USA und UK knacken Verschlüsselungen und bauen Backdoors in Web-Servcies ein

Ihr dachtet, Ihr seid vor der NSA sicher, wenn Ihr Eure Daten verschlüsselt? Vermutlich falsch gedacht. Wie The Guardian berichtet, haben die USA und Großbritannien (NSA und GHCQ) einen Großteil der heute eingesetzten Verschlüsselungstechniken geknackt.

NSA diagram

Wenn Euch ein Web-Servcie also „garantiert“, dass keiner die Verschlüsselung knacken kann, ist dies höchstwahrscheinlich falsch. Die Verschlüsselungen werden zum Teil per Brute-Force-Methoden über Supercomputer geknackt. Auch soll es eine Zusammenarbeit zwischen den Geheimdiensten und den Web-Services geben, an den Verschlüsselungs-Standards sollen sie mitgearbeitet haben.

[werbung] Über die Partnerschaften wurden Backdoors in kommerzielle Verschlüsselungs-Techniken eingeschleust. Die neu veröffentlichten Dokumente geben außerdem folgende Auskünfte:

  • Ein 10-Jahres-Programm der NSA gegen die Verschlüsselungs-Techniken schaffte 2010 einen Durchbruch und macht einen großen Teil der gesammelten (und verschlüsselten) Daten sichtbar.
  • Die NSA gibt 250 Millionen Dollar pro Jahr aus, um unter anderem mit (sicherheits-)Firmen zu kooperieren, um das Produkt-Design zu beeinflussen.
  • Das Geheimnis über ihre Möglichkeiten der Geheimdienste ist streng beschützt, Analysten werden gewarnt: „Fragt oder spekuliert nicht über die Methoden und Quellen.“
  • Die NSA beschreibt die starken Entschlüsselungsprogramme als „Preis für den uneingeschränkten Zugang und die Nutzung des Cyberspace in den USA“.
  • Ein GHCQ-Team arbeitete an Methoden, um in den verschlüsselten Traffic der großen vier Service-Provider zu kommen. Die großen vier werden auch genannt: Hotmail, Google, Yahoo und Facebook.

So wie es scheint, gibt es also keine sichere Methode, um sich vor einer Überwachung zu schützen. Die Frage, die sich allerdings immer wieder stellt ist, welche Rolle die Web-Dienste in der ganzen Geschichte spielen. Gerade die vier hier genannten Firmen brüsten sich mit Transparenz und wollen alle Anfragen von staatlichen Behörden öffentlich machen. Ablenkungsmanöver, weil überhaupt keine Anfrage gestartet werden muss?

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

39 Kommentare

  1. —–BEGIN PGP MESSAGE—–
    Version: GnuPG v2.0.16 (GNU/Linux)

    hQEMA1PUVhZb8UnsAQf+KS9PNvkWYFONnoStveMc4KwvGT7WlRFv/ZACvdyFsKDO
    icurhL57uh56KCof1m5drfftwjDQWgNyMy0cixqV/2WzeQgjZILE0Z1FDg7cgAbs
    UZvy2hmaJf0dhHEUziALotfUMhoSeHeObxmomzb7vovJv5tWDtQ9W+p2tbQ4tiin
    LAsJtwQhEVPNltootBteC0dTgOdISe6kfqUSoN3A22SiSUihmjxMPiiO6iZB8gBS
    hhfiSPa4khNwODncRe2BjqW+YQHf7L6CfLjx2S1BCSr+KWLmUnVdWSUonhHPF9mI
    E/q7t2uoBWg0iQgCjQubgYeqSUYN/xWpqAUX9O71zdKUAbVjjLVT0qTjNLLvms2H
    s4BDzHEqKeuGuMAWFzyfuW+VNofTxtcHhzrdjPuYi7sRL3YNUvqUpcGeKGyTApW2
    k/fd7U32av7Pq63NoKK2g3RFcyBUiSdNlNhW8TYS1NdMSMXNw1R9dWVgFmsLj2vs
    Rv89ufRiPbNLDXcx7CkRrTf13q0miy1850d6k5nt8qUFrnh4xQ==
    =z6Xk
    —–END PGP MESSAGE—–

  2. Sorry, aber der letzte Absatz setzt doch voraus, dass sämtliche Geheimdienste zusammenarbeiten würden und es keine Trennung mehr von Geheimdiensten und Polizei geben würde. Das sie in Deutschland funktioniert haben wir am bsp. NSU gesehen.
    Aber blicken wir mal auf die Staaten zurück um die es ja eigentlich hier gerade primär geht. Denkt ihr wirklich, dass es eine „Pseudo“-Transparenz von FB etc. ist? denkt ihr wirklich für jedes Ermittlungsverfahren klopfen die bei der NSA und sagen „Gib mal her, was du dazu hast“? Ich glaub kaum, dass die meisten Dorf-Sherrifs, geschweige denn Staatsanwälte in den Staaten überhaupt wissen, welcher technische Umfang da vermeintlich besteht (wir wissen ja immer noch nichts offizielles). Ich denke schon, dass für jedes Strafermittlungsverfahren eine offizielle Anfrage an die entsprechenden Dienstanbieter gestellt werden. Aber genau so wie ihr hier, kann ich gerade auch nur Mutmaßen.

  3. Mich würd schon interessieren, wie die das geknackt haben wollen. bei SSL gibts da ja nicht soo viele Möglichkeiten
    1) Manpower und Bruteforce (halte ich für unwahrscheinlich, denn selbst kleinbittrige Schlüssel gehe bei 256 los.
    2) Den privaten Schlüssel klauen. Das halte ich für am wahrscheinlichsten, zumal im Artikel verdächtig oft Bezug auf grosse Unternehmen genommen wird

    Sollte es sich also um 2 handeln (und da bin ich mir fast sicher), dann finde ich die Bezeichnung „geknackt“ etwas übertrieben. Wenn mir jemand den Haustürschlüssel klaut und dann meine Tür aufschliesst, hat er er das Schloss irgendwie nicht geknackt.

  4. @Christoph „geknackt“ oder nicht ist doch in dem Fall Haarspalterei, drin ist drin

  5. @Wolfgang: de.wikipedia.org/wiki/Pretty_Good_Privacy

    YES 🙂

  6. Also langsam bin ich echt dabei zu resignieren. Es scheint echt nichts gegen die Schnüffelei der Ar***l***er zu helfen…. 🙁
    Das beste wäre echt den Stecker zu ziehen und Offline bleiben…. für den Rest des Lebens!

    Eigentlich müssen wir uns mit der USA im Kriegszustand befinden, da die USA eine kriegerischen Angriff auf unserer aller Freiheit begangen hat und auch noch weiterhin begehen wird. Aber das auszusprechen traut sich ja keiner der Regierenden , das sind ja unsere Verbündeten. Ich betrachte das Ausspähen durch die NSA als kriegerischen Akt !!!

  7. Tipp: Mal „Diabolus“ von Dan Brown lesen. Wenn man den ganzen Klimbim von Agententhriller und (verhaltener) Liebesgeschichte wegnimmt, steckt sicher viel Wahrheit darin. Ich bin mir sogar ziemlich sicher, dass es so etwas wie TRANSLTR tatsächlich gibt.

    Wie unendlich naiv muss man eigentlich sein um zu glauben, dass man *irgendetwas* in dieser Welt geheim halten kann?

    Bisher war ich ein Gegner der Post-Privacy Bewegung. Aber langsam denke ich um.

    Just my 2 cents …

  8. Im Artikel steht aber auch, dass Verschlüsselung laut Snowden funktioniert: Korrekt implementierte, starke kryptologische Verfahren seien einige der wenigen Dinge, auf die man sich verlassen kann. Und bei der Nutzung von Open Source Software sehe ich in dieser Hinsicht keine Probleme.

  9. NSA und Co haben die Codierungen nicht geknackt. Sie haben sich in die großen Software-/Internetfirmen eingekauft.
    Warum wurde wohl Facebook plötzlich so groß, warum wurde Google zum Markführer, warum stieg Microsoft aus einer Garage zum Weltunternehmen auf, was ist mit Apple vom Pleitier zur Weltspitze?
    Weil man in Amiland vom Tellerwäscher zum Millionär werden kann? Bullshit!
    Mit direkten (Risikokapital) und indirekten Zuwendungen hat man sich Backdoors geschaffen,
    Warum haben sich andere Betriebssysteme nicht durchgesetzt, weil DOS oder Windows zu gut waren bzw. sind? Warum beherrschen amerikanische Systeme den Markt?
    Wenn man die Grundlagen in der Hand hat, kann man alles kontrollieren. Ausländische Unternehmen, die in diesen Marktbereich eindringen wollten, wurden zurecht gestutzt.

    Leider kann man die Liste noch lange fortsetzen.

    Alles nur Verschörungstheorie? Nunja, dass muss jeder für sich entscheiden.

  10. Wer jemals glaubte dass Staat und Geheimdienste das nicht könnten lebt in einer anderen Welt. Nichts ist sicher auch nicht wenn es verschlüsselt ist und daran wird sich auch nichts andern.

  11. Ich kann nicht umher mich immer wieder über das Wort „Intelligence“ zu belustigen. Ginge man davon aus, dass ein Schurkenstaat tatsächlich so viel Brainpower in die Vernichtung von Arbeit steckt, muss man unweigerlich ins Grübeln kommen:

    Was hätte mit diesem Ganzen alles Positive erreicht werden können? Anstelle von Verschlüsselungstechniken zu „knacken“ – wobei dies eher unwahrscheinlich ist.

    So einen Schitt von gegenseitiger Bespitzelung wird offenbar NICHT benötigt, denn was hat es uns bis her gebracht: Nichts. Es wurde kein Krieg verhindert. Mafiöse Strukturen werden damit nicht ausgehebelt. Bestechung und Amtsmissbrauch wurden durch diese Milliarden bisher auch nicht aufgedeckt. Der Gewinn liegt nur in der mafiösen Wirtschaft.

    Und würde man annehmen, dass der elfte September tatsächlich ein externer Terroranschlag wäre … so muss man rückblickend doch sagen: Na und – die paar Toten. Alles was danach kam, hat ein unverhältnismäßiges Vielfaches an Menschenleben gekostet. Allein die Amerikaner haben noch mal mehr Menschen zu grabe getragen als bei den vermeintlichen externen Anschlägen. Die vielen Verletzten sind dabei noch nicht mal eingerechnet. Das 1000:1 Verhältnis bei den Toten zu Ungunsten der Iraker ist auch nicht zu verachten…

    Mir tut jeder einzelne Mensch, der gestorben ist Leid. Besonders die, die nichts damit zu tun hatten. Also irgendwie alle Toten: denn bis heute ist der GLOBALE Terrorismus weder bewiesen noch logisch (geht man davon aus, dass die USA kein Terrorist ist).

  12. Selbst bei Verschlüsselung durch Open Source Software kann man sich nicht sicher sein.
    Siehe bspw. Truecrypt: http://www.stroica.com/2009/05/30/6-gruende-gegen-truecrypt/
    Gerade das Interesse an populären Verschlüsselungsmethoden sollte durch die Geheimdienste enorm hoch sein.

    Und selbst wenn die Algorithmen sicher sind, muss sichergestellt werden, dass der Compiler und letzendlich die zugrundeliegende Hardware zur Ausführung des Maschinencodes ohne Hintertürchen sind. Und Chip-Designs kann nun niemand reverse engineeren.
    Es gab doch mal das Gerücht, dass in jedem Chip von Huawei Spionagefunktionalitäten eingebaut sein sollten.

    Und an dem Punkt würde wirklich nur noch Stecker ziehen helfen…

  13. Irgendwie schon komisch, das die NSA bzw. die USA scheinbar machen können was sie wollen – keiner wehrt sich wirklich. Bei unserer Regierung hat man zum größten Teil die Vermutung, dass sie allesamt am Stockholmsyndrom leiden…

  14. Die Gerüchte gabs schon vor dem 11.9. Aus diesem Grund hab ich noch immer eine uralte PGP-Version von 1999 im Einsatz.

  15. Mal wieder ein typischer Sascha Artikel…
    Wer genauere Informationen haben möchte, sollte vielleicht diesen Artikel lesen
    http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance

    Natürlich sind die neuesten Veröffentlichungen keine guten Nachrichten (wenn auch keine überraschenden), aber es bleibt dabei, dass die gängigen Verschlüsselungstechniken sicher sind und dass es keine Hinweise gibt, dass die NSA hier Fortschritte gemacht hätte, die denen der öffentlich bekannten Cryptocommunity weit voraus wären.
    Die jetzigen Erfolge sind schlicht und ergreifend Angriffe auf Implementierungen und auf Computer, die die kryptographischen Operationen durchführen.
    Was man sich aber immer bewusst machen sollte, ist die Tatsache, dass der Durchschnittsuser vermutlich nur von passiven Angriffen der NSA betroffen ist und erst bei höherem Interesse teure aktive Angriffe gefahren werden. Alle Angriffe von denen ich aber lese, sind rein aktive Angriffe. Das SSL gegen Geheimdienste nur bedingt etwas bringt sollte außerdem jedem klar sein, der mal nachgeschaut hat, welchen Zertifikaten sein Webbrowser so traut.

  16. ja dann wird sich die Post bald freuen das wieder mehr Briefe geschrieben werden.

  17. alles klar, jetzt kann man sich den Aufwand des Verschlüsselns sparen

  18. Türen können aufgebrochen werden, also kann man den Aufwand des Abschließens sparen, kommt ja eh jeder rein…

  19. Zusätzlich kommt noch hinzu, dass die drei Zeitungen auf Druck von Geheimdienstmitarbeitern Details zurück gehalten haben.
    Eigentlich wollten sie sie sogar dazu bringen die Artikel gar nicht erst zu veröffentlichen.

  20. Keine Verschlüsselungsmethode ist 100%ig sicher. Da liest man auch in allen Dokumentationen. Es geht immer darum, das Entschlüsseln so zeitaufwendig wie nur möglich zu machen. Das bedeutet für uns, immer einen Passwortgenerator zu benutzen und die Passworte so lang (evtl. bis zu 64 Stellen – oder mehr) wie möglich zu machen (manche Internet-Seiten schränken die Länge des möglichen Passwortes ein – ein Schelm, der Böses dabei denkt!). Man kann sich nun doch selbst ausrechnen, wie lange ein Geheimdienst für 1 Mio. Mails benötigt, wenn wir mal unterstellen, dass die „selbst gebauten“ Rechner für eine E-Mail 1 Minute brauchen würden. Anschließend stellen sie dann fest, dass in 99,999999999999999999% der Fälle nichts Wesentliches in den Mails gestanden hat. Oder die Information ist „veraltet“…
    Eine andere Frage stellt sich aber: Sind sich diese Leute nicht bewusst, wie geschäftsschädigend sie der eigenen IT-Industrie gegenübertreten? Wer kann denn jetzt noch „unschuldig“ seine Daten (Unternehmen?) auf einer amerikanischen Cloud speichern? Wie steht es mit den Banken, wenn jetzt sogar behauptet wird, das Online-Banking in der jetzigen Form sei „unsicher“ im Sinne, dass die Geheimdienste „mitlesen“ können. Sind das alles Unschuldslämmer; kommt da keiner in Versuchung? Bei der Bundeswehr habe ich gelernt, dass auch derjenige bestraft wird, der seinen Spind nicht abschließt (Versuchung zum Kameradendiebstahl – „führe niemanden in Versuchung“).

  21. Mir gefällt eine Aussage von Bruce Schneier ganz gut (aus seinem Kommentar zu der Sache http://www.theguardian.com/commentisfree/2013/sep/05/government-betrayed-internet-nsa-spying):
    „This is not the internet the world needs, or the internet its creators envisioned. We need to take it back.
    And by we, I mean the engineering community.
    Yes, this is primarily a political problem, a policy matter that requires political intervention.
    But this is also an engineering problem, and there are several things engineers can – and should – do.“
    Unsere rechtsstaatlichen und demokratischen Systeme haben gezeigt, dass sie versagt haben. In der Konsequenz muss dies bei zukünftigen sicherheitstechnischen Entwicklungen einfach mit einbezogen werden.

  22. Warum ist der Artikel so schlecht, wenn er eigentlich nur bekannte Fakten zusammentragen soll?
    „Per Brute-Force auf Supercomputern“ … man. Das hier ist nicht die Bild-Zeitung. Dachte ich zumindest immer.

  23. Per Bruteforce verschlüsselungen knacken funktioniert ab einer gewissen „Härte“ nicht mehr, selbst wenn man eine Million Supercomputer zusammen rechnen lässt. Das mit den Backdoors und schwachen Passwörtern ist natürlich etwas anderes.

  24. Um das mal etwas ins rechte Licht zu rücken. Beim neusten Skandal geht es um die Entschlüsselung von VPN oder SSL mit Hilfe eines „streng geheimen Programms namens Bullrun“.
    Weiter heißt es: „Die NSA ist in der Lage, das meiste im Internet zu entschlüsseln“ – und das nicht auf „mathematischem Weg“, sondern „indem sie betrügen“
    Es geht also nicht konkret um das Entschlüsseln selbst vorgehaltener verschlüsselter Dateien, sondern „nur“ um den dargestellten Sachverhalt. 😉
    Aber der ist schon schwer genug!

  25. NEIN!!!!! Die können alles lesen? Die arbeiten mit allen zusammen? Nichts im Netz ist sicher? NEIN!!!!! Da bin ich aber unendlich überrascht und schockiert. Wow wie unvorhergesehen. Ich bin mir aber sehr sicher dass nich noch mehr aufgedeckt wird. Das war bestimmt nun alles. Mehr kann nicht auspioniert werden. Und bestimmt macht das auch sonst niemand der nicht schon erwähnt wurde.

  26. und die superrechner in den usa werten alle für wettersimulationen benutzt. was isn mit der haftung beim onlinebanking, kreditkartenzahlen etc? is ja nu klar dass quasi keine realfunzende verschlüsselung existent is

  27. Da gibt es doch nur eines: Stecker ziehen und offline gehen! Tolle Welt!

  28. Wer solche Freunde hat, braucht keine Feinde mehr!!!!!!!!!!!!!!!!!!!

  29. Stadt – Bild am Haven oder was?
    Der Artikel ist fast so dämlich wie seine Kommentare.
    Vier Typen von Menschen haben bisher auf diesen „Artikel“ geposted:
    Typ 1: Weiß alles, und dass es ein alter Hut ist. Fappt aber jeden Tag heimlich auf Youporn.
    Typ 2: Hat gar keine Ahnung, ist aber der Meinung, dass Verschlüsselung sowieso nichts bringt.
    Typ 3: Denkt, dass er Ahnung hätte, verfehlt das Thema jedoch um Meilen. Mein lieber friddes, das was du beschreibst, ist: http://de.wikipedia.org/wiki/Kryptografische_Hashfunktion, worum es hier aber geht, ist Verschlüsselung: http://de.wikipedia.org/wiki/Verschl%C3%BCsselung
    Typ 4: Versteht worum es geht.

    Wenn du zu Typ 1, 2 oder 3 gehörst: Bitte behalte dein „spezielles Fachwissen“ für dich.

  30. Was mit seit 2 Jahren sorgen macht ist das bruteforce Potential mit ARM Prozessoren. So gab es vor kurzem noch das Moonshot Projekt von Canonical und HP man hatte einen ungeheuer Preiswerten und Stromsparenden Server entwickelt 300 Handy Prozessoren die in einer Kühlflüssigkeit auf Schuhkarton Größe ein Ray in einem Rechenzentrum ausmachen.

    Ich gehe davon aus, das man sowas in Virginia unter der Erde hat – ggf mit Flashspeichergenerationen – die noch nicht auf dem Markt sind.

    Auch wenn man die Angelegenheit nur nüchtern Wirtschaftich betrachtet durch den Smartphone Markt ist es Möglich gewesen Redundanzen zu schaffen – da nicht so viel Geld mehr in die CPU Weiterentwicklung floss auch hat die Massenproduktion von ARM chips Skakaleneffekte geschaffen. Ökonomisch halte ich es für möglich riesige Internetüberwachungs. Infrastrukturen zu finanzieren und vom Aufwand her zu realisieren.

    Die USA haben zudem seit jeher ein politisches und wirtschaftliches Interesse Signal Intelligence auszubauen – die Sovietische Strategie eher auf Menschliche Quellen zurück zu greifen ist im Kalten Krieg aufgrund der Unzulässigkeit Menschlicher Objektivität kaputt gegangen. Die US Aufklärung war da zuverlässiger – auch haben die USA mehr auf Masse anstelle von Qualität bei den CPUs strategisch gesetzt. So zeitgt sich gerade auch nicht Syrien Konflikt die Algorithmen der Russischen Abwehrraketen einfach schneller die Flugbahn von US Marschflugkörpern berechnen können, als die US Abwehr Raketen.

    Wer nicht glaubt, dass der Millitärisch Industrielle Komplex der USA mit der IT und der Regierung verquickt ist sollte mal verschiedene Leute, Jared Cohen, Eric Schmidt etc. Google sehr sehr viele von denen Wechsel nach dem Drehtürprinzip nach vier Jahren von Regierungsjobs – auch werden diese Leute oft schon während des Studiums von militärischen Stipendien unterstützt.

    Also für den Ü-Staat ist immer eine Management Struktur nötig und die gibt es wollte Ich damit sagen – das System funktioniert.

    Ich will, das es zerstört wird -das die Leute die sich ausdenken, das Verhalten der Masse zu incentivieren und total zu kontrollieren verstrahlt werden.

    Auch habe ich das Science Fiction Zeug aus den USA für eine Art Karneval für Freaks zuvor gehalten – gut das ist es teilweise auch. Aber, weil in den USA ein extremer Code of Conduct und Political Corectness Kritik am System quasi durch Gesellschaftliche Deprivation zersetz wird, ist Science Fiction dort auch vor allem Gesellschaftskritik. Man warnt vor Entwicklungen des Systems in der Zukunft. So sehe ich zb. Demolition Man, und Minority Report als Warnung.

    Es wird künftig abweichendes Verhalten vorausberechnet und man wird schon vorher Mindhups – die man heute schon bei Twitter ausmachen kann, ausschalten. Was von appelbaum als Double Concessness beschrieben wurde, wird bald nicht mehr nur auf die geschiedene bigotte Katholische Ehefrau zutreffend sein, sondern auf die Bevölkerungsmehrheit, die dann nicht ein Doppeltes Spiel spielt, sondern 3 Spiele und in der virtuellen Welt mit 30 internet Aliasen spielt – wobei sich dann der Menschlichen einer Maschine anpasst und mit einem Ökosystem aus Spieltheorie degeneriert.

    An bei ein Paar Impressionen und Ausblicke was uns zukünftig allen gebührt, wenn wir nichts unternehmen

    https://www.youtube.com/watch?v=qL9BjKH5MSY

    https://www.youtube.com/watch?v=RwcfY0Ldf2Q

    https://www.youtube.com/watch?v=6NM-it58gIo

  31. Bevor ich da ARMs nehme, würde ich ja eher was angepassteres nehmen. Sowas z.B.kriegt schon ein paar Schlüssel pro Sekunde durchprobiert http://www.sciengines.com/products/computers-and-clusters/rivyera-s6-lx150.html .
    Bei ausreichend zufälligen Schlüsseln und keinen richtig großen mathematischen Fortschritten durch die NSA kannst du aber auch damit keine aktuellen Chiffren brechen.

  32. Danke math. Ich verstehe ehrlich gesagt nur so viel davon, dass die Schlüssel aus Double Primes – doppelten Primzahlen bestehen und es daher sehr aufwendig ist die Schlüssel zu Bruteforcen – allerdings arbeiten die Leute, die sich die Sachen ausdenken auch bei der NSA und deswegen können Dienste wie NSA auch auf dem Layer 8 sich aus den Menschlichen Schwachstellen das Mathematische Know How ziehen.

    Bin Jurist und kein Kryptiker – denke man muss die Leute darüber aufklären was möglich wäre – damit wenigstens Politische Debatten und Konsequenzen denkbar sind. Und im Moment behandelt man die Leute wie Pilze – lässt sie im Dunkeln und füttert sie mit Scheiße. Ich Sage nicht, das die USA den Menschen mit Wellen aus dem All das Gehirn aussaugen – aber das Manipulationspotential ist schlicht unermesslich.

  33. @karlnielz
    Die Basis moderne Verschlüsselungen ist vergleichsweise simpel:
    Man nehme zwei Primzahlen, und multipliziere sie – solange man eine der beiden kennt, ist es relativ einfach die andere auch rauszufinden (simple Division). Wenn man nur das Ergebnis kennt, wird’s schon schwieriger – wesentlich schwieriger. Mit mathematischen Methoden kann man allerdings schon heute gängige Verschlüsselungen in (nahezu) Echtzeit bruteforcen – mittlerweile sind wir an einem Punkt, wo absolut sichere Verschlüsselungen nicht mehr auf 08/15-Geräten umgesetzt werden können, weil sich die Steigerung des Zeitaufwands für Primfaktorzerlegungen sehr nahe an’s lineare angelehnt hat. 08/15-Geräte sind zu schwach um die Größe ihrer Primzahlen weit genug nach oben zu schrauben, damit Brute-Force-Angriffe praktisch unmöglich werden. Die Hardware, die benötigt wird um eine AES (256bit) verschlüsselte Verbindung in Echtzeit abzuhören liegt etwa bei 2 Millionen-Dollar Listenpreis, üblicherweise nimmt man für solche Dinge ARM-Cluster, die können Monte-Carlo bedeutend besser wie FPGA-Anwendungen, und erzeugen wesentlich weniger Abwärme wie x86-basierte Systeme. Gängige AES (256/512/1024bit) Verschlüsselungen lassen sich mit Systemen mithören die in einen Standard-Siebeneinhalbtonner der US-Armee passen (ob eine derartige Applikation existiert – kA, möglich wäre sie allerdings).

  34. @peter
    Wo ist denn Dein “spezielles Fachwissen”?

  35. @shx

    Danke Danke erstmal. Wie ist dann PGP Buchstabensalat zu verstehen? Und zu taxieren? Gibt bestimmt auch kein anderes Prinzip nur Platzhalter für Primes?

  36. coriandreas says:

    Und Google hat sich auch noch mit der NASA bei D-Wave mit der ultimativen Killertechnologie des Quanten-Computings eingekauft und wird so noch viel eleganter jegliche Verschlüsselungen knacken können, und das in Echtzeit!
    Da hilft nur, Quantencomputer zu entwickeln. Bis jetzt gibt es nur per Quantenschaltkreis unterstütztes (aided) Computing, der vollständige optisch-quantenmechanisch operierende Computer liegt noch in weiter Ferne.
    Die Nation, die dort führend ist, wird die nächste Weltmacht sein: wirtschaftlich und politisch.

  37. Der Herr Ostermaier hat nicht vergessen zu erwähnen was genau betroffen ist. Es gibt nur leider keine Informationen dazu. Somit könnte „großteil“ aller Verschlüsselungen so ziemlich alles sein, inkl. PPTP, RC4 bis bis zu so knallharten Industriestandards wie ROT-13.
    Dass DH inzwischen auch nicht mehr als besonders sicher gilt und ECC verwendet werden sollte ist für viele noch relativ neu aber nicht unbedingt ein Problem wenn man davon weiß.

    Man sollte hier vor allem anführen, dass ein „großteil“ der im Internet angewandeten Verschlüsselungen veraltet ist und nicht verwendet werden sollte.

    So lange es keine Hinweise dafür gibt, dass die NSA AES 256 brechen oder SHA256+ Kollisionen herbeiführen kann, ist das alles hier nur heiße Luft und Blabla!

    Auch, dass US Firmen Abhörvorrichtungen bereitstellen müssen ist doch nichts Neues. In Deutschland haben wir das ja auch seit Jahren und keinen kümmert es. Der Unterschied ist nur, dass das in den USA mit Daten aus dem Ausland pauschal betrieben wird und bei uns vor jeder Abhörung ein Richter zustimmen muss.
    Im Zweifelsfall bedeutet das eben, dass die privaten Schlüssel der SSL / TLS Verbindung herausgegeben werden müssen. Auch das war jedem der sich mit dem Thema beschäftigt schon lange bekannt – nur dass es in diesem Ausmaß passiert und private Schlüssel tatsächlich großflächig abgezogen werden ist Neu.

    Daher sollte man das ganze mal ein wenig relativieren. Das ist keine seriöse Berichterstattung – noch weniger wenn man es in Blogs unbedacht nachplappert.

    Wenn ihr schon auf Probleme hinweisen wollt dann schreibt mal etwas zu BREACH. Es wird nicht lange dauern dann nutzt die NSA diese neuen Erkenntnisse um wirklich so gut wie jede HTTPS Verschlüsselung zu knacken – zumindest so lange bis die Webadmins reagieren anstatt sich über Halbwissen zu echauffieren.

  38. Na, dem Sascha einfach so ans Bein zu pinkeln wegen dieses Artikels finde ich doch unpassend und unfair.

    Mir gefällt der Artikel von Sascha, weil er in Kürze wesentliche Faktoren aufzeigt, welche dem 0815-User verständlich sind. Sascha gibt auch korrekt die Quelle an und jeder der mehr wiessen will, kann sich bei The Guardian und Bruce Schneier ohne weiteres weiter schlau machen – Google findet diese Links (und vermerkt die Suche und da die NSA die Backbones direkt auskopiert erhalten sie auch davon Wind).

    Das Thema ist von grosser Komplexität – und da die NSA die Medien immer wieder mit Erfolg unter Druck setzt, zuviel zu verraten, können wir nur im Dunkeln tappen, was echt ist und was nicht … Leider. Damit bleibt auch offen, wem man noch trauen darf … Den vier Grossen Google, Yahoo, Microsoft und Apple ganz offensichtlich nicht. Daraus werde ich mittelfristig Konsequenzen ziehen.

    Das in mehreren Posts erwähnte Thema „Stecker raus und Offline bleiben“ ist durchaus eine Option (wenn auch eine besch….ne): Bruce Schneier hat aber für die Analyse der ihm zugesandten stark-verschlüsselten Snwoden-Files genau dieses Verfahren gewählt: Nebst seinem Arbeitsplatz-PC hat er einen neuen, nie ans Internet angeschlossenen Computer gekauft – und ihn auch nie ans Internet angeschlossen. Die Files kamen auf Internet-PC verschlüsselt an. Von da immer noch verschlüsselt auf den USB-Stick – auf die Offline-Station – einlesen und entschlüsseln. Für die Antworten gingen die Daten den umgekehrten Weg.

    Eine extrem aufwändige Lösung, welche uns die amerikanische Regierung und der militärische Industriekomplex der USofNSA hier aufzwingen.

    Zum Kotzen … aber wie schon gesagt: Wer solche tolle „Freunde“ wie die USA, UK, AUS und NZ hat, der braucht wahrlich keine Feinde mehr.