<i>Vorspann-Musik</i>

Engel: Ich freue mich besonders

meinen Freund ruedi hier zu präsentieren,

den vielleicht der eine oder andere 
Mensch von euch

ja schon mal auf so 'ner Bühne gesehen hat.

Ich hab den ruedi kennengelernt
bei einem Vortrag,

da kam ein Tiername drin vor,

und vielleicht kennt den noch jemand,
diesen Tiernamen, und zwar

ist der hei… heißen diese Tiere
Longhorn.

Kann sich noch jemand daran erinnern? Ne?

Da hat der ruedi aufm Camp
einen Vortrag drüber gehalten,

ein Jahr später hat Microsoft
das Produkt eingestellt.

<i>Lachen</i>

<i>Applaus</i>
Danke ruedi!

Es war leider ein Pyrrhussieg;
sie haben dann Vista daraus gemacht.

Aber… ok. Für die, die's nicht wissen,

- Einwurf von außen - 
Engel: …geht? Ja. Ok.

Rüdiger Weis…

- ruedi: Habt ihr den Monitor aus
oder ich den Monitor… ah, alles in Ordnung, gut.

Engel: Sollen wir improvisieren? 
ruedi: Nein.

Engel: Achso. Das gehört nicht zum Vortrag.

ruedi: Gehört nicht zum Vortrag.
Engel: Gehört nicht zum Vortrag.

Engel: Rüdiger Weis, Professor für Krypto…

was soll ich noch über dich sagen…

begeisterter Vortragender. 
Ich geh jetzt von der Bühne,

ok, vielen Dank.
ruedi: Ok.

<i>Applaus</i>

Herzlichen Dank, und wie ich von meinem Freund
Markus Beckedahl gelernt habe,

auch einen wunderschönen guten Morgen,

einen Gruß, der hier glaub ich bei allen
Sachen passt,

und Elmar hat ja schon erzählt,

dass das ne ziemlich lange Geschichte ist,

und ich musste dann auch wirklich grinsen,
dass ich irgendwie in einigen Bereichen

offensichtlich in einer Zeitschleife
steckengeblieben bin.

Ganz zentral wird der Punkt sein, dass ein
Großteil der Kryptokatastrophen die wir haben

wirklich Kryptozombies sind die seit etwa
20 Jahren ihr Unwesen treiben,

die seit 20 Jahren ganz klar als
nicht mehr nutzbar bezeichnet werden,

und die heute jetzt von Microsoft
freundlicherweise teilweise ersetzt werden.

Wir werden noch dazu kommen, dass
das leider auch ein nicht nur freundlich

gemeintes Lob darstellt.

Auch der Text zu sagen 
"Haben wir jetzt ein Windows-10-Botnetz

oder ist das noch ne Gated Community?

Will Microsoft schlicht und einfach
ihr eigenes Ökosystem bauen?"

Da ist die Antwort "Ja".

Andererseits, Entschuldigung, ich guck
da immer als Informatiker in die Definition rein,

Botnetz ist ein System wo 
fremde Leute ohne Fragen

Code auf meiner Maschine
ausführen können.

Und das sind genau die Endlizenzer-
bedingungen, die Microsoft im Moment reindrückt.

Und mich haben Leute, die sich damit 
nich beschäftigen, …gedacht, ich nehm' sie hoch,

wo ich gesagt hab: Ja, aber man kann die Updates
nicht verhindern, aber verzögern.

Da guckt er mich erstmal komisch an,
und dann hab ich gesagt: Ja, aber

das kostet relativ viel Geld, wenn man irgendwie
Zeit haben will, um ungefragte Updates

irgendwie zu überprüfen.

Da hat er echt dann angefangen zu lachen
und hat gemeint, ich soll auch

nicht übertreiben und das ist auch irgendwie
ein Eindruck den ich teilweise habe,

wenn man sich die Lizenzen anguckt,
insbesondere die Lizenzen bei der Testversion,

wo Microsoft so außer dem Erstgeborenen
eigentlich alle Rechte gefordert hat,

die man auf Computersystemen vergeben kann.

<i>Lachen</i> Und, das ist… 
<i>Applaus</i>

…schon ein wenig schräg, muss ich sagen.

Und in meiner hartnäckigen 
Lieblingspublikation c't,

da musste ich auch grinsen,

ist eine Titelstory:
Anderthalb Seiten Beschreibung

wie man das Textadventure des Updates
verhindern kann.

Also es ist kein nötiges Update,
es ist ein nötigendes Update,

so nötigend und so penetrant
dass wenn die Verbraucherverbände

sich darauf stürzen,
und ich weiß nicht,

kam vielleicht mit fortgeschrittenem Alter,
dass man irgendwie ein bisschen Verdacht hat,

wenn irgendjemand sagt,
nimm das, kostet nichts,

kostet wirklich nichts,
und du willst es wirklich nehmen,

ich weiß nicht genau,
also meine Lebenserfahrung

macht mich da immer etwas kritisch,
wenn mir so Leute mit derartigen

Marketingmaßnahmen kommen.

Aber offensichtlich hat Microsoft beschlossen,
dass das eine gute Herangehensweise ist.

Und, um es mal ganz klar zu sagen,
während wir früher diskutiert haben,

ob einige Windows-Probleme missbraucht
werden können,

haben wir es jetzt irgendwie eigentlich
gestempelt, Microsoft entzieht mit Windows 10

den Nutzern weitgehen die Kontrolle über
ihre eigenen Hardware und Software.

Da ist es in der Tat eine Kombination,
dass Microsoft da wirklich auch

diesen Trusted-Computing-Chip, den
man vielleicht auch aus den alten

Zeiten noch kennt, nutzt, um hier eine
zusätzliche Hardware-Verdongelung vorzunehmen,

mit dem Ergebnis, dass praktisch Microsoft
entscheidet ob Systeme sicher sind.

Nun bin ich in der Wissenschaft zuhause,
und da versucht man dann halt auch immer

die anderen Motive zu verstehen. Und
es ist schon durchaus nachvollziehbar

dass Microsoft sagt: Wir patchen das besser
als der Durchschnittsanwender.

Das ist durchaus ne Sache, die
man diskutieren kann, aber

wie immer in der Welt ist es kritisch,
wenn irgendwelche Leute

zu ihrem Glück gezwungen werden sollen,
und sich, das ist was, nicht mehr wehren können.

Also ich hab das wirklich, den c't-Artikel
mir mal irgendwie aus diesem Update-Zyklus

rauskam, mit einigem Amusement gelesen,
und war kurz davor wirklich so eine,

ein Textadventure dazu zu schreiben,
um das mal ein bisschen

nachvollziehbarer zu machen.
Das ist eigentlich keine Art,

wie man mit Endkunden umgeht,
und nochmal, versuchen wir einfach nochmal,

hier in der Webhistorie zurückzugehen.
2002 war die Diskussion

mit dem Trusted-Computing-Chip,
der heute jetzt wirklich

ein zentraler Punkt in dieser
Windows-10-Architektur ist,

war die Stellungname von Ron Rivest,
dem R von RSA,

von 2002, dass es einfach die richtige
Art und Weise, die Sache anzusehen ist,

dass sie hier praktisch ihren personal computer,
ihren persöhnlichen Rechner,

mit einem System tauscht, das
eine Setup-Box ist.

Da wird irgendwie Code ausgeführt,
es ist nicht mehr der persöhnliche Computer,

sondern ich hab ihn irgendwie
von Microsoft scheinbar geleast.

Wer dieses Windows-als-Service-Konzept
ansieht, der wird das auch, sagen wir mal,

schon in dieser betriebswirtschaftlichen
Herangehensweise auch abgebildet sehen.

Das kann man alles angeben,
ist schön und gut,

aber wenn Leute in irgendwas reinzwingt,
ist es kritisch,

und wir sind ja Hacker
und Sicherheitsforscher

und insofern schauen wir uns mal an,
wie sieht das aus?

Wir übergeben jetzt unsere
ganze Sicherheit an Microsoft.

Und die Frage ist:
Können die das?

Und ich hab jetzt die letzten Kongresse
immer irgendwie einen Großteil meiner

Folien mit Microsofts Sicherheitsproblemen,
zum Teil denkenswerterweise zitiert

aus der Heise-Security-Ticker,
damit man was einigermaßen Objektives

jetzt nochmal voransetzt,
und leider haben die wieder

einen großen Teil meiner Folien aufgefressen,
um wirklich aktuelle Probleme zu haben,

die wirklich aus einer anderen Zeit kommen.

Diese Krypto-Zombie-Sache kommt daher,
dass wirklich veralterte Algorithmen drin sind,

wie SHA-1, oder, ein ungeahnter Horror,
der vielleicht,

schön ist vielleicht wirklich ein Kongress,

wo ein beträchtlicher Anteil der Leute
in Jahren geboren ist, wo der Krypto-War,

also die Diskussion ob man Krypto
betreiben kann, schon vorüber war,

oder wir gemeint haben, dass die vorüber,

und die kommen jetzt immer wieder,
und insbesondere sehen wir auch da,

wenn wir Backdoors oder Schwächung einbauen,
dann gefährdet das nicht nur

das aktuelle System, sondern, bissl
hart formuliert, so gut wie alle zukünftigen,

weil dieses Problem der Backward-Compatibility
ist genau das was in diesem Phreak-Attack

irgendwie durchgeführt wurden,
und beim Thema Krypto-Export-Restriction

sei mir auch noch ein Seitenhieb oder
massiver Seitenhieb auf eine andere

Gated-Community-Firma gestattet,
nämlich die Firma Apple, die

wirklich es als gute Idee angesehen hat,
eine App zu sperren,

die aus dem CCC-Umfeld
programmiert wurde,

die anstößige Inhalte präsentiert.
Anstößige Inhalte, habe ich natürlich

als Hacker immer Interesse dran,
und was ich am Anstößigen-Lustigen fand,

war Krypto-Hacking-Export-Restriction.
Ich klick drauf und hab dann wieder so ein

Alt-Internet-Gefühl, dass ich in einer
Zeitschleife da bin, weil das war ein

Vortrag von 1999, der dann von Apple
dazu missbraucht wurde,

als anstößiger Vortrag
für eine Zensur herzuhalten.

Vielleicht um auch mal ganz klar zu sagen,

wenn ich mir die Zensurvorfälle 
von Apple anguck,

ist Microsoft wirklich ein Mitglied
im deutschen Pfadfinderverband.

Das ist wirklich boshaft
an einem Punkt, und nicht nur,

dass ich hier ne Gelegenheit hab,
mal wieder ein Jugendbild von mir aufzulegen,

sondern, <i>Lachen</i>
es ist wirklich auch so,

ihr seht, in der Zeit hatten wir nichts,
keine Computer, und keine Beamer,

das ganze, was wir machen mussten,
ist, harmlose Mathematik auf ein Flipboard

zu schreiben mit einem schrecklichen Englisch,
aber ich kann nur Werbung

für den Vortrag machen, den bisher,
bevor Apple sich darum gekümmert hat,

von 280 Leuten in den letzten
15 Jahren angesehen worden ist.

Ich kann da nur Werbung machen.
Selbst das T-Shirt ist lustig, aber

ihr müsst dann schon rauskriegen
was genau da draufgedruckt ist,

aber ich fands damals witzig
und es hat sich niemand drum gekümmert,

aber 15 Jahre später macht sich dann
die größte amerikanische Firma zum Idioten.

Neben dem natürlich gewollten Möglichkeit
Jugendbilder von mir zu präsentieren,

ist das wirklich auch ein Punkt
den man sich mal klar machen muss:

Apple zensiert jetzt harmlose
Diplommathematiker,

die wissenschaftliche Vorträge machen,
nennen das explizit als anrüchige Sache.

Das ist einfach n Ding, wo man sich
irgendwie an den Kopf greift, weil,

kleine Randnotiz, Apple war auch nie
begeistert über die Export-Restriktion.

Was wir auch wieder sehen dass Zensorinnen
und Zensoren schlicht in einfach

in ner bösen Zone sind.

Wenn wir irgendwie anfangen,
irgenwas zu zensieren zu lassen,

ob wir dann irgendwie aus religiösen Gründen
oder pseudo-religiösen Gründen

wie die Kreuzberger Grünen
auf einmal anfangen,

unseren Geschmack allgemeinverantwortlich
zu definieren, anderes zu zensieren,

ist man auf einer Rutsche nach unten,
die nicht aufhaltbar sind,

und diese Leute, die Zensur betreiben,
sollen sich nicht wundern,

dass sie dann nicht nur von den
üblichen Verdächtigen, sondern auch

von der Hackerszene mit entsprechendem
Hohn und Spott bearbeitet werden.

Das sollten wir auch weiterhin tun.

<i>Applaus</i>

Aber zurück zur Technik.

Also die Phreak-Attacke
ist schlicht und einfach

ein Rollback zur der alten Sicherheitsproblem
und Microsoft hat das schnell erkannt

und hat gesagt, ok, Update kriegen wir
nicht so hin, aber wir präsentieren

einen Work-around, der
das System sicherer macht.

Was passierte dann?

Naja, es wurde runtergeladen.
Das Problem war, dann ging erstmal

so gut wie nichts mehr.
Also, nach dem Herunterladen

konnte man keine weiteren Updates
irgendwie vernünftig machen,

das war am, nicht am 6., sondern am 7…
Am 13. wurd's aber dann so, dass

ich es immer nimmer weniger lustig fand,
weil, das Problem ist,

Microsoft war dann auch schon dabei,
wenn sie sowieso problematische

Altkryptografie rausschmeißen wollen,
dass sie auch SHA-1 rausschmeißen wollen.

Nach nur 20 Jahren ne gute Entscheidung.

Selbst bei diesem Versuch sind sie dann
hergegangen und haben einfach dann

auch die Dualboot-Einstellung
für Linux zerschossen,

mit dem Ergebnis, das also Systeme, die, 
ja, irgendwie ordentliche Linuxsysteme haben

dann von der Parallelinstallation von Windows
zerschossen werden.

Also, die Sache bootet nicht, 
einfach nicht mehr,

und da möchte ich nochmal drauf hinweisen,

wenn wir dran denken, dass
so gut wie alle unsere Linuxsysteme

umgeschmiedete Windows-Rechner sind,
und wir durchaus diese Linuxsysteme

im Bereich von Steuerung verwenden,
ist es keine schöne Perspektive,

dass wenn irgendwie ein Windows-Update-Mensch,
irgendein Admin, sagt,

ich tue nur mal das System sicherer machen,
und dann ist irgendwie

die parallele Linux-Installation beschädigt,
ist mehr als ärgerlich, und zeigt auch

dass da Microsoft im Moment
die Sache schlicht und einfach

gar nicht im Griff hat.
Harmlosere Sache war auch,

dass die Leute nicht in der Lage sind,
irgendwie eine Änderung im Update zu machen,

ohne Privacy-Einstellungen zu ruinieren.

Und das ist 'n bisschen 'n
schauerlicher Moment.

Wir Hacker lieben es ja wenn man
irgendwelche Verschwörungstheorien

draus triggern können.
Das haut mit den meisten Sicherheitsproblemen,

die ich jetzt hier anschmeiß, 
einfach nicht mehr hin.

Das klingt zwar irgendwie beruhigend,
ist aber nicht beruhigend,

wenn man irgendwie nachvollziehen kann,
dass im Moment einfach Fehler gemacht werden,

die nicht politisch hinterfragt werden müssen,
sondern Fehler gemacht werden,

die einfach schlicht und einfach 
handwerkliche Katastrophen darstellen.

Und eine besonders skurile war dann
kurz bevor ich den Camp-Vortrag gemacht hab,

musste ich dann einbauen:
auf der Blackhat-Konferenz wurde präsentiert,

dass es möglich ist, dieses Updatesystem
von Windows zu verseuchen und ich dachte,

klingt schonmal schlecht,
aber schauen wir mal, wie's weiter läuft.

Und dann kam eine meiner 
absoluten Lieblingsfolien.

Weiß jemand, wer… was das ist?

Eigentlich sollten wir uns 
den Namen merken können,

der ist ja relativ eindeutig.

<i>Lachen</i>

So, von euch weiß es niemand.
Kleiner Tipp, also, Sie müssen möglicherweise

oder wir müssen möglicherweise
den Rechner neustarten,

damit das da ist, und Sie sollten das auch
nicht ignorieren, weil Microsoft sagt ja Ihnen:

Update Typ is important und nochmal,
wir sind jetzt etwas verwirrt von der Sache.

Insofern will ich nicht so unfair sein,
nicht den zweiten Teil dieser

Microsoft-Meldung zu präsentieren,
der natürlich ungeheuer hilfreich ist.

<i>Lachen</i>

Und… das ist wieder 'ne Phase,
wo ich für dumme Witze doch

durchaus zugänglich bin. Also… <i>Lachen</i>
Wenn wir mehr Informationen lesen,

können wir uns immernoch
an die US-Regierung wenden.

Wenn wir der US-Regierung misstrauen,
können wir natürlich auch das edu,

also das Wissenschaftsnetz, machen,
aber wenn's kritisch wird, und wir sagen,

das kommt wir alles komisch vor,
wen ruft man dann,

wenn man Help und Support haben will?
Das US-Militär.

Also, ich hab jetzt mal angezeigt,
die wenigen Buchstaben,

die an der richtigen Stelle waren,
haben es irgendwie noch hingekriegt,

mir mindestens 2 1/2 dumme Witze
möglich zu machen.

<i>Lachen</i>

Ich werde noch eine Folie
schlechte Witze darüber machen,

aber dann nachmal erklären,
warum das eigentlich

alles andere als lustig ist.

Zunächst mal der übliche Witz,
das Problem ist,

wenn ich diese Folien mache,
kriege ich schlicht und einfach ein Warning

in meinem Latex-Programm.
<i>Lachen</i>

So. Jetzt genug Hacker-Humor.
Was bedeutet das?

Wenn Microsoft so ein Update
mit einem völlig kaputten Namen raussendet,

bedeutet das, dass kein menschliches Wesen
reingeguckt hat, weil jedes

menschliche Wesen würde sagen,
hm, das ist aber ein sehr komischer Name,

seid ihr euch ganz sicher?

Es hat kein elektronisches Wesen reingeguckt,
weil auch dieses elektronische Wesen

hätte eine Warnung gekriegt.

Es war auch kein elektronisches Wesen da,
der gesagt hat, da sind ULRs drin,

können wir einfach mal einen einfach Test
machen,

ob diese URLs richtig geschrieben sind?

Mit anderen Worten, vergessen wir mal
wirklich die ganzen lustigen Witze.

Wir haben jetzt die Situation,
dass da von Microsoft bisher

keine Erklärung kam.
Äh, es kam irgendwie keine Erklärung.

Warum kam eigentlich da keine Erklärung?
Heise hat angekündigt,

dass sie nachfragen,
ist aber auch nichts geworden.

<i>Lautes Lachen</i> Ich hab inzwischen… 
<i>Applaus</i>

Ich hab inzwischen den Verdacht, also,
dass wie gesagt ein Teil der Antworten

die Bevölkerung verunsichern würden,
insofern hab ich gedacht, naja,

jetzt bin ich aber durch,
jetzt kann ich meine Folien machen,

ohne dass ich irgendwie wenige Tage
im Dezember nochmal eine weitere Sache krieg.

Also, was sollte jetzt noch passieren,
dass es irgendwie nötig ist, nach diesem

lustigen Ding mit diesen randomisierten Sachen
nochmal eine weitere Folie einzupflegen,

und wir haben schon den Verdacht,
das einzige… es klingt zwar ein bissel arrogant,

aber es ist wirklich so,
das wir Kryptographen so 'nen Ethos haben,

zu sagen, wir helfen Leuten.

Und wir sagen, ok. Jetzt könnt ihr überlegen,
was brauchen wir, damit wir euch helfen können,

braucht ihr irgendein Geheimnis,
dass ihr euch von 'nem Angreifer unterscheidet?

Das kriegen wir nicht weg.
Wir optimieren das, das es wenige Bits sind,

aber bitte passt auf die auf,
veröffentlicht die nicht.

Alles alles andere kümmern wir uns.
Und wenn Microsoft jetzt hergeht

und von ihrem X-Box-Live-System 
- ich weiß nicht

wie viel Millionen Rechner daran hängen -

einen Signierschlüssel irgendwie,
wie heißt's so schön,

versehentlich einen privaten Schlüssel weitergeben,
es war einer der wenigen Momente,

wo ich irgendwie beruhigt war,
weil es ist eine gute Nachricht,

dass sowas bei Microsoft
nur versehentlich passiert.

<i>Lachen und Applaus</i>

Also insofern würd ich mich jetzt heute
mal aus dem Fenster legen, dass ich,

wenn ich nächstes Jahr wieder
einen Vortrag machen muss,

wahrscheinlich Schwierigkeiten habe
das noch zu toppen,

weil, was soll man noch machen
als einen privaten Schlüssel zu leaken

der irgendwie ein System
aus X-Boxen aus Rechnern,

und ich will ja nicht irgendwie lästern,
sind das nicht die Dingern, die irgendwie

Infrarot, also, die ganze Wohnung checken?

Also die wissen nicht nur,
was wir gucken, sondern was wir

möglicherweise unter 'ner Decke machen, oder…?
<i>Lachen</i>

Ok, das sind die. Ok.
Also das bedeutet, da sollten Leute

sich auch mal überlegen,
ob der updated.

Anderseits ist wahrscheinlich
auch nur Zugriff mit einer

ordentlichen signierten Zertifikat
von X-Box Live möglich.

Gut! Kommen wir
zu der zweiten traurigen Sache.

Also ich möchte nochmal betonen,
diese lustigen Witze über die Microsoftupdateprobleme

sind alles andere als lustig,
weil das bedeutet, dass es eine komplette

Scheitern jeglicher Art
von Qualitätskontrolle ist.

Ich hab mich mit genug depressiven
Informatikprofessoren zusammengesetzt

und hab versucht, da 'ne Erklärung zu finden,
wie man irgendwie Tests programmieren könnte,

damit das durchrutscht,
und es ist uns nicht gelungen.

Also noch einmal,
wenn ein Mensch dasitzt, der irgendwie sieht,

da kommt ein Update mit dem Namen,
tschuldigung, der merkt das.

Jedes Script, was man sich vorstellen kann,
was irgendwie Sachen testet und so weiter,

wird das merken.

Das bedeutet, diese ganzen lustigen Witze
wo wir immer gelacht haben,

sind alles andere als witzig,
wenn wir Systeme haben, die wichtig sind.

Und ich muss nochmal sagen,
selbst wenn man kein Windows außer

X-Box verwendet, haben wir das Problem,
dass in den Feuerwach-Zentralen

halt noch Windows-Rechner sitzen.

In Berlin wahrscheinlich noch Windows XP-Rechner,
aber das ist ein Berlin-internes Problem,

das ich jetzt in Hamburg nicht mehr
auf die Tagesordnung bringen kann.

Kommen wir zu der zweiten Problematik.
Also, Microsoft kann es nicht,

hat das Updatesystem nicht im Griff,
hat dieses neue Geschäftsmodell nicht im Griff.

Kann man dann, das ist 
unser Streben als Hacker,

kann man die Situation
selbst irgendwie retten?

Und das ist natürlich der zweite
kritische Punkt.

Microsoft tut seit Windows 8
Microsoft Trusted-Computing-Module…

verlangen.
Einen Ausschalter, dass man irgendwie

sagen kann, wir machen anstatt der
Microsoft-Sicherheitsarchitektur

eine eigene Architektur, war
bei Windows 8 vorgesehen,

also Möglichkeit Systeme ohne
die Sache zu booten.

Das ist aus den Windows-10-Requirements
rausgeflogen.

Unter Windows 10 lassen sich immer
weniger Systeme abschalten.

Schon unter Windows 8 haben sie
das probiert, aber wir haben halt

die Situation, und da muss ich zum
ersten Mal wirklich Heise ein bissl kritisieren,

Heise hat geäußert, dass wir uns
keine Sorgen machen sollen,

denn für alle Linuxdistribitionen, gängige,
gibts doch unterschriebene Bootloader,

die das System zum Starten bringen.

Das ist richtig, aber es gibt natürlich
das erste Argument:

Microsoft unterschreibt einen Windows-Bootloader
und dann booten die Linux-Systeme.

Kann Microsoft den Schlüssel zurückziehen?
Ja.

Hat Microsoft schon Sachen deaktiviert?
Äh, ja.

Hat Microsoft schon Sachen ohne
ordentliche Begründung deaktiviert? Ja.

Ist schonmal ein schlechter Teil.
Der zweite schlechte Teil ist natürlich,

dass es schön und gut ist, dass Microsoft,
und Microsoft ist eine nette Firma,

ist eine der größten Beiträger des Linux-Kernels,
hat auch Interesse,

dass das ökonomisch voran geht,
unterschreibt einzelne Distributionen,

unterschreibt aber nur das,
was irgendwie vorgelegt ist.

Und Entschuldigung, hier geht es nicht um
ältere und exotische Software,

sondern um das gesamte Entwicklungskonzept
von freier Software.

Freie Software bedeutet, dass wir
nicht jeden Schritt vorantreiben müssen.

Das wir uns richtig verstehen, es wird erfolgreiche
Open-Source-Softwareprojekte geben,

aber der eigentliche Entwicklungssache,
das nun jeder dazu beitragen kann,

ist wirklich dann komplett konterkariert,
wenn man wirklich jede Änderung

praktisch von Microsoft
nochmal genehmigen muss.

Und noch einmal, diese Kombination:
Sie haben's nicht drauf,

sie lassen's uns nicht reparieren,
sie zerschießen unsere Booteinstellung,

ist einfach eine Sache, die ich,
obwohl ich in den letzten Jahren

mit Microsoft doch irgendwie
etwas Frieden geschlossen habe,

einfach nicht, in keiner Weise,
bereit bin zu akzeptieren,

und habe mit einem Grinsen festgestellt,
dass sie sich jetzt offensichtlich mit ihrer Sache

da auch mit den baden-württhembergischen
Verbraucherschützern angelegt haben,

was glaub ich auch ein
relevanter Gegner sein könnte.

Hier nochmal 'ne kleine Zeitreise:
2003 dieser Microsoft-Ansatz,

der führt zu einer Markt-Domination,
zu einem Lock-out, dass man

aus einem eigenen System ausgesperrt ist
faktisch, und wir besitzen

unseren Computer nicht mehr richtig,
und das ist eine Sache von Whit Diffie,

ein weiterer Erfinder der Public-Key-Kryptographie.
Und er sagt's halt ganz kurz:

"Es ist einfach notwendig, dass wir von
unseren persönlichen Geräten

die Schlüssel selber unter Kontrolle haben."

Um mal was positives zu sagen,
US-Firmen und auch Apple muss man da loben,

haben durchaus teilweise
diese Probleme adressiert,

das zum Beispiel End-zu-End-Verschlüsselung,
da für viele Systeme

die richtige Entscheidung ist.
Und hier haben wir halt

eine gegenläufige Entwicklung.

Um noch einmal zu sagen,
das ist keine abstrakte Sache.

Ich hab jetzt nur mal eine Sache rausgesucht:
Microsoft hat mehrfach schon,

hier zum ersten mal in 2013,
ist auch schon ein Weilchen her,

ist hergegangen und hat
bootende Systeme deaktiviert,

ohne günstige Begründung.

Ist vielleicht ganz gut, wenn sie
keine Begründungen angeben,

weil sie, als sie das letzte Mal versucht haben,
'ne Begründung anzugeben,

sind die Haare immer grauer geworden,
also, nach dem Motto:

Ey, wir wissen nicht genau,
was wir unterschrieben haben

und ob es raus ist
und hast-du-nicht-gesehen.

Also, noch einmal, das Problem ist Windows
- äh Microsoft ändert seine ganze Strategie,

es ist Windows als Service,
es sagt, wir verdienen nur noch Geld,

indem wir auf eure Daten aufpassen.
Und das ist halt natürlich halt das Problem,

wenn handwerkliche Fehler in diesem
katastrophalen Mensch(?) gemacht werden,

dass Microsoft vielleicht irgendwie
dann zurückommen kann mit den Ideen,

wenn das einigermaßen steht.

Auch 'ne historische Folie.
Was haben wir drin?

Wir haben in diesem TPM-Chip
einen geheimen Schlüssel, den…

auf den man nicht zugreifen kann.

Standardfrage: Wer kann
auf den geheimen Schlüssel zugreifen?

Hoffentlich niemand.

Andererseits werden die Schlüssel außerhalb
erzeugt und dann werden sie eingefügt

in den Produktionsprozess,
das bedeutet, ich mach eine Kopie

einer Schlüsseldatei und habe damit
die Generalschlüssel auf alle Systeme

in einem Land.

Und das ist natürlich eine Sache,
die für die NSA interessant ist.

Wir wissen, dass es Druck auf Hardware-
hersteller gab, Backdoors einzufügen.

Ist ne historische Folie, die hätte 
ich vielleicht sogar streichen können,

vor allem die Realität hat das
in den letzten Tagen wirklich derart überrollt,

dass ich diese Folie eigentlich hätte wirklich
auch schon fast einstampfen sollen,

aber trotzdem, noch einmal der Hinweis:
Das eine Hauptproblem ist:

Die Hersteller der Sachen
sitzen nicht unbedingt in Amerika,

sondern meistens in China.

Und wenn ich kein verschärftes 
Vertrauen mehr hab

auf das ordentliche Vorgehen
in 'ner Demokratie wie Amerika,

ist meine Sorge über Backdoors
in autoritär geführten Ländern natürlich

nochmal deutlich größer.

Und aus dem Grund hier auch
nochmal der Hinweis:

Es kann nicht angehen, dass wir
'ne Infrastruktur haben,

wo jemand, der einfach 'ne Datei
kopieren kann, nachher

Generalschlüssel für alles
zur Verfügung hat.

Ja, letzte Tage,
muss ich auch nicht rumtanzen.

Die ganzen Sachen was wir gesagt haben,
UEFI-Backdoor, also unterhalb des Radars,

also wirklich unter den Virenscannern
und anderer Sicherheitsfolklore,

auf der untersten Ebene.
Ich hab' mit Leuten geredet,

Was kann man machen,
wenn man sich in UEFI was eingefangen hat?

Antwort: Hardware einschmelzen,
neue kaufen.

Das war von jemand, der eine
sehr große Sicherheitsabteilung

einer sehr großen deutschen
Firma geleitet hat,

also insofern finde ich das immer
etwas besorgniserregend,

wenn Leute, die in der Industrie
in hohen Positionen sind,

langsam ähnlichen Zynismus
entwicklen wie hier in der Hackergemeinde

seit Jahren vor sich hingetragen wird.
Wir hatten die Lenovo-Backdoor,

machen wir uns keine Sorgen,
der Hauptaktionär von Lenovo

ist die Universität of Peking,
und ich bin mir sicher,

dass die mit der Regierung
überhaupt keine Kontakte hat.

<i>Lachen und Applaus</i>

Wir hatten 'ne Bell, äh, Dell-Backdoor,
die auch irgendwie diese Microsoft-Strategie

über "Wir veröffentlichen mal
unsere privaten Schlüssel,

vielleicht kann ja auch jemand
anders was damit anfangen."

Ist scary, und das einzige,

was mir als Kryptograph 
gute Laune gemacht hat,

war diese Juniper-Backdoor.
Wenn wir uns erinnern, hatte ich ja

letztes Jahr mal elliptische-Kurven-
Randomgenerator vorgestellt und gesagt,

da ist eine NSA-Backdoor da.
Wir Kryptographen haben seit Jahren

paar Stunden nach der Veröffentlichung 
gewarnt, haben gesagt, Leute,

das ist ein System, das ist hundertmal langsamer
und hier ist 'ne offenen Tür,

wo man was reinmachen…
macht das nicht.

Trotzdem haben es halt Firmen gemacht,
unter anderem Juniper,

und was jetzt wirklich schön war,
so 'ne Backdoor in elliptischen Kurven

sind nur ein paar Bytes.
Irgendjemand ist hergegangen und

hat diese Bytes, die für 'ne NSA-Backdoor
da waren, weggeworfen, und hat

seine eigene Backdoor eingebaut.
Und das ist irgendwie großartig.

Also man hat irgendwie das Tür
zu Fort Knox und geht her mit dem Trennschleifer,

zieht die raus und macht
'ne neue Tresortür da vorne dran.

<i>Lachen</i>
Eh, ist wirklich scary, und ich möcht

nur mal betonen:
Diese Problematik ist natürlich ganz da,

wenn wir unsere ganze EDV an Microsoft
delegieren und sagen:

Die updaten, die wissen, was läuft,
die machen das, was nötig ist.

Bedeutet das, dass wir, wenn wir da
Druck auf Microsoft haben,

Backdoors oder sonstige Sachen einzubauen,
von jetzt auf nachher völlig hilflos sind.

Und das ist natürlich eine Sache,
die nur wenig erfreulich ist.

Ich komm' zur letzten Folie,
die auch nur zum Teil cut-und-pasted ist.

Es gab das Eckpunktepapier von Trusted Computing
der Bundesregierung, die ganz klar gesagt hat,

wenn irgendjemand ein sicheres
Environment bauen will,

ein geschlossenes Ökosystem,
in Ordnung, darf man,

aber die Leute müssen frei entscheiden können,
ob sie da rein wollen.

Und sie müssen die Möglichkeit haben,
da auch wieder einigermaßen gesund rauszukommen.

Das war schon sehr lange
in dem Forderungskatalog.

Wir haben das Problem:
Wenn wir jetzt Sachen an den Staat bringen,

dass wir jetzt zeitgemäße Kryptographie
verwenden sollen.

Microsoft hat SHA-2 an ein paar
Stellen rausgeworfen.

In der Trusted-Computing-Spezifikation
ist immer noch Hooks für SHA-1 da.

Wir brauchen datenfreundliche Kryptographie.

Da hatten wir direct anonymous attestation
und perfect forward secrecy-Sachen

in alten Normdokumenten schon drin,
die müssten wir halt wieder mal

ein bisschen pflegen und nach vorne stellen.

Wir brauchen eine internationale Kontrolle
und Zertifizierung des TPM-Herstellungskonzepts.

Noch einmal, ich bin eine Firma,
ich stelle TPM her,

ich habe eine Datei mit allen Schlüsseln,
ich kopier die und ich hab

einen Generalschlüssel für alles.
Dat geht net.

Kleine Fußnote:
Wenn ich eine Firma hatten würd,

würd ich das auch gar nicht wollen,
weil ein derartiges Maß an Macht,

das tut irgendwie unangenehme
Mitmenschen glaub ich magisch anziehen.

Also insofern ist es auch ein Schutz
für die Firmen,

dass man hier die Sachen
irgendwie ordentlich offenlegt,

und das Zertifizierungs-Codes,
also dieses Boot-Codes für relevante Software

in Windows-10 und 8-Bereich.

Wir müssen kartellrechtlich prüfen,
nochmal, Microsoft ist nicht mehr

die über… die dominierende Firma.
In der Zeit, wo Elmar grade gesagt hat,

das wir zum ersten Mal die Windows-Talks
angekuckt haben,

da hat man eine 90-prozentige Durchdringung,
heute spielt Microsoft in einigen Bereichen

nicht mehr diese dominante Rolle.

Nichtsdestotrotz ist unsere ganze Hardware,
die wir als normale Personal Computer haben,

naja, Windows-Hardware, im Prinzip,
die wir dann halt

mit vernünftigen Systemen 
hier umgelenkt haben.

Naja, außer ihr macht jetzt
die Apple-Welt, das ist 'ne andere Sache,

aber die wirklich große Menge an
Personal Computern

ist immernoch aus dem Bereich.

Und ich möchte schließen mit was
vielleicht ganz Überraschendem:

Ich werde mich jetzt mal positiv über
die Deutsche Telekom, noch interessanter

T-Systems und Microsoft äußern.

<i>Lachen</i>

Es gab 'ne kleine Meldung,
die vielleicht die meisten von euch auch

gar nicht so wahrgenommen haben,
dass Microsoft und T-System 'ne Konstruktion

einer deutschen Cloud gemacht haben.

Und ich zuck ja immer zusammen,
wenn in der Internet-Zeit die Leute

nationale Clouds und so weiter
irgendwie ausrufen.

Allerdings ist halt das für Firmen
natürlich interessant, dass sie sagen,

sie haben einen Serverstandort
in Deutschland.

Es ist nicht ausreichend nach den,
jetzigen Regelungen,

weil irgendwie Firmen, die in Amerika sitzen,
haben dann irgendwie möglicherweise

den Zwang, auch die Daten schlicht und einfach
nach Amerika zu entführen.

Diese Konstruktion, dass da 'ne deutsche Firma
die betreibt, bedeutet auch nicht,

dass der Weltfrieden ausbricht,
aber das bedeutet einfach,

dass für Firmen da 'ne rechtliche 
Sicherheit da ist,

dass sie nur belangt werden,

wenn sie gegen deutsches 
Recht verstoßen, und nicht,

weil irgendwie eine amerikanische Firma

grad mal schlechte Laune hat
oder die NSA alles mitlesen will.

Insofern möchte ich einfach mal fordern,
dass diese Rechtssicherheit

auch für Privatanwender 
stärker geöffnet wird.

Ich glaub es ist nicht zu viel verlangt,
dass man sagt, dass man wirklich die Regeln,

die in der normalen Welt gelten,
dass man Rechtsschutz und Rechtswege hat,

die einigermaßen auch nachvollziebar sind,
wir die in die digitale Welt retten kann.

Und ich glaube auch, dass der… das Urteil
des Europäischen Gerichtshofs

zu sicheren Datenhäfen hier eine Änderung
voranbringen muss,

und in diesem Sinne möcht ich
nochmal Aufforderung,

sorgen wir dafür, dass die erkämpften
datenrechtlichen Standards,

auch diese Migration der
Windows-Geschäftspolitik überleben.

Vielen Dank für eure Aufmerksamkeit.

<i>Applaus</i>

Engel: Danke Rudi!

<i>Applaus</i>

<i>Abspann-Musik</i>

subtitles created by c3subtitles.de
Join, and help us!