USA und UK knacken Verschlüsselungen und bauen Backdoors in Web-Servcies ein

Ihr dachtet, Ihr seid vor der NSA sicher, wenn Ihr Eure Daten verschlüsselt? Vermutlich falsch gedacht. Wie The Guardian berichtet, haben die USA und Großbritannien (NSA und GHCQ) einen Großteil der heute eingesetzten Verschlüsselungstechniken geknackt.

NSA diagram

Wenn Euch ein Web-Servcie also „garantiert“, dass keiner die Verschlüsselung knacken kann, ist dies höchstwahrscheinlich falsch. Die Verschlüsselungen werden zum Teil per Brute-Force-Methoden über Supercomputer geknackt. Auch soll es eine Zusammenarbeit zwischen den Geheimdiensten und den Web-Services geben, an den Verschlüsselungs-Standards sollen sie mitgearbeitet haben.

[werbung] Über die Partnerschaften wurden Backdoors in kommerzielle Verschlüsselungs-Techniken eingeschleust. Die neu veröffentlichten Dokumente geben außerdem folgende Auskünfte:

  • Ein 10-Jahres-Programm der NSA gegen die Verschlüsselungs-Techniken schaffte 2010 einen Durchbruch und macht einen großen Teil der gesammelten (und verschlüsselten) Daten sichtbar.
  • Die NSA gibt 250 Millionen Dollar pro Jahr aus, um unter anderem mit (sicherheits-)Firmen zu kooperieren, um das Produkt-Design zu beeinflussen.
  • Das Geheimnis über ihre Möglichkeiten der Geheimdienste ist streng beschützt, Analysten werden gewarnt: „Fragt oder spekuliert nicht über die Methoden und Quellen.“
  • Die NSA beschreibt die starken Entschlüsselungsprogramme als „Preis für den uneingeschränkten Zugang und die Nutzung des Cyberspace in den USA“.
  • Ein GHCQ-Team arbeitete an Methoden, um in den verschlüsselten Traffic der großen vier Service-Provider zu kommen. Die großen vier werden auch genannt: Hotmail, Google, Yahoo und Facebook.

So wie es scheint, gibt es also keine sichere Methode, um sich vor einer Überwachung zu schützen. Die Frage, die sich allerdings immer wieder stellt ist, welche Rolle die Web-Dienste in der ganzen Geschichte spielen. Gerade die vier hier genannten Firmen brüsten sich mit Transparenz und wollen alle Anfragen von staatlichen Behörden öffentlich machen. Ablenkungsmanöver, weil überhaupt keine Anfrage gestartet werden muss?

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

*Mitglied der Redaktion 2013 bis 2019* Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

39 Kommentare

  1. Mir gefällt eine Aussage von Bruce Schneier ganz gut (aus seinem Kommentar zu der Sache http://www.theguardian.com/commentisfree/2013/sep/05/government-betrayed-internet-nsa-spying):
    „This is not the internet the world needs, or the internet its creators envisioned. We need to take it back.
    And by we, I mean the engineering community.
    Yes, this is primarily a political problem, a policy matter that requires political intervention.
    But this is also an engineering problem, and there are several things engineers can – and should – do.“
    Unsere rechtsstaatlichen und demokratischen Systeme haben gezeigt, dass sie versagt haben. In der Konsequenz muss dies bei zukünftigen sicherheitstechnischen Entwicklungen einfach mit einbezogen werden.

  2. Warum ist der Artikel so schlecht, wenn er eigentlich nur bekannte Fakten zusammentragen soll?
    „Per Brute-Force auf Supercomputern“ … man. Das hier ist nicht die Bild-Zeitung. Dachte ich zumindest immer.

  3. Per Bruteforce verschlüsselungen knacken funktioniert ab einer gewissen „Härte“ nicht mehr, selbst wenn man eine Million Supercomputer zusammen rechnen lässt. Das mit den Backdoors und schwachen Passwörtern ist natürlich etwas anderes.

  4. Um das mal etwas ins rechte Licht zu rücken. Beim neusten Skandal geht es um die Entschlüsselung von VPN oder SSL mit Hilfe eines „streng geheimen Programms namens Bullrun“.
    Weiter heißt es: „Die NSA ist in der Lage, das meiste im Internet zu entschlüsseln“ – und das nicht auf „mathematischem Weg“, sondern „indem sie betrügen“
    Es geht also nicht konkret um das Entschlüsseln selbst vorgehaltener verschlüsselter Dateien, sondern „nur“ um den dargestellten Sachverhalt. 😉
    Aber der ist schon schwer genug!

  5. NEIN!!!!! Die können alles lesen? Die arbeiten mit allen zusammen? Nichts im Netz ist sicher? NEIN!!!!! Da bin ich aber unendlich überrascht und schockiert. Wow wie unvorhergesehen. Ich bin mir aber sehr sicher dass nich noch mehr aufgedeckt wird. Das war bestimmt nun alles. Mehr kann nicht auspioniert werden. Und bestimmt macht das auch sonst niemand der nicht schon erwähnt wurde.

  6. und die superrechner in den usa werten alle für wettersimulationen benutzt. was isn mit der haftung beim onlinebanking, kreditkartenzahlen etc? is ja nu klar dass quasi keine realfunzende verschlüsselung existent is

  7. Da gibt es doch nur eines: Stecker ziehen und offline gehen! Tolle Welt!

  8. Wer solche Freunde hat, braucht keine Feinde mehr!!!!!!!!!!!!!!!!!!!

  9. Stadt – Bild am Haven oder was?
    Der Artikel ist fast so dämlich wie seine Kommentare.
    Vier Typen von Menschen haben bisher auf diesen „Artikel“ geposted:
    Typ 1: Weiß alles, und dass es ein alter Hut ist. Fappt aber jeden Tag heimlich auf Youporn.
    Typ 2: Hat gar keine Ahnung, ist aber der Meinung, dass Verschlüsselung sowieso nichts bringt.
    Typ 3: Denkt, dass er Ahnung hätte, verfehlt das Thema jedoch um Meilen. Mein lieber friddes, das was du beschreibst, ist: http://de.wikipedia.org/wiki/Kryptografische_Hashfunktion, worum es hier aber geht, ist Verschlüsselung: http://de.wikipedia.org/wiki/Verschl%C3%BCsselung
    Typ 4: Versteht worum es geht.

    Wenn du zu Typ 1, 2 oder 3 gehörst: Bitte behalte dein „spezielles Fachwissen“ für dich.

  10. Was mit seit 2 Jahren sorgen macht ist das bruteforce Potential mit ARM Prozessoren. So gab es vor kurzem noch das Moonshot Projekt von Canonical und HP man hatte einen ungeheuer Preiswerten und Stromsparenden Server entwickelt 300 Handy Prozessoren die in einer Kühlflüssigkeit auf Schuhkarton Größe ein Ray in einem Rechenzentrum ausmachen.

    Ich gehe davon aus, das man sowas in Virginia unter der Erde hat – ggf mit Flashspeichergenerationen – die noch nicht auf dem Markt sind.

    Auch wenn man die Angelegenheit nur nüchtern Wirtschaftich betrachtet durch den Smartphone Markt ist es Möglich gewesen Redundanzen zu schaffen – da nicht so viel Geld mehr in die CPU Weiterentwicklung floss auch hat die Massenproduktion von ARM chips Skakaleneffekte geschaffen. Ökonomisch halte ich es für möglich riesige Internetüberwachungs. Infrastrukturen zu finanzieren und vom Aufwand her zu realisieren.

    Die USA haben zudem seit jeher ein politisches und wirtschaftliches Interesse Signal Intelligence auszubauen – die Sovietische Strategie eher auf Menschliche Quellen zurück zu greifen ist im Kalten Krieg aufgrund der Unzulässigkeit Menschlicher Objektivität kaputt gegangen. Die US Aufklärung war da zuverlässiger – auch haben die USA mehr auf Masse anstelle von Qualität bei den CPUs strategisch gesetzt. So zeitgt sich gerade auch nicht Syrien Konflikt die Algorithmen der Russischen Abwehrraketen einfach schneller die Flugbahn von US Marschflugkörpern berechnen können, als die US Abwehr Raketen.

    Wer nicht glaubt, dass der Millitärisch Industrielle Komplex der USA mit der IT und der Regierung verquickt ist sollte mal verschiedene Leute, Jared Cohen, Eric Schmidt etc. Google sehr sehr viele von denen Wechsel nach dem Drehtürprinzip nach vier Jahren von Regierungsjobs – auch werden diese Leute oft schon während des Studiums von militärischen Stipendien unterstützt.

    Also für den Ü-Staat ist immer eine Management Struktur nötig und die gibt es wollte Ich damit sagen – das System funktioniert.

    Ich will, das es zerstört wird -das die Leute die sich ausdenken, das Verhalten der Masse zu incentivieren und total zu kontrollieren verstrahlt werden.

    Auch habe ich das Science Fiction Zeug aus den USA für eine Art Karneval für Freaks zuvor gehalten – gut das ist es teilweise auch. Aber, weil in den USA ein extremer Code of Conduct und Political Corectness Kritik am System quasi durch Gesellschaftliche Deprivation zersetz wird, ist Science Fiction dort auch vor allem Gesellschaftskritik. Man warnt vor Entwicklungen des Systems in der Zukunft. So sehe ich zb. Demolition Man, und Minority Report als Warnung.

    Es wird künftig abweichendes Verhalten vorausberechnet und man wird schon vorher Mindhups – die man heute schon bei Twitter ausmachen kann, ausschalten. Was von appelbaum als Double Concessness beschrieben wurde, wird bald nicht mehr nur auf die geschiedene bigotte Katholische Ehefrau zutreffend sein, sondern auf die Bevölkerungsmehrheit, die dann nicht ein Doppeltes Spiel spielt, sondern 3 Spiele und in der virtuellen Welt mit 30 internet Aliasen spielt – wobei sich dann der Menschlichen einer Maschine anpasst und mit einem Ökosystem aus Spieltheorie degeneriert.

    An bei ein Paar Impressionen und Ausblicke was uns zukünftig allen gebührt, wenn wir nichts unternehmen

    https://www.youtube.com/watch?v=qL9BjKH5MSY

    https://www.youtube.com/watch?v=RwcfY0Ldf2Q

    https://www.youtube.com/watch?v=6NM-it58gIo

    http://www.youtube.com/watch?v=Zfmkj2z9psA

  11. Bevor ich da ARMs nehme, würde ich ja eher was angepassteres nehmen. Sowas z.B.kriegt schon ein paar Schlüssel pro Sekunde durchprobiert http://www.sciengines.com/products/computers-and-clusters/rivyera-s6-lx150.html .
    Bei ausreichend zufälligen Schlüsseln und keinen richtig großen mathematischen Fortschritten durch die NSA kannst du aber auch damit keine aktuellen Chiffren brechen.

  12. Danke math. Ich verstehe ehrlich gesagt nur so viel davon, dass die Schlüssel aus Double Primes – doppelten Primzahlen bestehen und es daher sehr aufwendig ist die Schlüssel zu Bruteforcen – allerdings arbeiten die Leute, die sich die Sachen ausdenken auch bei der NSA und deswegen können Dienste wie NSA auch auf dem Layer 8 sich aus den Menschlichen Schwachstellen das Mathematische Know How ziehen.

    Bin Jurist und kein Kryptiker – denke man muss die Leute darüber aufklären was möglich wäre – damit wenigstens Politische Debatten und Konsequenzen denkbar sind. Und im Moment behandelt man die Leute wie Pilze – lässt sie im Dunkeln und füttert sie mit Scheiße. Ich Sage nicht, das die USA den Menschen mit Wellen aus dem All das Gehirn aussaugen – aber das Manipulationspotential ist schlicht unermesslich.

  13. @karlnielz
    Die Basis moderne Verschlüsselungen ist vergleichsweise simpel:
    Man nehme zwei Primzahlen, und multipliziere sie – solange man eine der beiden kennt, ist es relativ einfach die andere auch rauszufinden (simple Division). Wenn man nur das Ergebnis kennt, wird’s schon schwieriger – wesentlich schwieriger. Mit mathematischen Methoden kann man allerdings schon heute gängige Verschlüsselungen in (nahezu) Echtzeit bruteforcen – mittlerweile sind wir an einem Punkt, wo absolut sichere Verschlüsselungen nicht mehr auf 08/15-Geräten umgesetzt werden können, weil sich die Steigerung des Zeitaufwands für Primfaktorzerlegungen sehr nahe an’s lineare angelehnt hat. 08/15-Geräte sind zu schwach um die Größe ihrer Primzahlen weit genug nach oben zu schrauben, damit Brute-Force-Angriffe praktisch unmöglich werden. Die Hardware, die benötigt wird um eine AES (256bit) verschlüsselte Verbindung in Echtzeit abzuhören liegt etwa bei 2 Millionen-Dollar Listenpreis, üblicherweise nimmt man für solche Dinge ARM-Cluster, die können Monte-Carlo bedeutend besser wie FPGA-Anwendungen, und erzeugen wesentlich weniger Abwärme wie x86-basierte Systeme. Gängige AES (256/512/1024bit) Verschlüsselungen lassen sich mit Systemen mithören die in einen Standard-Siebeneinhalbtonner der US-Armee passen (ob eine derartige Applikation existiert – kA, möglich wäre sie allerdings).

  14. @peter
    Wo ist denn Dein “spezielles Fachwissen”?

  15. @shx

    Danke Danke erstmal. Wie ist dann PGP Buchstabensalat zu verstehen? Und zu taxieren? Gibt bestimmt auch kein anderes Prinzip nur Platzhalter für Primes?

  16. Und Google hat sich auch noch mit der NASA bei D-Wave mit der ultimativen Killertechnologie des Quanten-Computings eingekauft und wird so noch viel eleganter jegliche Verschlüsselungen knacken können, und das in Echtzeit!
    Da hilft nur, Quantencomputer zu entwickeln. Bis jetzt gibt es nur per Quantenschaltkreis unterstütztes (aided) Computing, der vollständige optisch-quantenmechanisch operierende Computer liegt noch in weiter Ferne.
    Die Nation, die dort führend ist, wird die nächste Weltmacht sein: wirtschaftlich und politisch.

  17. Der Herr Ostermaier hat nicht vergessen zu erwähnen was genau betroffen ist. Es gibt nur leider keine Informationen dazu. Somit könnte „großteil“ aller Verschlüsselungen so ziemlich alles sein, inkl. PPTP, RC4 bis bis zu so knallharten Industriestandards wie ROT-13.
    Dass DH inzwischen auch nicht mehr als besonders sicher gilt und ECC verwendet werden sollte ist für viele noch relativ neu aber nicht unbedingt ein Problem wenn man davon weiß.

    Man sollte hier vor allem anführen, dass ein „großteil“ der im Internet angewandeten Verschlüsselungen veraltet ist und nicht verwendet werden sollte.

    So lange es keine Hinweise dafür gibt, dass die NSA AES 256 brechen oder SHA256+ Kollisionen herbeiführen kann, ist das alles hier nur heiße Luft und Blabla!

    Auch, dass US Firmen Abhörvorrichtungen bereitstellen müssen ist doch nichts Neues. In Deutschland haben wir das ja auch seit Jahren und keinen kümmert es. Der Unterschied ist nur, dass das in den USA mit Daten aus dem Ausland pauschal betrieben wird und bei uns vor jeder Abhörung ein Richter zustimmen muss.
    Im Zweifelsfall bedeutet das eben, dass die privaten Schlüssel der SSL / TLS Verbindung herausgegeben werden müssen. Auch das war jedem der sich mit dem Thema beschäftigt schon lange bekannt – nur dass es in diesem Ausmaß passiert und private Schlüssel tatsächlich großflächig abgezogen werden ist Neu.

    Daher sollte man das ganze mal ein wenig relativieren. Das ist keine seriöse Berichterstattung – noch weniger wenn man es in Blogs unbedacht nachplappert.

    Wenn ihr schon auf Probleme hinweisen wollt dann schreibt mal etwas zu BREACH. Es wird nicht lange dauern dann nutzt die NSA diese neuen Erkenntnisse um wirklich so gut wie jede HTTPS Verschlüsselung zu knacken – zumindest so lange bis die Webadmins reagieren anstatt sich über Halbwissen zu echauffieren.

  18. Na, dem Sascha einfach so ans Bein zu pinkeln wegen dieses Artikels finde ich doch unpassend und unfair.

    Mir gefällt der Artikel von Sascha, weil er in Kürze wesentliche Faktoren aufzeigt, welche dem 0815-User verständlich sind. Sascha gibt auch korrekt die Quelle an und jeder der mehr wiessen will, kann sich bei The Guardian und Bruce Schneier ohne weiteres weiter schlau machen – Google findet diese Links (und vermerkt die Suche und da die NSA die Backbones direkt auskopiert erhalten sie auch davon Wind).

    Das Thema ist von grosser Komplexität – und da die NSA die Medien immer wieder mit Erfolg unter Druck setzt, zuviel zu verraten, können wir nur im Dunkeln tappen, was echt ist und was nicht … Leider. Damit bleibt auch offen, wem man noch trauen darf … Den vier Grossen Google, Yahoo, Microsoft und Apple ganz offensichtlich nicht. Daraus werde ich mittelfristig Konsequenzen ziehen.

    Das in mehreren Posts erwähnte Thema „Stecker raus und Offline bleiben“ ist durchaus eine Option (wenn auch eine besch….ne): Bruce Schneier hat aber für die Analyse der ihm zugesandten stark-verschlüsselten Snwoden-Files genau dieses Verfahren gewählt: Nebst seinem Arbeitsplatz-PC hat er einen neuen, nie ans Internet angeschlossenen Computer gekauft – und ihn auch nie ans Internet angeschlossen. Die Files kamen auf Internet-PC verschlüsselt an. Von da immer noch verschlüsselt auf den USB-Stick – auf die Offline-Station – einlesen und entschlüsseln. Für die Antworten gingen die Daten den umgekehrten Weg.

    Eine extrem aufwändige Lösung, welche uns die amerikanische Regierung und der militärische Industriekomplex der USofNSA hier aufzwingen.

    Zum Kotzen … aber wie schon gesagt: Wer solche tolle „Freunde“ wie die USA, UK, AUS und NZ hat, der braucht wahrlich keine Feinde mehr.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.