Die nächste Panne bei der Bundeswehr im Einsatz: Am Wochenende fielen die Kryptosysteme aus und als Beschwichtigung wird einem mal wieder (mindestens) ein Bär aufgebunden. Weiterlesen
Tag Archiv für Kryptografie
Bei Bundeswehr fielen Kryptosysteme aus
Niemand hat die Absicht massenweise Passwörter auszulesen
Justizministerin Christine Lambrecht (SPD) hat im Kampf gegen Hass und Hetze im Netz und Rechtsextremismus (einmal mehr kennt man keinen Linksextremismus) einen Gesetzentwurf zur Verschärfung des Netzwerkdurchsetzungsgesetzes (NetzDG) von Heiko Maas vorgelegt gehabt, mit dem praktisch alle (Internet)Plattformen verpflichtet werden „sämtliche unternehmensinternen Datenquellen“ an Staatsanwaltschaft und Geheimdienste herauszugeben, zu denen u.a. Anderem eben auch Passwörter gehören. Weiterlesen
Bitkom-Ergebnisse zum Stand der Verschlüsselung
Der Bitkom e.V. hat mal wieder Ergebnisse zu einer neuen Umfrage zum Thema Verschlüsselung veröffentlicht:
Der Einsatz von Verschlüsselungsverfahren für den Schutz von privaten Daten kommt nur langsam voran. Das hat eine repräsentative Umfrage im Auftrag des Digitalverbands Bitkom ergeben. Demnach verschlüsselten im vergangenen Jahr 15 Prozent der deutschen Internetnutzer E-Mails. Zum Vergleich: Im Jahr davor waren es mit 14 Prozent ähnlich viele.
Lasst SHA-1 endlich sterben
Ein Jahresanfang ist immer eine gute Gelegenheit alte Zöpfe abzuschneiden und etwas Neues zu beginnen. Auch bei der Verwendung von OpenPGP/GnuPG ist dies nicht vollkommen anders. Schon vor geraumer Zeit wurde der häufig verwendete Prüfsummenalgorithmus SHA-1 auf langfristige Sicht hin als zu unsicher erkannt und deshalb nach einem Ersatz gesucht. Dieser fand sich in SHA-2 (RFC 4634), einer ganzen Familie von neuen Prüfsummenalgrorithmen, bestehend aus SHA224, SHA256, SHA384 und SHA512. Da es jedoch seine Zeit dauert bis Software ergänzt, Arbeitsabläufe umgestellt und die neuen Versionen von einer überwiegenden Anzahl der Benutzer neue Versionen aufgespielt wurden konnte nicht sofort von SHA-1 abgerückt werden. Weiterlesen
Facebook integriert PGP/GPG
Seit Anfang des Monats besteht bei Facebook die Möglichkeit einen PGP-Schlüssel in das eigene Profil hochzuladen. Gleichzeitig veröffentlicht Facebook seinen Schlüssel 0xDEE958CF:
Fingerabdrücke von Facebook, Inc. Schlüssel: 31A7 0953 D8D5 90BA 1FAB 3776 2F38 98CE DEE9 58CF Unterschlüssel: D8B1 153C 9BE9 C7FD B62F 7861 DBF4 E8A2 96FD E3D7
Ausgerechnet die Datenkrake Facebook, Geheimdienste mal außen vor gelassen, wird nun zum Vorreiter in Sachen PGP? An der ungehemmten Datensammelei bei Facebook wird dies nicht das Geringste ändern, dies, wie der Verkauf der Daten, ist schließlich sein Geschäftsmodell. Facebook wird daher niemals Funktionen implementieren, welche die Aktivitäten des Nutzers vor Facebook verbergen könnten. Was sich zunächst paradox anhört scheint mir dennoch der richtige Weg zu sein. Weiterlesen
BND, GCHQ und der Untersuchungsausschuss
Das Geplänkel zwischen BND, GCHQ/brit. Regierung und dem Geheimdienstuntersuchungsausschuss hält für jeden etwas bereit.
Der Präsident des Bundesnachrichtendienstes (BND), Gerhard Schindler, informierte laut FOCUS die Obleute der Parteien im U-Ausschuß am Mittwochabend über die ungewöhnlich angespannten Beziehungen zu den britischen Partnerbehörden.
Von einem Boykott der Briten wäre insbesondere der Austausch von relevanten Informationen zur Terror- und Spionageabwehr betroffen. „Ohne die Infos der Briten aus der Funkaufklärung wären wir blind“, sagte ein ranghoher Verfassungsschützer dem Münchner Magazin.
Das ist grandios, wir haben in Deutschland ein Dutzend milliardenteure Geheimdienste, aber ohne die Briten wären wir blind. Dann haben wir wenigstens einen wirklich objektiven Grund die Läden dicht zu machen: Wegen chronischer Dysfunktionalität geschlossen. Oder soll der Öffentlichkeit nur weisgemacht werden, daß wir die Briten brauchen so lange den deutschen Diensten nicht mehr Geld zur Verfügung gestellt wird? Weiterlesen
Neuauflage der Kryptokriege: Edward Snowden ist schuld
Bereits Ende der 90er Jahre gab es den Versuch Kryptografie zu verbieten (Stichwort Crypto Wars). Damals ging die Initiative zur Einschränkung von Verschlüsselung von den USA aus, wohl weil sie um ihre Abhörmöglichkeiten fürchteten. Relativ plötzlich versiegte dann in der westlichen Welt die Disskussion um ein Verbot der Kryptografie. Warum? Seit dieser Zeit hat die Bedeutung des Internet während der letzten Jahre ein erhebliches Ausmaß angenommen, ist sogar in vielen Bereichen unverzichtbar geworden.
Schon allein aus Eigeninteressen müssen sich Geheimdienste seit ihrer Erfindung um Methoden der Verschleierung und Verschlüsselung beschäftigen. Einserseits um beim Gegner mitlesen zu können, andererseits um die eigene Kommunikation vor nicht authorisiertem Mitlesen zu schützen. Zur Erfüllung dieser Aufgabe benötigen sie Leute, die ihr Handwerk wirklich verstehen und davon gibt es nicht allzu viele, da die Materie recht komplex ist. Anders ausgedrückt, um solches Personal zu finden müssen sich die Geheimdienste an den Universitäten umsehen. Auf Grund der guten finanziellen Ausstattung der Geheimdienste und der relativ Schlechten der Universitäten sind sie in der Lage für Könner des Faches geradezu paradiesische Arbeitsbedingungen zu schaffen. Allerdings bedeutet dies auch, daß sie versuchen (müssen), Ideen und Projekte, die ihren Interessen entgegenlaufen sowie deren Entwickler zu torpedieren. Weiterlesen
Niederländischer Inlandsgeheimdienst hört Rechtsanwälte ab
Stück für Stück vervollständigt sich das Bild der sich nicht an rechtstaatliche Prinzipien gebunden fühlenden Geheimdienste in den sogenannten westlichen Demokratien. Nun ist öffentlich geworden, daß der niederländische Inlandsgeheimdienst AIVD (Algemene Inlichtingen- en Veiligheidsdienst) gezielt Rechtsanwälte abhört.
Jeder Rechtsanwalt und andere (berufliche) Geheimnisträger die heute noch Dienste über das Internet offerieren ohne einen Schlüssel (PGP, S/MIME) für eine sichere Kommunikation anzubieten, handeln grob fahrlässig, gegen die Interessen ihres Mandanten und müssen sich dem Vorwurf des mutwilligen Mandantenverrats gefallen lassen, da sie eine grobe Verletzung ihrer Fürsorgepflicht begehen. Das rechtswidrige Handeln von Geheimdiensten gehört zwar ebenfalls unterbunden, was jedoch immer nur national erfolgt, kann aber nicht zur Entlastung der Berufsgeheimnistäger beitragen, da sie von der Abhörpraxis Kenntnis haben, jedoch keinen Versuch unternehmen die Kommunikation mit ihren Mandanen adäquat zu schützen.
Zum Thema hier im Blog:
Vertrauliche Daten an die falsche e-Mailadresse
Interessanter Fall, die US-Investmentbank Goldman Sachs oder besser gesagt ein Mitarbeiter eines Vertragsunternehmens, schickte eine e-Mail mit vertraulichen Daten (Spiegel-Online, Süddeutsche) an eine falsche e-Mailadresse. Nun verlangt Goldmann Sachs vom Betreiber der Empfängerplattform, in diesem Falle Google als Betreiber von gmail.com, die Löschung der von Goldmann Sachs fehlerhaft adressierten e-Mail. Jetzt muss gerichtlich geklärt werden, ob der Betreiber und wenn ja auf welcher Rechtsgrundlage, eine ordnungsmäß zugestellte e-Mail aus dem Postfach eines Empfängers auf Zuruf löschen darf. Außerdem verlangt die Bank Auskunft darüber wer Zugriff auf die Daten gehabt haben könnte. Meiner Auffassung nach sollte dies nicht ohne Weiteres erlaubt sein, denn der Dienstbetreiber stellt den Telekommunikationsdienst zur Verfügung, hat aber kein Recht Inhalte nach eigenem Gutdünken zuzustellen oder auch nicht bzw. den Inhalt eines Postfaches eigenmächtig zu verändern. Vielleicht sollte die e-Mail ursprünglich doch an den Empfänger, aber man hat es sich dann intern, bspw. um die eigene rechtliche Position nicht untergraben, anders überlegt und würde daher die e-Mail lieber ungeschehen machen. Für den Dienstbetreiber gibt es keine objektive Möglichkeit zu entscheiden, ob der Empfänger eine e-Mail erhalten sollte, wollte oder eben nicht, lt. der e-Mailadresse war sie jedenfalls an ihn adressiert. Dies ist einer der Gründe warum in Deutschland Spam in Spamordnern abgelegt und nicht einfach gelöscht wird. Auch bzgl. der verlangten Herausgabe von Nutzerdaten über Personen die Zugriff gehabt haben könnten scheint mir die Rechtslage in Deutschland eindeutig zu sein, denn nach §12 Abs. 2 TMG darf eine Weitergabe der Nutzerdaten an Dritte nur dann erfolgen wenn dies eine Rechtsvorschrift erlaubt oder der Nutzer eingewilligt hat. Beides trifft hier nicht zu. Google würde sich in Deutschland daher strafbar machen, wenn es dem Ansinnen auf Datenherausgabe stattgeben würde. Wie die Rechtslage in den USA dazu aussieht weiß ich jedoch nicht. Weiterlesen