LN-Waschpress

Kategorie: News

  • Nachrichtenrückblick

     

    Nachrichtenrückblick
    Quelle: Stock Snap Lizenz: CC0 1.0

    Der Urlaub ist vorbei – mit frisch geladenen Akkus nimmt der Nachrichtenalltag wieder seinen Lauf. Ein kleiner Rückblick auf wichtige interessante Nachrichten der letzten drei Wochen mag den Lesern helfen, die nicht jeden Tag das Geschehen in der Linux-Welt und außerhalb verfolgen.

    openSuse macht den nächsten Sprung

    Am 25. Mai wurde  openSuse Leap 15 freigegeben.  Als Kernel kommt Linux 4.12 zum Einsatz, GNOME startet mit Wayland als Standard. Herausragendes Merkmal von openSUSE Leap 15 sind jedoch die im Zusammenspiel mit Btrfs und Snapper realisierten transaktionalen Updates. Auf  download.opensuse.org stehen Abbilder für x86_64 bereit. Für zahlreiche ARM-Boards wurden erst kürzlich Images zum Download nachgereicht.

    KDE Connect sprintet

    Dem Vorzeigeprojekt KDE Connect wurden im März auf einem Entwicklersprint in Barcelona neue Funktionen spendiert sowie vorhandene erweitert. Bereits bisher war es über die PIM-Anwendung Kontact möglich, SMS vom Desktop zu versenden. Diese Funktion wurde nun erweitert und verzichtet künftig auf Kontact als Vehikel. KDE Connect wird dann die vollständige Unterhaltung anzeigen und eine Kontaktliste pflegen. Zudem wird das Menü zum Ausführen von Kommandos vereinfacht und die Integration von PulseAudio verbessert. Darüber hinaus werden künftig die Cover von gerade abgespielten Alben auf dem Android-Gerät angezeigt. Die Entwicklungen werden sukzessive in die nächsten Versionen der Anwendung einfließen.

    Microsoft stürmt vorwärts

    Einige Tage brodelte die Gerüchteküche in Sachen Microsofts Übernahme von GitHub, dann stand es fest: Der Windows-Hersteller aus Redmond übernimmt für 7,5 Milliarden US-Dollar die Software-Enwicklungs- und Hosting-Plattform GitHub. Mit der Übernahme von GitHub setzt Microsoft seinen seit der Übernahme durch den derzeitigen CEO Satya Nadella eingeschlagenen Kurs fort, sich der Open-Source-Szene zu öffnen. Das gipfelt in dem Werbespruch »Microsoft loves Linux«der allerdings längst nicht überall auf Wohlwollen trifft.  So suchen nach der Übernahme zahlreiche Projekte neue Plattformen für ihr Code-Hosting. Eine davon könnte die in Gründung befindliche frei finanzierte Alternative TeaHub werden. Bereits jetzt vermelden Plattformen wie GitLab oder Gitea stark vermehrten Zulauf.

    KWin verliert Maintainer

    Beim KDE-Projekt wurde Plasma 5.13 freigegeben. Zudem gab Martin Flöser, ehemals Martin Gräßlin, bekannt, er werde als Betreuer des  KDE-Window-Managers KWin zurücktreten. Da durch einige unklare Aussagen zu den Gründen in der Presse ein für ihn nicht zutreffendes Bild entstand, legte Flöser in seinem Blog nach und führte seine Beweggründe näher aus. Plasma 5.13 treibt die Integration von Firefox, Chrome und auf Chromium basierende Browser voran, um diese besser in den Desktop einzubinden. Die Überarbeitung der Systemeinstellungen und der Software-Verwaltung mit  Discover wurden weiter vorangetrieben. Seit gestern ist das erste Bugfix-Release Plasma 5.13.1 verfügbar.

    Debian und Devuan

    Während Debian 7.0 nach fünf Jahren am Ende der Unterstützung anlangte und das Projekt Release-Art für Debian 10 aka »Buster« sucht, wurde beim Systemd-losen Ableger Devuan die auf Debian 9 basierende Version 2.0 mit dem Codenamen »Ascii« veröffentlicht. Im Mai 2017 war die erste Version des seit 2014 von den  »Veteran Unix Admins« (VUA) herausgegebenen Betriebssystems ohne Systemd freigegeben worden. Als  Standard-Desktop-Umgebung  dient weiterhin Xfce. Es lassen sich aber auch KDE, Cinnamon, LXQt und MATE installieren. Als Kernel kommt 4.9.0-5 zum Einsatz. Neben SysVinit kann auch OpenRC als Init benutzt werden. Das von Gentoo stammende eudev ersetzt bei Devuan Udev, während elogind als Ersatz für ConsoleKit dienen kann. Devuan 2.0 kann von der Webseite des Projekts heruntergeladen werden.

    LibreOffice lernt KDE

    Was lange währt, wird endlich gut: Mit Version 6.1 oder 6.2 wird LibreOffice endlich wieder eine Einbindung der KDE-Umgebung bieten. So wird damit in der freien Büro-Suite unter anderem der native Plasma-Dialog eingebunden. Bisher war seit Jahresbeginn lediglich eine von KDE4 abgeleitete unvollständige Integration verfügbar. Fest steht für LibreOffice 6.1 bereits die Einbindung nativer GTK3-Dialoge.

    Kernel wird kleiner

    Der nächste Kernel 4.18 wird, wie schon der aktuelle Kernel 4.17 vor ihm, schrumpfen. Das ist dem Rauswurf des bei High Performance Computing (HPC) eingesetzten Cluster-Dateisystems Lustre zuzuschreiben, womit rund zweihunderttausend Codezeilen wegfallen. Darüber hinaus wird unter anderem der umstrittene, von der NSA entwickelte Verschlüsselungsalgorithmus Speck Einzug in den Kernel halten.

    Librem 5 schreitet voran

    Purism hat einen neuen Fortschrittsbericht für das im Januar 2019 erwartete Linux-Phone Librem 5 veröffentlicht, der die Fortschritte bei Soft- und Hardware erläutert. So wurden die Phone-Shell Posh und die UI-Bibliothek Libhandy weiter ausgebaut. Zudem wurde die Unterstützung für den freien Grafiktreiber Etnativ im Wayland-Client Simple-DMA BUF hinzugefügt. Die App Calls kann nun Telefongespräche durchführen und erfüllt damit eine der Grundfunktionalitäten des Librem 5. Darüber hinaus wurde der Prototyp einer virtuellen Tastatur fertiggestellt, die  auf dem Weston-Keyboard aufsetzt. Im Bereich Hardware werden weiterhin mögliche Komponenten identifiziert und getestet. Bei diesem langwierigen Unterfangen müssen des Öfteren für jede Komponente Kernel-Module angepasst werden, bevor ein Bauteil getestet werden kann. Um die Respects Your Freedom-Zertifizierung der Free Software Foundation (FSF) für das Librem 5 nicht zu gefährden, wird ein Prozessorkern für einen unumgänglichen Blob reserviert, der bei jedem Bootvorgang eine Hardware-Initialisierung durchführt. Mehr dazu in den nächsten Tagen.

    Danke

    Soweit ein subjektiver Rundumschlag über berichtenswerte Nachrichten der letzten Wochen. An dieser Stelle vielen Dank an die 70 Teilnehmer an meiner kleinen Umfrage. Dabei bewerteteten 60 Leser das Blog als »gut«. Dem von drei Lesern vorgebrachten Wunsch nach Berichterstattung der Games-Entwicklung kann ich leider nicht nachkommen, da ich noch nie ein anspruchsvolleres Spiel als Solitaire genutzt habe. Das wird wiederum die Leser freuen, die sich keine Berichterstattung über Games wünschten. Weitere Wunschthemen sind Sicherheit und Hardware. Auch der Blick auf Nachbarthemen wir BSD und Haiku sind erwünscht. Der Frage nach dezenter Werbung zur eventuellen künftigen Finanzierung meines Aufwands standen 52 Leser aufgeschlossen gegenüber, 13 sprachen sich dagegen aus.

    Schöne Aussichten

    Dem Wunsch nach mehr Berichterstattung zu Hardware-Themen aus erster Hand werde ich bereits bald nachkommen. Derzeit befinden sich die Notebooks Librem 15 mit deutscher Tastatur und das neue Infinitybook 14 von Tuxedo Computers auf dem Weg zu mir. Somit ist in den nächsten Monaten eine Gegenüberstellung dieser beiden Linux-Notebooks aus dem oberen Marktsegment geplant.

  • Stellungnahme der PGP-Entwickler zu EFAIL

     

    PGP-Entwickler zu EFAIL
    Quelle: StockSnap Lizenz: CC0 1.0

    Die Berichterstattung um die Lücken in E-Mail-Clients, die Angreifer nutzen können, um verschlüsselte E-Mails zu entschlüsseln und zu entwenden, rief viel Kritik bei Entwicklern und Sicherheitsexperten hervor. So hatte sich Werner Koch, der Erfinder von GNU Privacy Guard (GnuPG) auf der GnuPG-Mailingliste dahingehend geäußert, in Sachen OpenPGP sei die Panikmache vor allem der EFF übertrieben. Jetzt haben sich auch die PGP-Entwickler in einer gemeinsamen Erklärung zur Ehrenrettung ihrer Software entschieden. Es äußern sich Andy Yen, der Gründer von ProtonMail, Phillip Zimmermann als Erfinder von Pretty Good Privacy (PGP), Patrick Brunschwig als Entwickler von Enigmail sowie der Mailvelope-Gründer Thomas Oberndörfer.

    Unnötig aufgebauscht

    Die Kritik richtet sich auch hier gegen die Berichterstattung der Electronic Frontier Foundation (EFF), die ein Papier der Entdecker der Lücken aufgegriffen hatte und damit ein weltweites Medienecho bis hin zur Tagesschau ausgelöst hatten. Die PGP-Entwickler richten sich gegen einige Aussagen in der Presseberichterstattung und stellen klar:

    [su_quote style=“modern-light“ cite=“PGP-Entwickler“ url=“https://protonmail.com/blog/pgp-efail-statement/“]»Diese Aussagen sind höchst irreführend und potenziell gefährlich. PGP ist nicht defekt. Die von EFail identifizierten Schwachstellen sind keine Fehler des OpenPGP-Protokolls selbst, sondern Fehler in bestimmten Implementierungen von PGP, darunter in Apple Mail, Mozilla Thunderbird und Microsoft Outlook. Viele andere häufig verwendete Software, die auf PGP basiert, sind von der EFail-Schwachstelle in keiner Weise betroffen, wie die Forscher selbst in ihrem Beitrag betonen. Als offener Standard kann jeder PGP implementiere und es überrascht nicht, dass einige Implementierungen Sicherheitslücken aufweisen. Dies bedeutet jedoch nicht, dass PGP selbst defekt ist.«[/su_quote]

    Empfehlung für Anwender

    Die Empfehlung der Verfasser der Stellungnahme geht dahin, stets aktuelle Versionen der jeweiligen Software zu verwenden. So wurde beispielsweise der E-Mail-Client Thunderbird bereits aktualisiert und größtenteils gegen die Lücken immunisiert. Die Entwickler bitten darum, dass jeder auch seine Kommunikationspartner informiert und zur Aktualisierung der Software animiert.

    Software, die auf  PGP, GnuPG, Mailvelope und ProtonMail basiert, war nie gegen EFAIL anfällig. Enigmail und GPGtools waren verwundbar, jedoch ließ sich ein Angriff relativ leicht verhindern. Bei der Verwendung von Enigmail muss Version 2.05 verwendet werden und nur einfaches HTML ohne Nachladen externer Inhalte oder noch besser, reine Textansicht in Thunderbird. Bei GPGTools muss ebenfalls das Nachladen externer Inhalte deaktiviert werden.

    Empfehlung der EFF zu rigide

    Die EFF empfahl Benutzern, PGP-Plugins zu deaktivieren oder die Verwendung von PGP ganz einzustellen. Das sei so ähnlich wie zu sagen: »Einige Schlösser könnten aufgebrochen werden, deshalb müssen wir alle Türen entfernen.« Das sei besonders gefährlich, da es Personen gefährden kann, die sich aus Sicherheitsgründen auf PGP-Verschlüsselung verlassen, so die Entwickler. Somit ist nach EFAIL die Benutzung von E-Mail genauso (un)-sicher wie eh und je.

     

     

  • Nextcloud, Red Hat und die DSGVO

    Nextcloud, Red Hat und die DSGVO

     

    Nextcloud, Red Hat und die DSGVO
    Quelle: Nextcloud

     

    Eine der besten Möglichkeiten, konform zur anstehenden europäischen Datenschutz-Grundverordnung (DSGVO) zu sein, ist es, Dienste auf der eigenen Plattform anzubieten und somit eine gesamte Ebene von externen Unternehmen, die Daten sammeln könnten, von vornherein auszuschließen. Das sieht auch Nextcloud so und bietet in diesem Zusammenhang ab heute zwei DSGVO-Apps sowie ein DSGVO-Handbuch und eine Checkliste an, die auf rund 20 Seiten unter anderem Dinge wie das konforme Verhalten bei Nutzeranfragen nach erhobenen privaten Daten erläutern. Die Apps und die DSGVO-Checkliste werden für die Öffentlichkeit freigegeben, während die Kunden Zugriff auf das komplette Compliance-Kit inklusive DSVGO-Administrationshandbuch haben.

    Zwei Apps für mehr DSGVO-Konformität

    Die Apps können im Nextcloud App Store gefunden werden, während die GDPR-Checkliste von der Website heruntergeladen werden kann. Bei den Apps handelt es sich um Data Request und User Account Deletion. Während Data Request dem Anwender erlaubt, seine von Nextcloud gespeicherten Daten einzusehen oder zu löschen, ermöglicht User Account Deletion die vollständige Löschung eines Nextcloud-Kontos.

    Partnerschaft mit Red Hat

    Darüber hinaus, und auch hier im gleichen Konzext, erklärt Nextcloud eine Partnerschaft mit Red Hat, mit der integrierte OpenShift- sowie Storage- Lösungen für Nextcloud-Kunden aus einer Hand erwachsen sollen. Die Erfahrung von Red Hat im Bereich File-Storage und Hosting und Nextcloud als Kollaborations- und File-Syncing-Plattform sollen Unternehmen dabei helfen, ihre Daten wieder unter eigene Kontrolle zu bekommen. Die Partnerschaft bietet Nextcloud-Kunden hybride und private Cloud-, Container-Management- und Speichertechnologien und darüber hinaus eine Full-Stack-Plattform, die die Benutzerfreundlichkeit und Produktivität der Public Cloud mit den Kontroll- und Regel-Funktionen kombiniert, die Unternehmen heute benötigen.

     

  • Intel nennt neue Lücken Spectre 3a und 4

    Spectre 3a und 4
    Bild: Public Domain

     

    Die Anfang des Monats entdeckten acht neuen Sicherheitslücken in Intel-CPUs, die unter dem Sammelbegriff Spectre-NG eingeführt wurden, wurden von Intel damals bestätigt. Bei den von mehreren Forscherteams entdeckten Lücken schätzt der Hersteller die Hälfte als »hochriskant« und den Rest mit der Gefährlichkeitsstufe »mittel« ein. Jetzt wurden zwei der Lücken offiziell mit Spectre 3a und 4 bezeichnet. Die US-Sicherheitsbehörde US-Cert bezeichnet sie offiziell als Side-Channel Vulnerability Variants 3a und 4, nachdem Intel sie am Pfingstmontag öffentlich gemacht hatte. Die neuen Verwundbarkeiten ähneln denen von Spectre, indem sie auch durch Lücken in der spekulativen Ausführung ausgenutzt werden können.

    Nicht nur Intel

    Bei Variante 3a handelt es sich um die als CVE-2018-3640 kategorisierte und in ihrer Gefählichkeit als »moderate« eingestufte »Rogue System Register Read«-Lücke (RSRE). Variante 4, auch »Speculative Store Bypass« (SSB) genannt, trägt die Kennung CVE-2018-3639 und ist als »important« gekennzeichnet. Intel kündigte Updates an und erklärte, die beiden Lücken beträfen wiederum fast alle CPUs des Herstellers aus den letzten zehn Jahren. Damit nicht genug, sind auch Prozessoren von AMD, ARM und IBMs Power8, Power9 und System Z betroffen. Intel hat inzwischen eine Liste seiner betroffenen Prozessoren veröffentlicht. Auch AMD und ARM haben Stellung bezogen.

    Microcode-Updates in der Erprobung

    Wann die Updates verfügbar sind, hat Intel bisher ebenso wenig verraten wie die anderen Hersteller. Es ist lediglich bekannt, dass Microcode-Updates in Beta-Versionen vorliegen, die in den nächsten Monaten stabil verfügbar werden sollen. Die Linux-Kernel-Entwickler haben bereits gestern Patches für Kernel 4.17 eingereicht. So reichte Thomas Gleixner Patches gegen SSB ein. Über Nacht folgten Patches für die PowerPC-Plattform. Die Patches sollen nun auf die weiteren unterstützten Kernel-Versionen rückportiert werden. Allerdings wird eine weitestgehende Entschärfung der Lücken auch diesmal nicht ohne neue Microcodes gehen.

  • Librem-5-Dev-Kit kann bis 31. Mai bestellt werden

    Librfem-5-Dev-Kit
    Mock-up des Librem 5 Gehäuses

    Die Bestellfrist für das Librem-5-Dev-Kit, ein Entwickler-Bausatz ohne Gehäuse und Akku, endet am 31.Mai. Das teilte Hersteller Purism auf seiner Webseite mit. Daraus geht auch hervor, dass dies eine einmalige Auflage ist, die nicht wiederholt wird. Nach dem Bausatz wird als nächstes das fertige Librem 5 Linux-Smartphone ausgeliefert. Purism hat die Spezifikationen für das Librem 5 Entwickler-Kit fertiggestellt und wird in der ersten Juniwoche 2018 alle Einzelteile bestellen und fertigen lassen. Der Preis für den Bausatz beläuft sich auf 399 US-Dollar.

    Leicht verspätet

    War die Auslieferung ursprünglich bereits für den Monat Juni vorgesehen, entschloss sich Purism, im Sinne der Kunden beim Prozessor auf die ersten Exemplare des i.MX-8M System On Module (SOM) zu warten anstatt den bereits länger verfügbaren Vorgänger i.MX-6 auszuliefern. Der neue Liefertermin für die Bausätze ist, je nach Eingang der Bestellung, August oder September.

    Noch Änderungen möglich

    Der Bausatz, dessen Komponenten noch Änderungen unterliegen können, besteht aus Mainboard, Touchscreen, Netzteil, einem Kamera-Modul sowie Kabeln und Sensoren. Neben dem i.MX-8M-SOM sind mindestens 2 GByte LPDDR4 RAM (das Endprodukt wird 4 GByte enthalten) und 16 GByte eMMC-Speicher mit im Paket. Der 5.7-Zoll große Touchscreen verfügt über eine Auflösung von 720 × 1440 Punkten. Zwei M.2-Karten für 3G und 4G Netzwerke sowie WLAN und Bluetooth sorgen für Kontakt mit der Außenwelt.

    Ohne Gehäuse und Akku

    Das Mainboard bringt alle notwendigen Motoren, Sensoren  und Slots für USB-3, microSD und SIM-Karte, 3,5mm Stereo-Audio-Jack sowie Mini-HDMI für einen externen Monitor mit. Wie die Notebooks von Purism verfügt auch dieses Board über Hardware-Killswitches für WLAN, Bluetooth, Kamera und Mikrofon. Im Unterschied zum fertigen Librem 5, an dessen Liefertermin im Januar 2019 Purism festhält,  enthält der Entwickler-Bausatz kein Gehäuse und keinen Akku, der dabei nicht benötigt wird.

  • Thunderbird 52.8.0 dämmt EFAIL ein

    Bild: Efail | Lizenz: Lizenz: CC0 1.0

     

    Am 18. Mai stellte Mozilla eine neue Version des E-Mail-Clients Thunderbird bereit. Thunderbird 52.8.0 beseitigt mehrere Sicherheitslücken, unter anderem auch in Bezug auf das Auslesen verschlüsselter E-Mails durch EFAIL. Ein Bug, der erst in der nächsten Version behoben werden wird, ist das weiterhin mögliche Darstellen mehrerer Teile einer Mail in einem einzigen HTML-Kontext. Damit besteht weiterhin die Gefahr einer direkten Exfiltration, bei der sich ein Angreifer durch Manipulation recht einfach den Inhalt verschlüsselter Mails übersenden lassen kann.

    Direkte Exfiltration

    Um einen Exfiltrations-Rückkanal zu erstellen, benötigt der Angreifer zunächst Zugriff auf die verschlüsselten E-Mails, etwa durch Abhören des Netzwerkverkehrs, durch Eindringen in E-Mail-Konten, E-Mail-Server oder Client-Computer. Der Angreifer manipuliert eine verschlüsselte E-Mail in einer bestimmten Weise und sendet diese geänderte verschlüsselte E-Mail an das Opfer. Der E-Mail-Client des Opfers entschlüsselt die E-Mail und lädt die manipulativ eingefügten externen Inhalte, wodurch der Klartext an den Angreifer weitergegeben wird.

    Externe Inhalte derzeit meiden

    Das funktioniert bei Thunderbird aber nur, wenn der Anwender selbst die Funktion zum Nachladen externer Inhalte aktiviert hat. Die ist bei Thunderbird von Hause aus deaktiviert. So rät Mozilla dann auch, falls verschlüsselte Mails nachfragen, ob sie externe Inhalte nachladen sollen, dies zurzeit unbedingt zu verneinen. In jedem Fall sollte möglichst zeitnah Thunderbird 52.8.0 installiert werden. Bis zur nächsten Thunderbird-Version 52.8.1 sollten Anwender  auf alle Fälle Vorsicht walten lassen, falls Mail-Verschlüsselung per PGP oder S/MIME verwendet wird. Wann mit Entwarnung durch Thunderbird 52.8.1 zu rechnen ist, hat Mozilla noch nicht erklärt. Standardmäßig wäre das nächste Release erst am 26.6.

  • KDE Plasma 5.13 Beta ist verfügbar

    KDE Plasma 5.13 Beta ist verfügbar

    KDE Plasma 5.13 Beta
    Quelle: KDE.org

     

    Eine Beta-Version des am 12. Juni erwarteten KDE Plasma 5.13 steht zum Testen bereit. Das Plasma-Team hat vier Monate an dieser neuen Ausgabe gearbeitet, die eine Fülle an Verbesserungen bietet. Die optisch auffälligsten Änderungen betreffen Plasma Browser Integration, die neu gestalteten Systemeinstellungen, den neue Login-Screen und den Software-Installer Discover.

    Plasma Browser Integration

    Unter Plasma Browser Integration sind eine Reihe von neuen Funktionen zusammengefasst, die Firefox, Chrome und Chromium-basierte Browser mit dem Plasma-Desktop interagieren lassen. Downloads werden nun wie bei der Übertragung von Dateien mit Dolphin im Plasma-Benachrichtigungs-Popup angezeigt. Das Mediensteuerungs-Plasmoid kann im Browser laufende Videos und Musik stumm schalten und überspringen. Mit KDE Connect können Links an Smartphones gesendet werden. Browser-Tabs können direkt mit KRunner über die Tastenkombination Alt-Space geöffnet werden. Um die Plasma Browser Integration zu aktivieren muss lediglich das entsprechende Plugin im verwendeten Browser installiert werden.

    Überarbeitung der Systemeinstellungen

    Die KDE-Systemeinstellungen werden bereits seit einiger Zeit optisch und organisatorisch neu gestaltet. Die KDE Visual Design Group hat viele der Werkzeuge in den Systemeinstellungen unter die Lupe genommen und ist dabei, ein neues Designkonzept zu implementieren. Dabei verleiht das Kirigami-Framework von KDE den Seiten ihr neues Aussehen. Bereits umgesetzt ist das Re-Design bei den Themen-Werkzeugen, bestehend aus den Icon-, Desktop-Themen- und Cursor-Themen-Seiten. Die Splashscreen-Seite kann nun neue Splashscreens aus dem KDE Store herunterladen, während die Schriftartenseite jetzt eine Vorschau der Subpixel-Anti-Aliasing-Einstellungen anzeigt. Die Seite für Mauseinstellungen wurde neu geschrieben und bietet Libinput-Unterstützung unter X und Wayland an.

    Sperr- und Anmeldebildschirm

    Die  Sperr- und Anmeldebildschirme haben ebenfalls ein neues Design und passen standardmäßig das Hintergrundbild der aktuellen Plasma-Version an. Der Sperrbildschirm verfügt nun über einen glatten Übergang von Fade zu Blur, um die Bedienelemente anzuzeigen, sodass er wie ein Bildschirmschoner verwendet werden kann. Verantwortlich für den Blur-Effekt, der auch im Dash-Menü den durchscheinenden Hintergrund verwischt, ist der Compositor KWin, der in Sachen Blur und Desktopwechsel eine Menge dazugelernt hat. Für Wayland unterstützt KWin mittels des XDG-Desktop-Portal-KDE erstmals Screencasts und das Teilen des Desktop.

    [su_slider source=“media: 5246,5249,5248,5247,5245,5244″ limit=“8″ link=“image“ width=“700″ height=“460″ pages=“no“ autoplay=“0″ speed=“0″]

    Discover

    Discover, KDEs Software- und Addon-Installer, hat mehr Funktionen und zeigt ebenfalls Verbesserungen im Design und in der Handhabung. Auch hier trägt das Kirigami-Framework dazu bei, die Darstellung von Listen und Kategorieseiten zu verbessern.  Diese verwenden nun Toolbars anstelle von großen Bannerbildern. Listen können sortiert werden und verwenden das neue Kirigami-Cards-Widget. Das Bewertungssystem mit Sternen  wird nun auf Listen und App-Seiten angezeigt. Anwendungssymbole verwenden das für den Desktop voreingestellte Icon-Theme. Alle AppStream-Metadaten werden nun auf der Anwendungsseite angezeigt. Die Arbeit an den neuen App-Formaten  Flatpak und Snap wurde fortgesetzt. Die Snap-Unterstützung ermöglicht nun die Kontrolle über die Berechtigungen von Anwendungen und es ist möglich, Snaps zu installieren, die den klassischen Modus verwenden. Die  Flatpak-Unterstützung bietet die Möglichkeit, das bevorzugte Repository auszuwählen, aus dem installiert werden soll, wenn mehr als eines eingerichtet ist.

    Weitere Verbesserungen

    Als technische Vorschau bringt Plasma 5.13 die Integration des GTK-Global-Menu mit. Der Kalender bietet ein neues Plugin für astronomische Events. KRunner bietet weitrere Plugins. So kann per F2 künftig unter anderem auch auf Konsolenprofile zugegriffen werden. Plasma Vault hat ein neues Backend für CryFS erhalten. Zudem können offene Vaults per KDE Connect geschlossen werden und Offline-Vaults werden unterstützt. Bei der Multi-Monitor-Unterstützung erscheint beim Anschluss eines neuen Monitors nun ein Dialog zur Konfiguration.

    KDE Plasma 5.13 wird am 12. Juni veröffentlicht und erhält bis zum September insgesamt fünf Aktualisierungen, bis es am 9. Oktober von Plasma 5.14 abgelöst wird.

  • Purism partnert mit Nitrokey

    Bild: Purism

     

    Purism,  das Unternehmen, das sicherheitsorientierte Hard- und Software entwickelt und produziert gab jetzt eine Partnerschaft mit dem Open-Source-Unternehmen Nitrokey, Hersteller von OpenPGP-Sicherheitstoken und Hardware-Sicherheitsmodulen (HSMs) bekannt, um Purekey, Purisms eigenen OpenPGP-Sicherheitstoken zu entwickeln. Nitrokey-Token bieten kryptografische Funktionen zum Schutz von E-Mails, Dateien, Festplatten, Serverzertifikaten und Online-Konten. Die Ankündigung folgt nur wenige Wochen nach der Bekanntgabe der Partnerschaft mit Kryptografie-Pionier und GnuPG-Erfinder Werner Koch.

    Einzeln oder mit Notebook

    Purism-Kunden sollen einen Purekey einzeln oder zusätzlich bei einer Laptop-Bestellung erwerben können. Für Aufträge zusammen mit einem Laptop kann Purism den Purekey werksseitig so vorkonfigurieren, dass er als einfach zu bedienende Festplattenentschlüsselung fungiert und mit vorverschlüsselten Notebooks ausgeliefert werden kann. Kunden können ihren Purekey beim Booten einstecken und ihr Laufwerk automatisch entschlüsseln, ohne eine lange Passphrase eingeben zu müssen. Die werksseitig generierten Schlüssel können vom Kunden jederzeit durch eigene Schlüssel ersetzt werden.

    Purekey integriert mit TPM und Heads

    Purekey soll auch ein wichtiger Bestandteil des abgesicherten Boot-Vorgangs von Purism sein. Purism wird Purekey eng in seine nicht manipulierbare Boot-Software integrieren, sodass Kunden Manipulationen an ihrer Hardware bereits ab Werk erkennen können.

    Unternehmenskunden verwenden seit langem Sicherheitstoken für die einfache und sichere Schlüsselverwaltung – von der E-Mail-Verschlüsselung bis hin zur Code-Signierung und Multi-Faktor-Authentifizierung. Mit Purekey sollen Privatkunden und IT-Abteilungen eine integrierte Lösung für Festplatten- und E-Mail-Verschlüsselung, Authentifizierung und einen manipulationssicheren Boot-Vorgang erwerben können, die einfach zu bedienen ist.

  • Canonical äussert sich zu Malware im Snap Store

    Canonical äussert sich zu Malware im Snap Store

    Nachdem vor einigen Tagen Malware im Snap Store von Ubuntu in zwei Apps entdeckt und entfernt worden war, äußert sich nun Mark Shuttleworth ausführlich zu Crypto-Mining-Apps und zur Sicherheit des Snap Stores. Shuttleworth stellt eingangs klar, dass es im Snap Store keine Regel gibt, die Crypto-Mining-Apps verbietet und diese Apps auch weder juristisch noch moralisch verwerflich seien. Allerdings müsse der Anwender informiert werden, dass die entsprechende App im Hintergrund CPU-Ressourcen des Nutzer-PCs verwendet, um Cryptowährungen und somit Gewinn für den Autor der App zu generieren.

    Nicolas Tomb, der Autor der beiden Snaps, die jeweils ein Spiel und den Code zum Crypto-Mining enthielten, hatte an keiner Stelle erwähnt, dass die App im Hintergrund Crypto-Mining betreibt. Im Gegenteil hatte er diese Funktionalität verschleiert und mit einer proprietären Lizenz den Einblick in den Code verhindert. Die entsprechenden Apps werden jetzt von vertrauenswürdiger Seite neu verpackt und wieder in den Snap Store eingestellt.

    Sicherheit gewährleisten

    Eine Herausforderung beim Betrieb eines Software-Repositories ist, sicherzustellen, dass die veröffentlichte Software tatsächlich nur das tut, was sie soll. In den klassischen Ubuntu-Repositories basiert die Software auf einer vertrauenswürdigen Infrastruktur, wo Pakete per Entwickler-Schlüssel abgesichert sind.  Snaps ermöglichen es Publishern, ihre Software über eine Vielzahl von Linux-Distributionen schneller an Benutzer zu verteilen, jedoch bei verminderter Kontrolle. Die meisten App-Stores bieten ein automatisches Review auf technische Funktionalität und zusätzlich eine manuelle Durchsicht auf verdächtige Komponenten. Laut Shuttleworth ist beides auch beim Ubuntu Snap Store der Fall.

    Weiterhin meint Shuttleworth:

    Selbst dann ist es aufgrund der inhärenten Komplexität der Software unmöglich, dass ein großes Repository Software erst dann akzeptiert, wenn jede einzelne Datei im Detail geprüft wurde. Das gilt unabhängig davon, ob Quellcode verfügbar ist oder nicht, denn keine Institution kann es sich leisten, jeden Tag Hunderttausende von eingehenden Quelltextzeilen zu überprüfen. Aus diesem Grund basiert das erfolgreichste Vertrauensmodell auf der Herkunft der Software, nicht auf ihrem Inhalt. Mit anderen Worten, vertrauen Sie dem Herausgeber und nicht der Anwendung selbst.

    Keine Ausreden zulässig

    Der letzte Satz drückt aber genau das aus, was anscheinend im Snap Store bisher nicht angewendet wird. Shuttleworth verspricht im weiteren Text, die Sicherheit schrittweise zu erhöhen. Eine der Maßnahmen dazu soll die Verifizierung von vertrauenswürdigen Publishern sein. Snaps aus solchen Quellen sollen dann speziell als vertrauenswürdig ausgewiesen werden. Es bleibt abzuwarten, wie sich die Situation hier verbessert. Im Endeffekt kann sich aber Shuttleworh nicht reinwaschen, indem er sagt, es sei wegen der Komplexität nicht möglich, einen sicheren Snap Store zu betreiben. Wenn das nicht möglich ist, muss das Angebot so eingeschränkt werden, dass die Sicherheit gewährleistet werden kann oder der Laden sollte schließen.

  • EFAIL – der Tag danach

    EFAIL
    Bild: Efail | Lizenz: CC0 1.0

     

    Erstaunlich ruhig ist es am Tag nach der Panik verbreitenden Enthüllung mit dem Namen EFAIL. Bereits gestern Abend hatte auf Twitter und G+ die Kritik an der Veröffentlichung und der darauf aufbauenden Berichterstattung eingesetzt. Auch dieses Blog muss sich, wie fast alle, diesen Schuh anziehen. Die Tageschau hatte sich sogar dazu verstiegen zu titeln, Forscher hätten die E-Mail-Verschlüsselung geknackt. Nun weiß es die ganze Welt: E-Mails sind unsicher. Das wissen informierte Anwender schon seit mehr als zwei Jahrzehnten. Ebenso ist die Tatsache, dass man in Mails kein HTML nutzen will, kein Geheimnis und jeder kann sich mit ein wenig Google-Suche darüber informieren, warum das so ist.

    Der Erfinder ergreift das Wort

    Werner Koch, der Erfinder von GNU Privacy Guard (GnuPG) äußerte sich bereits gestern Mittag auf der GnuPG-Mailingliste dahingehend, er sehe die Aussagen in Bezug auf PGP als reichlich überzogen. Koch empfiehlt demnach auch, kein HTML in E-Mails zu nutzen. Wenn es unumgänglich ist, solche Mails anzunehmen, solle man sicherstellen, dass der MIME-Parser des E-Mail-Cients es nicht erlaubt, entschlüsselte HTML-MIME-Anteile aneinanderzuhängen, wodurch solche Angriffe erst möglich werden.

    MDC umstritten!?

    Eine weitere Möglichkeit, Angriffe dieser art zu blockieren, ist die Verwendung von authentifizierter Verschlüsselung, die laut Koch bei PGP bereits seit 2001 verfügbar ist. Sie basiert auf Modification Detection Code (MDC) und wurde damals wegen ähnlicher Angriffe eingeführt. Die Methode ist je nach Implementierung im Client nicht zu 100 Prozent zuverlässig, aber wesentlich besser als im Fall von S/MIME, der über keine funktionierende authentifizierte Verschlüsselung verfügt. Korrekt arbeitende E-Mail-Clients geben bei jeder PGP-verschlüsselten Mail, die keinen MDC-Anhang enthält, eine Warnung aus, dass die Authentizität der Mail nicht verifiziert werden konnte und sollten das Öffnen der Mail verweigern. Gleiches gilt bei Anzeichen einer Manipulation der Mail.

    Hanno Böck, Berliner Sicherheitsexperte, der für Golem.de, die »TAZ« und »Die Zeit« schreibt, erklärte gestern auf Golem, die Datenauthentifizierung mit MDC sei mangelhaft. Seine Begründung: »Wenn die MDC-Authentifizierung fehlschlägt, werden die Daten trotzdem von GnuPG entschlüsselt und ausgegeben, erst hinterher erfolgt eine Benachrichtigung, dass die entsprechenden Daten ungültig sind.« Das gilt nach seiner Aussage für einige »naive« Mail-Clients. Er fährt fort: »Korrekt implementiert dürften ungesicherte Daten nie ausgegeben werden, sondern müssten immer verworfen werden.«

    Papier falsch betitelt

    Sicherheitsexperte und Mitentwickler der Thunderbird-Erweiterung Enigmail, Robert J. Hansen haut mit seiner Kritik in die gleiche Kerbe wie Koch und kritisiert den Rat der EFF, Enigmail, die Verschlüsselungserweiterung von Thunderbird sofort zu entfernen. Er sagt, das Papier der Forscher (PDF) sei falsch betitelt, denn die Lücken erlaubten Angriffe auf fehlerhafte E-Mail-Clients, nicht auf die Verschlüsselung selbst.

    Somit erscheint am Tag danach EFAIL als reichlich aufgeblasen und überzogen. Panikmache hilft nicht an der Stelle, wo handfeste Aufklärung und die korrekte Benennung der Schuldigen vonnöten wäre.