Hanno's blog

Secure RSA padding: RSA-PSS

I got selected for this years Google Summer of Code with a project for the implementation of RSA-PSS in the nss library. RSA-PSS will also be the topic of my diploma thesis, so I thought I'd write some lines about it.

RSA is, as you may probably know, the most widely used public key cryptography algorithm. It can be used for signing and encryption, RSA-PSS is about signing (something similar, RSA-OAEP, exists for encryption, but that's not my main topic).

The formula for the RSA-algorithm is S = M^k mod N (S is the signature, M the input, k the private key and N some big prime number). One important thing is that M is not the Message itself, but some encoding of the message. A simple way of doing this encoding is using a hash-function, for example SHA256. This is basically how old standards (like PKCS #1 1.5) worked. While no attacks exist against this scheme, it's believed that this can be improved. One reason is that while the RSA-function accepts an input of size N (which is the same length as the keysize, for example 2048/4096 bit), hash-functions usually produce much smaller inputs (something like 160/256 bit).

An improved scheme for that is the Probabilistic Signature Scheme (PSS), (Bellare/Rogaway 1996/1998). PSS is "provable secure". It does not mean that the outcoming algorithm is "provable secure" (that's impossible with today's math), but that the outcome is as secure as the input algorithm RSA and the used hash function (so-called "random oracle model"). A standard for PSS-encryption is PKCS #1 2.1 (republished as RFC 3447) So PSS in general is a good idea as a security measure, but as there is no real pressure to implement it, it's still not used very much. Just an example, the new DNSSEC ressource records just published last year still use the old PKCS #1 1.5 standard.

For SSL/TLS, standards to use PSS exist (RFC 4055, RFC 5756), but implementation is widely lacking. Just recently, openssl got support for PSS verification. The only implementation of signature creation I'm aware of is the java-library bouncycastle (yes, this forced me to write some lines of java code).

The nss library is used by the Mozilla products (Firefox, Thunderbird), so an implementation there is crucial for a more widespread use of PSS.

GEZ, die Rolle der Öffentlich-Rechtlichen und die Transparenz

Gerade gibt es ja eine ganz spannende Debatte über die Zukunft des gebührenfinanzierten Fernsehens und die GEZ.

Bislang ist es ja so, dass man Gebühren zahlen muss, wenn man ein Gerät besitzt, welches zum Emfang geeignet ist. Ob man es auch nutzt, um öffentlich-rechtliche Sender zu empfangen, ist dabei egal. Nun wird argumentiert, das sei so, weil die Sender einen Bildungsauftrag hätten, deshalb müssen auch die zahlen, die das Angebot garnicht nutzen.
Dabei gibt es zwei große Probleme: Es ist erstmal total unlogisch, wieso ausgerechnet der Besitz eines geeigneten Geräts kriterium sein soll. Wenn die Sender der Allgemeinheit dienen, wäre es nur logisch, wenn alle zahlen. Zweitens ist natürlich die GEZ geradezu berüchtigt für ihr rücksichtsloses Vorgehen und aus Sicht des Datenschutzes eine riesige Katastrophe.

Nun wird vorgeschlagen, das ganze, was eigentlich nur logisch ist, auf eine Haushaltsabgabe umzustellen. Jeder muss zahlen, die GEZ wird faktisch abgeschafft (zumindest deren fragwürdige Schnüffelabteilungen). Interessanterweise finden das scheinbar gerade alle von den Sendern über alle Parteien hinweg gut. Womit ich ein bißchen Bauchschmerzen habe ist allerdings die Tatsache, dass die Gesamthöhe der Gebühren gleich bleiben soll.

Die Begründung, warum es einen öffentlich-rechtlichen Rundfunk geben soll, Bildungsauftrag, Programm für Minderheiten, Gegenstimme zum Privatfernsehen etc., kann ich alle gut nachvollziehen. Das muss aber auch im einzelnen begründbar sein und Sinn ergeben. Keinen Sinn ergibt es für mich aber, wenn ARD/ZDF regelmäßig hohe Beträge für Fußballübertragungen oder Boxkämpfe ausgeben. Rein interessehalber wollte ich mal feststellen, was das denn so ausmacht und bin auf einen Artikel von 2005 im Handelsblatt über die WM-Übertragungsrechte für 2010 gestoßen: Die Kosten für die Übertragungsrechte sind ein Betriebsgeheimnis! Geschätzt werden sie etwa auf 180 Millionen Euro bei 90 Millionen Euro Werbeeinnahmen (zum Vergleich: Der Gesamthaushalt der ÖRs liegt bei etwa 7 Milliarden).

Hier hört für mich jedes Verständnis auf. Wenn die Öffentlich-Rechtlichen für sich in Anspruch nehmen, im Interesse der Allgemeinheit zu handeln, dann muss dieses Handeln zuallererst mal transparent sein. Weiterhin wünschenswert wäre, wenn es sowieso zu einer Reform kommt, eine Debatte: Was ist wirklich im Interesse der Allgemeinheit und was könnte man sich ebensogut sparen - und die Gebühren entsprechend senken.

Jugendschutz als Mittel zur Zensur

Vor einigen Tagen fand in Berlin wie jedes Jahr die "Revolutionäre 1. Mai-Demonstration" in Berlin statt. Quasi "traditionell" kommt es dabei fast immer zu heftigen Ausseinandersetzungen zwischen Polizei und Demonstranten, sie wird häufig als inhaltsleer wahrgenommen. Von Innenpolitikern wird sie häufig zum Anlass genommen, schärfere Gesetze zu fordern, aber immer wieder steht auch die Polizei für Gewaltausfälle in der Kritik.

Kurz nach der diesjährigen Demonstration tauchte auf Youtube ein Video auf, in dem deutlich zu sehen ist, wie ein Polizist eine wehrlos am Boden liegende Person gegen den Kopf tritt. Zwischenzeitlich hat sich der Polizist wohl gemeldet und es wird ein Verfahren gegen ihn angestrengt. Bleibt zu hoffen, dass das ganze nicht, wie ein ähnlicher Fall im vergangenen Jahr bei der "Freiheit statt Angst"-Demonstration, im Sande verläuft.

Was aber der eigentliche Grund ist, weswegen ich das hier schreibe: Das Video wurde von Youtube als "Jugendgefährdend" eingestuft. Es ist nur noch für angemeldete User zu sehen. Das ist natürlich reichlich absurd, zeigt aber doch schön, wie sehr inzwischen sogenannter "Jugendschutz" als Zensurinstrument eingesetzt wird. Ein Grund mehr, sich genauer anzuschauen, was im Namen des "Jugendschutzes" an Zensurmaßnahmen auch staatlicherseits geplant ist.
Zum anderen weist es auch auf die leider immer problematischere Zensurpolitik seitens Youtube hin. Erst kürzlich bin ich über einen noch absurderen Fall gestoßen: Ein Video, in dem jemand vor Werbung für Abzockangebote auf der Webseite kino.to warnte, wurde von Youtube entfernt - weil kino.to ja eine Seite ist, auf der es illegale Inhalte gibt (sprich schon die ERWÄHNUNG eines illegalen Angebots um DAVOR ZU WARNEN reichte Youtube zur Löschung).

Ich habe mir die Freiheit genommen, das 1. Mai-Video hier zum Download, einmal Original als FLV, einmal als OGG Theora (letzteres sollte sich in Firefox direkt abspielen lassen), anzubieten.

Easterhegg in Munich

I visited this year's easterhegg in Munich. The easterhegg is an event by the chaos computer club.

I held a talk expressing some thoughts I had in mind for quite a long time about free licenses. The conclusion is mainly that I think it very often may make more sense to use public domain "licensing" instead of free licenses with restrictions. The slides can be downloaded here (video recording here in high quality / 1024x576 and here in lower quality / 640x360). Talk was in german, but the slides are english. I plan to write down a longer text about the subject, but I don't know when I'll find time for that.

I also had a 5 minute lightning-talk about RSA-PSS and RSA-OAEP, slides are here (german). I will probably write my diploma thesis about PSS, so you may read more about that here in the future.

From the other talks, I want to mention one because I think it's a very interesting project about an important topic: The mySmartGrid project is working on an opensource based solution for local smart grids. It's a research project by Frauenhofer ITWM Kaiserslautern and it sounds very promising. Smart grids will almost definitely come within the next years and if people stick to the solutions provided by big energy companies, this will most likely be a big thread to privacy and will most probably prefer old centralized electricity generation.

Zwiespältiges Urteil zur Vorratsdatenspeicherung

Das Bundesverfassungsgericht hat heute entschieden. Die Vorratsdatenspeicherung, in ihrer jetzigen Form, ist Geschichte. Das ist natürlich erstmal erfreulich. Die völlig verdachtlose Speicherung aller Verbindungsdaten von Telefonen, E-Mails, SMS und Internetzugänge ist mit sofortiger Wirkung gestoppt und bereits erhobene Daten müssen gelöscht werden.

Leider ist das nicht die ganze Geschichte. Denn das Gericht sagt glasklar, dass es nichts grundsätzlich gegen die pauschale Datenspeicherung und damit pauschale Verdächtigung aller Menschen hat. Es legt nur enge Grenzen fest, in denen diese stattzufinden hat. Inwiefern das mit dem Grundsatz der informationellen Selbstbestimmung vereinbar sein soll, bleibt wohl das Geheimnis des Gerichts.

Richtig große Bauchschmerzen bekommt man aber bei einem weiteren Punkt: Das Verfassungsgericht stellt fest, dass für den Datenabruf nur schwere Straftaten in Frage kommen, meint aber, dass dies ausdrücklich nicht für IP-Adressen gilt. Hier soll sogar eine Ordnungswidrigkeit ausreichen, es müsse lediglich eine gesetzliche Bestimmung dazu geben. Heißt also ganz konkret: Datenschutz zweiter Klasse für Internetnutzer. Die Begründungen dafür, die ich bisher gelesen habe, erscheinen mir ziemlich abstrus und unverständlich (die taz hat etwas dazu). Der wirkliche Grund scheint ziemlich klar: Man will ein Lex Musikindustrie auf Basis der Vorratsdaten weiterhin zulassen. Das halte ich für wirklich erschreckend, denn dass sich kaum verhohlen das oberste Gericht Lobbyinteressen beugt, hätte ich so nicht für möglich gehalten. Der deutsche IFPI-Ableger freut sich schonmal vorsorglich.

Was bedeutet das Urteil nun politisch? Spannend ist ja erstmal, dass der Gesetzgeber nun aktiv werden muss. Das Gericht hat zwar theoretisch eine Vorratsdatenspeicherung unter anderen Vorzeichen erlaubt, aber es bleibt ja dem Gesetzgeber überlassen, ob er dies umsetzt oder bleiben lässt. Die FDP hat sich im Wahlkampf ziemlich deutlich gegen die Vorratsdatenspeicherung ausgesprochen. Eine Verabschiedung gegen die FDP (durch SPD und CDU) wäre zwar möglich, aber sehr unwarscheinlich. Die FDP kann hier beweisen, dass es ihr mit Bürgerrechten ernst ist.

Weiterhin erfreulich ist, dass auch die EU-Richtlinie immer stärker unter Beschuss gerät. Einige Länder weigern sich im Moment, die Vorratsdatenspeicherung umzusetzen, in anderen gab es ebenfalls Gerichtsentscheidungen dagegen (Schweden, Österreich, Ungarn, Irland, Rumänien). Und auch auf EU-Ebene gibt es stimmen, die die entsprechende Richtlinie lieber wieder kippen würden.

Free and open source developers meeting (FOSDEM)

After reading a lot about interesting stuff happening at this years FOSDEM, I decided very short term to go there. The FOSDEM in Brussels is probably one of the biggest (if not the biggest at all) meetings of free software developers. Unlike similar events (like several Linuxtag-events in Germany), it's focus is mainly on developers, so the talks are more high level.

My impressions from FOSDEM so far: There are much more people compared when I was here a few years ago, so it seems the number of free software developers is inceasing (which is great). The interest focus seems to be to extend free software to other areas. Embedded devices, the BIOS, open hardware (lot's of interest in 3D-printers).

Yesterday morning, there was a quite interesting talk by Richard Clayton about Phishing, Scam etc. with lots of statistics and info about the supposed business models behind it. Afterwards I had a nice chat with some developers from OpenInkpot. There was a big interest in the Coreboot-talk, so I (and many others) just didn't get in because it was full.

Later Gentoo-developer Petteri Räty gave a talk about "How to be a good upstream" and I'd suggest every free software developer to have a look on that (I'll put the link here later).

I've just attended a rather interesting talk about 3D-printers like RepRap and MakerBot.

Die Wiener Polizei zählt nach

Vor einigen Tagen fand der Wiener Korporations-Ball (WKR) statt. Das ist wohl dort ein wichtiges Event von Burschenschaften und sonstigen unangenehmen Zeitgenossen. Verschiedene antifaschistische Organisationen organisierten Proteste dagegen, allerdings wurde die Gegendemonstration verboten. Wie das bei solchen Veranstaltungen üblich ist, unterschied sich die Zahl der DemonstrantInnen stark, je nachdem wen man fragt.

An der (verbotenen) Demonstration nahmen laut Polizeiangaben etwa 500 Menschen teil. Im Anschluss gab es gegen rund 700 davon Anzeigen.

(via Twitter/Michael Reimon)

SSL-Certificates with SHA256 signature

At least since 2005 it's well known that the cryptographic hash function SHA1 is seriously flawed and it's only a matter of time until it will be broken. However, it's still widely used and it can be expected that it'll be used long enough to allow real world attacks (as it happened with MD5 before). The NIST (the US National Institute of Standards and Technology) suggests not to use SHA1 after 2010, the german BSI (Bundesamt für Sicherheit in der Informationstechnik) says they should've been fadet out by the end of 2009.

The probably most widely used encryption protocol is SSL. It is a protocol that can operate on top of many other internet protocols and is for example widely used for banking accounts.

As SSL is a pretty complex protocol, it needs hash functions at various places, here I'm just looking at one of them. The signatures created by the certificate authorities. Every SSL certificate is signed by a CA, even if you generate SSL certificates yourself, they are self-signed, meaning that the certificate itself is it's own CA. From what I know, despite the suggestions mentioned above no big CA will give you certificates signed with anything better than SHA1. You can check this with:
openssl x509 -text -in [your ssl certificate]
Look for "Signature Algorithm". It'll most likely say sha1WithRSAEncryption. If your CA is good, it'll show sha256WithRSAEncryption. If your CA is really bad, it may show md5WithRSAEncryption.

When asking for SHA256 support, you often get the answer that the software still has problems, it's not ready yet. When asking for more information I never got answers. So I tried it myself. On an up-to-date apache webserver with mod_ssl, it was no problem to install a SHA256 signed certificate based on a SHA256 signed test CA. All browsers I've tried (Firefox 3.6, Konqueror 4.3.5, Opera 10.10, IE8 and even IE6) had no problem with it. You can check it out at https://sha2.hboeck.de/. You will get a certificate warning (obviously, as it's signed by my own test CA), but you'll be able to view the page. If you want to test it without warnings, you can also import the CA certificate.

I'd be interested if this causes any problems (on server or on client side), so please leave a comment if you are aware of any incompatibilities.

Update: By request in the comments, I've also created a SHA512 testcase.

Update 2: StartSSL wrote me that they tried providing SHA256-certificates about a year ago and had too many problems - it wasn't very specific but they mentioned that earlier Windows XP and Windows 2003 Server versions may have problems.

Hanvon WISEreader N526 - hardware fine, software a desaster

When asking me what I'd consider the most interesting technical developments in the near future, electronic books would be on the top of my list. So recently, I finally decided to buy one and ordered a Hanvon WISEreader N526. It has a pretty fair price, it seemed that free software support was likely to appear some time in the future (more on that later) and it has a touchscreen with pen, which was a feature I wanted to mark things in books.

From the hardware side, the device is pretty ok. Most ebook readers on the market share the same technologie for the display, it could have a bit more contrast, but else it's pretty okay. The device itself has a keyboard (which is querty, but not really ordered like a querty-keyboard), USB (not working as mass storage though), an audio output and a micro SD slot. Also, as said above, it has a touchscreen that can be used with a pen. So on the hardware side the device is quite fine.

What's not fine is the software running on it. It makes many features pretty much useless. Just to name a few flaws:

Adding marks with the pen, one of the main features of the hardware, is pretty useless. It works neither on PDFs nor on epub files. It only works for TXT and HTML files, so it's not possible to do any marks on any layouted file format.
HTML files are not supported. The vendor claims HTML support, but that's a plain lie. What it does is stripping out all HTML tags and showing the Text. If you know how HTML works, you can expect that this leads to pretty broken results and breaks all layout in HTML. Also, Hyperlinks don't work at all.
The zooming capabilities are very limited. For text, you only have three zoom levels. All of them are far larger than normal text in a book. For PDF, it's possible to make it fit on height or width, but not anything in between.
If you browse the files, there is no possibility to show the full filename, it only shows the beginning of the filename (about 20 characters). If you have files named “Author's name – Book title“ (which seems like a pretty common idea), you will only see some files with the author's name – not very useful.
The device has a button for landscape view (turn the view 90°). But it doesn't work. Probably a bug.

Example for HTML “support“ compared with original

I fell pretty angry about that. I'm not sure what to do yet. I have a 14 day return right and I seriously consider taking that opportunity. On the other hand, all of the issues are software issues. As this is a rather new device, it may very well be that the software is in an early state and issues get resolved soon. My problem is: I don't know that.

Another thing I'm looking at is OpenInkpot. It's a free firmware for ebook devices and they are working on support for the N526. However, having talked to the developers it seems that support for the touchscreen/pen is pretty unsure, as the vendor refuses to provide any documentation for that. Also, as this is a volunteers project, it's not clear if and when proper support will be available.

Zählpixel für die VG Wort

Dieses Blog wird ab sofort mit Zählpixeln der VG Wort versehen. Da ich das gerne möglichst transparent machen würde (es betrifft in gewisser Weise den Datenschutz meiner Besucher), gibt es hier ein paar Erläuterungen dazu.

Die VG Wort ist eine Verwertungsgesellschaft für Texte. In Deutschland gibt es Zwangsabgaben für die Hersteller diverser Geräte (Kopierer, Scanner, Drucker, PCs, CD-Brenner etc.), die zur Verfielfältigung urheberrechtlich geschützter Werke geeignet sind. Diese werden von Verwertungsgesellschaften (die bekannteste ist wohl die GEMA) an Urheber von Texten, Bildern, Musik etc. ausgeschüttet. Das ist nicht gänzlich unumstritten, aber viele sind der Ansicht, dass dies eine probate Alternative zu immer strikteren Urheberrechten darstellt. Es führt etwa dazu, dass zumindest in gewissem Rahmen Privatkopien legal möglich sind. Allerdings gibt es zwischen der GEMA und der VG Wort einen wichtigen Unterschied. Will man bei der GEMA mitmachen, muss man sich deren Regeln unterwerfen. So ist es etwa nicht möglich, als GEMA-Mitglied Musik unter Creative Commons-Lizenzen zu veröffentlichen. Die VG Wort macht einem Autor keine derartigen Vorschriften.

Für Internet-Texte gibt es von der VG Wort das System METIS (MEldesystem für Texte auf InternetSeiten). Dabei kann man Texte auf Webseiten mit sogenannten Zählpixeln auszustatten. Das sind im Prinzip winzige, unsichtbare Bilder, die von einem Server der VG Wort heruntergeladen werden und in Beiträge eingebunden werden. Und hierbei kann man Bauchschmerzen haben - denn dabei werden natürlich Daten meiner Besucher an die VG Wort übertragen. Allerdings muss man dazusagen: Dieses Blog ist auch mit Google Ads ausgestattet - das führt ebenfalls dazu, dass eine externe Firma theoretisch Zugriff auf die Daten meiner Besucher hat. Unterbinden kann man beides mit gängigen Tools zum Blocken von Werbung, etwa Adblock Plus für Firefox.

BIOS update by extracting HD image from ISO

Today I faced an interesting Linux problem that made me learn a couple of things I'd like to share. At first, we found an issue on a Thinkpad X301 notebook that was fixed in a newer BIOS version. So we wanted to do a BIOS update. Lenovo provides BIOS updates either for Windows or as bootable ISO CD-images. But the device had no CD-drive and only Linux installed. First we tried unetbootin, a tool to create bootable USB sticks out of ISO-Images. That didn't work.
So I had a deeper look at the ISO. What puzzled me was that when mounting it as a loopback device, there were no files on it. After some research I learned that there are different ways to create bootable CDs and one of them is the El Torito extension. It places an image of a harddisk on the CD, when booting, the image is loaded into memory and an OS can be executed (this probably only works for quite simple OSes like DOS, the Lenovo BIOS Upgrade disk is based on PC-DOS). There's a small PERL-script called geteltorito that is able to extract such images from ISO files.
It's possible to boot such harddisk images with grub and memdisk (part of syslinux). Install syslinux, place the file memdisk into /boot (found in /usr/lib/syslinux/ or /usr/share/syslinux/) and add something like this to your grub config:

title HD Image
root (hd0,0)
kernel /boot/memdisk
initrd /boot/image.img

Or for grub2:

menuentry "HD Image" {
set root=(hd0,2)
linux16 /boot/memdisk
initrd16 /boot/hdimage.img
}

Now you can select bios update in your boot menu and it should boot the BIOS upgrade utility.

(Note that this does not work for all Lenovo BIOS updates, only for those using an El Torito harddisk image - you can mount your iso with mount -o loop [path_to_iso] [mount_path] to check, if there are any files, this method is not for you)

Vortragsfolien über Wachstum

Ich hatte auf dem JUKSS einen kurzen Einführungsvortrag zu Wirtschaftswachstum und Wachstumskritik gehalten. Hier gibt's die Folien dazu.

Bei der Gelegenheit noch zwei sehenswerte Videos zum Themenkomplex Wachstum und Peak Oil:
Bis zum letzten Tropfen - einführende Doku auf NDR über Peak Oil
Vortrag von Wolfgang Blendinger über Peak Oil (gehalten an der Uni Tübingen, Blendinger ist Deutschlands einziger Professor für Erdölgeologie und Mitglied der ASPO, einer Organisation von Wissenschaftlern, die sich mit dem Thema Peak Oil befassen)

Videos aus ARD Mediathek herunterladen

Ich stand heute vor dem Problem, ein Video aus der ARD-Mediathek herunterladen zu wollen. Die gibt es meistens nur noch als Flash und ohne Download-Link.

Die Videos werden über RTMP übertragen, was ein Flash-eigenes Videostreaming-Protokoll ist. Im gulli-Forum fand ich eine Anleitung. Ich habe darauf basierend ein kleines Skript ardget geschrieben, mit dem man das bequem erledigen kann. Aufzurufen einfach über
ardget "[URL der Mediathek]"

Die Anführungszeichen sind notwendig, weil die URLs &-Zeichen enthalten, die sonst von der Shell fehlinterpretiert werden. Da die Videos teilweise mit Javascript-URLs verlinkt sind, filtere ich das auch entsprechend, man kann also den kompletten javascript: beginnenden Link übergeben. Benötigt wird entweder flvstreamer oder rtmpdump, sollte ansonsten in jeder gängigen Unix-Shell funktionieren.

Mehr Energie sparen mit LEDs

Energiesparlampen haben sich ja zwischenzeitlich weitgehend durchgesetzt und die alten Glühlampen ersetzt. Um das EU-Verbot und die darum kreisenden ziemlich absurden Diskussionen soll es hier aber nicht gehen. Zwischenzeitlich kann man nämlich auch Glühbirnen mit LED-Technologie kaufen. Da ich bislang relativ wenig darüber gelesen habe, schreibe ich mal meine Erfahrungen dazu.

Eines der Mankos »gewöhnlicher« Energiesparlampen (Kompaktleuchtstofflampen) ist ihr Quecksilbergehalt. Zwar ist dieser vergleichsweise gering (selbst wenn sie nicht fachgerecht entsorgt werden, ist die Quecksilberbelastung für die Umwelt geringer als bei Glühbirnen, da Kohlekraftwerke ganz erhebliche Mengen Quecksilber emittieren). Dennoch ist Quecksilber natürlich ein giftiges Schwermetall dessen Einsatz man wo es geht vermeiden sollte. Weiterhin ist auch die Lichtausbeute von Energiesparlampen alles andere als optimal, was man schnell merkt, wenn man eine im Betrieb befindliche berührt. Sie sind zwar nicht so heiß wie Glühlampen, aber erzeugen immer noch erheblich Abwärme.

LED-Lampen enthalten kein Quecksilber, ihre Lichtausbeute ist etwa drei- bis viermal höher als bei Kompaktleuchtstofflampen. Weiterhin soll ihre Lebensdauer deutlich länger sein. Die Vorteile sind also ganz erheblich. Inzwischen findet man im Handel die ersten LED-Modelle für gängige Glühbirnenfassungen (E27).

Mein erster Testkandidat war eine Marslight G60 (12,99 € bei Kaufland). Ihr Energieverbrauch wird mit 3 Watt angegeben, die Lichtausbeute vergleichbar mit einer 50 Watt-Glühbirne. Die Lichttemperatur wird lediglich als „Warm weiß“ angegeben (keine Kelvin-Angabe). Das Licht sieht sehr deutlich blau aus und ist für Wohnräume ziemlich unangenehm. Die Angabe „Warm weiß“ halte ich schlicht für falsch.
Fazit: Nur geeignet für Räume, in denen man sich nicht länger aufhält.

Mein zweites Modell ist eine XQ-lite, 1,9 Watt, nach Herstellerangaben vergleichbar mit einer 40 Watt-Glühbirne (19,70 € bei Obi). Die Lichttemperatur ist mit 2700° Kelvin angegeben. Im Gegensatz zur Marslight ist das Licht angenehmer, vergleichbar mit einer gewöhnlichen Glühbirne. Die Lampe lässt sich gut in Wohnräumen einsetzen, in denen die Lichtstärke ausreicht.

Nun stellt sich natürlich noch die Frage: Lohnt sich das? Die Lebensdauer wird mit 50.000 Stunden angegeben, als Vergleich nehme ich eine IKEA-Energiesparlampe, 7 Watt, kostet im Doppelpack 6,99 €. Lebensdauer wird mit 10.000 Stunden angegeben. Wir nehmen einen Kilowattstundenpreis von 20 Cent an.
IKEA-Energiesparlampe für 50.000 Stunden:
5 x 3,49 € + 50000 h x 0,007 kW x 0,20 € / kWh = 87,45 €
XQ-lite LED für 50.000 Stunden:
1 x 19,70 € + 50000 h x 0,0019 kW x 0,20 € / kWh = 38,70 €
Und zum Vergleich noch eine Glühbirne, angenommene Werte 40 Watt, 40 Cent, 1000 Stunden Lebensdauer:
50 x 0.40 € + 50000 h x 0,040 kW x 0.20 € / kWh = 420,00 €

Die LED gewinnt also haushoch. Auch wenn man eine deutlich günstigere Energiesparlampe für 1 € annimmt, ändert sich nicht viel (75 €).

Fazit: Der relativ teure Anschaffungspreis von LED-Lampen mag abschrecken, in der Gesamtrechnung rentiert sie sich allemal. Die Marslight überzeugt nicht aufgrund unangenehmer Lichtfarbe, die XQ lite dafür umso mehr. Zumindest dort wo ich geschaut habe, gab es nur LED-Lampen mit eher geringer Leuchtstärke. Ersatz für eine 60 oder 100 Watt-Glühbirne habe ich nicht gefunden. Die Berechnung geht natürlich davon aus, dass die Herstellerangaben zur Lebensdauer stimmen. Allerdings sind die Vorteile so eindeutig, dass ich es für empfehlenswert halte, zumindest beim Neukauf auf LEDs zu setzen.

Ärgerlich ist auch hier mal wieder das EU-Energiesparlabel – es hinkt der technischen Entwicklung hinterher. Praktisch alles, was heute auf dem Markt ist, ist Energiesparklasse A (Ausnahmen einige minderwertige Kompaktleuchtstofflampen mit B und Halogen-Lampen mit D, aber davon sollte man sowieso die Finger lassen).

Die löschwütigen Admins bei Wikipedia

Sagt euch der Name Christoph Seidler etwas?

Christoph Seidler war in den 90er Jahren steckbrieflich gesucht auf den RAF-Fahndungsplakaten. Allerdings war er nie Mitglied der RAF. Nach einigen Jahren meldete er sich den Behörden und wurde von allen Vorwürfen freigesprochen. Ähnlich erging es einigen weiteren potentiell Verdächtigen. Das fand statt zu einer Zeit, als die deutschen Behörden sehr wenig über die Struktur der damaligen dritten Generation der RAF wussten. Die Geschichte führte in der Folge zu einer Reihe von Verschwörungstheorien.

Ein, wie ich finde, beispielhaftes und wichtiges Stück deutscher Zeitgeschichte über Terrorismushysterie. Der an jüngerer Geschichte interessierte Internetsurfer könnte ja auf die Idee kommen, sich dort informieren zu wollen, wo das Wissen der Welt gesammelt wird. Allerdings befindet die Wikipedia: Nicht relevant. (Wer sich dennoch informieren möchte: hier, hier)

Es war einer von vielen Fällen, in denen ich in den letzten Jahren die Wikipedia aufrief und feststellen musste, dass der Löschwahn immer groteskere Formen annimmt. Spontan erinnern kann ich mich gerade noch an Death Spank (neues Spiel von Monkey Island-Erfinder Ron Gilbert)
Zum Glück scheinen die jetzt etwas Gegenwind zu erhalten. Kürzlich wurde der Verein MOGIS für unwichtig erklärt. Mogis steht für Missbrausopfer gegen Internetsperren und mischte in der Debatte um Zensursula und das Netzsperrengesetz kräftig mit. Den AK Zensur und Tschunk (ein unter Hackern beliebtes Getränk mit Mate und viel Alkohol) befanden die Wikipedia-Admins ebenfalls für nicht relevant. Eine schier endlose Liste. Fefe bloggt gerade viel darüber.

Bei Mogis argumentierten die Wikipedia-Admins übrigens mit mangelnden Mitgliederzahlen. Es könnte mal jemand die Löschung von Greenpeace vorschlagen. Die haben auch nur eine ein- oder zweistellige Mitgliederzahl (die lassen allgemein nur Förderer zu und Mitglieder sind nur einige wenige).