BKA-Ratespielchen rund um GnuPG
Kann die Verschlüsselungssoftware PGP/GnuPG wirklich davor schützen, dass Unbefugte auf eigene Dateien Zugriff haben? Eine gern und viel diskutierte Frage. Im Dezember sind kistenweise neue Akten angekommen, und wenn stimmt, was da drin steht, dann steht zumindest das BKA dem eher hilflos gegenüber.
Bei den Durchsuchungen am Tag der Festnahmen des aktuellen mg-Verfahrens, dem 31.7.07, sind auch auf Andrejs Rechner verschüsselte Dateien gefunden worden. Schon seit Monaten finden sich in den Briefwechseln der Bundesanwaltschaft (BAW) mit Andrejs Anwältin Sticheleien, dass das Verfahren sicher schneller vorankäme, wenn er mal ein Passwort zu den verschlüsselten Dateien rausrückte. Nebenbei haben sie sich dann etwa ein Jahr später auch selber daran gemacht, die Dateien aufzukriegen, konnten wir nachlesen. Für den Abgleich der DNA brauchen sie ja jetzt auch schon über ein Jahr, das geht alles nicht so schnell.
Und was geschah dann?
Das BKA bekam einen Tip vom Verfassungsschutz, dass es am Seminar für Wirtschaftsinformatik und Informationsmanagement der Uni Köln den Professor Schoder gibt, der da vielleicht behilflich sein könnte. Dankenswerterweise (für's BKA) war auf dem Rechner auch Andrejs privater Schlüssel gefunden worden (immer schön wegräumen!). So besprach sich das BKA mit dem Herrn Schoder und dessen Mitarbeiter Wundram, was zu tun sei.
Herr Wundram, habe ich per Google herausgefunden, ist Referent für die Polizei NRW für IT-Sicherheits-Fortbildungen, vereidigter Sachverständiger für Computersicherheit und Computer-Forensik und iX-Autor. Bei einer Veranstaltung zum Thema "Der gläserne Mensch" hat er auch schonmal ein 'Life-Hacking' vorgeführt.
Die beiden hatten im Grunde aber auch nichts besseres anzubieten, als die Passphrase zu raten, die nötig ist, um mit dem Schlüssel die verschlüsselten Dateien öffnen zu können.
Dazu gibt es halbwegs qualifizierte und vor allem automatisierte Verfahren, zu denen aber nötig ist, den Menschen, dessen Passwort bzw. Passphrase geraten werden soll, einigermassen zu kennen. Wenn man weiß, was der/die gern hat, welche Bücher er oder sie liest, welche Lieder und Gedichte, Farben und Filme er oder sie mag, dann steigt die Chance, die Computer rauskriegen zu lassen, was das Passwort sein könnte.
Der Herr Professor bot an, seinen Assistenten für ein paar Tage vorbeizuschicken, um erstmal die Lage zu eruieren. Zu einem einigermaßen happigen Stundensatz, ningelte das BKA im Bericht. Vor allem hat sie gestört, dass der Stundensatz für den Herrn Professor viel höher sein sollte als für den Assistenten, obwohl der Professor gar nicht mitkommen, sondern bloss die Projektleitung innehaben sollte. Als Ergebnis sollten Erfolgsaussichten, Kosten und Dauer besser einschätzbar werden. Eine "gewisse Chance" sei schon da, aber es würde sicher ganz schön dauern. Für eine (!) Datei.
Später, nach der Sichtung, hätten die 'leistungsstarken Großrechner' der Uni Köln dann Andrejs Privatangelegenheiten berechnen sollen.
Nun hätten das auch die im BKA-Rechenzentrum für sowas vorhandenen Rechner machen können (ich schreib hier nicht, wieviele das sind, wer weiss, was das nach sich zieht. Aber viele sind es nicht). Die knappen personellen Ressourcen jedoch, und die Tatsache, dass die BKA-Rechner dafür SEHR lange gebraucht hätten, ließen wohl nach Alternativen suchen.
Als nächstes haben die BKA'lerInnen dann beim BSI nachgefragt. Die konnten auch nichts Neues beitragen: so allgemein ginge das nicht zu sagen, wie sicher PGP sei: das ist alles relativ (und hängt z.B. von Schlüssellänge, Länge und Komplexität des Passworts etc. ab). Wenn das Passwort kurz sei, einfach oder 'nach einem simplen Schema' gebildet wurde, dann bestünde eine minimale Chance, mit Raten weiterzukommen. Daran würden dann auch 'sehr hohe Rechenkapazitäten' nichts ändern.
Nun fand das BKA, dass es wirklich allein nicht weiterkommt, und beantragte bei der BAW, den Herrn Professor beauftragen zu dürfen.
Hmm, njaa, sagte der zuständige Staatsanwalt. Aber nur, wenn es nicht zu teuer wird. Die professoralen Stundensätze müssten schon mit dem JVEG zu vereinbaren sein - und das waren die im ersten Kostenvoranschlag jedenfalls nicht.
Was dann geschah, wissen wir nicht.
(irgendwo, meine ich, stand auch, dass es quasi aussichtslos sei, wenn die Passphrase länger als 8 Zeichen ist und Sonderzeichen enthält, aber die Stelle finde ich nicht mehr. Wenn wir sie wiedergefunden haben, aktualisiere ich hier und mache das per Twitter bekannt.)
Bild: TheSkorm
Kommentare:
geschrieben von götz [ antworten ]
26/05/2009, 14:22
Irgendwie scheinen hier ziemlich viele Leute das Knacken von Passwörtern und das Brechen von Verschlüsselungsverfahren über den Haufen zu werfen...
Grundsätzlich ist jedes Passwort knackbar. Durch bloßes Ausprobieren (Brute-Force). Das war schon immer so und der Aufwand steigt mit der Zeichenzahl wie überall zu lesen.
Ein Verschlüsselungsverfahren kann durch Bruteforce nicht geknackt werden. Es kann nur der richtige Schlüssel gefunden werden, was das Verfahren per se aber noch nicht angreifbar macht, solange der Schlüsselraum groß genug ist.
Es wäre dann knackbar, wenn sich aus Klartext und Chiffrat der Schlüssel errechnen ließe. Ein gutes Verschlüsselungsverfahren zeichnet sich genau dadurch aus, daß alles bekannt ist (Klartext, Chiffrat, Verfahren) außer dem Schlüssel und es außer Brute-Force(ausprobieren) keine effektive Möglichkeit gibt den Schlüssel zu finden.
RSA im speziellen beruht auf dem mathematischen Problem der Faktorisierung. Es ist sehr einfach zwei sehr große Primzahlen zu finden. Multipliziert man diese miteinander so ist es hingegen sehr aufwendig diesen Faktor in die Primzahlen zu zerlegen. Aktuell ist dafür außer Probieren (Brute-Force) kein mathematischer Ansatz verfügbar. Wenn jemand dieses Problem löst (und es gibt bestimmt genügend Leute die daran arbeiten) dann ist auch dein Homebanking keine gute Idee mehr....
10/01/2009, 09:34
Eine Linux LiveCD ohne Netzwerkunterstützung uvm.
https://www.privacy-cd.org/
---
Viele Packer können sehr gut verschlüsseln.:
http://peazip.sourceforge.net/
- Portable
- Keyfiles
- Keyfilegenerator (Entrophy Evaluation 4096 Bits)
- Object control Hash = Whirpool (512 bit)
- Volume control Hash = Whirlpool (512 bit)
http://en.wikipedia.org/...pool_%28cryptography%29
- Streamcipher with One-key_MAC AES 256 Rijndael
http://www.nuee.nagoya-u.ac.jp/...a/omac/omac.html
---
FreeARC
http://freearc.org/
- AES/Blowfish/Twofish/Serpent Encryption
- Keyfiles
- Ability to chain multiple ciphers.
---
Peazip verschlüsselt besser als TrueCrypt. Die "beste Verschlüsselung" ist nach wie vor neue Dateiformate, welche die Forensik nicht kennt und einsehen kann.
Forensik durchsucht die Header einer Datei - kann sie die nicht auslesen wird die Datei zwar sichtbar aber kann nicht verarbeitet und damit angezeigt werden.
Ich brauch auch gar keine verdächtige Verschlüsselung und die Datei nur in ein Format konvertieren, dass keine Anwendung versteht.
Z. Bsp. packJPG
http://www.elektronik.htw-aalen.de/packjpg/
Keine Forensik kann diese Daten anzeigen.
Da packJPG ohne Table-, Frame- und SOIMarker auskommt kann ich die Datei auch nvidia.dll umbenennen und eine Treiberdatei für Grafikkarten vortäuschen.
Also Leute - Finger weg von AVI,WMV,MP3,DOC,TXT,JPG,TIF,RTF und anderen bekannten Dateiformate wenn ihr Daten sicher beschützen wollt.
Ich wünsche mir eine passive Polizei. Also nur auf Anfrage kommt die Polizei, wird aber selbst von sich aus nie tätig im Auftrag. Das empfinde ich als optimalen Zustand. Zum Glück gibt es viele Beamte die einiges "Übersehen" und sich nicht zu Durchführungsgehilfen umfunktionieren lassen.
Eine Hausdurchsuchung ist ein sehr hässliches Gefühl. Das kann niemand begreifen wer es nicht erlebt hat. Wer Humor hat, verarbeitet es als grossartiges Event und lacht darüber. Wen diese "Eindringung" schockiert verändert sich schlagartig. Kommt noch eine Festnahme und Verhöre dazu fühlt man sich nackter als nackt.
10/01/2009, 08:05
http://www.truecrypt.org/
geschrieben von Dscho [ antworten ]
07/01/2009, 15:57
@Jan: wenn ein einziges Zeichen den Aufwand 50x hoeher treibt, dann ist bereits ein einziges weiteres Zeichen in der Lage, den Gesamtaufwand 50 x 50 = 2500 mal hoeher zu machen als zu Beginn der Rechnung.
geschrieben von Besim Karadeniz [ antworten ]
07/01/2009, 10:47
Muahaha.. da werden dann bestimmt auch noch so Diskussionen zwischen den Behörden gekabelt, wie man eigentlich so bescheuert sein konnte, das GnuPG-Projekt eine Zeitlang zu fördern, ohne eine Hintertür einzubauen und ob nicht genau das eigentlich der Sinn der Projektförderung war.
Ich warte ja eigentlich nur auf den Tag, bis ein angeblicher Top-Terrorist gefangen wird und die Behörden dann den Gang nach Canossa öffentlich antreten müssen und sagen, dass man die Verschlüsselung nicht aufbekommt. Dann dauert es sicherlich nur noch 20 Sekunden, bis der erste schreit, dass man starke Verschlüsselung verbieten müsse.
geschrieben von mike [ antworten ]
06/01/2009, 23:53
womit wieder bewiesen wäre, die möchtegern schnüffler hättern gern amerikanische verhältnisse, haben nur "libanesische" hardware, "afganhnische" mitarbeiter, und gleichen dies durch eigenwillige gesetzesausweitung, und das verschwenden von steuergeldern aus.
guten morgen deutsches BKA,hausaufgaben machen,und nicht das versagen mit aussitzen verschleiern.
geschrieben von bld [ antworten ]
06/01/2009, 21:58
Falls die GPG Dateien nutzlos sind könntet ihr dem BKA die Passphrase gegen Geld anbieten, so das es sie billiger kommen würde. Win-Win.
geschrieben von Anonym [ antworten ]
06/01/2009, 18:16
Genau so würde ich das auch machen:
ein saftiges Angebot für die Erfolgs- und Aufwandsabschätzung für ein noch saftigeres dreijähriges Folgeprojekt, bei dem dann mit einer vermutlich 32,43567%igen Wahrscheinlichkeit das Passwort geknackt werden kann.
Leider tritt dann doch die knapp 68% Wahrscheinlichkeit ein, dass es nicht klappt.
Dann hätte ich aber schon das nochmals etwas teurere Angebot für ein fünfjähriges Folgeprojekt fertig, mit dem man die Erfolgswahrscheinlichkeit auf 33,43453% steigern kann.
Spätestens wenn wir im siebenstelligen Bereich ankommen (bei den Kosten) wird irgendjemand aufgeben. Wer dumm sein will, muss leiden...
;-)
geschrieben von Jon [ antworten ]
06/01/2009, 17:55
Amüsant ist es schon, wenn das BKA, das BSI und noch selbsternannte Sicherheitsexperten an so was scheitern. Kauft nicht das BSI eigentlich den gesamten Markt für Kryptologen,... leer?
Ich probiere mal die Frage, lohnt es sich oder nicht fundierter zu beantworten(Rechnungen, ... können falsch sein, aber ich krieg ja auch keinen Stundenlohn).
In PGP wird der private key mit der Passphrase verschlüsselt. Das bedeutet, auch wenn sie bei Andrej den Private key gefunden haben, dann nur in "verschlüsselter" Form. Um ihn in gebrauchsfertiger Form zu erhalten, benötigen sie, sollten nicht schwerwiegende Fehler in den kryptographischen Algorithmen existieren, die Passphrase. Und dafür müssen sie alle möglichen Passphrasen durchprobieren.
Die Verschlüsselung des private key funktioniert so, dass aus der passphrase ein Hash gebildet wird, womit dann der private key "verschlüsselt" wird. Um Passphrasen auf ihre Richtigkeit zu testen müssen sie also diese Hashfunktion auf die potentielle Passphrasen anwenden. Es hängt also stark davon ab, wie schnell sie den hash einer passphrase berechnen können.
Da ich nicht weiß, mit welcher PGP/GPG Version verschlüsselt wurde, kann ich das nur beispielhaft am md5-Hash-Algorithmus explizieren. Für den teilweise auch verwendeten sha1 unterscheiden sich die Laufzeiten aber nur graduell.
Prinzipiell gilt für solche Berechnungen, dass schnellste Hardware-Implementierungen um Größenordnungen schneller sind als jede Software-Implementierungen, wir wenn wir vom schlimmsten Fall ausgehen, also davon, dass dem BKA das so wichtig ist und es deshalb extra eine Hardware-md5 Implementierung in Auftrag gibt.
Die schnellste Hardware-MD5 Implementierung soll 5,8 GigaBitproSekunde schaffen. Damit können 45.312.500 Hashes in einer Sekunde durchprobiert werden.
Das hört sich viel an. Reicht aber bei weitem nicht aus. Eine Passphrase kann üblicherweise aus 26 Großbuchstaben + 26 Kleinbuchstaben + 10 Zahlen bestehen: also aus 62 Zeichen. Die Benutzung von Sonderzeichen ignoriere ich, macht alles nur schlimmer für das BKA. Das heißt, wenn die Passphrase aus einem Zeichen besteht muss die Hardware Implementierung 62 Möglichkeiten im schlimmsten Fall durchprobieren, bei zwei Zeichen 62*62 und bei drei Zeichen 62^3. Dies nennt man exponentielles Wachstum, hierbei sollte man sich klarmachen, dass schon die Verwendung von zehn Zeichen zu 839299366000000000 Möglichkeiten führt und bei einem Zeichen mehr, also 11 Zeichen hat die Zahl schon zwei Nullen mehr.
Wie lange muss jetzt die Passphrase sein, damit diese Hardware-Implementierung im schlimmsten Fall 1 Millionen Jahre laufen muss? Dies lässt sich jetzt leicht berechnen mit dem Ergebnis, dass 13 Zeichen ausreichen. Jetzt kann das Bka natürlich ganz gewitzt sagen: hey wir haben zwar keinen Sachverstand, dafür aber viel Kohle und die Hardware-Implementierung wird einfach auf 1000 parallel arbeitende Chips verteilt. Womit sie dann auch nur noch 1000 Jahre bräuchten. Aber bei nur einem Zeichen mehr, würde daraus wegen dem exponentiellen Wachstum wieder mehr als eine Million Jahre.
Allerdings nimmt die Rate auch exponentiell ab, das heißt bei den hier gelegentlich vorgeschlagenen 8 Zeichen würde das BKA mit der einfachen Implementierung nicht etwas 200 Jahre brauchen, sondern nur 25 Tage!
8 Zeichen sind also prinzipiell zu wenig! Nehmt mindestens 15, die reichen definitiv aus. Wegen dem exponentiellen Wachstum ist auch relativ irrelevant wie die Hardware schneller wird, da die Entwicklung aus physikalischen Gründen nicht beliebig voranschreiten kann.
Falls sich jetzt das BKA allerdings Hoffnung gemacht hat, dass Andrej eine 8-stellige Passphrase hat, dann muss ich es ein wenig enttäuschen: Was ich oben nicht verraten habe: PGP arbeitet noch ein wenig anders: es nimmt nicht die passphrase und macht daraus den hash, sondern es wiederholt diese Prozedur mehrmals. Somit muss auch jede Implementierung des BKA diese Prozedur entsprechend oft wiederholen. Und in den Standardeinstellungen wiederholt PGP diese Prozedur 65536 Mal. Entsprechend oft müßte also auch eine Hardware-Implementierung diese Prozedur iterieren, was zwar nicht mehr chips bedeutet, da einer 65536 Mal hintereinander genutzt werden kann, aber entsprechend alles 65536 Mal so lange dauert. Wenn Andrejs Passphrase also 8 Zeichen hat und nicht aus einem Wort besteht, wodurch eine Wörterbuch-Attacke möglich wäre, dann ist es schon relativ hoffnungslos.
Den Versuch das ganze mittels Software-Implementierung auf irgendwelchen Semi-großrechnern der Uni Köln zu lösen ist ergo relativ lustig.
Und an Stelle des BKA würde ich das sinnlose Unternehmen aufgeben.
06/01/2009, 15:22
Nichts ist unsicherer als trügerische Sicherheit... Die Anfrage des BKA hat als Indiz für die Stärke von GPG/PGP oder der dahinterstehenden Algorithmen ungefähr so viel Wert wie ein Fliegenschiß auf'm Kreuzfahrtschiff.
Und die Antwort von Herrn Prof. Schoder halte ich für genial: Das BKA wäre gezwungen, für möglichst viel Geld nichts weiter als eine Aufwandsanalyse mit genauso unbekanntem wie möglicherweise kaum zu verwertenem Ergebnis zu kaufen - Geld, das dann dem Institut des Herrn Prof., mithin der Forschung oder Lehre und nicht mehr unmittelbar dem Spitzelsystem zur Verfügung steht.
Nennt man sowas nicht Optimierung? ;)
geschrieben von Sven [ antworten ]
06/01/2009, 13:49
Hallo Frau Roth,
ein frohes und gesundes neues Jahr aus Meck-Pomm und viel Kraft.
Ich habe mal ein 10 stelliges Passwort ausprobiert.
Für dieses Passwort „A@gMx.\4Dä“
braucht man „Ungefähre Zeit für Suche: 149'540 Jahr(e) (bei 1'000'000 Tests/Sekunde) „
Anzahl benötigte Versuche: 4'715'895'382'000'000'000
bei https://passwortcheck.datenschutz.ch/check.php
Falls sich Herr Holm überhaupt noch an das Passwort erinnert kann er ja mal ein Vergleich mit dem oben machen (durch anschauen! in Gedanken).
Es ist für Sie schlecht weil das BKA dann noch viele Jahre ermittelt und zu unseren Lebzeiten kein Ende zu erwarten ist. Und dann haben sie erst das Passwort für den Schlüssel aber der muss ja nicht zu der Datei passen.
Ich glaube das man mit den Jahren auf jedem Rechner verschlüsselte Dateien findet die nicht mehr zu öffnen sind weil zu alt und Schlüssel längst weg oder runter geladen und gemerkt verschlüsselt und nicht gelöscht.
Ich wünsche noch einen guten Verlauf für dieses Sache.
Sven
06/01/2009, 13:33
Fies und gemein, wie ich bin, weise ich mal vorbeugend auf das Tool "ElcomSoft Distributed Password Recovery" der russischen Firma ElcomSoft hin(www.elcomsoft.com).
Hier lassen sich sowohl vernetzte Computer als auch NVidia-Grafikkarten zum Cracken mitbenutzen.
Ich habe das Teil mal in der Probierversion ausgetestet - zumindest vierstellige Passwörter sind schnell zu finden.
Für das mitlesende BKA: Die Rechnung für diese Beratungsrechnung erstelle ich später. Ich kann kann einen sehr günstigen Tarif pro durchprobierte potentielle Passphrase anbieten. Natürlich fange ich zuerst mit den 255stelligen Keys an...
06/01/2009, 13:23
Ich frage mich, warum der private Key (der sollte privat sein!) überhaupt auf dem Rechner lag? Besser aufgehoben wäre er auf einem Cryptokey (nicht zu verwechseln mit einem USB Stick!).
Für den Normalnutzer, der kein Geld in zusätzliche Kryptohardware investieren kann oder will, ist das die einfachste Möglichkeit. GnuPG ist ansonsten nur umständlich zu handhaben, wenn man jedesmal vor Gebrauch erstmal wieder den Private Key von einem externen Datenträger einspielen muss. Wenn die Passphrase stark genug ist, ist das auch eigentlich ausreichend sicher.
06/01/2009, 13:20
Ich frage mich, warum der private Key (der sollte privat sein!) überhaupt auf dem Rechner lag? Besser aufgehoben wäre er auf einem Cryptokey (nicht zu verwechseln mit einem USB Stick!).
Wahrscheinlich weil das ansonsten äußerst unpraktisch zu handhaben ist. Für den Normaluser, der kein Geld in Kryptohardware investieren kann oder will, ist das zunächst die einfachste Möglichkeit. Wenn die Passphrase stark genug ist, ist das auch ausreichend sicher. *find*
06/01/2009, 12:54
@ Commander1024,
eine Backdoor kann bei open source genauso drin sein. Und jenachdem wie gut im Code versteckt findet das kein Mensch. Open source ist nicht per Definition sicherer, auch, wenn das einige Fanbois immer wieder steif behaupten.
06/01/2009, 12:35
@Marcel: Google mal nach der Bedeutung von Beugehaft. http://www1.ndr.de/...n/hamburg/hintergrund30.html erläutert:
"Beugehaft (...) ist eine gerichtliche Maßnahme, die gegen Zeugen oder sonstige zur Zeugenaussage verpflichtete Personen verhängt werden kann, wenn diese die Aussage verweigern ohne ein Aussageverweigerungsrecht wie etwa Verwandtschaft oder Berufsgeheimnis zu haben."
Gibt es also nur für Zeugen ohne Recht auf Aussageverweigerung. Gilt also insbesondere nicht für Angeklagte. Damit ist in diesem Fall die Sache geklärt... nach dt. Recht kann afaik kein Angeklagter dazu gezwungen werden, sich selbst zu belasten - das schließt die Herausgabe von Passwörtern ein.
06/01/2009, 12:24
Ist eine Bezahlung nach TV-L E 13 bis ans Lebensende das höchste der Gefühle beim BKA für Leute mit Diplom, so dass man "der Sparsamkeit wegen" keine eigenen hochqualifizierten Mathematiker und Informatiker findet?
Werden Informatiker und Mathematiker mit Promotion auch abgelehnt ("diese Schnösel, viel zu intelligent, der grauhaarige Abteilungsleiter muss unsere Intelligenzbestie bleiben", "oh Gott, das kostet ja noch mehr, das Budget für weißes Kopierpapier reicht schon jetzt nicht mehr")?
Wer kennt die Konditionen?
geschrieben von basicBaer [ antworten ]
06/01/2009, 12:11
Man sollte sich nicht Vertun. RSA und DSA sind durchaus knackbar. Nur geht man derzeit davon aus, dass die notwendige Rechenzeit zu gross ist. Wie lange dem noch so sein wird weiß aber keiner.
Trotzdem ist es erschreckend, wie wenig Kompetent das BKA erscheint. Das ist zwar in diesem Fall Glück, aber ...
Kämen diese Informationen nicht aus Untersuchungsakten sondern aus einer Presseverlautbarung würde ich fast annehmen, es sei ein absichtlich gestreutes Gerücht um andere in falscher Sicherheit zu wiegen.
geschrieben von Akazie [ antworten ]
06/01/2009, 12:01
Warum sollte man seinen privaten Key außerhalb lagern, man möchte doch ab und zu an seine eigenen Daten ran. Kann mir das wer erklären?
05/01/2009, 15:57
Wer weiß, welche Passwörter sie schon probiert haben. Bestimmt "Al Quaida" und "RAF". Und den Kosenamen von der Freundin: "Mausi". Eher unwahrscheinlich sind sichere Passwörter, die inzwischen sogar häufig von Betriebssystemen automatisch erstellt werden. Zum Beispiel in der Art, wie sie der Passwortassistent meines Macs vorschlägt: "kDFu3Y")v,esaub[N;BZ". Wer will sowas bitte erraten?
Es wäre jedenfalls lustig, wenn es nicht so verdammt ernst wäre. Aber es könnte noch schlimmer sein: andernorts würde man sich vielleicht garnicht erst die Mühe machen, sondern das Passwort gleich aus dem Verdächtigen "herausfoltern".