Die am Wochenanfang gemeldete Heartbleed-Lücke in OpenSSL entwickelte sich im Laufe der letzten Tage immer mehr zum IT-Sicherheits-Super-GAU, welcher nun auch die normalen Anwender ultimativ zum Handeln zwingt. OpenSSL wird als Kryptographie-Lösung in vielen Programmen verwendet, hauptsächlicher Einsatzzweck besteht in der Verarbeitung von verschlüsselten https-Verbindungen, beispielsweise zu Online-Diensten, Mail-Servern, Online-Banken, usw. Dabei ermöglicht die Lücke zum einen das Auslesen der Nutzer-Passwörter im Klartext (je nachdem wer sich zuletzt eingeloggt hat), zum anderen aber auch das Auslesen des SSL-Zertifikats der jeweiligen Webseiten, womit Geheimdienste und Internetkriminelle den Datenverkehr mitlesen können, selbst wenn dieser verschlüsselt ist.

Damit ergeben sich zwei Aufgaben: Die erste betrifft die Anwender, jene müssen umgehend ihre Passwörter ändern. Dies betrifft alle Passwörter, welche für Online-Dienste gleich welcher Art angelegt wurden. Sicher benutzt nicht jeder Online-Dienst die bugbehafteten OpenSSL-Versionen (das 3DCenter-Forum beispielsweise nicht, hierfür muß man keine Passwörter ändern), aber generell dürfte es zu aufwendig sein, dies für jeden Dienst extra festzustellen – ergo gilt die glatte Regel: Alle auf Online bezogenen Passwörter sind umgehend zu ändern. Hier und da dürften sich noch einige Programme ergeben, welche in neuer, Bug-bereinigter Version aufgelegt werden. Glücklicherweise wird OpenSSL nicht von den wichtigen Browsern und Anwendungsprogrammen benutzt, sondern meist nur bei Server-seitigen Programmen und Betriebssystemen.

Gleichzeitig müssen die Online-Anbieter auf ihren Servern sowohl eine fehlerbereinigte OpenSSL-Version einspielen als auch sich neue SSL-Zertifikate ausstellen lassen – und hier hakt es, wie Heise Security ausführen. Viele Anbieter haben erst recht spät reagiert, einige Anbieter bislang noch gar nicht – was dann eine zusätzliche erhebliche Gefahr für die Anwender darstellt. Von wirklich sicherheitskritischen Webseiten – wie Online-Banking – sollte man derzeit die Finger lassen, bis der jeweilige Dienst explizite Entwarnung gegeben hat. Wichtig ist dabei wie gesagt nicht nur die fehlerbereinigte OpenSSL-Version, sondern auch das neue SSL-Zertifikat – denn schließlich kann der Schlüssel des bisherigen Zertifikats durch die Heartbleed-Lücke ausgelesen und damit in der Welt verbreitet worden sein.

Da diese zweite wesentliche Maßnahme zur Bekämpfung der Heartbleed-Lücke letztlich nicht durch den normalen Anwender im vollen Umfang kontrollierbar ist, kann man durchaus darüber nachdenken, das ganze Passwort-Wechseldich-Spiel in zwei bis drei Wochen – dann, wenn man annehmen darf, daß wirklich alle Anbieter von Online-Diensten reagiert haben – nochmals durchzuführen. Dies mag sich umständlich anhören, ist aber die einzige Lösung, die wirklich sicher ist – außer, sich derzeit nirgendwo mehr einzuloggen oder aber das Internet gleich ganz ausgeschaltet zu lassen. Immerhin kann man die Gelegenheit nutzen, um sich über sichere Passwörter sowie Passwort-Manager Gedanken zu machen.

(Un)passenderweise einen Tag vor den Launch der Radeon R9 295X2 hat nVidia den neuen Beta-Treiber 337.50 veröffentlicht, welcher aufgrund der von nVidia versprochenen Performance-Zugewinne von bis zu 64% bei einer einzelne GPU und bis zu 71% im SLI-Einsatz auch schon einmal als "Wundertreiber" bezeichnet wird. Hauptgrund des Performance-Gewinns sollen hierbei nicht Anpassungen bzw. Optimierungen auf einzelne Spiele sein, sondern eine Anpassung des Treibers im Sinne der Mantle-API – sprich, unter Vermeidung von zu vielen DirectX-Calls zugunsten der Performance in eher oder wenigstens teilweise CPU-limitierten Szenarien. nVidia unterstützt zwar kein Mantle, will aber rein durch Treiber-Anpassungen ähnliches wie bei Mantle erreichen und vergleicht sich in den offiziellen Präsentationen zum neuen Treiber auch direkt mit AMDs Mantle.

Die vorliegenden unabhängigen Benchmarks sehen die Sache weit weniger euphorisch: Auf das gesamte Testfeld gerechnet bringt der neue Treiber in etwa 4-5 Prozentpunkte mehr Performance mit sich. Einzelne Spiele laufen teilweise deutlich schneller, aber gerechnet auf ein großes Testfeld ergibt sich nur dieser Durchschnitt. Bemerkenswerte Ausreißer gibt es unter Battlefield 4, Thief, Sleeping Dogs, Hitman, BioShock Infinite, Total War: Rome 2 und der StarSwarm-Demo – also mehrheitlich dort, wo auch AMDs Mantle-API ihre Stärken hat. Die allgemeine Wertung zum neuen nVidia-Treiber ist allerdings eher geprägt vom schwachen durchschnittlichen Performance-Gewinn – was interessant ist, denn bei AMDs Mantle-API ist dies nicht viel anders, dort konzentrierte sich die breite Berichterstattung bislang aber eher auf die einzelnen Performance-Ausreißer und nicht auf das Gesamtbild.

Daneben hat nVidia in den neuen Treiber zumindest bei der (für die meisten Treiber-Tests bemühten) GeForce GTX 780 Ti noch eine kleine "Überraschung" eingebaut: Die maximal erreichbare Grafikchip-Temperatur der GeForce GTX 780 Ti wurde seitens nVidia beim 337.50er Treiber offenbar leicht um 2-3°C nach oben gesetzt. Dies läßt sich einem Posting im Forum der ComputerBase sowie auch dem Treiber-Test bei HardOCP entnehmen. Da die Performance heutiger Grafikkarten maßgeblich an ihren jeweiligen Temperatur-Limits hängt, ergibt sich hiermit auch eine automatische Performance-Verbesserung – ohne aber das deswegen der Treiber wirklich etwas besser machen würde. Angesichts der geringen Größe der Veränderung ist nVidia allerdings kaum ein Vorwurf zu machen, der Langlebigkeit der Hardware zu schaden. Bedenklich ist die Sache eher deswegen, weil die Grafikkarten-Käufer sicherlich keinen Wettstreit der Grafikchip-Entwickler mit solchen Mitteln wünschen – jene nVidia-Maßnahme beim 337.50er Treiber jedoch bei AMD die Hemmschwelle senkt, zukünftig ähnlich vorzugehen. Aus dieser Betrachtungsweise sind solcherart "Hardware-Tweaks" – vor allem wenn sie undokumentiert passieren – eher kritisch zu sehen.

Nachtrag vom 10. April 2014

Die ComputerBase hat sich noch einmal mit dem 337.50er nVidia-Treiber beschäftigt, um eine Erklärung für dessen Performance-Verhalten zu finden. Im Nebensatz hat man dabei der These, der Treiber hätte das Temperatur-Limit der GeForce GTX 780 Ti angehoben, eine Absage erteilt. Dies steht zwar weiterhin im Gegensatz zu dem, was HardOCP notiert haben – andererseits spricht die unter vielen Benchmarks völig gleich gebliebene Performance auch nicht zwingend für eine solche Hardware-Änderung, welche schließlich unter allen Performance-Messungen für irgendeinen Effekt sorgen sollte. Schön wäre natürlich noch eine Bestätigung seitens einer dritten Partei, da es sich hierbei immer noch um zwei widersprüchliche Aussagen handelt (und selbst die reinen Meßwerte der ComputerBase einen Temperatur-Anstieg um 2°C anzeigen).

HT4U vermelden eine neue LowCost-Grafikkarten seitens AMD: Die Radeon R5 230 ist für absolute Billig-Bedürfnisse gedacht und basiert dafür auch nur auf dem RV910/Caicos-Chip der Radeon HD 6400 Serie mit nur 160 VLIW Shader-Einheiten samt 64 Bit DDR Speicherinterface. Auf 625 MHz Chiptakt ergibt sich ein perfektes Rebranding der seinerzeitigen Radeon HD 6450 – welche interessanterweise selbst noch im Handel erhältlich ist. Nach Performance sollte man bei dieser Ansetzung natürlich besser nicht fragen (Perf.Index ~30%), die Karte taugt faktisch nur zum Ersatz in Fällen, wo keinerlei 3D-Performance erforderlich ist, da selbst die integrierten Grafiklösungen heutiger AMD-APUs schneller sind als jene Radeon R5 230. Interessant ist, daß solcherart Grafikkarten noch so weit nachgefragt werden, daß AMD einen Anlaß zur Neuauflage jener Radeon HD 6450 sieht – normalerweise dachte man, daß sich das LowCost-Segment mit dem Aufkommen (relativ) leistungsstarker integrierter Grafiklösungen in den heutigen Prozessoren komplett erledigt hätte.

Der Heise Newsticker berichtet über die Vorstellung von Qualcomms nächster SoC-Generation in Form der Snapdragon 808 und 810 Prozessoren, welche acht ARM v8 basierte Kerne mit 64-Bit, teilweise DDR4-Support und in der 20nm-Fertigung mit sich bringen. Hierbei setzte Qualcomm allerdings nicht auf die eigene Krait-Architektur, welche eine ARM-Abwandlung mit wesentlich mehr Leistungsfähigkeit darstellt, sondern setzte mit ARM Cortex A57 & A53 nur Standardware an – wahrscheinlich weil die Weiterentwicklung der Krait-Architektur einfach noch etwas länger dauert. Interessant ist die 20nm-Fertigung (wahrscheinlich bei TSMC), damit sind diese SoCs erst das zweite Chipprojekt neben Apples A8-Prozessor, welches jene neue Fertigung nutzt. Nachdem der Apple A8 jedoch voraussichtlich auch nicht vor dem Herbst 2014 in kaufbaren Geräten zu finden sein wird, zieht sich die Sache bei Qualcomms 20nm-SoCs noch länger hin: Muster gibt es zwar schon im dritten Quartal 2014, kaufbare Geräte werden aber erst im ersten Halbjahr 2015 erwartet. Dies sieht nicht unbedingt danach aus, als würde TSMCs 20nm-Fertigung all zu bald jene Kapazitäten erreichen, welche für zwei entsprechende 20nm Grafikchip-Serien von AMD und nVidia Bedingung wären.

Die vom Europäischen Gerichtshof gefällte Entscheidung gegen die Vorratsdatenspeicherung ist sicherlich ein freudiges Ereignis – allerdings wetzen im Hintergrund die Scharfmacher schon wieder die Messer und werden es sicherlich bei der nächsten besten Gelegenheit erneut probieren. Bedenklich ist da alleine schon, wenn Verfechter der Vorratsdatenspeicherung in dem EuGH-Urteil "grünes Licht für die verfassungskonforme Vorratsdatenspeicherung" sehen wollen – so gesehen ist die Kuh noch lange nicht vom Eis, sondern sind in Zukunft weitere Streitigkeiten zum Thema inklusive entsprechender Gesetzesvorhaben zu erwarten. Ausreichend Schlupflöcher und "Gestaltungsspielraum" hat das EuGH-Urteil sicherlich gelassen: Beispielsweise ist mit einiger Sicherheit nun eine QuickFreeze-Maßnahme zu erwarten, wo also auf Zuruf der Ermittlungsbehörden im konkreten Fall auf Vorrat gespeichert wird. Auch mit diesem Instrument läßt sich natürlich Schindluder treiben – ganz besonders, wenn die Anforderungen hierfür niedrig gesetzt werden und keine effektive Kontrolle stattfindet. Die Provider werden zudem auch für QuickFreeze eine komplette Speicher-Architektur bereithalten müssen – und natürlich ermöglicht auch QuickFreeze dann die massenhafte Datenspeicherung vieler Bürger aufgrund eines Anfangsverdachts gegen einzelne Bürger.

Hier liegt eine wichtige Crux aus dem EuGH-Urteil verborgen: Das Problem der EU-Richter bezog sich primär darauf, daß diese massenhafte Datenspeicherung von Normalbürgern dauerhaft stattfinden sollte. Mit dem Fall, daß jene anlaßbezogen – sprich, im Rahmen von Strafermittlungen – stattfindet, haben die EU-Richter offenbar keine Probleme. Es bleibt aber dabei, daß hierbei massenhaft Daten von Unbeteiligten erfasst werden – egal ob man es dauerhaft mittels der Vorratsdatenspeicherung oder fallbezogen mittels QuickFreeze löst. Dabei wird gern in der Diskussion über das Thema vergessen, daß es sich hierbei nicht um das legale Abhören von identifizierten Verdächtigen handelt, dafür gibt es eigene gesetzliche Regelungen. Es handelt sich hierbei vielmehr immer nur um das Abhören einer ganze Masse von Personen (mit dementsprechendem Datenberg) auf den reinen Verdacht hin, es könnte sich daraus mal ein Fall gegen einzelne Personen entwickeln.

Golem notieren eine interessante Anekdote im Zusammenhang mit dem Support-Ende von Windows XP: Danach fordert ein US-Jurist, ausgelaufene Software-Produkt mittels einer Gesetzesänderung ähnlich wie ein Hardware-Produkt zu behandeln, wo natürlich auch fremde Firmen Support liefern können. Im Fall eines Betriebssystems würde dies allerdings wohl auch Zugang zum Quellcode bedeuten, was nun nicht gerade im Sinne Microsofts sein wird. Die Gegen-Idee wäre sowieso, Microsoft angesichts der Bedeutung von Windows XP und auch angesichts der Rolle von Microsoft als faktischem Monopolist für PC-Betriebssystemen so etwas wie eine Supporteinstellung generell zu untersagen. Es läuft einfach viel zu viel an wichtigen PCs noch unter Windows XP, dies kann man somit als Aufgabe von "nationaler Bedeutung" ansehen – und unter diesem Vorzeichen sind die Rechte von Microsoft, den Lebenszyklus eines Produkts beenden zu wollen, dann nur noch zweitrangig. Das ganze sind natürlich eher nur theoretische Überlegungen, in der heutigen Zeit wird sich kein Politiker mit so einem Schwergewicht wie Microsoft unnötigerweise anlegen wollen.

Mit der Radeon R9 295X2 schickt AMD nun endlich auch seine DualChip-Lösung auf Basis des Hawaii-Grafikchips ins Rennen. Wie in der Vorlaunch-Berichterstattung schon herausgearbeitet, geht AMD dabei vollkommen ans Limit mit zwei Grafikchips ohne Abspeckungen, hohen Taktraten, 500 Watt TDP und einer leistungsstarken Hybrid-Kühlung, um die entstehende Abwärme schnell abzuführen und nicht die Grafikkarten ausbremsen zu lassen. Das dabei herausgekommene Produkt ist laut den ersten Testberichten sicherlich beeindruckend, kommt aber auch mit einem für AMD untypisch hohen Preispunkt von satten 1499 Dollar daher – was die Zielgruppe sicherlich effektiv einengt. Nichts desto trotz ist die Diskussion zur Radeon R9 295X2 natürlich schon am Laufen, eine Launch-Analyse unsererseits folgt später nach.

Die SweClockers (maschinelle Übersetzung ins Deutsche) behaupten in Berufung auf Quellen aus Taiwan, daß 20nm-Grafikchips von nVidia wohl noch etwas länger auf sich warten lassen sollen als bisher schon gedacht: Nur im besten Fall würde es einen einzelnen 20nm-Grafikchip von nVidia bereits dieses Jahr geben, generell sollte man wohl besser von 2015 bei diesem Thema ausgehen. Die konkrete Formulierung lautete sogar auf "weit in 2015", was angesichts der Stimmungslage zu weiteren 28nm-Grafikkarten nicht gerade gut klingt. In wie weit dies Auswirkungen auf AMDs 20nm-Pläne hat, ist wegen der fehlenden Begründung zur 20nm-Verzögerung bei nVidia unsicher. Zu AMD wurde bislang eine neue Grafikkarten-Serie, angeblich in der 20nm-Fertigung, für das dritte Quartal 2014 gemeldet. Allerdings ist dies auch die bisher einzige Meldung zu AMDs näheren Zukunftsplänen, was angesichts des nun nicht mehr all zu weit entfernt liegenden dritten Quartals nicht gerade optimistisch stimmt, daß diese Prognosen auch wirklich eingehalten werden können.

Fudzilla berichten über eine neue Anschlußform, welche nVidia für die Pascal-Generation neben dem gewöhnlichen PCI Express plant: Mezzanine soll primär im Server-Segment eingesetzt werden und bietet unter anderem eine Stromaufnahme über den Stecker von immerhin 300 Watt. Daneben dürfte Mezzanine auch das für Pascal geplante NVLink-Interface unterstützen – im Gegensatz zu PCI Express. Bei Pascal wird dann wohl eine klare Zweiteilung stattfinden: Server-Modelle kommen mit Mezzazine-Stecker und benutzen das NVLink- oder PCIe-3.0-Interface, je nachdem was auf der Gegenseite vorhanden ist. Die Consumer-Modelle werden dagegen einen ganz normalen PCI Express 3.0 oder möglicherweise schon PCI Express 4.0 Stecker haben und weiterhin das PCI-Express-Protokoll zur Kommunikation mit der CPU verwenden. Änderungen hieran müsste nVidia für den Consumer-Bereich mit Intel und AMD absprechen – und wenn, dann würde dies ein gemeinsamer Standard werden und nicht wie NVLink ein nVidia-exklusiver Sonderweg.

Nochmals Fudzilla können zum Thema des 3D-Speichers bei Pascal vermelden, daß jener nicht im Auftrag von nVidia mit dem Pascal-Grafikchip mitgefertigt wird, sondern von nVidia bei den Speicherherstellern einfach nur eingekauft wird. Damit ist man – ähnlich wie bei den heutigen Grafikkarten – unabhängiger und kann zwischen den Anbietern wechseln. Allerdings wird es wohl so sein, daß nVidia den Grafikkarten-Herstellern das komplette Chip-Package mit Grafikchip und 3D-Speicher auf demselben Trägermaterial verkauft, womit der 3D-Speicher somit in jedem Fall durch nVidias Bücher geht und damit den nVidia-Umsatz steigert. Dies trifft vor allem zu, weil es bei Pascal nun doch keinen weiteren Grafikkarten-Speicher geben soll, jeglicher Speicher als 3D-Speicher ausgeführt werden soll. Da sich die Aussage allerdings (wegen der Erwähnung von NVLink) auf Profi-Grafikkarten bezog, bleibt hier noch eine kleine Unsicherheit übrig. Zumindest will nVidia in der Lage sein, wirklich große Speichermengen über den 3D-Speicher zu realisieren, wenn man die Profi-Karten exklusiv nur mit 3D-Speicher ausstatten wird.

Für einiges Interesse sorgt derzeit ein Urteil des Amtsgerichts Köln in einem Filesharing-Fall, mittels welchem die Kosten für "getauschte" Musikstücke auf 10 Euro pro Titel extrem eingedampft wurden – üblicherweise setzen die Rechteinhaber 5.000 bis 10.000 Euro pro Titel als "Schaden" an und bekommen dann gerichtlich meistens Richtung 100 bis 1000 Euro Schadensersatz pro Titel zugesprochen. Das Amtsgericht Köln sah dies angesichts des Massenphänomens "Filesharing" als unrealistisch an, weil der Beklagte schließlich kein exklusives Angebot in die Filesharing-Netze gestellt hatte – es war vielmehr zehntausendfach schon vorhanden, womit auch der durch den Filesharing-Sünder explizit verursachte Schaden nicht so groß angesetzt werden konnte. Das Gericht sah somit 10 Euro pro Titel als gerechtfertigt an, die klagende Partei zog mit insgesamt nur 260,50 Euro von dannen und muß aufgrund der faktischen Niederlage ihre (viel höheren) Gerichtskosten selber tragen. Als Einladung zum Filesharing-Mißbrauch darf das ganze allerdings nicht verstanden werden, denn bei großen Musiksammlungen können auch 10 Euro pro Titel schmerzhafte Summen erreichen. Zudem urteilen die Gerichte nach wie vor sehr uneinheitlich beim Thema Filesharing, ergo kann man sich wirklich nicht auf dieses Urteil verlassen.