Open Source im professionellen Einsatz
Linux-Magazin 08/2014
© Stephen Finn, 123RF

© Stephen Finn, 123RF

Warum selbst gute Kryptographie keinen Schutz mehr bietet

Spezialwege zum Ziel

In den meisten Fällen haben es Angreifer gar nicht nötig, kryptographische Verfahren, Algorithmen oder Schlüssel zu brechen – fast immer gibt es alternative Wege, die es ihnen deutlich einfacher machen. Die Gründe dafür sind vielfältig, eine Lösung ist nicht in Sicht.

342

"Die NSA knackt fast jede Verschlüsselung im Internet", das schrieb Krypto-Papst Bruce Schneier schon 2013 [1]. Selbst "Truecrypt ist nicht mehr sicher", weil die NSA ihre Finger im Spiel habe, mutmaßt Ars Technica im Juni 2014 [2]. Das BSD-Team schimpft seit Monaten: "Das, was die Open-SSL-Jungs lieferten, war die bestmögliche Verschleierung für Angreifer, die man sich vorstellen konnte" [3] und der Aucklander Verschlüsselungsexperte Peter Gutmann zieht einen Schlussstrich: "Kryptographie wird euch nicht helfen" [4].

Reichlich düstere Aussichten

Es ist ein düsteres Bild, das zahlreiche Experten, Entwickler und Analysten derzeit von der Security-Landschaft zeichnen und von den Aussichten, angesichts des NSA-Skandals überhaupt noch Sicherheit vor Angriffen und Ausspähung garantieren zu können.

Viel Feind, aber nicht viel Ehr

Die Bedrohungslage ist unübersichtlicher geworden. Inzwischen haben unsichere Endgeräte den Markt geflutet. Firmen wie Google, Sony oder Apple lassen den Benutzer im Zweifel im Stich, Banken thematisieren (wie Firmen generell) Einbrüche erst, wenn der Schaden eine kritische Masse erreicht hat, sei es als Shitstorm oder als messbare finanzielle Einbuße. Beispiel: Das seit Jahren als unsicher bekannte, aber weiterhin promotete M-TAN-Verfahren fürs Homebanking [5].

E-Mail-Hoster durchsuchen – per AGB vom Kunden gestattet – die E-Mails ihrer Kunden und verhindern ganz nebenbei wirkungsvolle Sicherheit bei E-Mail-Vorzeigeprojekten wie der De-Mail. Die Politik spielt mit: "Für jedes technische Problem gibt es eine politische Lösung", so sah Linus Neumann das bittere Credo der Entscheider hinter De-Mail.

In seinem Vortrag "Bullshit made in Germany" machte er auf dem Chaos Communications Congress 2013 deutlich, wie hier sicherheitstechnische Basics – beispielsweise eine funktionierende End-to-End-Verschlüsselung – auf dem Altar der kommerziellen Interessen geopfert wurden ([6], Abbildung 1).

Abbildung 1: Aus Konzerninteressen unsicher gebaut – und anschließend Standards korrigiert: De-Mail.

Ergibt es überhaupt noch Sinn, auf Verschlüsselungstechnologien zu setzen? Die Kommunikationspartner Alice und Bob können heute an ihrem Ende der Leitung mit an Sicherheit grenzender Wahrscheinlichkeit davon ausgehen, dass die Gegenstelle ihrer Kommunikation oder aber ein, zwei oder gar alle Geräte auf dem Weg dorthin kompromittiert sind.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 2 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Geheime Geschäfte

    Der Zoo an Crypto-Dateisystemen unter Linux hat Nachwuchs bekommen: E-Crypt-FS will in den Enterprise-Bereich vordringen. Ob der Sprössling schon reif ist fürs große Geschäft, zeigt dieser Kurztest.

  • Bruce Schneier zur Sicherheit nach der NSA-Affäre

    In der britischen Zeitung Guardian meldete sich am Freitag der Security-Forscher Bruce Schneier zur NSA-Affäre zu Wort. Die berechtigte Frage, die er in dem Artikel stellt, lautet, wie man angesichts der aktuellen News weiterhin sicher arbeiten kann.

  • Schutz(be)dürftig

    Ein VPN strahlt Sicherheit aus - aber wie es um sie tatsächlich bestellt ist, bleibt meist im Dunkeln. Jenseits der drei wichtigen Protokolle SSL, SSH und IPsec finden sich fast nur Applikationen mit gravierenden Mängeln. Das Linux-Magazin erklärt die Hintergründe und beschreibt Auswege.

  • Lese-Schutz

    Ganze Filesysteme verschlüsseln schützt deren Daten auch, wenn jemand die Festplatte klaut oder den Rechner von Diskette bootet. Während Suse-Anwender bereits bei der Installation die Verschlüsselung aktivieren können, ist bei anderen Distributionen etwas Handarbeit angesagt.

  • Löchriger Käse

    Ob die aktuellen Crypto-Dateisysteme unter Linux wirksam schützen, hängt von den kryptographischen Qualitäten ab und davon, ob ihre Bedienung den Admins und Anwendern schmeckt. Oftmals sorgen Programmierfehler sogar für zusätzliche Sicherheitslöcher. Dieser Test deckt Schwächen auf.

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.