News
BSI überarbeitet Richtlinie RESISCAN, verbietet JBIG2
Im Nachgang zur Xerox-Saga und meinem 31C3-Vortrag überarbeitet das Bundesamt für Sicherheit in der Informationstechnik seine Richtlinie zum „Ersetzenden Scannen“ (= Rechtssicheres Scannen von Dokumenten unter Vernichtung der Originale). Vorab ist gestern einer der Kernpunkte der Überarbeitung auf der RESISCAN-Webseite des BSI erschienen. Ich zitiere:
Bei der Umsetzung der TR-RESISCAN ist hinsichtlich der Auswahl geeigneter Kompressionsverfahren folgende Regelung zu beachten:
- Beim Scannen MUSS auf die Auswahl geeigneter Bildkompressionsverfahren geachtet werden.
- Als grundsätzlich geeignet werden sowohl verlustfreie als auch verlustbehaftete Verfahren angesehen.
- Verfahren, die zur Bildkompression die sog. „Pattern Matching & Substitution“ - Vorgehensweise nutzen, DÜRFEN NICHT eingesetzt werden. Auch das verwandte „Soft Pattern Matching“ DARF NICHT eingesetzt werden.
[…] Diese Regelung ist ab sofort (16.03.2015) gültig und wird mit dem nächsten Release in die Technische Richtlinie BSI TR-03138 aufgenommen.
Pattern Matching & Substitution ist die Standardvorgehensweise bei lossy JBIG2, und Soft Pattern Matching die bei lossless JBIG2 (Infos hier oder in den Veröffentlichungen von Paul Howard et al.1)). Es werden also sowohl die verlustfreie, als auch die verlustbehaftete Variante des verbreiteten JBIG2-Formats „verboten“. Im JBIG2-Standard heißt das ganze „Symbol Matching“.
Den ein oder anderen Leser mag es überraschen, dass auch Seiten, die mit lossless JBIG2 komprimiert wurden, nun plötzlich nicht mehr rechtssicher sein sollen. Immerhin ist es doch schon etwas wert, wenn mittels lossless JBIG2 sichergestellt ist, dass sich die Bilddaten nicht verändern. Die Krux liegt hier in der rechtlichen Praxis:
Ist Ihr Unternehmen vom Xerox Scanning-Bug betroffen?
Bei mir melden sich gerade immer mehr Unternehmen, die sich fragen, ob sie erhebliche Probleme haben. Manche sind sich auch schon sicher, dass sie Probleme haben, teils in sicherheitskritischen Tätigkeitsfeldern. Alle haben – verständlicherweise – die Angst vor Publicity gemeinsam. Betroffene Unternehmen haben in der Regel drei Ziele:
- Sie wollen das Problem lösen, nach Möglichkeit rückwirkend
- Sie wollen keine Publicity, bei vielen Angestellten nach Möglichkeit nicht einmal intern
- Sie wollen den Anspruch auf Schadenersatz beibehalten, müssen also aufpassen, nicht im Überschwang Beweismittel für die Fehlfunktion zu vernichten.
Diese Ziele widersprechen teilweise einander; auch große Unternehmen sind nicht gefeit vor Anfängerfehlern. Darum pauschal: Jeder, der sich bei mir meldet, um überhaupt erst einmal die Lage einzuschätzen, kann sich darauf verlassen, dass ich seine Identität nicht preisgebe. Das habe ich über die ganze Angelegenheit so gehandhabt, und damit höre ich jetzt auch nicht auf. Kontaktdaten stehen im Impressum.
Video meines Xerox-Vortrags auf dem 31C3
Hier ist der Youtube-Videomitschnitt meines Vortrags „Glaube keinem Scan, den du nicht selbst gefälscht hast“ auf dem 31. Chaos Communication Congress (31C3). Die Deutsche Version ist unten eingebettet. Achtung: Im ersten Video des CCC fehlte diese Passage, die quasi den Spannungshöhepunkt darstellte. In den neuen, hier verlinkten Videos ist die Passage drin.
Auf den Videos sieht man auch, wie unheimlich gut die Stimmung war! Ich musste selbst ungehörigerweise immer wieder lachen. Das lag auch daran, dass jemand in der ersten Reihe die ganze Zeit unglaublich ansteckend gelacht hat, da fällt es dann auch schwer, ernst zu bleiben, zumal mir der Vortrag auch Spaß gemacht hat. Seid mir also gnädig. Es folgt noch etwas mehr Material:
- ENGLISH TRANSLATION of the talk video. Ich bin beeindruckt von dem Service! Besonders symphatisch finde ich, wie die Übersetzer auch manchmal lachen müssen.
- Hier noch ein Bewertungsformular für den Vortrag, bitte gebt Feedback! Achtung, das sind keine Schulnoten!
Hier gibt es auch noch mehrere Links auf die Artikel zur Obamasache von den Leuten von Reality Check, die ich im Vortrag erwähnt hatte. Die haben das aber technisch viel netter auseinandergenommen als ich im Vortrag konnte (bei mir war es ja auch nicht Primärthema). Viel Spass
Folien zu meinem Vortrag auf dem 31C3
Hier ist Material im Nachgang zu meinem Vortrag „Glaube keinem Scan, den du nicht selbst gefälscht hast“ auf dem 31c3, darunter die Folien. Das Feedback ist unglaublich, hätte ich so echt nicht erwartet, alleine die Anzahl Mails. Danke, danke, danke!! War ein Hammererlebnis für mich
- Zuerst eine kleine Bitte: Hier könnt ihr meinen Vortrag bewerten, darüber würde ich mich SEHR freuen! Keine Angst haben vor der Seite, das ist ein self-signed certificate, da müsst ihr einfach „Ausnahme hinzufügen“ klicken oder so.
- Hier ist der Downloadlink zu den Folien (PDF, knapp 4MB)
P.S.: Als Splash-Pic habe ich extra das erste im Vortrag gewählt