Schrift:
Ansicht Home:
Forum
Netzwelt

NSA-Skandale: So funktionieren Kryptografie-Hintertüren

Corbis Der US-Geheimdienst NSA soll selbst stark verschlüsselte Inhalte mitlesen können - auch dank sogenannter Hintertüren in angeblich sicheren Systemen. Mathematiker und Informatiker kennen mögliche Schwachstellen genau. Sie zu finden, ist allerdings nicht leicht.
zum Artikel
Im mobilen Forum können sie die Beiträge nur lesen.
Um zu kommentieren, verwenden Sie bitte die Kommentarfunktion im Artikel.
    Seite 1/5    
#1 - 19.09.2013, 13:51 von itsecuritydude

optional

"Den besten Schutz gegen Hintertüren kennen Programmierer schon lange: Der Code der Verschlüsselungssoftware muss frei zugänglich sein, so dass jedermann nachvollziehen kann, wie sie arbeitet. "

Unsinn. ClosedSource verschlüsselungen werden dann eben reverse engineered. Und ob solche elip. kurve oder SBoxen gebackdoored sind sagt einem das auch nicht.

#2 - 19.09.2013, 13:57 von gog-magog

Macht dem Treiben der NSA endlich ein gesetzliches Ende!

Zitat von sysop
Der US-Geheimdienst NSA soll selbst stark verschlüsselte Inhalte mitlesen können - auch dank sogenannter Hintertüren in angeblich sicheren Systemen. Mathematiker und Informatiker kennen mögliche Schwachstellen genau. Sie zu finden, ist allerdings nicht leicht.
Völlig egal, ob verschlüsselt oder nicht. Das Mitlesen von Kommunikation, die nicht für einen selbst bestimmt ist ohne einen richterlichen Beschluss bei konkretem Tatverdacht, ist nichts anderes, als ein Gesetzesbruch, also ein Verstoß gegen das Grundrecht des Post- und Fernmeldegeheimnisses. Ein freier Bürger ist ja auch nicht verpflichtet, seine Briefe versiegelt und in Geheimschrift zu verschicken. Es gibt hier für den Normalbürger keinen Selbstschutz und die Einhaltung der verfassungsgemäß verbrieften Grundrechte ist Sache des Staates. Sonst können wir auch gleich zu Selbstjustiz übergehen.

#3 - 19.09.2013, 14:02 von danou

Am sonntag gegen NSA stimmen

... den zum glück gibt's ja die PIRATEN!

#4 - 19.09.2013, 14:09 von agtrier

Die wichtigste Botschaft ...

... ist im letzten Satz: "Der Code der Verschlüsselungssoftware muss frei zugänglich sein, so dass jedermann nachvollziehen kann, wie sie arbeitet."

Auch wenn nicht jeder die Kenntnisse hat, selbst den Code voll zu verstehen - allein, dass mit der Offenlegung genügend Leuten die *Möglichkeit* gegeben wird, reinzuschauen, macht es schwer, den Code zu manipulieren, ohne das Risiko einzugehen, dass die Hintertür entdeckt wird.

#5 - 19.09.2013, 14:09 von psion1977

Es geht auch einfacher: Man in the middle, Zugriff auf ssl-Zertifikate

Wenn man sich die Marktaufteilung der ssl-Zertifikatsanbieter mal anschaut, gibt es eigentlich nur noch Verisign. Spätestens, seit dem EV-Zertifikate en vogue sind und durch die damit verbundenen Auflagen sämtliche kleinen Anbieter vom Markt verschwunden sind. Die großen Anbieter (Thawte,...) hat Verisign für etliche Millionen direkt gekauft. Das Verisign enge Verbindungen zur US-Regierung hat ist an sich gut bekannt, schliesslich gibts soviel Vertrauen, dass sie sogar große Teile des DNS-Systems betreiben dürfen, incl. com-Zonen-Registry etc. Zusammen gibt das eine relativ perfide Kombination, weil mit Zugriff auf den DNS und auf die von derselben Firma ausgegebenen Zertifikate sehr einfach Men in the middle-Angriffe auf gesicherte (ssl, https) Verbindungen möglich werden. Dazu müsste nur ein DNS-Eintrag umgebogen und ein "Nachschlüssel" fürs Zertifikat ausgestellt werden. Und das alles aus einer Hand. Ein Schelm, wer böses dabei denkt...

#6 - 19.09.2013, 14:16 von verhetzungsschutz

Die Wahrheit hat sich an der Vordertür ausgesperrt

Zitat von sysop
Der US-Geheimdienst NSA soll selbst stark verschlüsselte Inhalte mitlesen können - auch dank sogenannter Hintertüren in angeblich sicheren Systemen. Mathematiker und Informatiker kennen mögliche Schwachstellen genau. Sie zu finden, ist allerdings nicht leicht.
Wer z.B. mit "Windows" ein Betriebsystem auf seinem Rechner hat und allen Ernstes glaubt, daß ausgerechnet das Halten "auf dem neuesten Stand", also das blinde Hereinlassen nicht kontrollierbarer Softwarebestandteile mittels Internetupdate, mehr Sicherheit bedeutet, der fährt wahrscheinlich auch ein Auto mit besonders gehärteten Türen, bei dem der Hesteller und jeder, der den Mechanismus kennt, die ganze Karosserie einfach zur Seite klappen könnte...

Die größte Erfolgsstrategie der Geheimdienste und ihrer kongenialen Mitstreiter, den Internetkriminellen, ist und bleibt die Desinformation: mache Wirbel und große Worte um Nebenschauplätze, damit der naive Büroangestellte glaubt, etwas tun zu können. Irgendein "Tun", und sei das in Wirklichkeit noch so sinnlos, erzeugt eben das Gefühl der Sicherheit: ja, ich habe etwas dafür getan. Und gefühlte Sicherheit ist doch das, was wir uns in einer Welt alle wünschen, in der man mit wesentlich größerer Wahrscheinlichkeit vom Blitz getötet wird als von einem Terroristen, oder?

Sinnlose Ratschläge bedeuten aber nicht nur eine gefühlsechte Welt, sie sind auch ein Geschäftsmodell für all die Branchen, bei denen dafür Geld fließt, daß sich jemand etwas Sinnloses aus den Fingern saugt. Jeder, der im Berufsleben immer wieder an Meetings teilnehmen muß, in denen es darum geht, einige Idioten im Unternehmen zu einem bestimmten Verhalten zu bewegen, der weiß wie Blendung funktioniert. Vor tausend Jahren hat man vielleicht einen Sud aus Krötenblut gekocht und heutzutage ist es das Antibiotikum gegen Computerviren, das uns das Leben sicher macht. Wäre es anders, wollten wir das doch auch gar nicht wissen, oder?

Wirklich sichere Computer zu erhalten, das wäre in etwa eine Aufgabe, die der Abschaffung des heutigen Wirtschaftssystems gleichkäme, um damit eine heile Finanzwelt zu erschaffen. Smartphones verbieten? Google und Facebook zerschlagen? Elektronische Fußfesseln am PC wie etwa TPM oder UEFI unter Strafe stellen? Das kann gar nicht gewollt sein. Das wäre geschäftsschädigend. Da sind wir lieber alle solidarisch und lassen die Wahrheit in die Insolvenz gehen. Die Wahrheit ist das einzige, was wahrhaftig nicht systemrelevant ist.

#7 - 19.09.2013, 14:17 von Leser123

Open Source?

"Den besten Schutz gegen Hintertüren kennen Programmierer schon lange: Der Code der Verschlüsselungssoftware muss frei zugänglich sein, so dass jedermann nachvollziehen kann, wie sie arbeitet. "
Absoluter Unsinn. Es ist doch wirklich kein Problem für einen Geheimdienst, die Open Source Gemeinde zu infiltrieren und Hintertüren - oops Bugs - einzubauen.
Quelloffen bedeutet noch lange nicht, dass bei hochkomplexen Code die Analyse einfach.
Die Hintertür im SSL-Algorithmus von Linux wurde trotz open source erst nach vielen Jahren entdeckt...

#8 - 19.09.2013, 14:21 von benuron

OpenSource für mehr Sicherheit

itsecdude hat Schwierigkeiten beim Verständnis von Bezügen (ich würde ihm daher eher nicht meine Unternehmenssicherheit anvertrauen): Die Aussage, dass Verschlüsselungssysteme mit offene Algorithmen sicherer sind als Verschlüsselungssysteme, die auf Geheimhaltung der Algorithmen angewiesen sind, ist natürlich ebenso alt wie sie richtig ist.

#9 - 19.09.2013, 14:33 von Altesocke

Nachdem wir jetzt den Artikel bis zu Ende gelesen haben:

Ueberlegen wir dochnochmal, ob das als Fehler bezeichnet werden darf.
Zitat von
Solche Fehler habe es auch schon in kommerzieller Software gegeben.
Der NSA ist da bestimmt kein Fehler unterlaufen!

    Seite 1/5