Spiegel: Snowden-Dokumente: Was die NSA knacken kann - und was nicht

[LiteCoinGuy]

Snowden-Dokumente: Was die NSA knacken kann - und was nicht

Dem ist nicht so. Wie ein Dokument aus dem Snowden-Archiv belegt, scheiterte die NSA zumindest bis 2012 an der Entschlüsselung mehrerer Kommunikationsprotokolle. Welche das sind, lässt sich diesem Dokument, einer NSA-Präsentation für eine Konferenz im Jahr 2012, entnehmen. Die NSA-Kryptologen teilten ihre Ziele in fünf Gruppen ein, entsprechend dem Schwierigkeitsgrad des Angriffs und entsprechend seinem Ergebnis - von "trivial" bis "katastrophal".

...

"Größere" Probleme hat die NSA auch mit Truecrypt, einem Programm zur Verschlüsselung von Dateien auf Computern, und mit dem sogenannten Off-the-record-Protokoll (OTR) zur Codierung von Chats. Beides sind Open-Source-Projekte, also Programme, deren Quellcode jeder Interessierte einsehen kann. Solche Software, darin sind sich die Experten einig, ist viel schwieriger von Geheimdiensten zu manipulieren als Systeme, die Konzerne wie Apple oder Microsoft entwickeln. Schließlich kann sich bei Open-Source-Projekten jeder den Programmcode ansehen, heimliche Hintertüren lassen sich kaum einbauen. Bei der Überwachung eines Chats stellte die NSA frustriert fest: "Keine Entschlüsselung verfügbar für diese OTR-verschlüsselte Nachricht." Zumindest manchmal scheitert die NSA also an OTR.


Der beginnt wohl auf Stufe vier. "Größere" Probleme bereiten den NSA-Überwachern offenbar E-Mail-Dienstleister, die auf starke Verschlüsselung setzen, etwa Zoho oder das für anonymes Surfen im Internet entwickelte "Tor"-Netz*. Tor steht für "The onion router" und ist eine freie offene Software, mit der sich der Nutzer einen verschlungenen Weg durch mehr als 6000 Computer von Freiwilligen bahnt. Die Daten werden, wie bei einer Zwiebel, von einer Verschlüsselung nach der anderen umhüllt und wieder befreit. Für Überwacher ist so kaum zu rekonstruieren, woher der Aufruf einer bestimmten Website stammte.

"Katastrophal" - Stufe fünf - wird es für die NSA, wenn eine Zielperson beispielsweise eine Kombination aus Tor und einem weiteren Anonymisierungsdienst, wie dem quelloffenen Instant-Messaging-System Cspace, nutzt. "Fast vollständiger Verlust von Erkenntnissen über die Kommunikation und den Aufenthaltsort der Zielperson" sei die Folge einer solchen Kombination.

Zur sicheren Verschlüsselung von Gesprächen und Textchats auf Mobiltelefonen gibt es das Protokoll ZRTP, das der NSA anscheinend größere Probleme macht. Es wird etwa in den Open-Source-Programmen RedPhone und Signal verwendet. Ihr Entwickler Moxie Marlinspike sagt: "Es ist sehr befriedigend, dass für die NSA die mit unseren Apps verschlüsselte Kommunikation wie ein Blick durch Milchglas ist."

Entwickelt hat ZRTP unter anderen der Amerikaner Phil Zimmermann, der Mann, der den bis heute gebräuchlichsten Verschlüsselungsstandard für E-Mails und Dokumente geschaffen hat. Er ist bekannt unter der Abkürzung PGP, ausgeschrieben: Pretty Good Privacy - ziemlich gute Privatsphäre. Auch an diesem mehr als 20 Jahre alten Verschlüsselungsstandard beißen sich die NSA-Spione offenbar die Zähne aus. In einem weiteren Dokument, das der SPIEGEL einsehen konnte, heißt es über E-Mails, die sich die NSA vom E-Mail-Provider Yahoo verschafft hat: "Für diese PGP-verschlüsselte Nachricht ist keine Entschlüsselung verfügbar."

...

Ein Beispiel: "Virtual Private Networks", VPN, wie es vor allem Mitarbeiter von Firmen und Institutionen mit mehreren Standorten nutzen. Der Schutz des Netzes ist hier tatsächlich nur virtuell, nicht echt. Denn die NSA betreibt ein großes VPN-Projekt, um solche Verbindungen massenhaft zu knacken und die darüber ausgetauschten Daten mitzulesen - etwa das Netz der griechischen Regierung.

http://www.spiegel.de/netzwelt/netzpolitik/snowden-dokument-so-unterminiert-die-nsa-die-sicherheit-des-internets-a-1010588.html

http://www.golem.de/news/neue-snowden-dokumente-was-die-nsa-unter-fingerspitzengefuehl-versteht-1412-111376-2.html


interessant auch im hinblick auf  truecrypt. da heißt es auf wiki:

"Laut einer Meldung vom 28. Mai 2014 auf der offiziellen Webseite wurde die Entwicklung von TrueCrypt im Mai 2014 eingestellt.[2][3] Auf der Website wird eine Anleitung für den Wechsel zu BitLocker bereitgestellt.[4] Zudem wird dort gewarnt, dass die Nutzung von TrueCrypt unsicher sei, da TrueCrypt ungelöste Sicherheitslücken enthalten könne."


Oder war Truecrypt zu sicher   ?

interessante erkenntnisse dank snowden.

[1715023477]

1715023477

[1715023477]

1715023477

[kneim]

Wirklich sehr interessant, diese Hintergrundinformation. BitLocker kommt meines Wissens von Microsoft, kann das überhaupt sicher sein? Natürlich nicht, Microsoft wird, wenn es drauf ankommt, immer mit der NSA kooperieren. Der Artikel sagt es: wenn Sicherheit, dann nur mit OpenSource.

[criptix]

Wirklich sehr interessant, diese Hintergrundinformation. BitLocker kommt meines Wissens von Microsoft, kann das überhaupt sicher sein? Natürlich nicht, Microsoft wird, wenn es drauf ankommt, immer mit der NSA kooperieren. Der Artikel sagt es: wenn Sicherheit, dann nur mit OpenSource.

Es kann nicht sicher sein - us firmen sind vom gesetz her gezwungen mit der regierung bzw. Geheimdiensten zusammen zu arbeiten

[LiteCoinGuy]

Ja, dass die Macher von Truecrypt ein MS Produkt empfehlen (müssen scheinbar) ist wirklich zum brüllen komisch  !

[kneim]

Ja, dass die Macher von Truecrypt ein MS Produkt empfehlen (müssen scheinbar) ist wirklich zum brüllen komisch  !

Vielleicht hat man ihnen mit Waterboarding gedroht?