Wie ich bei vowe gelesen habe, beendet Thawte sein Web of Trust-Programm und damit auch die Ausgabe kostenloser Zertifikate. Zum 16. November 2009 werden alle ausgestellten Zertifikate revoked werden, als Alternative werden allen Inhabern gültiger Zertifikate für ein Jahr kostenfrei Zertifikate bei Verisign angeboten. Nach diesem Jahr werden diese dann kostenpflichtig sein.

Thawte war früher die angenehme Alternative zu Verisign, die unserer Meinung nach damals ein Geschmäckle als Datenkrake hatten, und zudem waren die Zertifikate von Thawte um ein vielfaches billiger als die von Verisign. Kurz darauf wurde Thawte dann von Verisign gekauft.

Über die Firma, in der ich damals gearbeitet hatte, bekam ich ein Email-Zertifikat, das im Unterschied zu den Freemail-Zertifikaten meinen vollen Namen enthielt. Freemail-Zertifikate konnte man dadurch, dass man sich seine Identität von einem Thawte Notary seine Identität bestätigen liess, mit seinem Namen versehen lassen. Diese Bestätigungen wurden durch Punkte repräsentiert, von denen man maximal 25 von einem Notary bekommen konnte, so dass man von mindestens 2 Personen bestätigt werden musste, um 50 Punkte und damit seinen Namen im Zertifikat zu bekommen, und um 100 Punkte zu bekommen und damit selber zum Notary zu werden. So baute sich mit der Zeit ein Web of Trust aus, wie man das ja auch von PGP/GnuPG kennt.

Das ist jetzt also vorbei. Schade.

Als Alternative kann man sich ein Zertifikat von StartSSL ausstellen lassen.

1. im Browser about:config aufrufen
2. die Eigenschaft network.prefetch-next suchen
3. per Doppelklick auf false stellen

(Quelle: Peter Kröner: Firefox-User, stellt Prefetching ab!, via ein tweet von Sascha Lobo)

Hier ist die Hintergrundgeschichte der Beziehung von Alice, Bob und Eve.

(via Hugo)

Freenigma ist eine Reaktion auf den Rummel um das Web 2.0, in dem immer mehr Anwender Daten bei verschiedenen Providern lassen, ohne sich Gedanken um ihre Privatsphäre zu machen. Als echte Web 2.0-Anwendung ist Freenigma mittels AJAX realisiert und bietet eine Firefox-Extension, die den Bildschirm analysiert und automatisch erkennt, wann eine Mail geschrieben wird. Die Verschlüsselung soll zunächst für Google Mail, Yahoo Mail und Hotmail/MSN verfügbar sein, später sollen Microsoft Outlook, Lotus Notes und eine Verschlüsselung für Mail auf Mobiltelefonen hinzukommen.

Quelle: Heise Newsticker – Freenigma bringt Verschlüsselung für Nutzer von Webmailern

Für solche Dinge bin ich ja immer zu haben — dann will ich mich mal um eine Einladung bemühen, um es testen zu können.

Sicherheitsexperte: “Kopierschutz ist Malware”

Der US-Sicherheitsexperte Bruce Schneier plädiert dafür, Kopierschutzprogramme als “Malware”, also bösartigen Code, einzuordnen. Denn, argumentiert Schneier im Interview mit Technology Review, es würden den Nutzern Funktionalitäten weggenommen und stattdessen Dritten die Möglichkeit gegeben, hinter dessen Rücken Dinge zu tun, die dieser nicht haben möchte.
[...]

/signed

So weit, so gut. In den Sourcecode soll wohl noch, was man so hört, Einsicht gewährt werden, was meiner Meinung nach eine Grundvoraussetzung für solch eine Software ist. Der Hals ist mir aber in dem Moment angeschwollen, in dem ich las, das der Betreff der Mails entsprechend um einen Zusatz [signed] bzw. [ciphired] — nicht genug, dass schon unzählige Virenscanner und Spamfilter meinen, ihren Senf dem Betreff hinzufügen zu müssen. Das wird hoffentlich konfigurierbar sein… Gut, gerade letzter Punkt ist sehr subjektiv. Aber ein Produkt einer einzigen Firma, das alle dazugehörigen Dienste wie ein Zertifikatsverzeichnis, und seien sie noch so ausfallsicher verteilt und abgesichert, ist mir gerade im Securitybereich äusserst suspekt. Es bleibt also abzuwarten, wie sich das entwickelt und ob hier noch weitere Firmen mit hineingelassen werden. Auch die Überprüfung der Identität der Zertifikatsinhaber ist ein wichtiger Punkt, und die Erklärungen hierzu sind nicht sehr erleuchtend.

In many public-key cryptography solutions the user is required to blindly trust a thirdparty, like a classical certification authority (CA), that the issued certificate is still valid and has not been tampered with. Other systems, like PGP-based systems, require the user to perform manual verifications of an owner’s identity and integrity of a public key to find out if it is valid or not.

In the Ciphire system a user is not required to perform manual verifications and most importantly he is not required to blindly trust the Ciphire CA.

To achieve this, the Ciphire system uses, in addition to the usual CA certification, an automated fingerprinting system that provides the following:

- Verification, if a certificate for a particular user (email address) has been issued by the CA (non-repudiation of certificate issuance)
- Verification, that a certificate has not been modified after it has been issued by the CA (proof of certificate integrity)

Schreiben kann man das natürlich sehr schön, dass man hier keine Überprüfung machen müsse und Ciphire hier nicht blind vertrauen müsse. Ach ja? Und vielleicht hat Eve sich doch jeweils ein Zertifikat auf den Namen Alice und eines auf Bob ausstellen lassen? Wer versichert mir das, dass der Zertifikatsinhaber wirklich er ist. Denn scheinbar wird das ganze wieder einmal lediglich nur über ein challenge/response-Verfahren abgehandelt:

During this process, you will receive an email informing you about the operations. When these processes have been successfully completed you will receive a final email confirming the certification for your email address.

Nein, ich bleibe da erst einmal skeptisch.

Nachtrag am 2008-03-29: Wie ich gerade beim Herumsurfen gesehen habe, ist Ciphire mittlerweile (vermutlich bereits seits geraumer Zeit) abgekündigt worden. Da war die Skepsis wohl begründet…