6

NSA & GCHQ umgehen und knacken großflächig Verschlüsselung im Internet

Der Guardian und die New York Times präsentieren die neueste Edward-Snowden-Enthüllung: Die Geheimdienste NSA (USA) und GCHQ (Großbritannien) geben erhebliche Ressourcen dafür aus, um Internet-Verschlüsselung zu umgehen oder zu knacken. Das NSA-Programm "Bullrun" ist dabei finanziell sogar weitaus besser ausgestattet als die Datensammel-Maschine "PRISM", beim GCHQ läuft als britisches Gegenstück das Programm "Edgehill". Die Ansatzpunkte zum Umgehen oder Knacken von Verschlüsselung sind dabei sehr vielfältig:

  • Beeinflussung der Auswahl des benutzten Verschlüsselungsverfahrens zugunsten älterer, leichter zu knackender Verfahren
  • Ausnutzung bekannter Schwächen in Verschlüsselungs-Verfahren
  • direktes Knacken leichter Passwörter mittels Supercomputern
  • Beschaffung von Schlüsseln für ältere verschlüsselte Kommunikation, die dann nachträglich entschlüsselt wird
  • virtueller oder auch echter Einbruch in Server- und Netzwerk-Systeme zum Abgreifen der Schlüssel oder dem direktem Abhören der Kommunikation
  • Beeinflussung von Verschlüsselungs-Standards zugunsten ausnutzbarer Schwachstellen
  • gezielte Einschleusung von Hintertüren in Hard- und Software für Verschlüsselungsaufgaben

Die Liste erhebt keinen Anspruch auf Vollständigkeit – und ist leider auch sehr unspezifisch, da die veröffentlichenden Magazine bewußt (und teilweise auch auf Druck der Geheimdienste) keine konkreten Informationen zu angreifbaren Protokollen und Diensten herausgegeben haben, um die "Arbeit" der Geheimdienste zu schützen. Allerdings reicht das vorliegende Material in seiner Masse absolut aus, um zu erkennen, daß NSA & GCHQ faktisch alles tun werden, was technisch irgendwie möglich ist. Gänzlich unerwartet kommt dies im übrigen auch nicht – es war nur die Frage, ob dafür genügend Geld zur Verfügung steht, was aber offensichtlich der Fall ist.

Richtig Würze bekommen diese Enthüllungen noch über das Detail, daß sich NSA & GCHQ sogar gezielt in die Arbeit von Firmen einmischen, die Verschlüsselungs-Produkte verkaufen: Es werden hierbei sowohl Verschlüsselungs-Standards im Sinne der Geheimdienste beeinflußt, als auch sogar Hintertüren in Verschlüsselungs-Produkte eingebaut, letzteres unter Mithilfe von deren Herstellern. Ein solches Vorgehen wurde zwar teilweise schon angenommen, liegt nun aber schwarz auf weiss vor und kann daher nicht mehr wegdiskutiert werden. Für die Hersteller entsprechender Produkte dürften diese Enthüllung ein schwerer Schlag sein, denn wenn Sicherheits-Software nicht mehr "sicher" ist, wird sie komplett nutzlos.

Echte Sicherheit bietet aber spätestens nach diesen Enthüllungen nur noch OpenSource-Software. Überall dort, wo der Quellcode nicht einsichtlich ist, muß leider prinzipiell von einer möglichen Beeinflussung durch die NSA ausgegangen werden. Komplizierter wird es bei Hardware, da man hier nicht wie im Software-Bereich größere Wahlmöglichkeiten hat. Allerdings muß angesichts dieser Enthüllungen sowieso davon ausgegangen werden, daß alles, was im Internet kommuniziert wird, letztlich irgendwie knackbar ist – selbst wenn die Verschlüsselung selber hält, können sich NSA & Co. immer noch irgendwo in die Verbindung hereinhängen. Auch die Sicherheit von OpenSource-Software gilt immer nur lokal, sprich für verschlüsselte Daten und Festplatten. Internet-Kommunikation ist per se als unsicher zu betrachten, da niemand für die Sicherheit der vermittelnden Netzwerk-Stellen sowie der anderen Kommunikations-Partner die Hand ins Feuer legen kann.

Nachtrag vom 8. September 2013

Die offizielle Antwort der Bundesregierung auf die neuesten Snowden-Enthüllungen zum Angriff der Geheimdienste auf die Internet-Verschlüsselung entspricht ganz dem, wie man sich es von einer im "Neuland" befindlichen Regierung erwartet: Man habe keine Anhaltspunkte für das Zutreffen der "Behauptungen" von Edward Snowden – aka man streitet die ganze Sache erst einmal ab. Einmal abgesehen von der politischen Wertung dieser Verweigerungshaltung sollte dies dann doch der Anlaß für den Guardian und die New York Times sein, die ursprünglichen Artikel mit der exakteren Nennung der angegriffenen Verschlüsselungs-Standards sowie der mit NSA & GCHQ zusammenarbeitenden Firmen zu veröffentlichen. Die beiden Zeitungen hatten zum Schutz des operativen Geschäfts der Geheimdienste einiges an Klartext aus ihren Artikeln entfernt – da der Bundesregierung aber augenscheinlich die vorliegenden Informationen zu unspezifisch sind, muß dies nun alles auf den Tisch. Eventuell läßt sich ja eine kleine eMail-Aktion starten, mittels welcher (mit dem Verweis auf die Antwort der deutschen Bundesregierung) der Guardian und die New York Times zu entsprechendem aufgefordert werden.

Nachtrag vom 9. September 2013

Bezüglich der letzten Snowden-Enthüllungen zum Angriff der Geheimdienste auf die Internet-Verschlüsselung bringen Golem einen feinen Artikel, welcher sich mit der Sicherheit verschiedener Verschlüsselungs-Standards auseinandersetzt. Ohne ein gewisses Grundwissen in Krypo-Dingen geht es natürlich trotzdem nicht – ansonsten bleibt einem nicht viel anderes übrig, als sich an allgemeine Empfehlungen zu halten. Eine solche wäre beispielsweise, daß AES mit 256 Bit heutzutage als sicher anzusehen ist, die bessere Alternative aber Twofish mit 256 Bit sein soll. Dies gilt allerdings primär nur für den Offline-Einsatz, am besten in der kontrollierten Umgebung eines einzelnen Programms wie TrueCrypt. Alles, was im Internet bei alltäglichen Dingen wie dem Browsen auch mit https passiert, ist dagegen per se als unsicher zu betrachten, da hier viel zu viel an Technik zum Einsatz kommt, die aus Kompatibilitätsgründen auf alte und damit schwache Standards setzt. Eventuell widmen sich die Browser-Hersteller in Zukunft verstärkt diesem Thema – wobei man Microsoft und Google als US-Unternehmen diesbezüglich auch gleich wieder ausbuchen muß.