in der Hand hat. Und genauso kann man das natürlich andersrum auch machen. Und jeder macht Fehler irgendwann. Es ist sozusagen auf einer endlichen Zeitkonstante passiert es irgendwann, dass mindestens ein Fehler passiert. Und wenn zu der Zeit jemand da ist und guckt, dann kann ich ja mal gucken, was ich da machen kann, dann ist das quasi damit geschehen. Bestes Beispiel ist, man hat ein verschüsselt, ein Laptop und der Alkorithmus und die Implementation ist erstmal völlig egal und der ist halt noch an. Und solange der an ist, muss der Computer ja irgendwie wissen, wie er auf die Festbale zugreifen soll, weil die ist ja verschüsselt, aber irgendwie muss der Verschüssel ja da sein. Der Schüssel ist meistens im Rahmen, es gibt auch noch ein paar andere Implementationen, es gibt Ideen, den Schüssel im Prozessor zu lassen. Auch das ist, ja, es ist ein bisschen schwieriger, es ist ein anderer Einstiegshörter, aber es ist auch nicht unmöglich. Der entscheidende Punkt ist, wenn man in dem Moment zuschlägt, wo jemand gerade vom Rechner sitzt, dann kann man da nicht viel machen. Ist jetzt ein weit hergeholtes Beispiel, aber wenn ich ein Geheimdienst wäre und ich würde über Monate jemanden irgendwie beobachten, würde ich dann zuschlagen, wenn er gerade macht Tropier beispielsweise. Weil ganz ehrlich, das kriegt er nicht hin, innerhalb von den wenigen Sekunden. Also, ne, klingt erst mal abstrus, aber man muss sich halt wirklich bewusst werden, dass das nicht nur, sag ich mal, bei krassen Sachen Alltag ist, sondern dass das gerade auch in Repressionen ist, weil dann der absolute Alltag ist, bei, sag ich mal, absoluten Bagatelldelikten. Und wenn man sich überlegt, was gibt es denn so für Angriffsszenarien? Also, das Erste ist natürlich, man muss halt mal überwacht werden, möglichst unbemerkt. Das kann man ja vielerlei Hinsichten machen. Eigentlich kann das jeder machen. Da braucht man keine Mittel dazu. Man kann irgendwie Wähler an Pakete abfangen oder kann sich mit einer Satellitenschüssel vor die Wohnung stellen und versuchen, ein paar Audio-Signale mitzukriegen und so weiter. Also, das ist sogar nicht mal illegal in Deutschland. Irgendwie das reine Abfang von Daten teilweise kommt doch an. Und jetzt ist natürlich die Frage, überwacht er nur oder hat er einen Zugriff drauf? Und bei Zugriff, das erste Beispiel sozusagen in Flagrandi, das war das, was ich gerade gesagt habe, ne, man überwacht über einen längeren Zeitpunkt und versucht halt, ein Profil zu erstellen und guckt, was macht er Nutzer so, um in den Genuss eines unverschüttelten Rechners zu kommen? Das macht man zum Beispiel bei Rechenzentren auch so. Dass man eben, ja, zum Beispiel dann kommt, wenn es gerade technische Probleme gibt und alle gerade beschäftigt sind und niemand gerade so richtig Zeit hat, sich ein Hausauszugsbefehl durchzulesen. Und dann kommt man halt mal kurz rein und sagt, du, die Server müssen wir jetzt mal kurz mitnehmen. Und dann, bevor überhaupt irgendjemand checkt, was los ist, sind die halt weg. Das wäre die erste Variante. Die zweite Variante ist noch ein bisschen langfristiger und überwacht unbemerkt. Also zugleich greift man quasi auch unbemerkt drauf zu. Zum Beispiel, ich bin jetzt gerade nicht zu Hause und jemand kommt zu mir nach Hause rein und macht das alles so, dass ich das nicht merke und modifiziert meinen Rechner. Macht da zum Beispiel ein Hardware-Kiloer drauf oder jetzt mal ganz Stasi-DDR-bildhaft gesprochen, installiert eine Wanse in meinem Zimmer. Das kann gut sein, dass ich das über zwei, über zehn oder über 100 Jahre nicht merke. Es kommt ganz drauf an, wie gut es gemacht ist. Und das ist natürlich wesentlich gefährlicher, aber wenn man überwacht und Zugriff hat, dann hat man ja im Prinzip alle Möglichkeiten. Das ist ja auch das Schlimme daran. Man kann eben dann nicht nur Beweise sammeln, man kann auch welche erzeugen, die eigentlich vorher gar nicht da war. Und vielleicht auch nicht gar nicht unbedingt zu meiner Person gehörten. Und das dann im Nachhinein nachzuweisen, ist gar nicht so einfach, auch für einen Juristen nicht. Und das Dritte ist halt so ein Ding, das habt man jetzt schon mehrmals gehört auf der Konferenz, das ist jedes Jahr wieder ein neuen Thema. Social Engineering ist halt so die Idee, dass der Mensch immer das schwächste Glied ist, egal wie perfekt Technik mal wird. Und dagegen kann man auch nichts machen. Also wenn jetzt zum Beispiel ein kleines Rechenzentrum mit einem Fahrenformatiker, der drei Jahre Ausbildung gemacht hat, der jetzt irgendwie, ich will jetzt nicht sagen naiv, aber der auf die Situation nicht vorbereitet ist. Und da kommt jetzt jemand und sagt, hi, wir sind von RTL, wir machen gerade so Führunglos-Rechenzentren. Und wir wollten mal fragen irgendwie, ja na ja, Chef ist nicht da, ich weiß nicht, ob das okay ist. Ja hey, sie kriegen ja auch Geld dafür und so weiter. Mal ganz ehrlich, Juristen, die Wahrscheinlichkeit, ist die Jungs reinkommen, die ist extrem hoch. Und das ist ja auch, ist Euf gerade da, ja genau. Euf ist gerade draußen, der hat ja auch, vorgestern oder gestern, dieses YouTube Video gezeigt, wo er im CCC Darmstadt quasi in den Hacker Space sich Zugriff verschafft hat und dann ein YouTube Video davon gefilmt hat. Auch, dass das völlig unabhängig von Hackerskills ist, das ist einfach eine menschliche Schwester, die immer dasteht und gegen Social Engineering kann man auch nichts machen außer Training und und Psyche und irgendwie hinterfragen. Aber schön ist es halt auch nicht, weil wenn man zu viel drüber nachdenkt, wird man, also wird man paranoid und vertraut nicht und vertrauen ist was ganz Wichtiges unseren Menschen und man musste immer versuchen, eine Mitte zu finden. Zu den üblichen Angriffsvektoren, genau, ich muss immer ein bisschen hochgucken, dass ich das sehe, was halt so gemacht wird und was auch kein Geheimnis mehr ist, was auch jetzt nicht unbedingt über NSA Leaks irgendwie hier rausgekommen ist, sondern was einfach Usus ist, sind zum Beispiel DMA-Attacken. DMA-Attacken stehen für Direct Memory Access und es ist das, was ich vorhin kurz angeschnitten habe. Man hat eben ein Computer, der es verschüsselt und irgendwie muss der Schlüssel ja während der Laufzeit gespeichert werden. Es geht sogar so weit, dass wenn man den Computer zumacht und in den sogenannten Sleep-Modus geht, dann bleiben die RAMs an. Das ist auch genau der Effekt, du machst den Rechner wieder auf und der ist wieder an dem Punkt, wo er vorher war. Das heißt, alles wird abgeschalten, der Prozessor wird abgeschalten, das Mainboard an sich so halb, bis auf die RAM-Stackplätze sozusagen. Aber der Arbeitsspeicher verbleibt drin und Arbeitsspeicher ist ein flüchtiger Speicher. Das heißt, der ist halt so lange lesbar, plus keine Ahnung, 30 Sekunden, es kommt immer auf die Bauweise drauf an und wie warm es gerade ist, wie halt Strom drauf ist wenn man ein Arbeitsspeicher oder ein Bandlauf werkt, das kannst du halt auch 10 Jahre kein Strom drauf liefern und trotzdem kann man die Daten noch lesen. Und das Problem bei DMA-Attacken ist, es ist halt einfach praktikabel, sein Rechner irgendwie ins Leap-Modus zu haben, weil niemand, ganz ehrlich, niemand macht irgendwie früh nach einem Frühstück sein Rechner aus und macht einen in der Uni wieder an. Allein schon deshalb, weil dann alle Fenster, die du offen hattest, wieder weg sind. Und wenn du das machen willst, du wirst ein Rechner zu machen, an dem Punkt wo du aufgehört hast zu arbeiten und du wirst genau wieder weitermachen, wo du irgendwie aufgehört hast. Und das geht halt am besten mit dem Sleep-Mode und das ist genau das Ding. Diese Attacke ist an sich schon bekannt, seitdem es überhaupt die Idee gibt. Das müsste schon ungefähr 10 Jahre sein. Aber so richtig was gemacht dagegen hat man nicht, bis es exzessiv ausgenutzt wurde. Da können wir auch gleich dazu kommen, genau. Es gibt eine Open Source Software, die heißt Inception, so wie der Film. Das ist auch so ein bisschen an den Filmen angelehnt, weil man quasi durch verschiedene Ebenen immer tiefer in den Speicherbereich vorgreift. Inception funktioniert grundsätzlich mit ALM. Es funktioniert mit BSD, mit Linux, mit Windows, mit Windows XP, mit Windows 7, mit Windows 8, mit Mac OS. An sich mit ALM in den neueren Windows ab 8.1 und in den neueren Macs ab 10.7 oder 10.8 ist zumindest, und in den neuen Linux Kerneln auch, ich glaube ab Kernel 3, irgendwas, ist zumindest die Funktion enthalten, dass DMR requests verneint werden, wenn der User gelockt ist. Das sind zwei voneinander unabhängige Prozesse. Das eine macht seinen Rechner zu, macht ihn wieder auf, und das andere ist, man meldet den Nutzer ab und meldet ihn wieder an. Wenn der Nutzer abgemeldet wird, dann kann das Betriebssystem, wenn es einigermaßen schlau ist, zumindest diese Encryption Keys, beschreiben und bis man das Passort wieder eingibt. Es ist auch eine Entwicklung, die gibt es jetzt erst seit so ein, zwei Jahren. Und ganz ehrlich, die Software Alternative dazu ist auch jetzt nicht so, dass das absolut dingfest ist. Also man kann immer noch, dass wenn der User gelockt ist, kann man immer noch den Speicher unter Umständen, wenn man eine Sicherheitslücke ausnutzt, beschreiben. Das ist zum Beispiel auch in dem dritten Beispiel, Tresorhand. Tresor waren Projekte der Uni Bochum, glaube ich. Der ging es darum, diese DMA-Attacken zu vermeiden, indem man eben die Verschlüsselungskies nicht im Ramm behält, sondern innerhalb des Prozessors. Weil man Prozessor nicht so leicht ausbauen kann und es auch nicht so einfach ist, da irgendwie da mal kurz, ja, sagen wir mal flüssigen Stichträfte rauszaubern oder wie auch immer. Aber auch da kann man über DMA-Attacken beispielsweise die Encryption Keys wieder dort rausholen und irgendwie auslesen. Ich habe das probiert mit Inception. Und man muss sich halt überlegen, wenn man so guckt, was durch Internet surft, wie viel Mac 10.6 unterwegs sind, wie viel 10.7, wie viel Windows XP und so weiter, kann man grob sagen, über 70 Prozent aller weltweit gebauten Rechner sind für Enception angreifbar. 70 Prozent ist an sich immer noch ein guter Wert, wenn man bedenkt, wie lange das Problem schon bekannt ist und wie wenig dagegen gemacht wird, auch weil man von Hardware-Seite nicht so viel dagegen machen kann. Es wurde dann was gemacht, und zwar von Intel und von AMD. Gibt es dann halt eine sogenannte sogenannte Instruction Set bzw. eine sogenannte Extension für CPUs. Ich will jetzt nicht zu technisch werden, ist an sich teilweise für was ganz anderes gedacht, nämlich für Virtualisierungsdurchgebung oder wird zumindest dafür verwendet, ist aber auch ein sinnvoller Schutz irgendwie vor DMA-Attacken. Neuere Laptops haben das drinnen, aber auch das ist wieder so eine Sache, weil das muss erst mal ein BIOS aktiviert werden und selbst wenn es ein BIOS aktiviert ist, muss die Software quasi auch darauf zurückgreifen. Das heißt, das muss miteinander spielen und selbst wenn man einen neuen Laptop hat, wo man ja wegen VTD aktiviert ist, man hat aber eine alte Linux drauf oder Windows XP oder MacOS 10.6, ist das genauso anfällig, weil sozusagen die Funktion nicht genutzt wird. Genau, was oben noch als Beispiel mit Fintfirewire, ich weiß nicht, wahrscheinlich habt ihr alle schon mal von Fintfischer gehört, das ist so diese große, die DAMA Systems oder wie sie heißen, die große englische Firma, die eben, sag ich mal, ein großer Auftragsnehmer für Staaten ist, um irgendwie Trojaner herzustellen, ist dieselbe Idee wie Inception. Es ist davon auszugehen, es ist das Vieh eher gab, weil es ist immer so, erst kommen die Staaten, dann kommen irgendwie die Unis und sagen, wir haben aber was geforst und dann gibt es auch ein Soßprojekt und ja, wir haben es dann gemerkt, dass es schon Ewigkeiten ausgenutzt wird. Und der einfachste Weg, diese DMA-Attacken zu verhindern, ist davon, wie alt das Betriebssystem ist und es ist völlig unabhängig davon, wie alt die Hardware ist und was der Prozessor mitmacht und was nicht. Es ist sozusagen die Idee, man suspended to disk und nicht to RAM. Das ist jetzt, ja, wie erklärt man das schön. Ich habe ja gesagt, wenn man den Laptop zu klappt, wird sozusagen alles ausgemacht bis auf der Arbeitsspeicher und dort bleibt sozusagen der Speicher genauso, wie er ist drin. Der Arbeitsspeicher an sich verbraucht nicht viel Strom, deswegen kann man den Laptop zugeklappt und dann kann man den Laptop auf dem Trage betreiben. Irgendwann ist es aber auch leer. Wie eben das mal passiert ist, den ist vielleicht aufgefallen, dass wenn er dann auch leer ist, tatsächlich alles weg war. Weil wenn RAMs sind halt flüchtige Speicher und dann kann es durchaus sein, du hast eine Fenster offen gehabt mit irgendeiner Textile drin, die hast du halt zwischendurch nicht gespeichert und dein Laptop lag dann drei Tage lang in der Tasche zu Hause, weil es war irgendwie schönes Wetter und du warst immer draußen und das ist genau der Effekt, der bei Suspento RAM entsteht. Darauf geht es aber halt schnell. Bei Suspento Disk wird sozusagen der RAM-Inhalt, der halt eben ungefähr so groß ist wie der RAM selbst. Da hat man jetzt zum Beispiel zwei mal vier Gigabyte Riegel drin, das sind halt acht Gigabyte und ja, das hängt ein bisschen davon ab, wie viel Speicher gerade belegt ist, aber es werden auch teilweise ungenutzte Bereiche mit aufgeschrieben und dann dauert es halt eine Weile. Und wenn man eine alte Festival da hat, acht Gigabyte schreiben kann schon, ja, ein paar Sekunden dauert es schon. Man klappt den Laptop zu und bis dann quasi die LED blinkend oder leuchtet, wie auch immer, dass man halt merkt, okay, er ist jetzt im Sleep, der Lüfter geht aus, vergeht schon teilweise wesentlich mehr Zeit als bei uns Suspento RAM. Warum das aber jetzt eigentlich interessant ist, es gibt ja jetzt schon seit einer ganzen Weile SSDs und SSDs haben dieses Problem quasi so ein bisschen obsolet gemacht. Weil SSDs sind schnell genug, ja, ich sage es mal, fünf Sekunden dauert es bei mir ungefähr, dass ich die acht Gigabyte RAM, die ich habe, irgendwie auf die SSD schreibe und die ist verschlüsselt, das heißt, da ist nochmal ein Overhead dazwischen, dass halt irgendwie das nochmal verschlüsselt wird und so weiter, der ist eh gering, aber ja, das ist halt praktikabel. Und das Schöne ist natürlich auch, bei SSDs hat man das Problem von Bewegung nicht, das heißt, selbst wenn man den Laptop zu klappt und währenddessen schon irgendwie in die Tasche schwartet, ist das gerade bei Festplatten ein Problem, weil da wird eben noch geschrieben, quasi der Schreibzyklus ist noch da und findet eine Bewegung statt, da ist irgendwie eine Beschleunigung innerhalb des Festplattengehäuses, kann echt schiefgehen, ist bei SSDs eben nicht der Fall. Ich kann auch nur jeden aus so vielen Gründen raten, nie wieder eine Festplatte zu kaufen und nur noch SSDs, weil die sind mittlerweile so billig geworden, dass es eigentlich keinen Sinn mehr macht, eine normale Festplatte zu kaufen. Aber das ist ja auch nicht so, das ist auch nicht so wichtig, das ist sozusagen ein Layout oder eine Idee, wie man Suspend-Disk machen kann, dass es verschüsselt ist und dass quasi diese DMA-Attacke definitiv nicht möglich ist. Zumindest nach den 30 Sekunden, nachdem der Ramm dann kalt ist, fährt es aus. Und die Idee ist, man braucht auf jeden Fall eine Bootportation, weil, wenn die ganze Festplatte verschüsselt ist, dann ist ja nichts da, was man booten kann, ohne dass der Rechner weiß, was er booten soll. Das heißt, man braucht erstmal eine kleine Portion und ist der Linnungsköder drauf. Der guckt dann auf der verschüsselten Portion, das ist dann der Luxkontainer. Der macht die auf, da ist ein LVM drin, ja klar hat man ein LVM, quasi noch mal so was ähnliches wie eine Portion, aber flexibler an der Handhabung und das LVM besteht dann eben aus dem Hauptbetriebssystem und dem Swap. Und der Swap ist in Prinzip nichts weiter als der Bereich der Festplatte, wo der Ramm hingeschrieben wird. Deswegen muss der Swap auch mindestens so groß sein wie der Ramm. Weil, was halt nicht gut ist, wenn man irgendwie 8 GB RAM hat und man hat 4 GB Swap und man hat dann irgendwie 6,5 gerade belegt und versucht dann 6,5 GB Rammspeicher in eine 4 GB Swap Portion zu schreiben. Das wird schief gehen, das ist so. Genau. Und der große Vorteil an der Sache ist halt, man hat sozusagen durch Software das Ding gelöst. Es ist auch völlig egal, was dann noch für Ideen kommen, um dem Artattacken irgendwie auszuweiten. Man ist halt insofern der Gegengeschützt, weil faktisch ist ein Rechner aus und das ist auch nichts mehr an. Auch die Ramm ist nicht mehr an und der kann auch so monatelange irgendwie darliegen und wenn du ihn wieder anmachst, dann ist es halt so, als hättest du den Auf und wieder zugemacht. Das ist der Vorteil davon. Es geht natürlich mit Windows und Mac auch, aber ich bin jetzt nicht so der Windows-Mac-Typ, gerne Ahnung. Das zweite Angriffszenario finde ich am gruselsten, weil ich selber überrascht war, was nach dem heutigen Stand der Forschung so möglich ist. Weiß ich mal von euch, was ein Key-Locker ist, so grob. Das ist ein Programm, das Tattoo-Anschläge mitschneidet ist ja genau das, das ist der Traum eines jeden Hackers quasi, mehr brauchst du nicht. Na ja, man denkt immer so, was mitschneiden ist ja nicht so einfach, aber ganz ehrlich, die Entwicklungen sind gruselig. Also akustisch beispielsweise, wenn du ein Programm oder ein Algorithmus in die Algorithmen gibst, trainierst auf das Verhalten eines einzelnen Nutzers, wie er tippt. Das ist tatsächlich relativ deterministisch, gerade so Leute, die viel tippen, tippen immer mit derselben, das heißt, du kannst anhand des Sounds, der Tastatur, wenn es auch immer derselbe rechnet ist und immer dieselbe Tastatur, nach einer gewissen Zeit mit so 80, 90% Treffsicherheit hören, was er tippt. Und das ist natürlich immer ein bisschen abhängig, wie gut hört man in dem Raum, wie weit muss man weg sein und so weiter. Aber das ist schon mal mit Gegenmaßnahmen gar nicht so einfach, weil jeder, der versucht hat, sage ich mal hauptberuflich mit einem Touchpad zu schreiben und das eine richtige Tastatur unverzichtbar ist für Menschen, die viel tippen und zu versuchen, sein eigenes Tippverhalten irgendwie unverhersehbar zu machen, es wird nicht funktionieren. Das heißt, da ist wieder mal so ein Fall, wo man sagt, okay, ich kann halt in mein Betongeller gehen und dort mein Computer benutzen, der kann mich anscheinend keiner hören. Das zweite Ding ist mindestens genauso gruselig und zwar einfach nur durch quasi Emission, also durch elektromagnetische Wellen, die beim Tippen von Tastatur entstehen, ist ja ganz feinfühlig. Es gab Studien von Schweizern, die haben das hingekriegt in 20 Meter Distanz ohne Zugriff auf die Tastatur, das komplett quasi mitzuschneiden. Natürlich, wenn halt nur einer schreibt, andere würden das erstören und so weiter. Aber allein schon das ist, ja, dann doch, es wirft uns neue Fragen auf, weil das so Sachen sind, die nichts mit Gruktografie zu tun haben und so Sachen sind, die trotzdem alles aushebeln und wo niemand was dagegen machen kann und erst mal was Gutes gefunden hat. Optisch ist klar, ich meine, man kann immer halt überwacht werden bei seiner Tastatur. Das ist ja, wenn man zum Bankautomaten geht und seine Pin-Ein gibt auch so, da kann man wenigstens so ein bisschen drauf achten. Man kann schrauben, ist hinter mir eine Kamera, steht hinter mir jemand, das mag man noch vermeidbar sein. Aber die ersten zwei Sachen, insbesondere auch das vierte jetzt, sind halt selbst für technisch begabte Leute gar nicht so einfach zu vermeiden. Die Sensoren von Smartphones werden immer filigraner. Man hat da halt ein Axelarometer drin, gerade auch, dass man irgendwie Google Maps rausholt und man weiß halt wirklich genau, also so Zentimeter genau, wo guckt man gerade in welche Richtung, der Kompass ist halt ziemlich genau drin und auch der Beschleunigungs-Sensor, dass man keine Ahnung, nicht vor Speed so hier spielen kann und nicht seine Finger benutzen muss. Und die sind mittlerweile so genau, dass es funktioniert, wenn man ein Smartphone neben einen Rechner legt, natürlich nach Training, das Algorithmus, aber das Training ist so, ich glaube, was haben Sie gesagt nach Studie? Tausend Wurte sozusagen, die aufgenommen sind und durch die Druckpunkte resistiert und wo man dann auch weiß, was das für Wurde waren. Damit trainiert man Algorithmus und es reicht schon aus, um eine 80-prozentige Genauigkeit hinzukriegen. Und was bringt dir die stärkste Verschüsselung, wenn du irgendwo in einem Raum sitzt und jeder im Prinzip deinen Schüssel mitlesen kann oder abhören kann? Die Gegenmaßnahmen sind, naja, nicht so, dass da irgendwas Tolles dabei wäre. Das Einzige, was ich mir halt einfällt, man muss Tastaturhersteller und Laptophersteller, also Hersteller von Tastaton bei Laptops, dazu bewegen, zu versuchen, das alles so ein bisschen abzuschwingen und halt möglichst, sich mehr so erkennbar zu machen. Aber es wird sicherlich dauern, bis da Technologien entwickelt sind. Und auch das ist wieder etwas, das hört man halt irgendwo. Das ist auch so ein bisschen Absicht. Weil die öffentliche Wahrnehmung kann schon gern darauf getrimmt sein, dass er doch bitte an den Verschüsselungsalgorithmen rumwiemeln. Weil so lange das funktioniert, wäre mir das als Geheimdienst völlig egal, was sie verschüffeln. Was ist die Frage? Ganz kurz dazu, weil es jetzt gerade hierhin passt, es wurde im Frühjahr schon abhörsich Schreibmaschinen hergestellt, weil die genau das gleiche Problem hatten. Und es gibt, wir haben hier in den Vorstellern vergessen, aber es gibt mechanische Testaturen, die quasi auch leiser sind, weil die, sagen wir, die Alten, die man da vielleicht noch von IBM oder so kennen, die sind ja Mörderlaut, die klingen die Schreibmaschinen. Es gibt jetzt neuer mechanische Keyboards, die sind wesentlich leiser und da wurde auch mit drauf geachtet, bei der Entwicklung, dass die Tastenanschläge gleich klingen. Das ist natürlich bei dem unterschiedlichen Druckpunkt immer noch ein Usermuster sozusagen. Aber es ist ja schon mal gut, dass es so eine Entwicklung überhaupt gibt. Aber wie lange wird es dauern bis im Standard 500 Euro Laptop von Mediamarkt? So was verbaut ist, also wahrscheinlich zehn Jahre mindestens. Genau. Dann haben wir noch so das, das ganz klassische Angriffsszenario, das ist eigentlich nichts Neues, das haben wir wahrscheinlich auf der ganzen Kriptokon hundertfach gehört, die sogenannte Man in the Middle Attack. Das ist auch so was, dass man vieles effektiv verhindern kann. Es ist eher so ein Henne-Eye-Problem. Wenn du halt nicht weißt, mit wem du kommunizierst und die nicht vorher authentisiert, sag ich mal sichergestellt hast, hast du immer die Gefahr, dass jemand dir in die Leitung grätscht und sagt hier, ich bin eigentlich Google oder sonst wer. Und gerade die NSA, die auch mal schnell in Zertifikat ausstellen kann, haben wir ja gemerkt, es wurde ja dann auch irgendwie gelegt. Was halt offensichtlich von Google kommt, du hast halt keine, ich gehe dann später trotzdem noch so auf mögliche, sag ich mal, Verteidigungs-Szenarien ein, aber es ist nicht so, dass irgendwas davon absolut perfekt wäre. Genau, und wenn man sich so überlegt, was mittlerweile alles rausgekommen ist, also aus der Firmware von Routen, auf der Firmware von Festplatten und so weiter und so fort, ist dieser Man in the Middle Attack nicht mehr, also weit nicht mehr so wie früher, dass man gesagt hat, man kann mit ganz, ganz viel Aufwand irgendwie im Keller irgendwie ein Loch bohren oder einen Kabel an. Es ist ja überhaupt nicht mehr so, es ist ja überhaupt nicht notwendig so, du grufst einfach an bei Kabel Deutschland oder sonst wo und sagst, hier macht man, und die müssen das halt, und die müssen das nicht mal sagen, weil die haben ja Geheimpflichtungsvorfahren und so weiter und so fort. Ja, es ist schon ein bisschen gruselig, weil du kannst ja auch keine Hardware kaufen, die irgendwie nicht anfällig dafür ist. Genau, und dann hält man halt noch das Social Engineering, wie ich vorhin schon gesagt habe, wir haben da ein Telekom, wir haben da ein Problem mit ihrer Leitung festgestellt und dann kommt halt irgendwie ein Mensch, der ist wirklich von der Telekom oder sieht zumindest so aus, man kann das ja nicht richtig nachprüfen, die haben ja keinen Dienstausweis und der sagt dann, ich muss ja mal kurz lassen das, guck vor, keine Ahnung, hat ein Waschbär droscht gebissen, was weiß ich. Da steht es halt da und sagt, okay, woher weiß ich denn jetzt irgendwie, dass das der Telekom-Manage ist oder nicht. Und selbst wenn der danach anruft bei der Telekom und sagt, da war heute ein Mensch bei mir, der auf dem Typ rangeht und sagt, ja, ja, das war richtig so, das war ein Auftrag von uns. Wie prüft man es nach? Und was es natürlich auch gibt und was auch so ein allgemeines Ding ist, aber man muss halt dazu erwähnen, jegliche Exploits von Software machen natürlich auch jegliche Kryptografie kaputt. Also was bringt dir die stärkste Kryptografie, wenn du halt ein Trojaner auf dem Rechner hast, der dir gerne in die Zeit guckt, was du machst und die ganze Zeit lockt? Deswegen finde ich das immer so ein bisschen niedlich, wenn dann Leute Windows XP verwenden und Innen Explorer, aber dann halt da so ein True Crypt drumrum bauen mit irgendwie 3er-Cascaden, IS, Serpent, 2-Fish-Verschlüsselung und jedes Mal eine halbe Stunde Passwort eingeben, weil es 100 Stellen hat. Aber das ist halt dann irgendwie so ein nichtser Punkt, weil es reicht ja völlig aus, wenn ich auf dem Rechnung sitze, dass ich im Prinzip so gut wie alles damit machen kann, inklusive Passort auslesen aus dem Speicher. Ja, da ist die Gegenmaßnahme, naja, man kann halt sich überlegen, ob ich wirklich diese ganze Software brauche, die AskTool war, möchte ich den Registrie-Kliner von Unseriösefirma X wirklich unbedingt haben, bringt mir das Geschwindigkeit für meinen Windows-Betriebssystem oder kann ich tatsächlich darauf verzichten, weil es gilt schon so ein bisschen das Gesetz, gerade bei proprietären Betriebssystemen wie Windows, die halt nicht aufeinander abgestimmt sind, wo jeder Software ist oder so ein bisschen sein Eignis macht, umso mehr drauf ist, das zu hören ist die Wahrscheinlichkeit, dass halt irgendwo nicht nur Lücken entstehen, sondern auch ausgenutzt werden. Gerade so was wie Flash und Javascript, also Flash und Javascript ist nochmal eine andere Geschichte, aber an sich auch ein Einfallstor. Wenn man es nicht braucht, kann man es vermeiden. Wenn man es braucht, sollte man es nur so viel benutzen, wie man es braucht. Genau, so. Und jetzt kommt so ein bisschen das Metaproblem. Wenn man halt weiß, dass man von anderen Leuten belauscht wird, dann ist es ja ganz gut, weil es ist halt besser, als wenn man es nicht weiß und trotzdem belauscht wird. Jetzt ist aber das Problem, wie kommt man denn überhaupt in diesen Zustand, dass man das mitkriegt? Ja, auch nicht so das Geheimnismitarbeiter jetzt irgendwie so sagen, ja, guck mal, ich höre dir deine Wohnung ab. Also, was ist der notwendige Schritt? Eigentlich muss man sich selbst überwachen. Eigentlich muss man gucken, steht in meiner Wohnung alles noch so wie vorher, ist auf meinem Rechner irgendwas anders. Sind die Logs in meinem Router so, dass sich da irgendein anderes Gerät damit verbunden hat in der Position ist, dass man diese Paranoia haben darf oder muss oder nicht. Aber es gibt Leute, bei denen ist es so, ich erinnere mich zum Beispiel an den 30 C3 vorletztes Jahr, da war Jacob Öppelbaum, Redner und der ist der Chefentwickler von Tor, der lebt mittlerweile in Berlin, der hat solche Probleme. Und der muss sich genau überlegen, wenn ich nach Hause komme, keine Ahnung, er hat keine Ahnung, wie viele Alarmanlagen im Zimmer und hat dann aber trotzdem behauptet, ich kann mir jetzt natürlich sagen, okay, der ist halt Paranoia, kann er auch sein, aber er hat halt behauptet, es hätten Dinge anders gestanden, als er sie verlassen hat. Er hat Fotos davon gemacht, vorher, nachher und zwar anders und trotzdem hat kein seiner Alarmanlagen ausgeschlagen. Das ist jetzt bei Jacob Öppelbaum mal noch irgendwie so, dass man sagt, naja, gut, ist ja immer noch Deutschland und so weiter. Aber stellen Sie sich halt die Situation mal vor, für jemanden, der in China keine Ahnung oder irgendwo anders Missstände aufklären will, seit Jahren will Aussteigen aus irgendeinem System, was macht denn der? Also, ist halt nicht so einfach. Und jetzt kommt es sehr lustig formuliertes Problem. Also, man wird belauscht, man bekommt mit, dass man belauscht wird. Was ist denn jetzt der nächste Schritt? Man will ja nicht, dass derjenige, der einen belauscht, mitbekommt, dass man mitbekommen hat, dass man belauscht wird. Ich habe es da noch mal schön aufgeschrieben. Es ist absichtlich so formuliert, weil es so bisschen auch auf die Witzigkeit des Ganzen hinweist, weil du halt gar keine Wahl hast. Also, wenn du das Gefühl hast, da ist irgendwas am Gange, was willst du denn machen? Du kannst ja nicht irgendwo anrufen und kannst sagen, ich habe ja das Gefühl, ich würde gerne mal so ein Überfrühungsverfahren einleiten. Du musst halt gucken, werde ich belauscht. Und wenn du das tust, musst du verdammt vorsichtig sein, weil wenn du schon die Vermutung hast, weißt du, das könnte Konsequenzen haben, wenn man das rausfindet, das du es rausfindet und so weiter. Nächstes Meter Problem. Wenn ich jetzt diese Vermutung oder das Wissen habe, was mache ich denn jetzt weiter? Ich weiß ja nicht, was der will oder es muss ja auch kein Geheimnis sein. Es kann ja auch sein, ich arbeite bei der Lufthansa, habe Firmengeheimnisse mit mir herum und da steht immer so ein Typ irgendwie von meiner Wohnung und es ist mir alles ein bisschen gruselig und ich habe auch so ein bisschen Schiss, weil der könnte mich ja auch erschießen oder was für sich. Es ist nicht so, dass das nicht passiert, es ist nicht so, dass Privatunternehmen sich nicht gegenseitig ausspionieren und dass da keine riesigen, wirtschaftlichen Interessen dahinterstehen. Und das字yler ist mir doch aus dem Fall, es ist kein Problem. Es ist ein bisschen ein bisschen ein Problem ist, dass man sich vielleicht auf die Werte bewegt und gerade bei Lobbyismus ein so schwieriges Thema prüft, was nach. Wer sozusagen mit dem redet und was sozusagen kommuniziert wird. So und diese Frage finde ich relativ entscheidend, deswegen will ich da auch ein bisschen intensiver drüber reden, weil es sozusagen schon Möglichkeiten gibt, die man hat, sich Sachen überlegen, die es schwer machen, im Nachhinein festzustellen, dass das irgendwie so gewollt war. Beispiel. Es gab mal einen Typen, der hat Bitscoin Wallets auf Schallplatten gepresst, auf Vinylplatten. Ich fand die Idee supergut, weil das natürlich steganographisch funktioniert. Also du kannst da irgendwie eine Bob Marley Platte nehmen und die ist abspielbar. Also du arbeitest quasi in Frequenzbereichen, die sowieso nicht hörbar sind. Das heißt, die Schallplatte ist an sich, wenn du die einlegst, nicht unterscheidbar. Natürlich könntest du jetzt gucken, wie sieht dir ab Werk aus, machst mikroskopische Aufnahme davon, vergleist dir und sagst, hier ist noch irgendwas im Nachhinein reingemogelt worden. Aber ganz ehrlich, bei einem Schallplattenregal von 450 Vinylnüls, und wenn du halt keine Idee hast, dass das so sein könnte, kommst du gar nicht drauf. Ist zum Beispiel ein super Weg, um über lange Zeit Bitcoin Wallets sicher zu stone. Also jetzt, wo ich das euch erzählt habe und irgendwo im Internet erscheint, ist es natürlich ein beschissener Weg. Aber es ist eher so motivierend, dass man sich eben solche Dinge selber auslegen kann und da gibt es wirklich viel freier Raum. Oder das zweite Ding ist absichtlich kindisch gewählt. Wahrscheinlich kennt jeder diese geheimen Tinte aus der Mickey Mouse, die quasi nur unter einem bestimmten Licht leuchtet. Das ist auch so was. Wenn ich jetzt in die Uni-Bibliothek gehe, das habe ich geschrieben, die theoretische Wirkung des Cannabis Sativa, ja genau. Und ich gehe jetzt in die Uni-Bibliothek Leipzig und schreib da irgendwas rein. Und jemand anderes weiß halt zufällig, dass ich doch was reingeschrieben habe und mit der U-V-Lambe und so weiter und so fort. Für einen Geheimdienst, der nur die Metadaten hat. Der nur sieht, ich gehe in die Uni-Bibliothek, ich gehe wieder raus. Der vielleicht sogar in den Kameras irgendwie sieht, dass ich in der Uni-Bibliothek ein Buch lese oder was weiß ich, der aber auch irgendwie nicht, also der, wo kein Profil zu erkennen ist, wann ich, um welche Zeit. Ich leide das Buch ja auch nicht aus. Ich gehe immer noch dorthin und schreib da rein und so weiter und so fort. Es ist durchaus eine Möglichkeit, versteckt sozusagen, obwohl man weiß, dass man überwacht wird, zu kommunizieren. Und es sind auch alles nicht Ideen, die von irgendwo her kommen. Zum Beispiel auch im Knast, also im Gefängnis hat man sich auch genau solche Sachen überlegt, weil man ja wusste, Briefe werden gelesen, irgendwie wusste man, man wird überwacht. Und da kommen genau solche Gedanken auf, dass man eben überlegt, wie kann ich den jetzt mit Person X kommunizieren, ohne dass die anderen das mitkriegen und ja, ohne dass ich davon Nachteile habe. Und das dritte Beispiel ist eher so ein Beispiel zur Speicherung von Daten. Man nehme sich etwas, was oft existiert, zum Beispiel eine Bibelübersetzung. Es ist davon auszugehen, dass heißt, wenn man irgendwann in zehn Jahren in Brasilien wohnt, man kriegt 100 Prozent irgendwo in die Lutterbibel 1984. Und wenn sie im Internet ist. Und die Übersetzung ist ja immer die gleiche. Das ist vielleicht ein bisschen anders gesetzt und so weiter, aber der Wortlaut dürfte ja immer der gleiche sein, insbesondere wenn man einzelne Passagen nimmt, weil es ist ja die Übersetzung an sich. Und wenn man jetzt sagt, ich schreibe mal Algorithmus, dass jeder X Buchstabe aus dem Y-Word quasi in einem bestimmten Abstitt, keine Ahnung, 12. Johannis Evangelion, keine Ahnung, sozusagen mein Passwort ist, dann habe ich den Vorteil, ich muss mir das Passwort nicht merken. Merken ist immer schlecht, weil es mir selber auch schon passiert. Man hat ein tolles Passwort sich überlegt, man schreibt sich das nirgendwo hin, weil Sicherheitsgründe, dann ist man drei Wochen im Urlaub in Rumänien, man kommt zurück und denkt sich, fuck, ich habe keine Ahnung. Ich habe mein Passwort komplett vergessen und das ist ja das Schöne an Kriptografie. Es funktioniert dann auch wirklich nicht. Die Daten sind dann auch weg, also wirklich weg, also so richtig weg und das ist dann sehr ärgerlich und deswegen fängt man irgendwann an, sich sinnvolle Sachen zu überlegen. Das ist ja auch das, was die Hacker mittlerweile auch erkannt haben. Die stärkste Kriptografie bringt nichts, wenn die Leute es nicht nutzen, weil die Hemmspiele zu hoch ist und wenn die Leute dann irgendwann merken dann um halben Jahr, ich habe jetzt irgendwie Daten verloren, ich habe jetzt irgendwie mein Passwort andauernd geändert, ich kann mich nirgendwo mehr einlocken, weil ich so viele Passwörter habe, bringt ja auch nichts. Dann hast du das Internet auch nicht sicherer gemacht, im Gegenteil. Dann neigen die Leute erst recht dazu zu sagen, mein Passwort ist überall mein Geburtsdatum, weil das kann ich mir merken. Genau und in dem letzten Beispiel habe ich ja geschrieben, wenn ich mir jetzt diesen Algorithmus, also quasi das X, das Y und den Abschnitt irgendwo hinteturbieren lassen würde, dann könnte ich mich auch in 10 oder 100 Jahren immer noch daran erinnern und wie gesagt, dass ich nur die Bibel von 1984 finde, ist wahrscheinlich in jedem Land der Welt irgendwo möglich. Um das Ganze so ein bisschen abzuschließen, man merkt halt daran, Verschüßelung ist an sich ein ganz hervorragender Schutz gegen bestimmte Sachen, beispielsweise ist Verschüßelung schon allein dafür gut, du hast dein Laptop dabei oder ein mobiles Endgerät, es wird geklaut, bei einer Veranstaltung wie dieser hier zum Beispiel, oder du hast, verlierst auf dem Fahrrad oder in der Uni lässt es stehen und der Mensa ist danach weg und so weiter. Der Schaden, der entsteht, wenn das Laptop, wenn der Laptop halt an ist und unverschüßelt, der ist echt hoch, weil viele Leute das Ding anmachen und sich denken, entweder wollen sie trollen oder halt irgendwie gucken, was sie ausnutzen können, ob irgendwo noch Kreditkarten und so weiter Daten sind und auch der psychische Raden dabei entsteht. Du musst irgendwie alle deine Passorte ändern. Du wirst ja auch paranoide, du weißt ja auch gar nicht, wo habe ich denn mein Passort schon geändert, wo nicht? Wir hatten bei sich im Kopf ein Register von allen seinen Accounten, wo bin ich denn noch eingeloggt und so weiter und so fort. Also sein Handy und sein Laptop zu verschüßeln einfach nur deswegen, dass man im Fall eines Diebstrahls irgendwie zwar einen finanziellen Verlust hat, aber eben kein Digitalitätsverlust. Allein schon deswegen ist es ein riesengroßartiges Ding. Aber zu denken mit Verschlüsselung X, Y und mit dem und dem Programm, wenn ich jetzt zu Kripp benutze, dann kann ich irgendwie alles machen und niemand verfolgt mich, ist halt auch zu kurz gedacht. Das muss man halt auch an der Stelle mal sagen, nicht um die Leute zu warnen. Ich habe ja an sich nichts dagegen, dass, sag ich mal, irgendwelche Strafverfolgungsbehörden schwer straffällige verfolgen. Das ist ja überhaupt nichts der Punkt. Aber es geht ja wie gesagt eher nicht so um das Klientel in Deutschland. Sonst geht ja auch darum, dass man sich vor Augen führen muss, dass es diese Leute, die sich darüber Gedanken machen müssen, halt schon gibt und dass es nicht ganz unwichtig ist, so ein bisschen Kreativität zu haben, wie man damit umgehen kann, weil so richtig die Gläubigkeit an wir lassen den Geheimnienst mal machen und wir lassen den Staat mal machen, scheint ja sowohl in USA als auch Deutschland gerade nicht so da zu sein. Die Debatte geht ja eher Richtung, ist das euer Ernst, sozusagen? Genau. Ich bedanke mich für die Aufmerksamkeit. Wenn Fragen bestehen, gerne sofort. Ich weiß nicht, ob wir jetzt noch Zeit haben oder ja, dann könnt ihr jetzt gleich fragen. Kleine Fragen. Also vielen Dank von mir erst mal für den Vortrag. Was ich vielleicht noch fragen wollte, inwieweit siehst du jetzt eine Möglichkeit solche zwei Faktor Authentivizierung. Vielleicht auch schon im Bootvorgang. Ich habe bisher noch nichts diesbezüglich gesehen, in irgendeiner Form zu nutzen. Vielleicht auch irgendwas Gehosteten, was man dann selber wieder. Google macht das in seinen Chromebooks tatsächlich. Es hat natürlich einen entscheidenden Nachteil, das ist ja manchmal gar nicht so bewusst. Das bedeutet faktisch, du kannst dich an deiner Kiste nicht anmelden, wenn du keine erinnert hast. Das ist zwar ein Sicherheitsgewinn in jedem Fall, aber es bedeutet eben auch verdammt nochmal, dass du dich an deiner Kiste nicht anmelden kannst, wenn du keine erinnert hast. Und so weit ist dann der Ausbau trotzdem nicht. Und es ist manchmal extrem nervig, zum Beispiel im Zug von Halle nach Leipzig oder sowieso kein Netz Internet hat. Ist die Frage, ob es einem das wert ist. Es gibt aber da auf jeden Fall auch andere Systeme, machen so große Firmen wie zum Beispiel SAP oder RBM. Man hat dann quasi so Timecodes, die halt analog funktionieren. Der wird dann immer zu einer bestimmten Zeit einen Code generiert und nur der Server weiß, welcher Code es sein sollte zu einer bestimmten Zeit. Auch da brauchst du Internet, aber zumindest wird da meistens so eine Zeit stattgegeben. Also da wird halt gesagt, du brauchst nur einmal in einer aller 12 Stunden und die restlichen Automationen gehen dann durch. Das ist dann vielleicht noch halbwegs praktikabel. Aber bei jedem Login explizit auf Internet angewiesen zu sein, stößt meistens die Nutzer nicht so freudig auf. Das ist die selbe Diskussion, wie die Leute finden es auch nicht geil, wenn sie ein Spiel kaufen und die müssen immer beim Start des Spieles online sein. Da gibt es auch diesen Proteste dagegen. Und das kann ich auch verstehen. Ähnlich ist es mit dem Anmelden. Es würde, glaube ich, vielen Leuten widerstreben. Ja, gut, haben wir jetzt noch was danach eigentlich? Ich weiß es gerade gar nicht. Kryptobros. Okay, dann, ich weiß nicht an wen ich übergebe, aber danach kommt auf jeden Fall Kryptobros. Vielen Dank.