Miszellen zum Überwachungsstaat Deutschland

stil

Die Medien in Deutschland stecken immer noch voller Vodoo, sobald es um Computer und Internet geht. Das macht manchmal selbst vor IT-affinen Portalen wie Heise oder Golem nicht halt. Die Nutzer tun ihr Übriges, um den jeweiligen Quatsch zu perpetuieren. “Regret the Error” ist ohnehin kaum vorgesehen.

Man lese die folgenden Sätze: “Deutsche Geheimdienste können PGP entschlüsseln” (Golem). Ein Nutzer hat im Golem-Forum gleich kommentiert: “Vermutlich eine Ente”.

Genau so ist es. Es geht um eine Antwort der Bundesregierung auf eine Anfrage mehrere Abgeordneter der Linken, ob die Technik deutscher Übewachungsbehörden in der Lage sei, “verschlüsselte Kommunikation (etwa per SSH oder PGP) zumindest teilweise zu entschlüsseln und/oder auszuwerten?”

So fragt man natürlich nicht: Man kann nicht SSH oder PGP in einem Atemzug nennen. Das sind Äpfel und Gummibärchen. Dementsprechend dämlich und missverständlich ist die Antwort der Bundesregierung: “Ja, die eingesetzte Technik ist grundsätzlich hierzu in der Lage, je nach Art und Qualität der Verschlüsselung.”

Das kriegen natürlich Leute mit einem geplegten IT-Halb- und Viertelwissen gleich in den falschen Hals. Fefe schreibt dazu: “Weil mir hier gerade vermehrt gemailt wird, die Geheimdienste könnten PGP entschlüsseln: nein, können sie nicht. Was sie tun können ist Passwörter durchprobieren. Die sind direkt gefragt worden, ob sie PGP entschlüsseln können, und die Antwort war “im Prinzip haben wir die nötige Software dafür”. Die nötige Software kann man kaufen, die probiert Passwörter durch. Bessere Angriffe auf PGP sind nicht bekannt. Insofern haltet mal bitte alle die Füße still.”

Quod erat demonstrandum. Genau das Gegenteil der Überschrift von Golem ist richtig: Deutsche Geheimdienste können PGP nicht entschlüsseln. Golem hat mittlerweile einen klärenden Artikel nachgeschoben: “Symantec hat sich zu den Aussagen der Bundesregierung geäußert, nach denen Geheimdienste in der Lage seien, SSH oder PGP zu knacken oder zu umgehen. Mathematisch gesehen sei kein wirksamer Angriff bekannt.”

Hemker: “Wir hatten in der Vergangenheit ja schon oft Meldungen, laut denen PGP angeblich geknackt wurde. Das waren aber meistens Brute-Force-Attacken, bei denen schwache Passphrases für den Schlüsselzugriff geknackt wurden. Es war niemals ein mathematischer Angriff auf die Kryptografie selbst.”

Auch der Heise-Artikel zum Thema war zunächst missverständlich; dort aber bekommen die Autoren meistens gleich jeden falschen Punkt von den Lesern um die Ohren gehauen.

Man kann dem von Golem befragten Mathematiker Thomas Hemken nur zustimmen: “Unklar bleibe, was sie [die Bundesregierung] genau meinten.” Die Bundesregierung wirft in diesem Fall genauso Nebelkerzen wie im Fall der sogenannten “Online-Durchsuchung” oder hat einfach keine Ahnung. Vermutlich sogar beides.

Kommentare

5 Kommentare zu “Miszellen zum Überwachungsstaat Deutschland”

  1. Brösel am Mai 25th, 2012 11:22 am

    Die Geheimdienste können mit ihrem öffentlichen Key verschlüsselte Mails oder Dateien entschlüsseln. Gar keine Frage.

    Wenn sie den privaten Schlüssel haben können sie versuchen das Passwort zu erraten. Gar keine Frage.

    Aber mehr nicht. Sie sollen erst einmal ihren Trojaner zu Ende bringen.

  2. admin am Mai 25th, 2012 1:24 pm

    Brösel: that is just nonsense.

  3. Michael am Mai 25th, 2012 5:41 pm

    Jetzt nuß ich doch ein wenig haarspalten: “Entschlüsseln” nennt man in der Kryptologie die Umwandlung eines Ciphertextes in einen Klartext *mit* passendem Schlüssel. Also wie das normale Aufschliessen einer Tür. Wenn man keinen Schlüssel hat, dann nennt man das “entziffern”. So gesehen kann jeder PGP entschlüsseln, natürlich auch die Geheimdienste. :-)

    Abgesehen davon: Auch ein prinzipiell sicheres Verfahren (selbst das bewiesen sichere One-Time-Pad) kann geknackt werden, wenn es nicht richtig implementiert, falsch angewandt oder gar manipuliert wurde. Evtl. verbirgt sich solches hinter entsprechenden Meldungen. Die Geschichte mit den schwachen Zufallszahlen bei Debian-SSL vor einiger Zeit ist so ein Beispiel. – Und gerade der Zufallsgenerator ist auch ein attraktives Angriffsziel für Manipulationen, da solche Manipulationen im Alltag selbst Experten kaum auffallen.

  4. tina am Mai 25th, 2012 10:48 pm

    ich mache mir diesbezüglich keine gedanken, wer sich im zinseszinsbereich befindet.. und jede rechtfertigung zu dieser sache, macht den normalen umgang damit noch schwerer … (vor langer zeit saß man mal in einem fernamt) – es war kein problem nur ein gespräch nicht mitzuhören, wenn es darauf angelegt wurde … diese sache würde ich gerne auf diesen text übertragen …

  5. Fundstücke « Serdargunes' Blog am Mai 26th, 2012 4:20 am

    […] Miszellen zum Überwachungsstaat Deutschland (Burks / 25.05.2012) […]

Schreibe einen Kommentar