Stoppt die Vorratsdatenspeicherung! Jetzt klicken &handeln! Willst du auch an der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien

Dienstag, 17. September 2013

Sicher ist sicher?

Seit dem Aufkommen des NSA-Skandals wurde viel über Datensicherheit und Privatsphäre geschrieben. Der heilige Gral der Datensicherheit ist nach wie vor eine starke Verschlüsselung, doch inzwischen scheint auch diese nicht mehr ganz sicher zu sein.

Es gibt mehrere Methoden, wie Kommunikation trotz Verschlüsselung abgefangen werden kann: Die aufwendige Methode ist es, den Schlüssel selbst zu knacken. Das ist jedoch sehr rechenintensiv und kann bei einer globalen Überwachung von Millionen parallel stattfindender Gespräche (noch) nicht eingesetzt werden.
Quelle: zeit.de
Einfacher ist es da schon für die Geheimdienste, Firmen zu beeinflussen, die Kryptotechnologien verkaufen. Dann wird in die Software ein so genanntes "backdoor" eingebaut, mit dem die Verschlüsselung entweder einfach errechnet oder ganz ausgehebelt werden kann. Das funktioniert aber nur bei Software, deren Programmcode nicht einsehbar ist (closed source), nicht jedoch bei open source-Projekten, wo der Verschlüsselungs-Algorithmus einsehbar ist und auf Sicherheitslücken überprüft werden kann.
Schließlich gibt es noch eine Möglichkeit verschlüsselte Kommunikation abzuhören: Die so genannte "man-in-the-middle"-Attacke. Der Angreifer klinkt sich hier zwischen den Gesprächspartnern (bzw. Computern) ein und hört die Kommunikation mit. Wird eine sichere Verbindung (HTTPS, SSL, etc.) angefordert, über die die Daten eigentlich gesichert wären, wird das Sicherheits-Zertifikat vom Angreifer in der Mitte ausgegeben und die Kommunikation kann entschlüsselt mitgelesen werden. Die ZEIT hat hierzu eine schöne Grafik gestaltet, in der diese Methode veranschaulicht wird. 

Trotz all dieser Möglichkeiten verschlüsselte Nachrichten zu dekodieren, ist es wichtig private Daten sicher zu schützen und Kommunikation über das Netz möglichst nicht abhörbar zu führen. Technologien wie PGP und TrueCrypt bieten hier den richtigen Schutz.
Zu diesem Thema findet morgen Abend im Innsbrucker Hackerspace die zweite CryptoParty statt, bei der die Installation und Anwendung von Verschlüsselungs-Software erklärt und gezeigt wird. Jede/r Teilnehmer/in kann am eigenen Laptop die Programme installieren und bekommt fachkundigen Rat von Expert/innen und Hilfe bei Problemen. Ich möchte alle Interessierten dazu einladen, sich für die CryptoParty anzumelden und werde sicher auch vorbei schauen.

Links zur CryptoParty:
IT-Syndikat
provInnsbruck
Facebook Event

Kommentare:

  1. Template für Cryptoparties zur freien Verwendung.
    http://prezi.com/zmnsxkmwjj8o/template-cryptoparty/

    AntwortenLöschen
  2. Wir widmen uns der Kryptographie auf dem Android Smartphone. Wer Lust hat auf Facebook ?!? oder auf Google+

    AntwortenLöschen
  3. Was mir in diesem Kontext noch wichtig wäre: Open Source bedeutet nicht zwangsläufigen Schutz vor "backdoors". In größeren Communities ist die Auffindung zwar wahrscheinlicher, jedoch nicht zwangsläufig und es gibt viele kleinere und Kleinstprojekte. Mit etwas Mühe kann man ein backdoor wie einen Bug aussehen lassen. Debian hat über Jahre einen üblen unentdeckten Bug gehabt.
    Es gibt einen Wettbewerb, der sich mit nichts anderen als der Erschaffung von bugaussehenden backdoors beschäftigt. http://underhanded.xcott.com/
    Verwendung von Open Source kann deswegen nur die erste Minimalforderung sein.

    AntwortenLöschen