USA und UK knacken Verschlüsselungen und bauen Backdoors in Web-Servcies ein

Ihr dachtet, Ihr seid vor der NSA sicher, wenn Ihr Eure Daten verschlüsselt? Vermutlich falsch gedacht. Wie The Guardian berichtet, haben die USA und Großbritannien (NSA und GHCQ) einen Großteil der heute eingesetzten Verschlüsselungstechniken geknackt.

NSA diagram

Wenn Euch ein Web-Servcie also „garantiert“, dass keiner die Verschlüsselung knacken kann, ist dies höchstwahrscheinlich falsch. Die Verschlüsselungen werden zum Teil per Brute-Force-Methoden über Supercomputer geknackt. Auch soll es eine Zusammenarbeit zwischen den Geheimdiensten und den Web-Services geben, an den Verschlüsselungs-Standards sollen sie mitgearbeitet haben.

[werbung] Über die Partnerschaften wurden Backdoors in kommerzielle Verschlüsselungs-Techniken eingeschleust. Die neu veröffentlichten Dokumente geben außerdem folgende Auskünfte:

  • Ein 10-Jahres-Programm der NSA gegen die Verschlüsselungs-Techniken schaffte 2010 einen Durchbruch und macht einen großen Teil der gesammelten (und verschlüsselten) Daten sichtbar.
  • Die NSA gibt 250 Millionen Dollar pro Jahr aus, um unter anderem mit (sicherheits-)Firmen zu kooperieren, um das Produkt-Design zu beeinflussen.
  • Das Geheimnis über ihre Möglichkeiten der Geheimdienste ist streng beschützt, Analysten werden gewarnt: „Fragt oder spekuliert nicht über die Methoden und Quellen.“
  • Die NSA beschreibt die starken Entschlüsselungsprogramme als „Preis für den uneingeschränkten Zugang und die Nutzung des Cyberspace in den USA“.
  • Ein GHCQ-Team arbeitete an Methoden, um in den verschlüsselten Traffic der großen vier Service-Provider zu kommen. Die großen vier werden auch genannt: Hotmail, Google, Yahoo und Facebook.

So wie es scheint, gibt es also keine sichere Methode, um sich vor einer Überwachung zu schützen. Die Frage, die sich allerdings immer wieder stellt ist, welche Rolle die Web-Dienste in der ganzen Geschichte spielen. Gerade die vier hier genannten Firmen brüsten sich mit Transparenz und wollen alle Anfragen von staatlichen Behörden öffentlich machen. Ablenkungsmanöver, weil überhaupt keine Anfrage gestartet werden muss?

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

*Mitglied der Redaktion 2013 bis 2019* Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

39 Kommentare

  1. —–BEGIN PGP MESSAGE—–
    Version: GnuPG v2.0.16 (GNU/Linux)

    hQEMA1PUVhZb8UnsAQf+KS9PNvkWYFONnoStveMc4KwvGT7WlRFv/ZACvdyFsKDO
    icurhL57uh56KCof1m5drfftwjDQWgNyMy0cixqV/2WzeQgjZILE0Z1FDg7cgAbs
    UZvy2hmaJf0dhHEUziALotfUMhoSeHeObxmomzb7vovJv5tWDtQ9W+p2tbQ4tiin
    LAsJtwQhEVPNltootBteC0dTgOdISe6kfqUSoN3A22SiSUihmjxMPiiO6iZB8gBS
    hhfiSPa4khNwODncRe2BjqW+YQHf7L6CfLjx2S1BCSr+KWLmUnVdWSUonhHPF9mI
    E/q7t2uoBWg0iQgCjQubgYeqSUYN/xWpqAUX9O71zdKUAbVjjLVT0qTjNLLvms2H
    s4BDzHEqKeuGuMAWFzyfuW+VNofTxtcHhzrdjPuYi7sRL3YNUvqUpcGeKGyTApW2
    k/fd7U32av7Pq63NoKK2g3RFcyBUiSdNlNhW8TYS1NdMSMXNw1R9dWVgFmsLj2vs
    Rv89ufRiPbNLDXcx7CkRrTf13q0miy1850d6k5nt8qUFrnh4xQ==
    =z6Xk
    —–END PGP MESSAGE—–

  2. Sorry, aber der letzte Absatz setzt doch voraus, dass sämtliche Geheimdienste zusammenarbeiten würden und es keine Trennung mehr von Geheimdiensten und Polizei geben würde. Das sie in Deutschland funktioniert haben wir am bsp. NSU gesehen.
    Aber blicken wir mal auf die Staaten zurück um die es ja eigentlich hier gerade primär geht. Denkt ihr wirklich, dass es eine „Pseudo“-Transparenz von FB etc. ist? denkt ihr wirklich für jedes Ermittlungsverfahren klopfen die bei der NSA und sagen „Gib mal her, was du dazu hast“? Ich glaub kaum, dass die meisten Dorf-Sherrifs, geschweige denn Staatsanwälte in den Staaten überhaupt wissen, welcher technische Umfang da vermeintlich besteht (wir wissen ja immer noch nichts offizielles). Ich denke schon, dass für jedes Strafermittlungsverfahren eine offizielle Anfrage an die entsprechenden Dienstanbieter gestellt werden. Aber genau so wie ihr hier, kann ich gerade auch nur Mutmaßen.

  3. Mich würd schon interessieren, wie die das geknackt haben wollen. bei SSL gibts da ja nicht soo viele Möglichkeiten
    1) Manpower und Bruteforce (halte ich für unwahrscheinlich, denn selbst kleinbittrige Schlüssel gehe bei 256 los.
    2) Den privaten Schlüssel klauen. Das halte ich für am wahrscheinlichsten, zumal im Artikel verdächtig oft Bezug auf grosse Unternehmen genommen wird

    Sollte es sich also um 2 handeln (und da bin ich mir fast sicher), dann finde ich die Bezeichnung „geknackt“ etwas übertrieben. Wenn mir jemand den Haustürschlüssel klaut und dann meine Tür aufschliesst, hat er er das Schloss irgendwie nicht geknackt.

  4. @Christoph „geknackt“ oder nicht ist doch in dem Fall Haarspalterei, drin ist drin

  5. @Wolfgang: de.wikipedia.org/wiki/Pretty_Good_Privacy

    YES 🙂

  6. Also langsam bin ich echt dabei zu resignieren. Es scheint echt nichts gegen die Schnüffelei der Ar***l***er zu helfen…. 🙁
    Das beste wäre echt den Stecker zu ziehen und Offline bleiben…. für den Rest des Lebens!

    Eigentlich müssen wir uns mit der USA im Kriegszustand befinden, da die USA eine kriegerischen Angriff auf unserer aller Freiheit begangen hat und auch noch weiterhin begehen wird. Aber das auszusprechen traut sich ja keiner der Regierenden , das sind ja unsere Verbündeten. Ich betrachte das Ausspähen durch die NSA als kriegerischen Akt !!!

  7. Tipp: Mal „Diabolus“ von Dan Brown lesen. Wenn man den ganzen Klimbim von Agententhriller und (verhaltener) Liebesgeschichte wegnimmt, steckt sicher viel Wahrheit darin. Ich bin mir sogar ziemlich sicher, dass es so etwas wie TRANSLTR tatsächlich gibt.

    Wie unendlich naiv muss man eigentlich sein um zu glauben, dass man *irgendetwas* in dieser Welt geheim halten kann?

    Bisher war ich ein Gegner der Post-Privacy Bewegung. Aber langsam denke ich um.

    Just my 2 cents …

  8. Im Artikel steht aber auch, dass Verschlüsselung laut Snowden funktioniert: Korrekt implementierte, starke kryptologische Verfahren seien einige der wenigen Dinge, auf die man sich verlassen kann. Und bei der Nutzung von Open Source Software sehe ich in dieser Hinsicht keine Probleme.

  9. NSA und Co haben die Codierungen nicht geknackt. Sie haben sich in die großen Software-/Internetfirmen eingekauft.
    Warum wurde wohl Facebook plötzlich so groß, warum wurde Google zum Markführer, warum stieg Microsoft aus einer Garage zum Weltunternehmen auf, was ist mit Apple vom Pleitier zur Weltspitze?
    Weil man in Amiland vom Tellerwäscher zum Millionär werden kann? Bullshit!
    Mit direkten (Risikokapital) und indirekten Zuwendungen hat man sich Backdoors geschaffen,
    Warum haben sich andere Betriebssysteme nicht durchgesetzt, weil DOS oder Windows zu gut waren bzw. sind? Warum beherrschen amerikanische Systeme den Markt?
    Wenn man die Grundlagen in der Hand hat, kann man alles kontrollieren. Ausländische Unternehmen, die in diesen Marktbereich eindringen wollten, wurden zurecht gestutzt.

    Leider kann man die Liste noch lange fortsetzen.

    Alles nur Verschörungstheorie? Nunja, dass muss jeder für sich entscheiden.

  10. Wer jemals glaubte dass Staat und Geheimdienste das nicht könnten lebt in einer anderen Welt. Nichts ist sicher auch nicht wenn es verschlüsselt ist und daran wird sich auch nichts andern.

  11. Ich kann nicht umher mich immer wieder über das Wort „Intelligence“ zu belustigen. Ginge man davon aus, dass ein Schurkenstaat tatsächlich so viel Brainpower in die Vernichtung von Arbeit steckt, muss man unweigerlich ins Grübeln kommen:

    Was hätte mit diesem Ganzen alles Positive erreicht werden können? Anstelle von Verschlüsselungstechniken zu „knacken“ – wobei dies eher unwahrscheinlich ist.

    So einen Schitt von gegenseitiger Bespitzelung wird offenbar NICHT benötigt, denn was hat es uns bis her gebracht: Nichts. Es wurde kein Krieg verhindert. Mafiöse Strukturen werden damit nicht ausgehebelt. Bestechung und Amtsmissbrauch wurden durch diese Milliarden bisher auch nicht aufgedeckt. Der Gewinn liegt nur in der mafiösen Wirtschaft.

    Und würde man annehmen, dass der elfte September tatsächlich ein externer Terroranschlag wäre … so muss man rückblickend doch sagen: Na und – die paar Toten. Alles was danach kam, hat ein unverhältnismäßiges Vielfaches an Menschenleben gekostet. Allein die Amerikaner haben noch mal mehr Menschen zu grabe getragen als bei den vermeintlichen externen Anschlägen. Die vielen Verletzten sind dabei noch nicht mal eingerechnet. Das 1000:1 Verhältnis bei den Toten zu Ungunsten der Iraker ist auch nicht zu verachten…

    Mir tut jeder einzelne Mensch, der gestorben ist Leid. Besonders die, die nichts damit zu tun hatten. Also irgendwie alle Toten: denn bis heute ist der GLOBALE Terrorismus weder bewiesen noch logisch (geht man davon aus, dass die USA kein Terrorist ist).

  12. Selbst bei Verschlüsselung durch Open Source Software kann man sich nicht sicher sein.
    Siehe bspw. Truecrypt: http://www.stroica.com/2009/05/30/6-gruende-gegen-truecrypt/
    Gerade das Interesse an populären Verschlüsselungsmethoden sollte durch die Geheimdienste enorm hoch sein.

    Und selbst wenn die Algorithmen sicher sind, muss sichergestellt werden, dass der Compiler und letzendlich die zugrundeliegende Hardware zur Ausführung des Maschinencodes ohne Hintertürchen sind. Und Chip-Designs kann nun niemand reverse engineeren.
    Es gab doch mal das Gerücht, dass in jedem Chip von Huawei Spionagefunktionalitäten eingebaut sein sollten.

    Und an dem Punkt würde wirklich nur noch Stecker ziehen helfen…

  13. Irgendwie schon komisch, das die NSA bzw. die USA scheinbar machen können was sie wollen – keiner wehrt sich wirklich. Bei unserer Regierung hat man zum größten Teil die Vermutung, dass sie allesamt am Stockholmsyndrom leiden…

  14. Die Gerüchte gabs schon vor dem 11.9. Aus diesem Grund hab ich noch immer eine uralte PGP-Version von 1999 im Einsatz.

  15. Mal wieder ein typischer Sascha Artikel…
    Wer genauere Informationen haben möchte, sollte vielleicht diesen Artikel lesen
    http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance

    Natürlich sind die neuesten Veröffentlichungen keine guten Nachrichten (wenn auch keine überraschenden), aber es bleibt dabei, dass die gängigen Verschlüsselungstechniken sicher sind und dass es keine Hinweise gibt, dass die NSA hier Fortschritte gemacht hätte, die denen der öffentlich bekannten Cryptocommunity weit voraus wären.
    Die jetzigen Erfolge sind schlicht und ergreifend Angriffe auf Implementierungen und auf Computer, die die kryptographischen Operationen durchführen.
    Was man sich aber immer bewusst machen sollte, ist die Tatsache, dass der Durchschnittsuser vermutlich nur von passiven Angriffen der NSA betroffen ist und erst bei höherem Interesse teure aktive Angriffe gefahren werden. Alle Angriffe von denen ich aber lese, sind rein aktive Angriffe. Das SSL gegen Geheimdienste nur bedingt etwas bringt sollte außerdem jedem klar sein, der mal nachgeschaut hat, welchen Zertifikaten sein Webbrowser so traut.

  16. ja dann wird sich die Post bald freuen das wieder mehr Briefe geschrieben werden.

  17. alles klar, jetzt kann man sich den Aufwand des Verschlüsselns sparen

  18. Türen können aufgebrochen werden, also kann man den Aufwand des Abschließens sparen, kommt ja eh jeder rein…

  19. Zusätzlich kommt noch hinzu, dass die drei Zeitungen auf Druck von Geheimdienstmitarbeitern Details zurück gehalten haben.
    Eigentlich wollten sie sie sogar dazu bringen die Artikel gar nicht erst zu veröffentlichen.

  20. Keine Verschlüsselungsmethode ist 100%ig sicher. Da liest man auch in allen Dokumentationen. Es geht immer darum, das Entschlüsseln so zeitaufwendig wie nur möglich zu machen. Das bedeutet für uns, immer einen Passwortgenerator zu benutzen und die Passworte so lang (evtl. bis zu 64 Stellen – oder mehr) wie möglich zu machen (manche Internet-Seiten schränken die Länge des möglichen Passwortes ein – ein Schelm, der Böses dabei denkt!). Man kann sich nun doch selbst ausrechnen, wie lange ein Geheimdienst für 1 Mio. Mails benötigt, wenn wir mal unterstellen, dass die „selbst gebauten“ Rechner für eine E-Mail 1 Minute brauchen würden. Anschließend stellen sie dann fest, dass in 99,999999999999999999% der Fälle nichts Wesentliches in den Mails gestanden hat. Oder die Information ist „veraltet“…
    Eine andere Frage stellt sich aber: Sind sich diese Leute nicht bewusst, wie geschäftsschädigend sie der eigenen IT-Industrie gegenübertreten? Wer kann denn jetzt noch „unschuldig“ seine Daten (Unternehmen?) auf einer amerikanischen Cloud speichern? Wie steht es mit den Banken, wenn jetzt sogar behauptet wird, das Online-Banking in der jetzigen Form sei „unsicher“ im Sinne, dass die Geheimdienste „mitlesen“ können. Sind das alles Unschuldslämmer; kommt da keiner in Versuchung? Bei der Bundeswehr habe ich gelernt, dass auch derjenige bestraft wird, der seinen Spind nicht abschließt (Versuchung zum Kameradendiebstahl – „führe niemanden in Versuchung“).

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.