Aktualisierungen als RSS-Feed oder im Changelog.

Privacy-Handbuch

Im Januar 2015 hat der britische Premierminster Cameron den crypto war 3.0 mit der Forderung eröffnet, dass jede Kommunikation für Geheimdienste einsehbar sein muss. Weitere Politiker wie Obama, unser Innenminister de Maizière oder der australische Justizminister Keenan assistierten. Als hinreichender Grund wird der allgegenwärtige TERRORISMUS kolportiert, der unsere demokratischen Werte bedroht.

Ein generelles Verbot starker Kryptografie wird nicht ernsthaft diskutiert. Es wäre nicht durchsetzbar und eine kommerzielle Nutzung des Internets wäre praktisch tot. Damit sind nicht Googles Werbeeinnahmen gemeint sondern industrielle Anwendungen, mit den denen richtig viel Geld umgesetzt wird (z.B. im Bereich Banken, Börsen usw.).

Ein Schwerpunkt der aktuellen Angriffe auf Verschlüsselung richtet sich gegen Messenger Apps für Smartphones. Dabei sind zwei "Angriffs-Muster" erkennbar:
  1. Forderung nach Backdoors für Behörden und "Dienste"

    Diese Strategie ist nicht neu und wurde schon mehrfach gegen Kommunikationsdienste erfolgreich eingesetzt, sobald diese Dienste eine nennenswerte Popularität erreichten.
    • Skype wurde 2005 durch Anwendung des CALEA Act. gezwungen, Schnittstellen für die Überwachung bereitzustellen. Diese Überwachung wurde ständig weiter ausgebaut und heute liest Microsoft als Betreiber des Dienstes ungeniert mit.
    • Blackberry wurde in Kanada, in Indien und in anderen Ländern gezwungen, den Behörden die Schlüssel für die Entschlüsselung zur Verfügung zu stellen.

    Aktuelle, konkrete Forderungen des FBI richten sich an die großen Kommunikations­dienstleister wie Google, Apple, Microsoft, Facebook, Whatsapp... Sie sollen "freiwillig" die Möglichkeiten implementieren, um staatliche US-Behörden auf Anforderung die Inhalte der Kommunikation unverschlüsselt liefern zu können. Gesetzliche Vorgaben sind im Moment (nach den Snowden-Leaks?) in der EU und den USA nicht populär.

    Gelegentlich versucht das FBI, seinen Wünschen mit der Terrorismus-Keule in einem Präzedenzfall mehr Nachdruck zu verleihen (siehe: Apple vs. FBI). Grundsätzlich sind alle US-Firmen zur "stillen" Kooperation bereit, auch Apple. Aber eine "offizielle Hintertür" für ihre Krypto wollen die US-Firmen aus PR-Gründen vermeiden.

    In Russland wird gegenwärtig die Forderung nach gesetzlich vorgeschriebenen Hinter­türen in der Verschlüsselung bei Messenger Apps am konsequentesten umgesetzt. Ein neues Anti-Terror Gesetz soll u.a. alle Anbieter von Messaging Diensten zwingen, dem Geheimdienst FSB die Möglichkeit zur Entschlüsselung der Kommunikation zu geben. Außerdem sollen die Inhalte der Kommunikation für 6 Monate und die Metadaten für 3 Jahre gespeichert werden.

    Wenn man eine Verschlüsselung entwickeln will, die gegen staatliche Angriffe robust sein soll, dann kann man das russische Gesetz als Referenz-Angriff nehmen.
  2. Staatliches Hacking und Einsatz der "Trojaner Federal"

    Da Hintertüren in der Verschlüsselung von Kommunikation zur Zeit in der EU und den USA nicht populär sind, versucht man es mehr mit staatlichen Hackerangriffen, die gesetzlich legitimiert und personell besser ausgestattet werden.
    • In Deutschland nimmt die im Nov. 2015 angekündigte Bundes-Hacker-Behörde zur Unterstützung von Geheimdiensten und Strafverfolgung beim Brechen von Verschlüsselung langsam Gestalt an. Die "Zentrale Stelle für Informationstechnik im Sicherheitsbereich" (Zitis) soll 2017 mit 60 Mitarbeitern einsatzbereit sein und dann schrittweise auf 400 Mitarbeiter ausgebaut werden.

      Neben Angriffen auf die Verschlüsselung soll diese Behörde technische Werk­zeuge entwickeln, mit denen der Computer einer Zielperson infiltriert werden kann (sogenannte Bundestrojaner).

      Auch wenn die Mathematik aktueller Kryptographie auf theoretischer Ebene nicht zu knacken ist, kann eine schlecht konfigurierte Verschlüsselung erfolgreich angegriffen werden. BKA, BND und BfV sind dazu bereits in der Lage, teilweise durch Verwendung von Trojanern (genauere Informationen sind geheim). In den 5 Jahren von 2015 bis 2020 hat der BND in seinem Budget 4,5 Mio. Euro für den Kauf von Zero-Day-Exploits eingeplant, um sie offensiv zum Eindringen in fremde Computersysteme zu nutzen.
       
    • In den USA soll Rule 41 of the US Federal Rules of Criminal Procedure ab Dez. 2016 das staatliche Hacken von Tor- und VPN-Nutzern für das FBI massiv erleichtern, unabhägig davon, in welchem Land die Tor-Nutzer sich befinden.

      Dass das FBI den TorBrowser knacken und installieren kann, haben sie 2013 und 2015 bewiesen. Der 2015 verwendete Exploit scheint auch 2016 noch zu funktionieren. TorProject.org und die Mozilla Foundation haben sich um eine Veröffentlichung des Exploit bemüht, aber das Wissen um diese Schwachstelle wurde unter Hinweis auf die "Nationale Sicherheit" als geheim klassifiziert.

      Die Kompetenzen der NSA im Rahmen des Programms BULLRUN wurden durch die Dokumente von Snowden/Greenwald bekannt. EGOTISTICALGIRAFFE heißt das Programm, welches Methoden zum offensiven Angriff auf Tor entwickelt.

Verteidigungsstrategien

Um sich gegen Angriffe per Gesetz zu wehren, brauchen wir dezentrale Strukturen für die Infrastruktur unserer Kommunikation (z.B. Jabber/XMPP mit OTR- oder OMEMO), die schwer kompromittierbar sind.

Peer-2-Peer Systeme mit starker Ende-zu-Ende Verschlüsselung sind ebenfalls ein guter Ansatz, um sich im crypto war 3.0 gegen staatlicher Überwachung zu wehren. Tox.chat ist ein solches Kommunikationstool. Ricochet und TorChat nutzt die Technik der Tor Hidden Services, um direkte, serverlose und vertrauliche Kommunikation zu ermöglichen. Diese serverlosen Dienste umgehen auch elegant die Vorratsdatenspeicherung.

Gegen Hacker-Angriffe könnten Live-DVDs einen besseren Schutz bieten, als herkömmliche Betriebssysteme.

Wir sollten Projekte nutzen, bei denen die Entwicklung der Software transparent als Open Source erfolgt und vom Betrieb der Infrastruktur getrennt ist. Jeder Teilnehmer sollte in der Lage sein, die notwendigen Komponenten selbst zu betreiben. Man muss es nicht selbst tun, z.B. muss nicht jeder seinen eigenen Jabber Server betreiben. Aber wir sollten Angebote nutzen, bei denen es prinzipiell möglich wäre.

Es liegt an uns, die vorhandenen, robusten Möglichkeiten schon jetzt zu nutzen.
Lizenz: Public Domain