Web Datenschutz Schell Um klar zu sehen, genügt oft ein Wechsel der Blickrichtung.

Inhalt

  1. Allgemeine Informationen zur Kryptographie
    • Definition
    • Geschichte
    • Kryptographische Verfahren
    • Gibt es ein vollkommen sicheres Verschlüsselungsverfahren?
    • Software für eine anwenderfreundliche, sichere Verschlüsselung
    • Politische Diskussionen zum Thema Kryptographie
  2. TrueCrypt: Free Open-Source Disk Encryption
    • Allgemeine Informationen
    • Wie sicher ist war TrueCrypt?
    • Besonderheiten
    • Download
  3. Aufgepasst bei der Passwortspeicherung im Browser
  4. Steganographie

Allgemeine Informationen zur Kryptographie

Definition:
Kryptographie (auch: Kryptografie) bezeichnet die Wissenschaft der Verschlüsselung von Informationen.

Geschichte:
Die Anfänge der Kryptographie reichen weit zurück. So verwendeten die Ägypter schon im dritten Jahrtausend v. Chr. ein Verschlüsselungssystem in religiösen Texten. In der Antike fand sie für militärische Zwecke beispielsweise in Form der Skytale (um eine Nachricht zu verfassen, wickelte der Absender ein Pergamentband wendelförmig um einen "Stab", schrieb die Botschaft längs des Stabs auf das Band und wickelte es dann wieder ab) Anwendung.
Julius Caesar zum Beispiel vertraute keinem der Boten, die eine geheime Nachrichten an seine Generäle überbringen sollten. Er ersetzte deshalb in seinen Nachrichten jedes A durch ein D, jedes B durch ein E usw (siehe Caesar-Verschlüsselung oder Rot13-Verschiebechiffre). So verfuhr er mit dem ganzen Alphabet. Nur jemand, der die Regel des Vertauschens durch den drittnächsten Buchstaben kannte, konnte die Nachrichten entschlüsseln. Damit begann die Geschichte der klassischen Verschlüsselung.
Heute befasst sich die Kryptographie allgemein mit dem Thema Informationssicherheit (bzw. Vertraulichkeit, Integrität, Authentizität und Verbindlichkeit), also dem Schutz von Daten gegen fremdes Ausspähen.

Kryptographische Verfahren:
Kryptographische Verfahren werden unterteilt in klassische und moderne Verfahren.

  1. Das klassische Verfahren:
    Die Methoden der klassischen Kryptographie wurden zu jener Zeit eingesetzt, als es noch keine elektronischen Rechner gab. Wie zuvor bei der Ceasar-Verschlüsselung beschrieben, ersetzte man immer vollständige Buchstaben oder Buchstabengruppen (Transposition / Substitution). Solche Verfahren sind heute veraltet und unsicher.
  2. Das moderne Verfahren:
    Entsprechend der Arbeitsweise von Computern arbeiten moderne kryptographische Verfahren nicht mehr mit ganzen Buchstaben, sondern mit den einzelnen Bits der Daten. Dies vergrößert die Anzahl der möglichen Transformationen erheblich und ermöglicht außerdem die Verarbeitung von Daten, die keinen Text repräsentieren. Moderne Krypto-Verfahren lassen sich in zwei Klassen einteilen: Symmetrische Verfahren verwenden wie klassische kryptographische Verfahren einen geheimen Schlüssel pro Kommunikationsbeziehung und für alle Operationen (z. B. Ver- und Entschlüsselung) des Verfahrens; asymmetrische Verfahren verwenden pro Teilnehmer einen privaten (d. h. geheimen) und einen öffentlichen Schlüssel (siehe "E-Mails verschicken mit anonymer Nachricht (PGP)"). Fast alle asymmetrischen kryptographischen Verfahren basieren auf Operationen in diskreten mathematischen Strukturen, wie z. B. endlichen Körpern, Ringen, elliptischen Kurven oder Gittern. Ihre Sicherheit basiert dann auf der Schwierigkeit bestimmter Berechnungsprobleme in diesen Strukturen. Viele symmetrische Verfahren und (kryptologische) Hashfunktionen sind dagegen eher Ad-hoc-Konstruktionen auf Basis von Bit-Verknüpfungen (z.B. XOR) und Substitutions-Tabellen für Bitfolgen.


Gibt es ein vollkommen sicheres Verschlüsselungsverfahren?
Theoretisch "Ja"! Stellen Sie sich nur einmal vor, Sie würden ein Wort z.B. "Pinguin" verschlüsseln wollen. Als Schlüssel nehmen Sie einen String (Zeichenkette), der mehr Zeichen aufweist, als der zu verschlüsselnde Text. Bei unserem Wort "pinguin" würde schon "cschell" als Schlüssel ausreichen. Nun verfahren wir ähnlich der Caesar-Chiffre: Der erste Buchstabe im Schlüssel ist das "c", der 3. Buchstabe im Alphabet. Also tauschen wir das "p" von Pinguin mit dem drittnächsten Buchstaben "s" aus. Verfahren wir so fort, so erhalten wir schlussendlich die Chiffre "sbqozuz". Sofern

  1. der Schlüssel länger ist, als die zu verschlüsselnde Nachricht,
  2. der Schlüssel nur einmal für eine Verschlüsselung verwendet wird und
  3. der Schlüssel nur der Person bekannt ist, welche die Nachricht lesen / entschlüsseln darf,

so ist das Verschlüsselungsverfahren auch zu 100% sicher! Warum? Wenn Sie den Schlüssel nicht kennen, könnte der Text beispielsweise auch "chiffre" heißen und der dazugehörige Schlüssel "pthitcu". Wer weiß das schon? Der Nachteil liegt allerdings auf der Hand. Wenn die Nachricht von einer anderen Person empfangen werden soll, muss diese

  1. den Schlüssel zuvor erhalten haben
  2. darf diese Person ihre Texte nicht mit dem gleichen Schlüssel chiffrieren
  3. muss der Schlüssel immer mehr oder genauso viele Zeichen aufweisen, wie der zu verschlüsselnde Text.


Software für eine anwenderfreundliche, sichere Verschlüsselung:

  • Truecrypt (zur Verschlüsselung von Daten, Partitionen und Festplatten)
    Download der aktuellen Version: www.truecrypt.org.
  • GNU Privacy Guard GPG/PGP (zur Verschlüsselung von E-Mails)
    Download der aktuellen Version: www.gnupg.org.
  • S/MIME (zur Verschlüsselung von E-Mails)
    Mehr Informationen zur Einrichtung von S/MIME unter der Rubrik "Anonym ins Netz".


Politische Diskussionen zum Thema Kryptographie
Es wird immer wieder international über Restriktionen bei der Anwendung von Verschlüsselungstechniken diskutiert. Nicht alle Staaten räumen ihren Bürgern ein "Grundrecht" zur freien Wahl und zum Einsatz von Verschlüsselungstechniken ein. Einige Regierungen erlauben nur Nachschlüsselverfahren (Key Escrow), in denen ein "General-" bzw. "Zweitschlüssel" bei einer staatlich zugänglichen Stelle hinterlegt werden muss. Solche Techniken sind bei den Anwendern nicht sonderlich beliebt. In den USA unterliegt Verschlüsselungssoftware sogar der Waffengesetzgebung. In Europa tendiert man eher zum freien Gebrauch von Verschlüsselungssoftware.

TrueCrypt: Free Open-Source Disk Encryption

Herzlichen Dank an die TrueCrypt-Entwickler für 10 Jahre erstklassige, kostenlose Verschlüsselungs-Software!

Doch alles Gute hat einmal ein Ende:

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

This page exists only to help migrate existing data encrypted by TrueCrypt. (Quelle: truecrypt.org, 05.2014)

Die TrueCrypt-Entwickler haben ihre Arbeit an der "Free Open-Source On-The-Fly Disk Encryption" eingestellt.

Ich gehe davon aus, dass in TrueCrypt zur Zeit (Mai 2014) keine Schwachstelle bekannt ist. Die Entwicklung wurde jedoch eingestellt, das heißt, dass es keine weiteren Updates geben wird und die Sicherheit der Verschlüsselung in Zukunft nicht mehr gewährleistet ist!

 

Allgemeine Informationen:
TrueCrypt ist eine freie Open-Source-Datenträger-Verschlüsselungs-Software für Linux, Windows 7/Vista/XP und Mac OS X.
Es bietet die Möglichkeit zur Herstellung und Geheimhaltung eines "on-the-fly" verschlüsselten Datenträgers. "On-the-fly" meint, dass die Daten ohne Benutzerintervention vor dem Laden oder Speichern automatisch ver- und entschlüsselt werden. Das Heißt: Es können keine Daten, Ordnernamen, Pfade, freie Bereiche, etc. ohne Angabe des zugehörigen Schlüssels (Passwort oder Schlüsseldatei) eingesehen werden.

Dabei können die Dateien (ganz genauso wie bei bei einem normalen Datenträger via "drag and drop") von einem und zu einem gemounteten TrueCrypt-Volume kopiert werden. Haben Sie einmal den Schlüssel eingegeben, so werden die von einem verschlüsselten TrueCrypt Volume gelesenen oder kopierten Daten automatisch (im memory/RAM) entschlüsselt. Keine Angst! Das heißt nicht, das vorerst die zu verschlüsselnde/entschlüsselnde Datei im RAM zwischengespeichert werden muss bevor sie ver-/entschlüsselt werden kann! Die Benutzung von TrueCrypt erfordert keinen zusätzlichen Speicher/RAM!

Wie sicher war TrueCrypt?
Wie sicher sind eigentlich gebräuchliche Festplattenverschlüsselungstools? Zumindest war Truecrypt so sicher, dass das FBI es aufgegeben hat (mittels konventioneller Wörterbuchattacke), Disks eines brasilianischen Bankiers, welche unter anderem mit Truecrypt gesichert waren, nach einem Jahr Knackversuche zu entschlüsseln (Quelle: Globo.com) - davor hatten es übrigens auch die brasilianischen Behörden fünf Monate lang auf dem selben Angriffsweg versucht. Obwohl gerade staatliche Stellen in einigen Ländern massive Rechnerkapazitäten zur Hand haben scheint es in diesem Fall unmöglich gewesen zu sein, das Passwort des Bankiers herauszufinden.

Die simple Weisheit, dass die Sicherheit der eigenen Daten dabei vor allem von der Qualität des eigenen Passworts (und der Sorgfalt mit der man dieses geheim hält) abhängt und von der Aktualität der Software, ist dabei grundsätzlich mit zu berücksichtigen.

Besonderheiten von TrueCrypt:

  • TrueCrypt erstellt einen verschlüsselten Bereich innerhalb eines Ordners und mountet diesen wie eine richtige Festplatte
  • Es verschlüsselt eine ganze Partition oder Datenträger (wie z.B. einen USB-Speicher oder eine Festplatte)
  • Es ist möglich, schon vor dem Bootvorgang z.B. eines Windowsbetriebssystems die Authentifizierung / Passwortabfrage zu starten
  • Die Verschlüsselung ist automatisch, "on-the-fly" und transparent/erkennbar
  • Daten können genauso schnell gelesen und erstellt werden, wie auf einem nicht TrueCrypt verschlüsseltem Datenträger
  • Es unterstützt die Verschlüsselungsalgorithmen: AES-256, Serpent, und Twofish
  • Sollten Sie befürchten, dass jemand Sie zur Herausgabe des Passworts zwingt, können Sie das Volume / Betriebssystem auch vor den Augen des ungebetenen Gastes verstecken (Steganographie)


Download:
Die Entwicklung von TrueCrypt wurde eingestellt! Die letzte Version 7.2 wurde von den Entwicklern nur noch zum Umstieg auf andere Programme wie Bitlocker bereit gestellt und wird aus diesem Grund hier nicht zum Download angeboten.

Aufgepasst bei der Passwortspeicherung im Browser!

"Laut Trend Micro kursiert auf Warez-Seiten und im BitTorrent-Netz derzeit der Trojaner PASSTEAL, der den gesamten Passwortspeicher des Browsers ausliest und an Cyber-Ganoven überträgt." (Quelle: Heise, 23.12.2012)

Man sollte vorsichtig sein, wenn man seine Passwörter im Standardbrowser abspeichert. In nahezu jedem Browser (Stand 2013) ist die Verschlüsselung unzureichend. RaiderSec beschreibt in dem Artikel "How Browsers Store Your Passwords (and Why You Shouldn't Let Them)" (Quelle: RaiderSec, 20.06.2013), wie man bei Chrome 27.0.1453.110, IE 7-9 und 10 und Firefox 21.0 an die Passwörter herankommen kann.

Fazit:

  • Chrome: Sehr schlechter Schutz
  • Internet Explorer: Je nach Version ist es einfach bis schwer an die unverschlüsselten Passwörter zu gelangen
  • Firefox: Mittlerer bis sehr guter (bei Verwendung eines Master-Passwortes) Schutz

Indem man in Firefox ein Master-Passwort setzt oder in Opera ein Master-Passwort setzt, erschwert man es den Angreifern, die im Browser gespeicherten Zugangsdaten auszulesen. Besten Schutz liefert - unter Verwendung eines Master-Passwortes - der Mozilla Firefox.

Selbstverständlich ist man auch dann nicht vor einem Passwortklau sicher. Schlussendlich kann man sich die Malware nicht aussuchen und ein installierter Keylogger (z.B. der kostenlose Keylogger von Revealer) im Gepäck eines Trojaners würde selbstverständlich die meisten Vorsichtsmaßnahmen zunichtemachen.

Was bleibt uns da noch als Alternative? Man könnte die Passwörter natürlich auf einen Zettel verwahren, wobei dieser allerdings dann für Unbefugte lokal abgreifbar wäre. Zudem müßte man dann ein virtuelles Keyboard verwenden, damit die Tastaturanschläge 'nicht' von einem Keylogger abgefangen werden können.

Ob das nun wirklich eine praktikable Alternative darstellt, kann jeder nur für sich selbst entscheiden.

Steganographie

Im Gegensatz zur Kryptographie bezieht sich die Steganographie nicht auf die Verschlüsselung von Daten, sondern auf die Kunst, geheime Informationen (Texte, Bilder, Audio-, Videodateien,...) in öffentliche Informationen (Bild- und Audiodateien) zu verbergen. Da ein Dritter bei Betrachtung des Trägermediums keinen Verdacht schöpft, wird so lange die Geheimhaltung gewährleistet, bis ein Außenstehender die Existenz der steganographierten Information kennt.

 

Ein Beispiel:

tl_files/web-datenschutz-schell/img/stegano-kopf_v.png

 

Bild: Foto mit geheimer Information

Algorithmus: RandomLSB (Randomized Least Significant Bit)

Verschlüsselung: keine

tl_files/web-datenschutz-schell/img/stegano-kopf_e.jpg

 

Bild: Die versteckte "geheime" Information - eine Bilddatei in einer Bilddatei

 

Software und Links:

Datenschutz Blog

  • IP-Adressen trotz VPN herausfinden

    Firefox und Chrome verraten ihre IP-Adressen trotz Virtual Private Network (VPN). Schuld daran ist die WebRTC-Implementierung - es gibt jedoch Abhilfe.

  • Facebook ändert Nutzungsbedingungen

    Menschen wollen sich im Netz präsentieren und "soziale" Kontakte pflegen - das ist ein ganz natürliches Verlangen. Doch will man dafür seine Privatsphäre aufgeben? Facebook ändert heute Nacht seine Nutzungsbedingungen! D.h.: Rausgehen lohnt sich - jetzt mehr denn je!

  • Windows 8 Administrator Passwort vergessen?

    Eine kurze Anleitung, wie man unter Windows 8 ein vergessenes Administrator Passwort zurücksetzen kann. Im Grunde genommen steckt dahinter nur die utilman.exe, welche man von außen durch cmd.exe ersetzt, um damit wiederum das Passwort zu ändern.

  • Tor-Nutzer werden von der NSA als Extremisten überwacht

    Wer sich im Internet mit Anonymisierung beschäftigt, also zum Beispiel nach den Tools "Tails" oder "Tor" sucht, wird bei der NSA als "Extremist" bespitzelt. Das geht laut NDR und WDR aus dem Quelltext der NSA-Software XKeyscore hervor.

  • Snowden: Die Deutschland-Akte

    Die jüngsten Veröffentlichungen der Snowden-Akten beweist: Nirgendwo in Europa ist die NSA so aktiv wie in Deutschland. Der Spiegel veröffentlicht dutzende von Dokumenten aus dem Archiv von Edward Snowden, welche Details der Spionage offenbaren - und die Kooperation mit den Deutschen beweisen.

Besucher

  • Gesamt: 2401915
  • Heute: 69
  • Online: 11

Zitat

"Um klar zu sehen, genügt oft ein Wechsel der Blickrichtung."
Antoine de Saint-Exupery

eBooks:

  • Überwachtes Netz. Edward Snowden und der größte Überwachungsskandal der Geschichte

  • Hrsg.:

    Markus Beckedahl, Andre Meister
  • Inhalt:

    Der Sammelband reflektiert den NSA Überwachungsskandal und schaut nach Vorne.
  • Download: PDF, AZW3, EPUB
  • Angezapft. Technische Möglichkeiten einer heimlichen Online-Durchsuchung und der Versuch ihrer rechtlichen Bändigung

  • Autor:

    Rainer Rehak
  • Inhalt:

    Die Diplomarbeit verdeutlicht, dass der staatliche Einsatz von Trojaner-Software sich schon per Definition weder technisch noch gesetzlich beschränken lässt.
  • Download: PDF
  • Strategische Auslandsüberwachung: Technische Möglichkeiten, rechtlicher Rahmen und parlamentarische Kontrolle

  • Autor:

    Dr. Stefan Heumann, Dr. Thorsten Wetzling
  • Inhalt:

    Eine interessante Studie über einen zweifelhaften rechtlichen Rahmen geheimdienstlicher Tätigkeiten.
  • Download: PDF