Alles klar…

Wer mal wissen will, an welchen Rechtsauffassungen sich die Abmahnbranche berauscht, kann sich hier ein Bild machen.

So eindeutig, wie das alles ist, müsste doch gerade Licence Keepers, auch im Geschäft mit den verwesenden Resten der Pornoindustrie, eine Klage nach der anderen raushauen. Sie können ja gar nicht verlieren…

Seltsamerweise kommt aber trotz lautstarker Klagedrohungen nichts. Wobei ich natürlich nur für die Fälle sprechen kann, die über meinen Schreibtisch gehen.

51 Gedanken zu “Alles klar…

  1. 1
  2. 2

    Ich halte das für grob fahrlässig. Aber ernsthaft den Menschen davon abzuraten, sich einen Anwalt zu nehmen … tztztz

  3. 3

    Noch peinlicher als diese FAQs ist der “Newsflash” auf der Homepage der Firma. “LG XYZ erlässt einweilige Verfügung”.

    Gibt es auch zweiweilige Verfügungen? :-)

  4. 4

    Mich als Laien würde es ganz ernsthaft mal interessieren, ob wegen dieser Texte eine Anzeige wegen Nötigung oder Erpressung auch nur halbwegs erfolgversprechend wäre; und wenn nicht, warum nicht.

  5. 5

    3. Wie wird denn gewährleistet, dass die aufgezeichneten Daten richtig sind?

    Dies ist letztlich ganz einfach: So, wie beispielsweise bei einer Radarmessung eines zu schnell fahrenden Fahrzeuges der messende Polizeibeamte als Zeuge versichert, dass die erfasste Geschwindigkeit mit dem erfassten Fahrzeug übereinstimmt und vielleicht sogar noch ein Lichtbild vorliegt, so gehen professionelle Firmen mit eigens ausgebildeten Mitarbeitern hin und ermitteln mit einem technischen Verfahren, welche IP-Adresse das in Rede stehende urheberrechtlich geschützte Werk ins Internet stellt. Die Uhrzeit wird hier mit dem Server ptbtime1.ptb.de der Atomzeituhr der physikalisch-technischen Bundesanstalt in Braunschweig abgeglichen und ermittelt.

    Ist eine solche Beweisführung mittels screen-shot und eidesstattlicher Versicherung vor Gericht als Beweis ausreichend?

    Sowohl für die Strafgerichte, als auch für die Zivilgerichte reicht eine solche Vorgehensweise als Beweis aus.


    klar.

  6. 6
  7. 7

    Ich würde sagen, bei denen herrscht das Pippi-Langstrumpf-Prinzip: “Hey … ich mache mir die Welt, wie sie mir gefällt.” Oder ich nehme nur das zur Kenntnis, was mir gefällt, insbesondere wenns um Gerichtsurteile geht.

  8. 8
  9. 9

    34. Hat die Abgabe der strafbewehrten Unterlassungserklärung und die Zahlung von Schadenersatz Auswirkungen auf das Strafverfahren?

    Indirekt auf jeden Fall. Im Rahmen der Prüfung der strafrechtlichen Verantwortung und der strafrechtlichen Schuld für ein Verhalten wird regelmäßig auch das Verhalten nach der Tat von den Ermittlungsbehörden berücksichtigt. Wenn also beispielsweise einer einen Diebstahl begeht und hierfür eine Tür aufbricht und sich anschließend bei dem Bestohlenen entschuldigt und den Schaden ersetzt, so zeigt er, dass er zur Rechtstreue zurückgefunden hat und das Ermittlungsverfahren wird auf jeden Fall für ihn günstiger verlaufen.

    Schön ;-)

  10. 10

    Meine Lieblingsstelle: ” … Ein hash-code ist ein code, der wie eine Art digitaler Fingerabdruck eine Datei unmissverständlich beschreibt. Ändert man in einer solchen Datei auch nur ein bit oder ein byte, so ändert sich der hash-code vollständig. Dies bedeutet anders herum, dass bei einem identischen hash-code immer auch eine identische Datei vorliegen muss. …”

    Da haben die “eigens ausgebildeten Mitarbeiter” wohl nicht ganz verstanden wie Hash-Funktionen funktionieren.

  11. 11

    Auch sprachlich interessant: Gerade die fehlerhaftesten Rechtsauffassungen versuchen sie mit Superlativen zu übertünchen. “[...] absolut herrschende Auffassung [...]“

  12. 12
  13. 13

    Einige Anschnitte der FAQ tangieren zumindest den Bereich in dem man von einer arglistigen Täuschung sprechen kann. Schließlich soll der Leser durch selektive und teils wahrheitswidrige Aussagen eine Zahlung bewegt werden, die ansonsten nicht geleistet worden wäre.

  14. 14

    Bei diesem Blogeintrag kommen wir wirklich alle auf unsere Kosten. Juristen, Sprachwissenschaftler, Informatiker, Rechtschreibfetischisten und die Soziologen können auch interessiert zuschauen und herzhaft lachen.

  15. 15

    das will ich sehen, wie //professionelle Firmen mit eigens ausgebildeten Mitarbeitern// die real ip ermitteln wollen, Tor und fremdes w-lan vom nachbarn lassen grüßen, aber trotzdem süß, frechheit siegt

  16. 16

    @1: Richtig lustig finde ich, dass man bei U+C unter Donwloads nur eines findet:

    Schuldanerkenntnis und Ratenzahlungsgesuch(PDF, 54 kb)

  17. 17

    faq == fast alles quark.

    wenn man bedenkt, dass es sich bei dem eigentlich um werbung handelt: serviervorschlag.

    .~.

  18. 18

    Zu Punkt 3 (“Wie wird denn gewährleistet, dass die aufgezeichneten Daten richtig sind?”):

    Wird ein Urheberrechts Vergehen tatsächlich vor Gericht mit einem Screenshot bewiesen der von einer vom Rechteinhaber beauftragten Person gemacht wurde?

    Man könnte unterstellen das die Person erhebliches Interesse daran hat solche Beweise zu fälschen um an Geld zu kommen bzw. um seinen Arbeitsplatz zu sichern!
    Eigentlich sollte so ein Screenshot doch von einem unbeteiligten dritten wie z.B. einem Notar oder Polizeibeamten erstellt und beglaubigt werden…?

  19. 19

    Auch sehr auffällig, wie oft zum Beweis der “absolut herrschenden Auffassung” auf das LG Hamburg verwiesen wird… :D

  20. 20
  21. 21

    Interessant finde ich die Antworten zu Punkt 16 und 17. Wenn man ein offenes WLAN betreibt haftet man, klar. “Hat man es abgesichert …, so bleibt logischerweise nur noch die Rechtsverletzung durch den Anschlussinhaber allein übrig.” Selten so gelacht … Klar war es dann der Anschlussinhaber, denn es gibt zwar zigtausend böse Urheberrechtsverletzer, aber natürlich keinen, der gegen § 202a Strafgesetzbuch verstößt.

    IMHO hat noch kein Gericht geklärt, ob schon z.B. eine WEP-Verschlüsselung ausreicht um die Störerhaftung auszuschließen. Ich meine, die ist ja ähnlich sicher wie die CSS-Verschlüsselung auf DVDs, und diese Verschlüsselung ist ja nach Ansicht der Filmindustrie auch ein wirksamer Kopierschutz, dessen Umgehung strafbar ist….

  22. 22

    @ 10. Dennis:

    Ja, an der Stelle musste ich auch herzlich lachen. In diesem Zusammenhang halten die “eigens ausgebildeten Mitarbeiter” Kollisionen sicher für Autounfälle.

  23. 23

    Dennis: Allgemeingültig ist die Aussage zur Hashidentität natürlich nicht, in diesem Kontext aber nicht überzogen, denn heutige File-Sharing-Systeme setzen normalerweise auf etablierte, kryptographische Hash-Algorithmen, die dem Stand der Technik entsprechen und deshalb auch in ganz anderen Bereichen eingesetzt werden, mit genau der gleichen Annahme, dass gleicher Hash gleicher Inhalt bedeutet. Wenn man pingelig ist, könnte man dass “muss” durch das bekannte “mit an Sicherheit grenzender Wahrscheinlichkeit” ersetzen.

    Ich hoffe, Ihnen ist bewusst, dass Fingerabdruck- und selbst der DNA-Vergleich ein sehr viel höhere Fehlerrate haben und trotzdem quasi als unumstößliche Beweise angesehen werden. Über die Fehlerrate bei der Korrektheit von Zeugenaussagen könnte man sicherlich ganze Abhandlungen schreiben.

  24. 24

    “Hierbei arbeiten wir mit renommierten, international tätigen Anwaltskanzleien zusammen. Weiterhin werden wir und unsere Klienten von einem auf das Internet spezialisierten Rechtsanwalt betreut, der regelmäßig Richter und Staatsanwälte auf diesem Sektor schult.”

    das klingt ja gruselig!

  25. 25

    Also mir gefallen am besten die vielen “Eindeutig, ja” auf Fragen, die man auch mit “ganz sicher nein” beantworten kann. Nr. 5 ist auch nicht schlecht, wo geschildert wird, wie die Staatsanwaltschaften als Unterabteilungen der Rechteinhaber funktionieren. “Verwesende Reste der Pornoindustrie” ist natürlich auch nicht schlecht, allerdings scheint mir der Vorwurf besser in Richtung der Abmahnanwälte zu funktionieren. Denn dass es sich bei den Werken um Pornos handelt, ist eigentlich egal. Das Geschäft würde mit jedem Mist gemacht.

  26. 26

    @24: Es gibt ca. 6*10^9 ~ 2^33 Menschen auf der Welt, also leicht mehr als es unterschiedliche Dateien mit4 Byte gibt. Eine Trefferquote besser als 1:10^10 würde also bei Fingerabdrücken ausreichen, aber nichteinmal um alle 5-Byte-Dateien auseinanderzuhalten.

  27. 27

    @27. (Johann)
    Wären die Hash-Algorithmen wirklich so schlecht, würde BitTorrent nicht funktionieren, da die Tracker nur die Hash-Werte der Dateien haben.

  28. 28

    @10 Dennis:

    Eigentlich sollten die sich fragen, warum es überhaupt Leute gibt, die sich dann noch die Dateien runterladen. Wenn der Hashcode so eindeutig einer Datei zugeordnet werden kann, dann müsste man aus dem Hashcode auch die Datei wieder rekonstruieren können. Und den Hashcode kann man doch so viel schneller herunterladen.

  29. 29

    @24:
    Die ueblichen Tauschboersen und BitTorrent benutzen MD5 oder SHA1. Fuer MD5 ist eine Known-Prefix-Attacke leicht ausfuehrbar. Siehe dazu den Vortrag zum gefaelschten SSL-Zertifikat vom 25C3. SHA1 gilt als nur wenig sicherer. Known-Prefix ist zwar noch keine komplette Attack um beliebige Hash-Kollisionen zu erzeugen, aber ausreichend stark, dass die Beweiswuerdigung fragwuerdig ist.

    Es ist zu beachten, dass die Verwendung von Hash-Funktionen in Tauschboersen auch einen anderen Zweck hat, als die Identitaet beim Schutz vor *absichtlichen* Manipulationen auszuschliessen.

  30. 30

    @24 “denn heutige File-Sharing-Systeme setzen normalerweise auf etablierte, kryptographische Hash-Algorithmen” … kann man so nicht sagen … BitTorrent nutzt z.B. SHA1, der IMHO mittlerweile nicht mehr sicher ist. sprich, man könnte durchaus gezielt eine Datei erzeugen, welche denselben Hash hat wie ein Urherberrechtlich geschütztes Werk. …. So etwas ähnliches hat ja 2004 auch schon eine skandinavische Firma im Auftrag der Musik-/Filmindustrie versucht.

    Im allgemeinen wurde auch noch nirgendwo bewiesen, dass die eingesetzte “Überwachungssoftware” auch wirklich sichere Ergebnisse liefert. Im Gegenteil, es bekamen genug Leute eine Abmahnung, die die betreffenden Dateien nie “zum Download angeboten haben”. (siehe Leecher-Mod) … auch das erwähnen die in ihrer faquark nicht.

  31. 31

    Jetzt bin ich wegen des Hash etwas verunsichert .. lade ich mir mit Emule jetzt eine Disko- oder Pornographie herunter? Van Morrison oder “voll auf den Arsch gespritzt”? Naja … in 2 Stunden werde ich es wissen ;-))

  32. 32

    Johann: Wie reden hier aber nicht von 4-Byte großen Dateien, sondern solchen die szenetypisch million-fach größer sind. Schon ab wenigen hundert Bytes wird es bei einem kryptographisch sicheren Hash völlig utopisch, selbst mit einem derzeitigen Supercomputer, in vertretbarer Zeit gezielt Kollisionen herbeizuführen.

    Kraven: Ist das jetzt ein Scherz, oder verstehen Sie wirklich nicht, was ein Hashing-Verfahren ist?

    Joerg Sonnenberger: Keine mir bekannte Tauschbörse hat jemals MD5 benutzt. BitTorrent und Gnutella nutzen SHA-1, Gnutella zusätzlich Tigertree. eDoney benutzt einen modifizierten MD4. Immerhin gilt SHA-1 als sicher genug, dass trotz der bekannten Angriffe auf MD5 und SHA-1-Varianten, auch in sensitiven Bereichen nicht auf einen Nachfolger umgeschwenkt wurde. Ihnen ist sicher bekannt, dass TLS/SSL, PGP/GnuPG und zig andere Protokolle wie Storage-Systeme auf SHA-1 setzen.

    Die Verwendung von SHA-1 beim File-Sharing hat definitiv auch den Zweck vor Manipulation zu schützen. Sonst hätte man CRC-32 oder sonstige Spielereien benutzt. Natürlich dient es auch dem Auffinden zusätzlicher Download-Quellen und dem Erkennen von Dupletten, aber wie gesagt nicht nur.

    Tostan: Nein, kann man definitiv bei SHA-1 bislang noch nicht.

    ghost: Das kann man normalerweise anhand des Hashs bei szenetypischen Informationsquellen vorab prüfen, sofern die Datei schon bekannt und diese Informationsquelle vertrauenswürdig ist.

    Man kann allerdings DNA-Proben an jeden beliebigen Ort bringen. Man kann Fingerabrücke sehr leicht kopieren und duplizieren. Ich hoffe es ist wenigstens bekannt, das keineswegs die komplette DNA verglichen wird, sondern nur einzelne Gene und dass DNA-Proben am Tatort oft nur bruchstückhaft vorliegen und im Labor DNA noch synthetisiert werden muss. Hinzu kommt wie fleißige Lawblog-Leser wissen sollten, dass Organspenden sich auf die DNA auswirken, sodass Empfänger DNA-Spuren des Spenders hinterlassen können. Ebenso gibt es Zwillinge, von denen niemand, nicht einmal die Geschwister etwas wissen. Die Wahrscheinlichkeit dass eine DNA-Probe richtig zugeordnet wird ist in der Praxis ganz sicher nicht 1 zu 10 Milliarden, sondern wesentlich geringer.

    Für Fingerabdrücke gilt ähnliches. Ein Täter hinterlässt reichlich selten komplette Abdrücke wie man sie in Akten findet. “Fingerabdruckzwillinge” sind unter diesen Umständen noch viel wahrscheinlicher als “DNA-Proben-Zwillinge”. Das zeigt sich allerdings erst in der Praxis seitdem man nicht nur Verbrechern Fingerabdrücke abnimmt.

    Letztlich ist es aber wohl relativ egal, dass ein Hash wesentlich gewichtiger ist. Denn als Beweis für die Tat ist der letztlich genauso wenig wirksam wie eine IP-Adresse, schon deshalb weil ein minimaler Fehler in der Software oder gar nur eine um Sekunden falsche Uhrzeit, dazu führen kann, dass diese Daten einem ganz anderen Teilnehmer zugeordnet werden.

  33. 33

    “Ich halte das für grob fahrlässig. Aber ernsthaft den Menschen davon abzuraten, sich einen Anwalt zu nehmen … tztztz”

    Kann man da nicht über die Anwaltskammer was machen? Solchen “Organen der Rechtspflege” sollte man die Zulassung entziehen.

  34. 34

    @33 Nicht der Udo:

    Ich schon, aber die, die es für so eindeutig halten offenbar nicht.

    Wer etwas schreibt wie “Dies bedeutet anders herum, dass bei einem identischen hash-code immer auch eine identische Datei vorliegen muss”, der geht offensichtlich nicht von einem Hash-Verfahren aus, sondern von einer sehr sehr guten Kompression. Und bei so einer guten Kompression, sollte man das doch vernünftig nutzen ;-)

  35. 35

    Ach Kraven, beschäftige Dich mal ein bißchen mit Kryptographie.

    Bei guten Hash-Verfahren (SHA-1) ist eine Kollision (zwei Dateien finden, die denselben Hash-Wert haben) so selten, dass die Berechnung einer solchen nach heute bekannten Verfahren alle weltweit verfügbare Rechenleistung über Jahrhunderte auslasten würde.
    Das gilt so ähnlich selbst für das mittlerweile theoretisch unsichere MD5.

    Das ist der heutige Stand. Natürlich kann sich daran etwas ändern, wenn irgendwann jemand neue Algorithmen entdeckt.

    Die selben Verfahren werden beispielsweise auch genutzt, um die Identitäten von Zertifikaten sicherzustellen beispielsweise für https (Onlinebanking, …) oder verschlüsselte e-mail Übertragung.

    (Eine Originaldatei kann man aus dem Hash-Wert selbstverständlich nicht generieren.)

  36. 36

    @36 jos:

    Ich merke du liest was ich schreibe, aber du verstehst nicht was ich damit aussagen will. Ich habe keine Lust meine Gedankengänge für dich zu entwirren, also belassen wir es dabei.

    Du darfst mir aber gerne glauben, dass ich weiß was ein Hash-Verfahren ist und auch ein wenig Ahnung von Kryptografie habe, zumindest genug um mitreden zu können. Aber du musst nicht, wenn du nicht willst.

  37. 37

    Oh, ist ja glatt Rechtsberatung; im Impressum steht zwar eine

    Licence Keeper AG
    Verwaltungsratpräsident: Rolf A. Kälin
    Bahnstrasse 102
    CH-8105 Regensdorf
    Firmen-ID Nr: CH-170.3.026.135-2

    jedoch wird offensichtlich unter dem Link “Urheberrechtsgesetz”
    http://www.licence-keepers.ch/index.php?option=com_content&task=blogsection&id=5&Itemid=28
    das deutsche, zumindest aber das eines (deutschsprachigen?) EU-Staates angeführt, im Gesetztestext ist von Euro die Rede – hat die Schweiz den auch schon eingeführt..?

    Ah: “Geändert am: 01.11.2007″

    Na, ob dort die letzten Entscheidungen in .de und .at wahrgenommen wurden, insbesondere Haftungsfragen betreffend?

    Stuff

  38. 38

    Also (kurioserweise) das LG HH sieht das nicht so, daß ein Screenshot ausreicht. Und die eidestattl. Versicherung ist auch eher nur ein zahnloser Tiger.
    LG Hamburg, Urteil vom 14.03.2008 – Az. 308 O 76/07

    Und wenn man weiß, was das LG Offenburg genau entschieden hat, sieht das, was die verlinkte Seite in seinen FAQ “beweisen” möchte, ganz anders aus.

    “…
    III.
    Das AG Offenburg hat somit im Ergebnis zutreffend den Antrag der StA auf Erhebung der Verbindungsdaten zurückgewiesen.
    …”

    LG Offenburg Beschl. v. 17.04.2008 Az: 3 Qs 83/07.

    Das ganze Gebahren erinnert mich an die besagte RAin aus M, die das AG Wiesbaden zitiert, aber auch da nur einen winzigen Teil und den noch nicht mal richtig. Den wesentlichen bzw. wichtigeren Teil läßt sie außen vor. Wäre ja auch sonst kontraproduktiv für sie.

    AG Wiesbaden – Urt. v. 04.08.2008 Az: 93 C 619/08

    Und die Kosten für einen RA, der massenweise Abmahnung versendet, muß man eben nicht tragen. Wichtig ist nämlich, daß die Kosten für die Einschaltung eines RA “im Grundsatz” zu tragen sind.
    Vgl. mal das “kleine” AG Mannheim, Urteil vom 15.12.2006 – Az. 1 C 463/06. Ferner die Begrenzung gem. § 97a UrhG
    http://bundesrecht.juris.de/urhg/__97a.html. Das soll jetzt nicht heißen, lustig drauflos machen. Aber das schon fast wegelagerhafte Treiben mancher Abmahn-”Anwälte” geht nicht nur dem Laien mächtig auf den Kranz.

    Ferner drängt sich nicht nur mir der Verdacht auf, daß die absichtlich Videos usw. in Tauschbörsen einstellen, um dann wie ein Angler jmd. an den Haken zu bekommen. Dann könnte man aber auch über die Strafbarkeit u.a. gem. § 184 StGB nachgedacht werden. Aber ob sich da eine StA findet…? Wenn manche StA schon sich hilflos gibt, gegen eine RAin zu ermitteln, die aufgrund ihrer Untriebe (im wahrsten Sinne des Wortes) tägl. 15.000 – 20.000 € Eingänge auf dem Kto. hat, was soll dann werden. Manch einer, den sie so abzieht, bekommt diese Beträge nicht mal in einem Jahr ausgezahlt!

    Und selbstverständlich bedarf es der Originalvollmacht.

    Und jeder Student lernt: “h.M.” ersetzt nicht die Argumentation.

    Also die ganze verlinkte Seite ist “Schrott” und macht nur einen auf Pfau.

  39. 39

    Das Witzige ist doch, dass die Fingerprints angeblich zum Beweis der Identität von Kopie und Werk verwendet werden:

    “Man mag leicht denken, dass man einfach argumentiert, dass es sich nicht um das in Rede stehende urheberrechtliche Werk handelt. Diese Argumentation ist jedoch nicht durchgreifend. Ein hash-code ist ein code, der wie eine Art digitaler Fingerabdruck eine Datei unmissverständlich beschreibt. Ändert man in einer solchen Datei auch nur ein bit oder ein byte, so ändert sich der hash-code vollständig. Dies bedeutet anders herum, dass bei einem identischen hash-code immer auch eine identische Datei vorliegen muss.”

    Eben. Wenn zwei funktionale Dateien denselben Hash-Wert haben, ist ihre Identität praktisch nicht in Zweifel zu ziehen (nicht-funktionale Kollisionen zu erzeugen, ist dagegen sehr einfach). Umgekehrt kann aber der Kopie ein anderer Hash-Wert verschafft werden durch eine minimale Manipulation, die die Integrität der Datei in keiner Weise beeinflusst. Für die “umkehrte” Argumentation ist ein Hash-Code vollkommen nutzlos, weil sich unzählige funktional identische, hashverschiedene Kopien erzeugen lassen.

  40. 40

    Diese Dummdreistigkeit tut nur noch weh. Dafür müßten die schon Schmerzensgeld zahlen. Aber ausgerechnet diesen Vordruck vermisse Downloads.

    Meine IP ist übrigens 192.168.1.2.

  41. 41

    Einige Anschnitte der FAQ tangieren zumindest den Bereich in dem man von einer arglistigen Täuschung sprechen kann. Schließlich soll der Leser durch selektive und teils wahrheitswidrige Aussagen eine Zahlung bewegt werden, die ansonsten nicht geleistet worden wäre.

    Genau, ebenso wie der Konsument einer Werbung durch wahrheitswidrige Aussagen dazu bewegt werden soll, ein überteuertes Waschmittel zu kaufen, das er ansonsten nie genommen hätte. Können die PR-Agenturen und Werbeabteilungen jetzt alle verklagt werden?

    Dass die “FAQ” Müll oder Halbwahrheiten enthält, hat sie mit Millionen anderer Websites gemein. Am besten, man macht da mal eine Massenabmahnung.

  42. 42

    @41 Komische IP … also ich glaube eh nicht, dass die IP zur identifizierung eines Rechners/Benutzers taugt. Fast jeder Rechner an dem ich bis jetzt gearbeitet hatte, hatte die 127.0.0.1 … ;)

  43. 43

    @41: Bernhard:
    ;-) Deine IP wird wohl fast halb Deutschland haben, bzw. alle die einen (WLan-)Router benutzen, da dieser den einzelnen Clients die IP-Adresse im lokalen Netz vergibt (Standardmäßig/sehr oft 196.168.1-Netz)
    Die IP von der hier die Rede ist, ist diejenige die man vom Provider bezieht, quasi die Verbindung zwischen Router & Provider.
    Btw. meine IP ist auch die 192.168.1.2 !

  44. 44
  45. 45

    @36 jos:
    http://www.phreedom.org/research/rogue-ca/ ist eine praktisch durchgefuehrte Attacke gegen MD5.

    @33 Nicht der Udo:
    SHA1 reicht, um sich gegen unmotivierte Angreifer oder unabsichtliche Kollisionen zu schuetzen. CRC32 oder selbst laengere Versionen sind als Hash-Funktion ungeeignet auf Grund ihrer Struktur eher ungeeignet, gerade weil Kollisionen einfach konstruiert werden koennen. Es ist auch nicht ihre Zieldomain. SHA1 gilt seit 2005 als (theoretisch) geknackt. Die Komplexitaet ist zwar gross genug, dass es kein praktischer Angriff ist, aber fuer kryptographische Anwendung wird dringend der Wechsel auf die staerken Algorithmen empfohlen. Das ist oft genug nicht erfolgt, hat andere (oft wirtschaftliche) Gruende.

  46. 46

    Die ganze Diskussion um die Hashwerte ist doch eigentlich egal, solange gewisse Tracker einfach random-IPs verteilen, die angeblich auch diese datei “laden”.

    Ich sage nur: Raubkopier-Netzwerkdrucker und diverse andere Fehltritte der Abmahnindustrie

  47. 47
  48. 48

    @44(Phil) Ich vermute mal stark, dass der Bernhard das wohl weiss. Manchmal ist Ironie drin, obwohl es nicht dransteht…;)

  49. 49

    Joerg Sonnenberger: Da bin ich ja beruhigt, das SHA-1 nur gegen “unmotivierte” Angriffe schützt. Wahrscheinlich ist niemand motiviert genug, Trojaner in Ihr pkgsrc einzuschleusen, oder wieso nutzt man bei Ihrem pkgsrc nicht längst etwas besseres?

    Es ist schon ziemlich lachhaft, Firmen wie Cisco, MacroVision, die RIAA und quasi die gesamte Copyright-Industrie als “unmotiviert” zu betrachten. Fakt ist, dass diese Firmen nachweisbar massivst versuchen File-Sharing zu sabotieren. Durch die Verwendung von SHA-1 ist das Unterschieben von Fake-Dateien aber nunmal nicht mehr möglich.

    CRC-32 habe ich nur genannt, weil ich davon ausging, dass Ihnen die Unterschiede bezüglich Einsatzgebiet und Anforderungen zwischen CRC-32 und SHA-1 bekannt sind. CRC-32 ist kein “Hash” und schon gar kein kryptografischer, sondern ein sehr einfach nachzuvollziehender Algorithmus zum Berechnen von Prüfsummen.
    Kein bekanntes File-Sharing-System setzt CRC-32 in Bezug auf Dateien ein. Manchmal werden auf Webseiten zusätzlich zum BitTorrent-Link noch CRC-32 und MD5 angegeben. Das ist aber manuell für den Benutzer und die Leute die das nutzen, wissen eben nicht was sie tun. Witzigerweise sind diese dann öfters mal falsch, weil der Autor sie falsch kopiert hat oder vergessen zu aktualisieren. Das ist aber völlig egal, da BitTorrent und jedes andere File-Sharing-Protokoll schon SHA-1 etc. einsetzen, ohne dass der Benutzer oder Anbieter eine Chance hatte sich zu vertippen oder ähnliches.

    Ich wars(48): Der Artikel ist leider im Bezug auf Hash-Verfahren, sehr schwach bis irreführend, und verwirrt zu dem mit wenig relevanten technischen Details (FHS WTF?). Überzeugen tun letztlich nur die Punkte Trojaner und Rootkits. Wer sich damit herausredet, braucht sich aber nicht wundern, wenn irgendwann doch mal der “Internetführerschein” oder das krytografisch sichere “Internetkennzeichen” kommt.

    Wie gesagt, CRC-32 war nie ein kryptografisch sicherer Hash-Algorithmus und wird von keiner Tauschbörse eingesetzt. Dass SHA-0 eine Lücke hat, wissen wir seit es SHA-1 gibt, weil SHA-0 sofort durch SHA-1 ersetzt wurde. Auch im Abschluss plötzlich so zu tun als wäre SHA-512 der heilige Gral, ist mit der Argumentation schwachsinnig. Im Übrigen gehören da sehr viel mehr Neunen hinter das Komma, schon bei SHA-1. Die Angriffe auf MD5 und SHA-1-Varianten lassen allerdings auch Zweifel an der Sicherheit der neueren SHA-Verfahren aufkommen, da diese auf denselben Prinzipien beruhen und es denkbar ist, dass die Erkenntnisse über die älteren Verfahren auch für Angriffe auf diese genutzt werden können.

    Man muss aber auch sehen, dass ein gebrochener Hashalgorithmus, nicht bedeutet, dass die Schwächen praxisrelevant sind, da die Restkomplexität immer noch hoch genug ist. Auch deshalb hat man MD5 trotz bekannter Schwächen eben noch Jahre weiter eingesetzt. Es stimmt aber das Hashalgorithmen “altern”. Das Aufkommen schnellerer Computer ist da eher dritttrangig. “Gefährlicher” sind da neue mathematische Erkenntnisse. Das Wort “geknackt” ist irreführend, weil es Assoziationen an geknackte Fahrradschlösser weckt, aber “geknackt” ist in diesem Zusammenhang ein mathematischer Term, der besagt “nicht exakt so sicher wie gedacht”. Das bedeutet, wenn statt erwarteter 3 Milliarden Jahren schon 2,9 Milliarden Jahre reichen, um einen anderen Datensatz mit gleichem Hash zu finden, dann gilt der Algorithmus als “geknackt”.

  50. 50

Kommentieren:

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Erlaubte HTML-Tags: <b>, <i>, <strike> und <blockquote>.