Sonntag, 22. Februar 2009

Debian's OpenSSL-Lücke – die nächste Stufe

Joshua Wright beschreibt die Dekodierung SSL-verschlüsselter Kommunikation.

Die Debian OpenSSL-Schwachstelle hatte Anfang 2008 im IT-Sektor für große Aufregung gesorgt. Ein Patch war bei der Linux-Distribution Debian dafür verantwortlich, dass die entsprechenden Systeme fast eineinhalb Jahre lang Schlüsselpaare nur aus einem sehr überschaubaren Pool ausgaben. Diese Schlüssel kommen u.a. bei der Verschlüsselung von Web-Kommunikation (https:) zum Einsatz.

Auch wenn die meisten Systeme mittlerweile aktualisiert sein dürften, bestand und besteht die weitere Aufgabe darin, keines der von diesen Systemen erzeugten schwachen Schlüsselpaare auf einem aktiven Webserver zu vergessen.

Die „verhältnismäßig“ geringe Anzahl möglicher Schlüsselpaare erlaubt es, diese vorauszuberechnen, und einen Surfer zu warnen, wenn ein solcher Schlüssel von einer Website verwendet wird. Eine entsprechende Erweiterung steht für Firefox-Benutzer schon seit längerem zur Verfügung.

Joshua Wright beschreibt nun, wie der Inhalt einer mitgeschnittenen verschlüsselten SSL-Verbindung wieder dekodiert werden kann, wenn derart schwache Schlüssel zum Einsatz kamen.

Es ist zu hoffen, dass nicht allzu viele Verbindungen mitgeschnitten wurden, in der Hoffnung sie irgendwann einmal dekodieren zu können.

Samstag, 21. Februar 2009

Touch Me, Tux




Das Technaxx TOUCHME ist ein portabler Multimedia-Player mit einem 2,8“ Farb-Touchscreen. Es kann Audio (MP3, WMA), Video (MPEG4 AVI) und Bilder (JPG, BMP) wiedergeben.

Es hat eine USB 2.0-Schnittstelle und ist mit einer MicroSD-Karte erweiterbar.

Der Hauptbildschirm ist dem Handy einer bekannten amerikanischen Firma nachempfunden. Die Icons sind jedoch statisch und auch sonst kommt die Benutzerführung nicht an das Vorbild heran.

Mit Linux lässt sich das Gerät aber hervorragend betreiben.

Es meldet sich als normaler USB-Massenspeicher an, und man kann die Dateien in der gewohnten Art und Weise kopieren und löschen. Kein DRM, nur Formate, die man unter Linux auch erstellen kann.

Das mitgelieferte “Konvertierungs-Tool“ ist natürlich ein Windows-Programm. Ein Blick mit dem Hex-Editor auf die damit erzeugten Dateien zeigt, dass diese mit mencoder erstellt wurden, ein unter Linux weit verbreiteter Open-Source-Videokonverter.

Das Windows-Konvertierungs-Tool ist also nichts anderes als eine GUI für mencoder.

Schnell ein kleines Windowsprogramm geschrieben, dessen Aufgabe es war, die Aufrufparameter anzeigen, und dem Konvertierungs-Tool anstatt mencoder untergeschoben, schon standen die Parameter fest:

mencoder -noodml INPUTFILE -of avi -o OUTPUTFILE -ofps 20 -vf-add scale=SCALEX:SCALEY -vf-add expand=320:240:-1:-1:1 -srate 44100 -ovc xvid -xvidencopts bitrate=VIDEOBITRATE:max_bframes=0:quant_type=h263:me_quality=4 -oac lavc -lavcopts acodec=mp2:abitrate=AUDIOBITRATE

Je nach gewünschter Qualität für VIDEOBITRATE die Werte 450, 500 oder 600 und für AUDIOBITRATE die Werte 64 oder 128 einsetzen.

SCALEX und SCALEY sind die Höhe und Breite in Pixel, auf die das Video herunter gerechnet werden muss, um unverzerrt angezeigt zu werden. Bei 4:3-Material sind das 320:240, bei 16:9 muss hier 320:180 eingesetzt werden („expand“ fügt dann die schwarzen Ränder hinzu).

Die erzeugte Datei muss einen Stereo-Track enthalten. Andernfalls kommt es bei der Wiedergabe zu seltsamen Effekten.

Ich kodiere jetzt schon seit längerer Zeit mit diesen Parametern erfolgreich kleine Clips z.B. von YouTube für den Player. Längere Videos sind zwar auch möglich, die prellenden Vor- und Rückspultasten (On-Screen) machen die Wiedergabe aber zur Geduldsprobe.

Podcasts kann man mit dem Player natürlich auch wiedergeben. Der Player merkt sich beim Ausschalten aber leider nicht, an welcher Stelle man war. Für Songs also geeignet, für längere Audiodateien leider nicht.

Bilder sollte man vorher skalieren. Der Player kann das zwar auch, nimmt sich aber Zeit dafür.

Ich habe diesen Player vor über einem Jahr bei einer Supermarktkette erworben. Wenn Geräte bereits dort verkauft werden, zerschlagen sich jegliche Hoffnung auf Updates – Schade.