Tag Archiv für Verschlüsselung

Gedanken zum Vorschlag „Web Key Service“ für die vereinfachte Schlüsselverteilung bei PGP

Der derzeitige GnuPG-Entwickler Werner Koch hat auf der OpenPGP.conf ein neuartiges Verfahren namens Web Key Service für die Verteilung der öffentlichen PGP-Schlüssel zur Diskussion vorgestellt. Hierbei sollen die Schlüssel vom Mailprovider über eine eindeutige URL, die den Hashwert der e-Mailaddresse enthält, über https direkt an das Mailprogramm ausgeliefert werden. Die Schlüsselverteilung erfolgt somit automatisiert ohne Eingriff des Nutzers (Golem, heise).

Das Problem des Auffindens des richtigen Schlüssels des Kommunikationspartners ist durchaus real, auch weil prinzipbedingt aus kryptografischer Sicht eine Interaktion beider Kommunikationspartner zwingend erforderlich ist. Die Übermittlung vom Fingerabdruck des Schlüssels und der Abgleich mit dem des aufgefundenen Schlüssels lässt sich nicht ohne Eingriff des Benutzers vollziehen. Dennoch, abseits der rein technischen Spezifikationen, scheint mir die reine Schlüsselverteilung nicht das Problem zu sein, welches die Ursache für den fehlenden Einsatz von Verschlüsselung in der e-Mailkommunikation darstellt, auch wenn die vorgeschlagene Spezifikation in die richtige Richtung zielt. Weiterlesen

Bitkom-Ergebnisse zum Stand der Verschlüsselung

Der Bitkom e.V. hat mal wieder Ergebnisse zu einer neuen Umfrage zum Thema Verschlüsselung veröffentlicht:

Der Einsatz von Verschlüsselungsverfahren für den Schutz von privaten Daten kommt nur langsam voran. Das hat eine repräsentative Umfrage im Auftrag des Digitalverbands Bitkom ergeben. Demnach verschlüsselten im vergangenen Jahr 15 Prozent der deutschen Internetnutzer E-Mails. Zum Vergleich: Im Jahr davor waren es mit 14 Prozent ähnlich viele.

Weiterlesen

Alleinstellungsmerkmal: Offizielle Hintertür

Eine Arbeitsgruppe unter Federführung des amerikanischen Kryptologen und Gründer der International Association for Cryptologic Research (IARC), David Chaum, hat ein neues Verschlüsselungssystem unter dem Namen PrivaTegrity vorgestellt (Die Zeit, Wired), welches sicherer und schneller als bisherige Syteme wie Tor sein soll. Einerseits soll die Anonymität aller Kommunikationspartner gewährleistet sein, resourcenschonend genug, um auch auf Mobiltelefonen ohne relevanten Zeitverlust verwendbar zu sein, aber gleichzeitig staatlichen Stellen grundsätzlich die Möglichkeit der Identifikation einzelner Teilnehmer bieten, ohne jedoch eine Massenbespitzelung zu ermöglichen. Das dahinter stehende neue Netzwerkprotokoll erhielt den Namen cMix [1] (erinnert nicht zufällig an alte Mixmaster-Systeme). Um einen Mißbrauch der Hintertür auszuschließen schlägt er eine Aufteilung der Verantwortlichkeit auf mehrere räumlich und vor allen Dingen juristisch voneinander getrennte Administratoren vor. Konkret will er neun Server in verschiendenen Ländern, genannt werden beispielhaft Island, Kanada und die Schweiz, positionieren. Jeder dieser Server soll seiner Auffassung nach eine Richtlinie publizieren unter welchen Bedingungen eine Kooperation mit den anderen Stellen zur Aufhebung der Anonymität eingegangen wird. Nur wenn alle neun Serveradmins kooperieren soll diese aufhebbar sein und eine Nachricht zum Sender zurückverfolgbar sein, so die Vorstellung. Im Grunde handelt es sich also um eine Schlüsselhinterlegung (key escrow) nach dem Mehraugenprinzip. Ein Prototyp wurde in der Programmiersprache Python erstellt und läuft bereits auf Amazons Clouddienst. Weiterlesen

Lasst SHA-1 endlich sterben

Ein Jahresanfang ist immer eine gute Gelegenheit alte Zöpfe abzuschneiden und etwas Neues zu beginnen. Auch bei der Verwendung von OpenPGP/GnuPG ist dies nicht vollkommen anders. Schon vor geraumer Zeit wurde der häufig verwendete Prüfsummenalgorithmus SHA-1 auf langfristige Sicht hin als zu unsicher erkannt und deshalb nach einem Ersatz gesucht. Dieser fand sich in SHA-2 (RFC 4634), einer ganzen Familie von neuen Prüfsummenalgrorithmen, bestehend aus SHA224, SHA256, SHA384 und SHA512. Da es jedoch seine Zeit dauert bis Software ergänzt, Arbeitsabläufe umgestellt und die neuen Versionen von einer überwiegenden Anzahl der Benutzer neue Versionen aufgespielt wurden konnte nicht sofort von SHA-1 abgerückt werden. Weiterlesen

Facebook integriert PGP/GPG

Seit Anfang des Monats besteht bei Facebook die Möglichkeit einen PGP-Schlüssel in das eigene Profil hochzuladen. Gleichzeitig veröffentlicht Facebook seinen Schlüssel 0xDEE958CF:

Fingerabdrücke von Facebook, Inc.
Schlüssel:
	31A7 0953 D8D5 90BA 1FAB 3776 2F38 98CE DEE9 58CF
Unterschlüssel:
	D8B1 153C 9BE9 C7FD B62F 7861 DBF4 E8A2 96FD E3D7

Ausgerechnet die Datenkrake Facebook, Geheimdienste mal außen vor gelassen, wird nun zum Vorreiter in Sachen PGP? An der ungehemmten Datensammelei bei Facebook wird dies nicht das Geringste ändern, dies, wie der Verkauf der Daten, ist schließlich sein Geschäftsmodell. Facebook wird daher niemals Funktionen implementieren, welche die Aktivitäten des Nutzers vor Facebook verbergen könnten. Was sich zunächst paradox anhört scheint mir dennoch der richtige Weg zu sein. Weiterlesen

Neuauflage der Kryptokriege: Edward Snowden ist schuld

Bereits Ende der 90er Jahre gab es den Versuch Kryptografie zu verbieten (Stichwort Crypto Wars). Damals ging die Initiative zur Einschränkung von Verschlüsselung von den USA aus, wohl weil sie um ihre Abhörmöglichkeiten fürchteten. Relativ plötzlich versiegte dann in der westlichen Welt die Disskussion um ein Verbot der Kryptografie. Warum? Seit dieser Zeit hat die Bedeutung des Internet während der letzten Jahre ein erhebliches Ausmaß angenommen, ist sogar in vielen Bereichen unverzichtbar geworden.

Schon allein aus Eigeninteressen müssen sich Geheimdienste seit ihrer Erfindung um Methoden der Verschleierung und Verschlüsselung beschäftigen. Einserseits um beim Gegner mitlesen zu können, andererseits um die eigene Kommunikation vor nicht authorisiertem Mitlesen zu schützen. Zur Erfüllung dieser Aufgabe benötigen sie Leute, die ihr Handwerk wirklich verstehen und davon gibt es nicht allzu viele, da die Materie recht komplex ist. Anders ausgedrückt, um solches Personal zu finden müssen sich die Geheimdienste an den Universitäten umsehen. Auf Grund der guten finanziellen Ausstattung der Geheimdienste und der relativ Schlechten der Universitäten sind sie in der Lage für Könner des Faches geradezu paradiesische Arbeitsbedingungen zu schaffen. Allerdings bedeutet dies auch, daß sie versuchen (müssen), Ideen und Projekte, die ihren Interessen entgegenlaufen sowie deren Entwickler zu torpedieren. Weiterlesen

Niederländischer Inlandsgeheimdienst hört Rechtsanwälte ab

Stück für Stück vervollständigt sich das Bild der sich nicht an rechtstaatliche Prinzipien gebunden fühlenden Geheimdienste in den sogenannten westlichen Demokratien. Nun ist öffentlich geworden, daß der niederländische Inlandsgeheimdienst AIVD (Algemene Inlichtingen- en Veiligheidsdienst) gezielt Rechtsanwälte abhört.

Jeder Rechtsanwalt und andere (berufliche) Geheimnisträger die heute noch Dienste über das Internet offerieren ohne einen Schlüssel (PGP, S/MIME) für eine sichere Kommunikation anzubieten, handeln grob fahrlässig, gegen die Interessen ihres Mandanten und müssen sich dem Vorwurf des mutwilligen Mandantenverrats gefallen lassen, da sie eine grobe Verletzung ihrer Fürsorgepflicht begehen. Das rechtswidrige Handeln von Geheimdiensten gehört zwar ebenfalls unterbunden, was jedoch immer nur national erfolgt, kann aber nicht zur Entlastung der Berufsgeheimnistäger beitragen, da sie von der Abhörpraxis Kenntnis haben, jedoch keinen Versuch unternehmen die Kommunikation mit ihren Mandanen adäquat zu schützen.

Zum Thema hier im Blog:

Apple tötet kleine Kinder, oder so …

Apples Führungsriege hatte Besuch von Mr. James Cole (Deputy Attorney General of the USA), die Nr. 2 im amerikanischen Justizministerium (DOJ), um seine Besorgnis über die, in der neuen Generation von iPhones mitgelieferte, Verschlüsselung Ausdruck zu verleihen. Hintergrund war die Ankündigung von Apple, daß bei den neuen Modellen Apple selbst bei Vorlage einer gerichtlichen Verfügung keine enschlüsselten der Daten mehr herausgeben könne, da es technisch ohne Kenntnis des korrekten Passwortes dazu nicht in der Lage sei. Um der Sache der Justiz Nachdruck zu verleihen, mussten wie immer in solchen Fällen arme, kleine Kinder als Argument herhalten. Weiterlesen

FBI Direktor beklagt sich über Verschlüsselung von Mobilgeräten


Das FBI ist offenbar zu der Auffassung gelangt, daß die von Google für das nächste Android versprochene und von Apple mit iOS 8 eingeführte Verschlüsselung für iPhones und iPads funktioniert, denn der FBI Direktor James Comey beklagt sich darüber (Huffington Post via FAZ), dass die Ermittlungsbehörden nun keinen Zugriff mehr auf die Daten auf iPhones un iPads haben.

„I am a huge believer in the rule of law, but I am also a believer that no one in this country is beyond the law,“ Comey told reporters at FBI headquarters in Washington. „What concerns me about this is companies marketing something expressly to allow people to place themselves above the law.“

(„Ich glaube an den Rechtsstaat, aber ich glaube ebenfalls daran, daß niemand in diesem Land jenseits des Gesetzes steht.“ […] „Was mich jedoch daran beunruhigt ist, daß die Unternehmen mit etwas ausdrücklich werben, was es den Kunden erlaubt, sich über das Gesetz zu stellen.“)

Das Lamenti ist aus zwei Gründen interessant. Einerseits ist es in einem Land, in dem selbst automatische Waffen frei verkäuflich sind, pure Heuchelei. Weiterlesen

Parallelnetz für Europa

In einem Kommentar fordert, wie schon andere vor ihr, jetzt auch Sabine Leutheusser-Schnarrenberger den Aufbau eines Parallelnetzes in Europa.

… die Bundesregierung die Verpflichtung, für sichere Kommunikation zu sorgen und endlich Vorschläge für ein Parallelnetz in Europa zu machen und voranzutreiben.

Gerade Fr. Leutheusser-Schnarrenberger kann man nun nicht unbedingt den Vorwurf machen aus rein populistischen Motiven heraus irgendwelche Thesen in die Welt zu setzen, aber generell frage ich mich bei diesen Forderungen immer, wie genau man sich das technisch eigentlich vorstellt. Prinzipiell gäbe es zwei Möglichkeiten ein solches Deutschlandnetz oder Europanetz Wirklichkeit werden zu lassen. Entweder tatsächlich als echtes physisches Netz oder als virtuelles Netz im existierenden Netzverbund. Weiterlesen