Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

News: Spiegel hat im Archiv gewühlt

Snowden: NSA-Schnüffler hassen Truecrypt, Tor, OTR und PGP

Michael Nickles / 4 Antworten / Baumansicht Nickles
(Foto: mn)

Digitale Daten verschlüsseln ist sicherer als drauf zu verzichten. Zu glauben, dass Verschlüsselung vor Fremdzugriffen schützt, ist aber ein fataler Irrtum.

Der Spiegel hat zum Jahresende in Edward Snowdens Archiv gewühlt und festgestellt, dass Geheimdienste wie NSA und GCHQ durchaus erfolgreich dabei sind, verschüsselte Kommunikation im Internet zu knacken.

Als erste Lachnummer führt der Spiegel das als sicher gepriesene Skype auf. Bereits seit 2011 wird dauerhafte Skype-Sammlung praktiziert. Schon im Juli 2013 kam  raus, dass Microsoft mit der NSA kooperiert (kooperieren muss) und im Rahmen des Überwachungsprogramms PRISM auch ermöglicht hat, dass beispielsweise sogar Skype-Videotelefonate überwacht werden können.

Trotz derlei (erzwungener) Unterstützung sei Verschlüsselung für die NSA ein Ärgernis, meldet der Spiegel in Berufung auf ein internes  NSA-Schulungsdokuments das er einsehen konnte. Selbst teils sehr alte Verschlüsselungsmethoden, die längst jederman nutzen kann, gelten laut Snowden immer noch als sicher.

Snowdens diesbezügliche Aussage ist bereits 2 Jahre alt, es ist aber wahrscheinlich, dass sie immer noch gültig ist. Auf jeden Fall bis 2012 soll sich die NSA an diversen Kommunikationsprotokollen und Verschlüsselungsmethoden die Zähne ausgebissen haben.

Als extrem schwer kontrollierbar gilt der Datenfluss im anonymisierten Netzwerk TOR. Gleichermaßen hasst die NSA die kostenlose Verschüsselungs-Lösung Truecrypt und am verschlüsselten Chat-Protokoll OTR (Off-the-record-Protokoll). Als abhörsicher gilt weiter auch das inzwischen über 20 Jahre alte PGP-Verfahren für Email-Verschlüsselung. Und am allermeisten hasst die NSA es, wenn von diesen Methoden welche kombiniert werden.

Michael Nickles meint:

Schon cool, dass es ausgerechnet teils uralte Methoden sind, die immer noch als hart bis unmöglich zu knacken gelten. Freuen kann sich die NSA auf jeden Fall darüber, dass immer noch sehr viele Menschen (vermutlich 99 Prozent) sich über Datenverschlüsselung keine Gedanken machen oder - teils moderneren - Methoden vertrauen, die halt doch nicht sicher sind (Stichwort VPN, virtuelle private Netzwerke).

Zu den laut Spiegel/Snowden noch als sicher geltenden Methoden:

TOR-Netzwerk: Gewiss besser als garkeine Methode, aber meines Erachtens nicht vertrauenswürdig, wenn es als einzige Maßnahme genutzt wird.

Truecrypt: Im Juli 2014 meldeten die anonymen Entwickler der seit geraumer Zeit beliebten Verschlüsselungs-Software, dass die Entwicklung eingestellt wird und dass Truecrypt nicht mehr als sicher gilt. Snowdens Enthüllungen verstärken den Eindruck, dass die Truecrypt-Entwickler seitens der NSA zum Einstellen des Projekts gezwungen wurden.

Als sicher gelten heute nur noch alte Versionen von Truecrypt (siehe REPORT: Spionagegefahr bei Truecrypt - was Nutzer jetzt wissen müssen). Truecrypt ist recht einfach bedienbar, optimale Sicherheit kriegt aber nur, wer das Konzept komplett kennt.

Auch ganz wichtig: man braucht eine Rückversicherung, falls ein großes Truecrypt-Archiv mal beschädigt wird. Das alles wird hier detailliert beschrieben: Truecrypt von A bis Z - Daten perfekt verschlüsseln und verstecken.

ORT-Messenger-Protokoll: Vor Skype warne ich im Fall vertrauenswürdiger Kommunikation bereits seit geraumer Zeit. Der Umstieg auf einen Messenger der zu zig Systemen kompatibel ist (auch Skype) allerdings auch sichere Kommunikation via ORT bietet, ist ausdrücklich ratsam.

Alle Details dazu gibt es hier: Skype-Belauschungen vermeiden - verschlüsselt kommunizieren

PGP: Gewiss sehr sicher, in der Praxis aber eine Pest. Der Einsatz dieser Mail-Verschlüsselungsmethode ist gewiss cool, die Installation ist aber Dreck und ebenso die Handhabung.

Ich gestehe, dass ich aktuell auch nicht die Nerven habe, dazu einen einsteigerfreundlichen Workshop zu schreiben. Wer einen kennt: her mit dem Link. Aber bitte keine dieser Anleitungen, bei denen sich halbwegs normale Menschen erstmal ein paar Tage einlesen müssen und bei denen zwischendurch auf zig weitere Anleitungen verwiesen wird.

bei Antwort benachrichtigen
gelöscht_189916 Michael Nickles „Snowden: NSA-Schnüffler hassen Truecrypt, Tor, OTR und PGP“
Optionen

Moin

Es ist immer aufwendig, sich wenigstens so weit als möglich dem Überwachen zu entziehen durch Schutz seiner Daten zu entziehen. Ein Anfang ist schon der weitestgehende Verzicht auf Kartenzahlung, Rabattaktionen und dergleichen.
Wie 'sicher' viele der tollen Dinge wie Bezahlen per Handy und so weiter sind, lässt sich derzeit sehr schön auf dem 31C3 wieder sehen und da ist vieles dabei, was nicht unbedingt das Können eines Hackers bedarf.

Der Kommentar zu Truecrypt bestätigt meine Meinung, dass die Chose diesen Jahres darum ein ziemlicher Fake war, jedenfalls für die letzte echte  Version 7.1a.

Skype ist schon wegen des geschlossenen Codes ein Unding, leider wüsste ich auf die Schnelle keinen Messenger bzw. ein Protokoll, das einfach Bild und Ton verschlüsselt überträgt.
Bei XMPP über Jabber geht OTR zwar einfach, will man jedoch Audio/Video verschlüsseln, klappt das meines Wissens nicht auf einfachen Wegen (andere/neuere Erfahrungen werden gerne angenommen;-)

Zu PGP sei gesagt, soooo schwierig ist es auch nicht, aber es ist für ein erstes Mal schon eine ziemliche Krux - gerade als nur Anwender.

Ich gestehe, dass ich aktuell auch nicht die Nerven habe, dazu einen einsteigerfreundlichen Workshop zu schreiben.


Basierend auf dieser Anleitung habe ich hier auch einmal eine verbrochen, allerdings ist diese dank der Versionsfolge von Thunderbird schon wieder 'veraltet'. Prinzipiell funktioniert es immer noch so und klappt bei mir unter Linux und Windows problemlos. Wie das Tauschen der Schlüssel stattfindet, mag jeder selber wissen - entweder auf einen Key-Server laden oder eben per Stick/unverschlüsselter Mail tauschen.
Ob die jetzt für halbwegs normale Menschen zu erfassen ist...

bei Antwort benachrichtigen
Michael Nickles gelöscht_189916 „Moin Es ist immer aufwendig, sich wenigstens so weit als ...“
Optionen

Die Scheisse bei PGP ist halt, dass es bei den gängigen Mail-Programmen nicht einfach drinnen und bequem aktivierbar ist. Ich frage mich warum.

Prost,
Mike

bei Antwort benachrichtigen
gelöscht_189916 Michael Nickles „Die Scheisse bei PGP ist halt, dass es bei den gängigen ...“
Optionen
Ich frage mich warum.


Weil es sonst wesentlich mehr nutzen und bis vor gar nicht allzu langer Zeit scheinbar kein Anlass zum Verschlüsseln bestand?

Dann kommt noch der Aspekt kommerzielle und nichtkommerzielle Software dazu. Klar wäre ein Verschlüsseln der Mail per Mausklick ohne grosses Getue und Schlüsseltauschen eine Revolution, vielleicht wird es anhand der Zeit kommen.

Immerhin gibt es sogar beim BSI Hinweise auf das Problem:

https://www.bsi-fuer-buerger.de/BSIFB/DE/MobileSicherheit/Verschluesselung/verschluesselung_node.html

https://www.bsi.bund.de/DE/Themen/ProdukteTools/Gpg4win/gpg4win_node.html

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m05/m05063.html

Den Quark mit De-Mail kann man natürlich vergessen, das ist ein Plazebo:

https://www.bsi.bund.de/DE/Themen/EGovernment/DeMail/DeMail_node.html

http://www.german-privacy-fund.de/bullshit-made-in-germany/

bei Antwort benachrichtigen
macert Michael Nickles „Snowden: NSA-Schnüffler hassen Truecrypt, Tor, OTR und PGP“
Optionen

Video zur PGP-Installation für Windows.

https://www.youtube.com/watch?v=DRpzAwdCUsE

bei Antwort benachrichtigen