Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

News: Spiegel hat im Archiv gewühlt

Snowden: NSA-Schnüffler hassen Truecrypt, Tor, OTR und PGP

Michael Nickles / 4 Antworten / Flachansicht Nickles
(Foto: mn)

Digitale Daten verschlüsseln ist sicherer als drauf zu verzichten. Zu glauben, dass Verschlüsselung vor Fremdzugriffen schützt, ist aber ein fataler Irrtum.

Der Spiegel hat zum Jahresende in Edward Snowdens Archiv gewühlt und festgestellt, dass Geheimdienste wie NSA und GCHQ durchaus erfolgreich dabei sind, verschüsselte Kommunikation im Internet zu knacken.

Als erste Lachnummer führt der Spiegel das als sicher gepriesene Skype auf. Bereits seit 2011 wird dauerhafte Skype-Sammlung praktiziert. Schon im Juli 2013 kam  raus, dass Microsoft mit der NSA kooperiert (kooperieren muss) und im Rahmen des Überwachungsprogramms PRISM auch ermöglicht hat, dass beispielsweise sogar Skype-Videotelefonate überwacht werden können.

Trotz derlei (erzwungener) Unterstützung sei Verschlüsselung für die NSA ein Ärgernis, meldet der Spiegel in Berufung auf ein internes  NSA-Schulungsdokuments das er einsehen konnte. Selbst teils sehr alte Verschlüsselungsmethoden, die längst jederman nutzen kann, gelten laut Snowden immer noch als sicher.

Snowdens diesbezügliche Aussage ist bereits 2 Jahre alt, es ist aber wahrscheinlich, dass sie immer noch gültig ist. Auf jeden Fall bis 2012 soll sich die NSA an diversen Kommunikationsprotokollen und Verschlüsselungsmethoden die Zähne ausgebissen haben.

Als extrem schwer kontrollierbar gilt der Datenfluss im anonymisierten Netzwerk TOR. Gleichermaßen hasst die NSA die kostenlose Verschüsselungs-Lösung Truecrypt und am verschlüsselten Chat-Protokoll OTR (Off-the-record-Protokoll). Als abhörsicher gilt weiter auch das inzwischen über 20 Jahre alte PGP-Verfahren für Email-Verschlüsselung. Und am allermeisten hasst die NSA es, wenn von diesen Methoden welche kombiniert werden.

Michael Nickles meint:

Schon cool, dass es ausgerechnet teils uralte Methoden sind, die immer noch als hart bis unmöglich zu knacken gelten. Freuen kann sich die NSA auf jeden Fall darüber, dass immer noch sehr viele Menschen (vermutlich 99 Prozent) sich über Datenverschlüsselung keine Gedanken machen oder - teils moderneren - Methoden vertrauen, die halt doch nicht sicher sind (Stichwort VPN, virtuelle private Netzwerke).

Zu den laut Spiegel/Snowden noch als sicher geltenden Methoden:

TOR-Netzwerk: Gewiss besser als garkeine Methode, aber meines Erachtens nicht vertrauenswürdig, wenn es als einzige Maßnahme genutzt wird.

Truecrypt: Im Juli 2014 meldeten die anonymen Entwickler der seit geraumer Zeit beliebten Verschlüsselungs-Software, dass die Entwicklung eingestellt wird und dass Truecrypt nicht mehr als sicher gilt. Snowdens Enthüllungen verstärken den Eindruck, dass die Truecrypt-Entwickler seitens der NSA zum Einstellen des Projekts gezwungen wurden.

Als sicher gelten heute nur noch alte Versionen von Truecrypt (siehe REPORT: Spionagegefahr bei Truecrypt - was Nutzer jetzt wissen müssen). Truecrypt ist recht einfach bedienbar, optimale Sicherheit kriegt aber nur, wer das Konzept komplett kennt.

Auch ganz wichtig: man braucht eine Rückversicherung, falls ein großes Truecrypt-Archiv mal beschädigt wird. Das alles wird hier detailliert beschrieben: Truecrypt von A bis Z - Daten perfekt verschlüsseln und verstecken.

ORT-Messenger-Protokoll: Vor Skype warne ich im Fall vertrauenswürdiger Kommunikation bereits seit geraumer Zeit. Der Umstieg auf einen Messenger der zu zig Systemen kompatibel ist (auch Skype) allerdings auch sichere Kommunikation via ORT bietet, ist ausdrücklich ratsam.

Alle Details dazu gibt es hier: Skype-Belauschungen vermeiden - verschlüsselt kommunizieren

PGP: Gewiss sehr sicher, in der Praxis aber eine Pest. Der Einsatz dieser Mail-Verschlüsselungsmethode ist gewiss cool, die Installation ist aber Dreck und ebenso die Handhabung.

Ich gestehe, dass ich aktuell auch nicht die Nerven habe, dazu einen einsteigerfreundlichen Workshop zu schreiben. Wer einen kennt: her mit dem Link. Aber bitte keine dieser Anleitungen, bei denen sich halbwegs normale Menschen erstmal ein paar Tage einlesen müssen und bei denen zwischendurch auf zig weitere Anleitungen verwiesen wird.

bei Antwort benachrichtigen
gelöscht_189916 Michael Nickles „Die Scheisse bei PGP ist halt, dass es bei den gängigen ...“
Optionen
Ich frage mich warum.


Weil es sonst wesentlich mehr nutzen und bis vor gar nicht allzu langer Zeit scheinbar kein Anlass zum Verschlüsseln bestand?

Dann kommt noch der Aspekt kommerzielle und nichtkommerzielle Software dazu. Klar wäre ein Verschlüsseln der Mail per Mausklick ohne grosses Getue und Schlüsseltauschen eine Revolution, vielleicht wird es anhand der Zeit kommen.

Immerhin gibt es sogar beim BSI Hinweise auf das Problem:

https://www.bsi-fuer-buerger.de/BSIFB/DE/MobileSicherheit/Verschluesselung/verschluesselung_node.html

https://www.bsi.bund.de/DE/Themen/ProdukteTools/Gpg4win/gpg4win_node.html

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m05/m05063.html

Den Quark mit De-Mail kann man natürlich vergessen, das ist ein Plazebo:

https://www.bsi.bund.de/DE/Themen/EGovernment/DeMail/DeMail_node.html

http://www.german-privacy-fund.de/bullshit-made-in-germany/

bei Antwort benachrichtigen