Grossangriff auf Verschlüsselung

Well, when the president does it, that means it is not illegal. (Richard Nixon)

Heise: „Laut Guardian verlangten Vertreter der Geheimdienste von der britischen Zeitung und ihren Partnern New York Times und ProPublica, die Enthüllungs-Artikel über die Angriffe von NSA und GCHQ auf Verschlüsslung im Internet zu unterlassen. Begründung: Zielpersonen im Ausland könnten durch die Veröffentlichung veranlasst werden, zu neuen Formen der Verschlüsselung oder der Kommunikation im Allgemeinen zu wechseln, die schwerer zu sammeln und zu entschlüsseln wären. Guardian, New York Times und ProPublica lehnten das Ansinnen zwar ab. Sie entschieden sich aber, bestimmte detaillierte Informationen aus den Artikeln zu entfernen.“

Was für Weicheier! Ich bin mal gespannt, ob deutsche Medien, die eventuell mit dem Guardian in der causa Snowden kooperiert haben, sich ähnlich feige verhalten. Aber vermutlich werden sie auf Grund ihrer obrigkeitshörigen Attitude (Interviews werden autorisiert, E-Mail-Verschlüsselung ist weitgehend unbekannt) erst gar nicht berücksichtigt.

Man muss bei dem Begriff „Verschlüsselung“ auch genauer hinschauen. Ist SSL gemeint? [Wikipedia über SSL] Oder geht es um public-key-Verfahren, also zum Beispiel um OpenPGP? Letzteres hat Snowden selbst benutzt und empfohlen, man kann also eine Hintertür ausschließen (nicht aber im Betriebssystem, mit dem man das nutzt).

Der Guardian schreibt:
A 10-year NSA program against encryption technologies made a breakthrough in 2010 which made „vast amounts“ of data collected through internet cable taps newly „exploitable“.
Leider werden wir im Unklaren darüber gelassen, was genau damit gemeint ist. Die New York Times ist ähnlich vage:
Beginning in 2000, as encryption tools were gradually blanketing the Web, the N.S.A. invested billions of dollars in a clandestine campaign to preserve its ability to eavesdrop. Having lost a public battle in the 1990s to insert its own „back door“ in all encryption, it set out to accomplish the same goal by stealth.

Immerhin. Wenn man den Artikel in der New York Times aufmerksam liest, erkennt man auch viel Wünschen und Wollen wie das Agitprop hiesiger interessierter „Kreise“: „The N.S.A. hacked into target computers to snare messages before they were encrypted.“ Da haben wir fast wortwörtlich, was auch hier zum Thema „Online-Durchsuchung“ herausposaunt wurde. Ich würde schon gern mehr und Genaueres wissen, wie sie das angestellt haben wollen. Die Wired hat darüber vor sieben Jahren geschrieben: „FBI Spyware: How Does the CIPAV Work?“ Man sollte auch noch einen zehn Jahre alten Artikel über den so genannten „Clipper Chip“ erwähnen.

Some of the agency’s most intensive efforts have focused on the encryption in universal use in the United States, including Secure Sockets Layer, or SSL; virtual private networks, or VPNs; and the protection used on fourth-generation, or 4G, smartphones.

Damit kommen wir der Sache schon näher.

For at least three years, one document says, GCHQ, almost certainly in collaboration with the N.S.A., has been looking for ways into protected traffic of popular Internet companies: Google, Yahoo, Facebook and Microsoft’s Hotmail.

Ich denke, dass die Metadaten, die Google et al erheben, viel mehr aussagen als wenn man die angeblichen „Sicherheits“-Features dieser Firmen knackt. Wer seine E-Mails verschlüsselt, kann auch weiter über Google-Mail vertrauliche kommunzieren, aber nur was die Inhalte angeht. Wer mit wem kommuniziert, wird and die Geheimdienste weitergereicht.

Bevor alle in Panik ausbrechen, bringt die New York Times noch ein Original-Zitat Snowdens:
„Properly implemented strong crypto systems are one of the few things that you can rely on,“ he said, though cautioning that the N.S.A. often bypasses the encryption altogether by targeting the computers at one end or the other and grabbing text before it is encrypted or after it is decrypted.
Heise übersetzt das so: „Verschlüsselung funktioniert. Sauber implementierte, starke Verschlüsselung ist eines der wenigen Dinge, auf die man sich noch verlassen kann.“ Die Betonung liegt auf „sauber implementiert“.

Quod erat demonstrandum. Sichere Verschlüsselung auf einem unsicheren System bedeutet, das Schloss vor die Tür zu nageln.
At Microsoft, as The Guardian has reported, the N.S.A. worked with company officials to get pre-encryption access to Microsoft’s most popular services, including Outlook e-mail, Skype Internet phone calls and chats, and SkyDrive, the company’s cloud storage service.

Man sieht aber auch, dass es neben der Totalüberwachung der Bevölkerung um Industriespionage geht:
By this year, the Sigint Enabling Project had found ways inside some of the encryption chips that scramble information for businesses and governments…

Bruce Schneier gibt folgenden Rat:
– Be suspicious of commercial encryption software, especially from large vendors.
– Try to use public-domain encryption that has to be compatible with other implementations.

image_pdfimage_print
September 6, 2013 | abgelegt unter Die Online-Durchsuchung, Internet and Computer, Media, Privacy 

Kommentare

13 Kommentare zu “Grossangriff auf Verschlüsselung”

  1. CanabinoidAndroid am September 6th, 2013 6:03 pm

    was sie nicht (gleich) entschlüsseln können wird erst recht gespeichert, um zu „üben“ – mit zunehmender rechenleistung wird es dann später irgendwann geknackt

    nette doku:

    http://eztv.it/ep/47186/bbc-horizon-2013-defeating-the-hackers-pdtv-xvid-ac3-mvgroup/

  2. John Adams am September 6th, 2013 6:21 pm

    Ich schwöre, daß PGP sicher ist, aber ich würde nicht drauf wetten.

    Oder was?

    Gehen wir lieber mal davon aus, daß zumindestens die NSA jede ‚gängige‘ Verschlüsselungssoftware knacken kann. Außerdem, daß jede verschlüsselte Nachricht gespeichert wird für den Fall, daß sich irgendwann Anhaltspunkte ergeben, daß der Inhalt relevant sein könnte.

    Mich überrascht das überhaupt nicht. Es gibt keine für den allgemeinen Gebrauch verfügbare Verschlüsselungsmethode, die nicht von Geheimdiensten geknackt werden kann. Basta.

  3. thogo am September 6th, 2013 9:00 pm

    @John Adams
    „Es gibt keine für den allgemeinen Gebrauch verfügbare Verschlüsselungsmethode, die nicht von Geheimdiensten geknackt werden kann.“

    Selbst wenn, sollte endlich mal ein etwas größerer Teil als die paar üblichen Hanseln verschlüsseln würde der Aufwand für die NSA und alle anderen dieser elektrifizierten Gummiohren in astronomische Höhen schießen.

    Selbst die im Beitrag angegebenen unsicheren Lösungen der „large vendors“ benötigen Hardware und vor allem Energie / Rechenzeit um von der NSA entschlüsselt zu werden. Dort könnte man sie packen. Daher alles was geht verschlüsseln. Schon aus Prinzip.

  4. admin am September 6th, 2013 9:23 pm

    Adams erzählt Blödsinn.

  5. Webmole am September 6th, 2013 9:57 pm

    Das Problem wird mit Sicherheit noch in diesem Jahr gelöst. Nach meiner Meinung ist es kein so großes Drama nur etwas Kompliziert weil es keine Standardlösung dafür gibt.

    Wer wirklich anonym ins Netz will sollte sich einen alten Laptop kaufen und einem Surfstick bei Penny. Die an „Alsheimer erkrankte Nachbarin“ sollte den Stick anmelden. Die Adresse muss echt sein das Telefonbuch ist voll davon. Das Zeugs nur dafür benutzen.

    Daten können auf SD Chips die nicht größer als ein Fingernagel sind und 32 GByte haben. Um die 20 Euro. Die können sicher versteckt werden.

    Der 7z Packer verschlüsselt mit AES aber ob der sicher ist?

    TOR sollte sparsam eingesetzt werden. Wenn bis zum ersten Server kein Backbone Anbieter ist der schnüffelt sollte es sicher sein.

    Mehrere Browser und Profile benutzen, daran wird man erkannt. Die IP Adresse sagt einen nur die Region unter Umständen genauer als Deutschland. Zum Beispiel Berlin und dann werden alle Fingerprints von Benutzer aus Berlin verglichen und erkannt oder besser wiedererkannt.

    Gelöschte Dateien löschen.
    Für Linux empfehle ich wipe.
    Für Windows empfehle ich cipher.exe

  6. sunflower22a am September 7th, 2013 9:24 am

    ich glaube, solche Meldungen werden lanciert und sollen nur dazu dienen, die Botschaft zu transportieren „man kann ja eh nichts machen“. Sie stimmt zwar nicht, aber in der „ist doch alles egal“ Mentalität der Merkel-Zeit verfehlt das seine Wirkung nicht.

  7. admin am September 7th, 2013 10:19 am

    Full ack. In der Mainstream-Presse lese ich nur die SChlagzeile „Verschlüsselung knackbar“… Dass SSL nicht OpenPGP ist, fällt den DAUs ja nicht auf.

  8. elvis am September 7th, 2013 10:58 am

    Adams erzählt tatsächlich Blödsinn. Die verschlüsselten Laptop Dateien eines vor 8 oder 9 Jahren verhafteten mexikanischen Drogenkartell-Mitglieds sind bis heute von den US-Behörden nicht entschlüsselt.

    Zu SSL: Hier im Blog gibt es bereits einen anderen Artikel zu SSL. Einige User haben damals behauptet das SSL entschlüsselt werden kann. Ich hatte damals gefragt wie SSL gesnifft wird. Diese Frage ist bis heute unbeantwortet.

    Die NSA ist keine Eier legende Wollmilchsau. Die haben auch keine „Glaskugeln“. Das Problem sind die Softwarehersteller die Türen in ihre Werke einbauen, denn ich kann mir nicht vorstellen das die NSA hoch – sehr hoch – dotierte Spezialisten beschäftigen. Das was die zahlen ist – na sagen wir mal – Besoldungsstufe E10 Stufe 1 + Single und tiefer (1700 netto). Dafür gibt es niemanden der auf dem Niveau arbeitet.

  9. thogo am September 7th, 2013 11:28 am

    BTW, weil das ja vom Blogbetreiber immer als urbane Legende abgetan wird – auch ein Bruce Schneier ist sich nicht mehr ganz so sicher ob die NSA gezielt(!) auf einen bestimmten (und ans Netz angeschlossenen), als Ziel definierten Rechner eindringen kann:

    „The NSA also devotes considerable resources to attacking endpoint computers.“…

    „What I took away from reading the Snowden documents was that if the NSA wants in to your computer, it’s in. Period.“

    http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance

    So verstehe ich diesen dort verlinkten Absatz. Natürlich wüsste nicht nur ich jetzt gerne wie sie das anstellen wollen, vor allem wenn ich damit rechne und es zu verhindern suche.

  10. ninjaturkey am September 7th, 2013 11:44 am

    Etwas OT: Habe gestern mit meinem Bruder telefoniert.
    „Mutter geht´s gut. Die OP ist gut verlaufen. Unsere Postbotin bringt dem Hund immer was mit.“
    Wenn man sich lange kennt, reichen solche kurzen Sätze.
    Andererseits hört sich das an wie die Chiffren in einem billigen Agentenfilm. Und den Algorithmus, der solche Chiffren knackt, gibt´s definitiv nicht! Besonders wenn´s Mutter wirklich wieder gut geht ;-)

  11. John Adams am September 7th, 2013 11:47 am

    Doch Burks, selbst mir als DauerDAU fällt auf, daß OpenPGP nicht SSL ist. Im Prinzip ist es mir auch egal, wer OpenPGP für sicher hält und wer nicht. Sind ja alles unverbindliche Ansichten, Du mußt letztlich ja nicht die Hand ins Feuer legen für das, was Du darüber verbreitest. Und wer sowieso nie sicherheitsmäßig relevantes per verschlüsselter Email versendet, wird auch niemals eine positive oder negative Bestätigung darüber erhalten, ob die Email geknackt wurde oder nicht. Aber wenn es wirklich um Leben oder Tod ginge, daß Deine Nachricht den Empfänger erreicht, ohne daß der Inhalt aufgeklärt wird, und wenn Du außerdem damit rechnen mußt, daß Du oder der Adressat bereits auf dem Radarschirm der Dienste grell aufleuchtet – würdest Du dann meine Skepsis immer noch als Blödsinn vom Tisch fegen? Oder würdest Du dann nicht doch lieber einen Methode wählen, die ohne eine Verschlüsselungsmethode auskommt, gegen die die NSA ihre Einwände zurückgezogen hat?

  12. supernorbert am September 7th, 2013 12:55 pm

    OpenPGP kann man vertrauen, weil es quelloffen ist. Schwachstellen in der Implementierung von Verschlüsselungsalgorithmen oder der Erzeugung von Zufallszahlen bleiben da eben nicht lange verborgen.

    Problematisch wird es immer dann, wenn die Schlüsselerzeugung nicht transparent ist, etwa von Google oder MS durchgeführt wird, dann kann man wohl davon ausgehen, dass die Schlüssel entweder kopiert werden oder kompromitiert sind.

  13. Dominic am September 7th, 2013 2:23 pm

    openPGP/GPG sind bei entsprechender Schlüssellänge und Passphrasenkomplexität sicher, wenn sie auf einem Open-Source-OS ausgeführt werden. Anderenfalls kann man der Verschlüsselung nur so weit trauen, wie man dem Hersteller des jeweiligen Systems vertrauen kann.

    Auch wenn theoretisch alle Schlüssel knackbar sind, macht das keinen Sinn mehr, wenn die Sonne vorher ihre finale Lebensphase einleiten muss.

    Was diese Mauer allerdings durchbrechen könnte, wäre dann die funktionsfähige Konstruktion eines Quantencomputers, was aber bis dahin auch nur als theoretische Möglichkeit im Raum steht.

Schreibe einen Kommentar