BKA-Ratespielchen rund um GnuPG

GPG-Key, Source http://www.flickr.com/photos/theskorm/2770495012/Kann die Verschlüsselungssoftware PGP/GnuPG wirklich davor schützen, dass Unbefugte auf eigene Dateien Zugriff haben? Eine gern und viel diskutierte Frage. Im Dezember sind kistenweise neue Akten angekommen, und wenn stimmt, was da drin steht, dann steht zumindest das BKA dem eher hilflos gegenüber.

Bei den Durchsuchungen am Tag der Festnahmen des aktuellen mg-Verfahrens, dem 31.7.07,  sind auch auf Andrejs Rechner verschüsselte Dateien gefunden worden. Schon seit Monaten finden sich in den Briefwechseln der Bundesanwaltschaft (BAW) mit Andrejs Anwältin Sticheleien, dass das Verfahren sicher schneller vorankäme, wenn er mal ein Passwort zu den verschlüsselten Dateien rausrückte. Nebenbei haben sie sich dann etwa ein Jahr später auch selber daran gemacht, die Dateien aufzukriegen, konnten wir nachlesen. Für den Abgleich der DNA brauchen sie ja jetzt auch schon über ein Jahr, das geht alles nicht so schnell.

Und was geschah dann?

Das BKA bekam einen Tip vom Verfassungsschutz, dass es am Seminar für Wirtschaftsinformatik und Informationsmanagement der Uni Köln den Professor Schoder gibt, der da vielleicht behilflich sein könnte. Dankenswerterweise (für’s BKA) war auf dem Rechner auch Andrejs privater Schlüssel gefunden worden (immer schön wegräumen!). So besprach sich das BKA mit dem Herrn Schoder und dessen Mitarbeiter Wundram, was zu tun sei.

Herr Wundram, habe ich per Google herausgefunden, ist Referent für die Polizei NRW für IT-Sicherheits-Fortbildungen, vereidigter Sachverständiger für Computersicherheit und Computer-Forensik und iX-Autor. Bei einer Veranstaltung zum Thema  "Der gläserne Mensch" hat er auch schonmal ein ‚Life-Hacking‘ vorgeführt.

Die beiden hatten im Grunde aber auch nichts besseres anzubieten, als die Passphrase zu raten, die nötig ist, um mit dem Schlüssel die verschlüsselten Dateien öffnen zu können.

Dazu gibt es halbwegs qualifizierte und vor allem automatisierte Verfahren, zu denen aber nötig ist, den Menschen, dessen Passwort bzw. Passphrase geraten werden soll, einigermassen zu kennen. Wenn man weiß, was der/die gern hat, welche Bücher er oder sie liest, welche Lieder und Gedichte, Farben und Filme er oder sie mag, dann steigt die Chance, die Computer rauskriegen zu lassen, was das Passwort sein könnte.

Der Herr Professor bot an, seinen Assistenten für ein paar Tage vorbeizuschicken, um erstmal die Lage zu eruieren. Zu einem einigermaßen happigen Stundensatz, ningelte das BKA im Bericht. Vor allem hat sie gestört, dass der Stundensatz für den Herrn Professor viel höher sein sollte als für den Assistenten, obwohl der Professor gar nicht mitkommen, sondern bloss die Projektleitung innehaben sollte. Als Ergebnis sollten Erfolgsaussichten, Kosten und Dauer besser einschätzbar werden. Eine "gewisse Chance" sei schon da, aber es würde sicher ganz schön dauern. Für eine (!) Datei.

Später, nach der Sichtung, hätten die ‚leistungsstarken Großrechner‘ der Uni Köln dann Andrejs Privatangelegenheiten berechnen sollen.

Nun hätten das auch die im BKA-Rechenzentrum für sowas vorhandenen Rechner machen können (ich schreib hier nicht, wieviele das sind, wer weiss, was das nach sich zieht. Aber viele sind es nicht). Die knappen personellen Ressourcen jedoch, und die Tatsache, dass die BKA-Rechner dafür SEHR lange gebraucht hätten, ließen wohl nach Alternativen suchen. 

Als nächstes haben die BKA’lerInnen dann beim BSI nachgefragt. Die konnten auch nichts Neues beitragen: so allgemein ginge das nicht zu sagen, wie sicher PGP sei: das ist alles relativ (und hängt z.B. von Schlüssellänge, Länge und Komplexität des Passworts etc. ab). Wenn das Passwort kurz sei, einfach oder ’nach einem simplen Schema‘ gebildet wurde, dann bestünde eine minimale Chance, mit Raten weiterzukommen. Daran würden dann auch ’sehr hohe Rechenkapazitäten‘ nichts ändern.

Nun fand das BKA, dass es wirklich allein nicht weiterkommt, und beantragte bei der BAW, den Herrn Professor beauftragen zu dürfen. 

Hmm, njaa, sagte der zuständige Staatsanwalt. Aber nur, wenn es nicht zu teuer wird. Die professoralen Stundensätze müssten schon mit dem JVEG zu vereinbaren sein – und das waren die im ersten Kostenvoranschlag jedenfalls nicht.

Was dann geschah, wissen wir nicht.

(irgendwo, meine ich, stand auch, dass es quasi aussichtslos sei, wenn die Passphrase länger als 8 Zeichen ist und Sonderzeichen enthält, aber die Stelle finde ich nicht mehr. Wenn wir sie wiedergefunden haben, aktualisiere ich hier und mache das per Twitter bekannt.)

 

Bild: TheSkorm

41 Gedanken zu „BKA-Ratespielchen rund um GnuPG

  1. Ist es eigentlich möglich, dass man jetzt Beugehaft anordnet, um die Herausgabe des PWs zu erpressen?

  2. „irgendwo, meine ich, stand auch, dass es quasi aussichtslos sei, wenn die Passphrase länger als 8 Zeichen ist und Sonderzeichen enthält“

    Die Stelle, wo Du das gelesen hast, kann ich auch nicht beisteuern. Aus meinem Informatik-Studium und meiner doch mittlerweile recht umfangreichen hobbymäßigen Beschäftigung mit IT-Sicherheit kenne ich aber dieselbe Aussage bzw. das ist auch mein Stand des Wissens. Die Entropie, also die Anzahl möglicher Passwörter, ist bei 8 Zeichen gerade noch so, dass ein Bruteforce oder eine Attacke mit Rainbow Tables in Frage kommt, wenn der Zeichensatz nicht zu groß ist. Bei Benutzung von Sonderzeichen wird dieser Zeichensatz aber extrem viel größer. Da hilft dann auch, rein rechnerisch, die Anzahl der eingesetzen Rechenzentren nicht mehr wirklich. Etwas anderes ist natürlich ein Angriff mit geeigneten Wörterlisten, mit denen verglichen wird (wenn das Passwort auf so einer Liste steht, wovon aus genau diesem Grund immer abgeraten wird – „no dictionary words“). Dabei ist die Länge des Passworts praktisch egal.
    Ich hoffe, ich konnte zur Klärung ein bisschen beitragen. Was die ganzen Vorfälle als solche angeht, erübrigt sich ein Kommentar finde ich schon fast… soviel Missachtung individueller Rechte, gepaart mit soviel Inkompetenz, das kriegt wohl nur das BKA fertig.

  3. Ich finde es vor allen Dingen schade, dass der Herr Professor Schoder bereit ist, dem BKA seine Seele zu verkaufen. Wenn jetzt schon die Unis sowas unterstützen, wem können wir dann noch vertrauen?

    Oder habe ich da etwas falsch verstanden und der Mensch hat sein Honorar absichtlich so hoch angesetzt?

  4. Marcel: Nein, juristisch ist hierzulade immer noch niemand verpflichtet, bei einer Ermittlung gegen die eigene Person aktiv zu kooperieren. Verschiedene PolitikerInnen bringen dieses „Problem“ allerdings alle paar Jahre mal wieder in die Diskussion. Und in Groß Britanien sieht das bspw. auch schon anders aus: http://www.gulli.com/…n-neues-urteil-2008-10-19/

  5. Was mich besonders ärgert, wenn ich solche Geschichten höre, ist, wieviel Knete für diese Untersuchungen verplempert worden ist (und dass das Geld zum Fenster hinausgeworfen ist, erkennt man mit ein wenig IT-Grundlagenwissen problemlos). Was der Staat mit diesen sicherlich tausenden von Euro an sinnvollen Dingen hätte tun können… Ich kann dieses „Das sind meine Steuergelder!“-Gekeife eigentlich nicht leiden, aber es wurmt mich doch.

  6. Das mit der Sicherheit kann ich bestätigen. Wenn die Wahl der Passphrase zufällig ist, und die Passphrase 8 Zeichen inkl. Zufallszeichen enthält, machen Angriffe keinen Spaß – vor allem, da GPG key strengthening (siehe englische wikipedia) nutzt (Bremst um Faktor 1000 oder noch viel mehr). Jedes weitere Zeichen bedeutet, dass mehr als 50x so viel Rechenpower nötig ist (bei 10 Zeichen also schon 2500x so viel!).

    Ich rate allerdings, den Schlüssel und die Passphrase möglichst nicht mehr zu verwenden (auch nicht wenn die Hardware zurückkommen sollte!), da es ansonsten z. B. über TEMPEST oder Keylogger relativ realistisch wird, doch an das Gewünschte zu kommen. Ich weiß nicht ob ich dem BKA ersteres zutraue, letzteres aber sicherlich. Und Verfassungsschutz etc. dürften auch TEMPEST nutzen. Die Technik kennt die NSA (US-Geheimdienst) übrigens schon seit ca. 40 Jahren.

    Ach übrigens, nicht die Anzahl der Großrechner ist entscheidend, sondern die Anzahl der Playstations 😉 (damit wurde der Angriff auf die Signatur der SSL-CA gefahren) Es kommt mehr auf den Typ als die Anzahl an. Ein einziger (aktueller) GROSSRECHNER kann schon irre viel ausrichten, während zehn normale, etwas größere Server eher harmlos sind. Zehn COPACOBANAs hingegen würden mir wieder mehr Sorgen bereiten.

    Ich finde es übrigens auch erschreckend, dass eine Uni und ein dort arbeitender Professor bereit sind, das Ausspionieren eines anderen Wissenschaftlers zu unterstützen, statt jede Hilfe in die Richtung abzulehnen und die Aktion als Eingriff in die Freiheit der Wissenschaft offen abzulehnen.

  7. Einen GnuPG-Schlüssel knacken? Hochinteressant!
    Eine Frage an das garantiert hier mitlesende BKA: Sagt mal Leute, seid Ihr wirklich so dämlich oder tut Ihr vielleicht nur so?

  8. „Ich finde es übrigens auch erschreckend, dass eine Uni und ein dort arbeitender Professor bereit sind, das Ausspionieren eines anderen Wissenschaftlers zu unterstützen, statt jede Hilfe in die Richtung abzulehnen und die Aktion als Eingriff in die Freiheit der Wissenschaft offen abzulehnen.“

    Erschrecken kann mich sowas schon seit einer Weile nicht mehr, aber es ist definitiv sehr traurig, da hast Du recht. So wird das nix mit der breiten Front gegen Einschränkungen unserer Rechte…

  9. Pingback: emplify

  10. Richtig lustig an der Geschichte ist ja der Herr Wundram. Ja, der mit dem Live-Hack bei der Veranstaltung „Glaeserner Mensch“ in der Uni Koeln.

    Ich mache mir genau gar keine Sorgen, wenn Herr Wundram ein Passwort entschluesseln soll. Wer ihn einmal getroffen hat, weiss, dass er nie und nimmer kompetent genug ist. Schon sein „Live-Hack“ bei der erwaehnten Veranstaltung war nur peinlich. Die anwesenden Hacker haben nur mit dem Kopf geschuettelt, es ging bis zum Fremdschaemen.

    Haette Herr Wundram nur halb soviel Zeit in sein Studium gesteckt, wie er morgens Gel in seine Haare schmiert, muesste man vielleicht fuerchten, er kriegte da was raus. Damit ist jedoch nicht zu rechnen.

    Interessant ist, dass auch der Herr Professor ein Kompetenzproblem hat, wenn er jemanden wir Herrn Wundram fuer sich arbeiten laesst. Andererseits scheint er nur einer der ueblichen professoralen Abstauber zu sein. Zwar mit einer ordentlichen Portion Frechheit, da er dem BKA den inkompetenten Wundram schickt, aber sei’s drum.

    Wenn ich es mir recht ueberlege: Au backe ist das BKA arm dran. Eigentlich ist das schon wieder lustig.

  11. Ich frage mich, warum der private Key (der sollte privat sein!) überhaupt auf dem Rechner lag? Besser aufgehoben wäre er auf einem Cryptokey (nicht zu verwechseln mit einem USB Stick!). Nun gut, das Kind ist nun in den Brunnen gefallen, jetzt hängt alles von der Länge der Passphrase ab.
    Bei mehr als 8 Zeichen ist eines an Rechenleistung für einen Bruteforce Attack erforderlich. Kaum zu meistern für die schwachbrüstigen BKA Antiquitäten. Kamen mehr als 12 Zeichen zum Einsatz ist es schier unmöglich, den Schlüssel aufzubiegen.

    Im übrigen ist das BKA bekannt dafür, aus von Ihnen genannten Gründen (kein Personal und Gammelhardware), generell gegen Kryptographie etwas anrichten zu können, daher auch interne Direktiven, bei Hausdurchsuchungen USB Sticks, Disketten u. Ä. mit zu konfiszieren um so ggf. Zugang zu Keys, Passwörtern etc. zu erlangen.
    Generell ist jede halbwegs durchdachten OpenSource lösung sicher vor neugierigen Blicken des BKA (bei propietärer Software könnte eine Backdoor eingebaut sein).

    So hat das BKA massive Schwierigkeiten bei dem Knacken von Truecrypt Diskcontainern, GPG/PGP, auch Linux LUKS HDD Verschlüsselung ist sicher. Das wird in Pressemitteilungen übrigens gern verschwiegen, welche Software eingesetzt wurde, wenn sie (mal wieder) zugeben mussten, dass sie durch die Verschlüsselung nicht durchkamen, aber die genannten Programme erfüllen diese Kriterien sicherlich 🙂

  12. Natürlich nicht, so weit sind wir im Überwachungsstaat zum Glück noch nicht und es ist mittlerweile in Karlsruhe auch bestätigt, dass das Zurückhalten von Passwörtern oder Cryptokeys KEIN Indiz für eine Straftat oder Verschleierung darstellt.

  13. Wer weiß, welche Passwörter sie schon probiert haben. Bestimmt „Al Quaida“ und „RAF“. Und den Kosenamen von der Freundin: „Mausi“. Eher unwahrscheinlich sind sichere Passwörter, die inzwischen sogar häufig von Betriebssystemen automatisch erstellt werden. Zum Beispiel in der Art, wie sie der Passwortassistent meines Macs vorschlägt: „kDFu3Y“)v,esaub[N;BZ“. Wer will sowas bitte erraten?

    Es wäre jedenfalls lustig, wenn es nicht so verdammt ernst wäre. Aber es könnte noch schlimmer sein: andernorts würde man sich vielleicht garnicht erst die Mühe machen, sondern das Passwort gleich aus dem Verdächtigen „herausfoltern“.

  14. Warum sollte man seinen privaten Key außerhalb lagern, man möchte doch ab und zu an seine eigenen Daten ran. Kann mir das wer erklären?

  15. Man sollte sich nicht Vertun. RSA und DSA sind durchaus knackbar. Nur geht man derzeit davon aus, dass die notwendige Rechenzeit zu gross ist. Wie lange dem noch so sein wird weiß aber keiner.

    Trotzdem ist es erschreckend, wie wenig Kompetent das BKA erscheint. Das ist zwar in diesem Fall Glück, aber …

    Kämen diese Informationen nicht aus Untersuchungsakten sondern aus einer Presseverlautbarung würde ich fast annehmen, es sei ein absichtlich gestreutes Gerücht um andere in falscher Sicherheit zu wiegen.

  16. Ist eine Bezahlung nach TV-L E 13 bis ans Lebensende das höchste der Gefühle beim BKA für Leute mit Diplom, so dass man „der Sparsamkeit wegen“ keine eigenen hochqualifizierten Mathematiker und Informatiker findet?

    Werden Informatiker und Mathematiker mit Promotion auch abgelehnt („diese Schnösel, viel zu intelligent, der grauhaarige Abteilungsleiter muss unsere Intelligenzbestie bleiben“, „oh Gott, das kostet ja noch mehr, das Budget für weißes Kopierpapier reicht schon jetzt nicht mehr“)?

    Wer kennt die Konditionen?

  17. @Marcel: Google mal nach der Bedeutung von Beugehaft. http://www1.ndr.de/…n/hamburg/hintergrund30.html erläutert:

    „Beugehaft (…) ist eine gerichtliche Maßnahme, die gegen Zeugen oder sonstige zur Zeugenaussage verpflichtete Personen verhängt werden kann, wenn diese die Aussage verweigern ohne ein Aussageverweigerungsrecht wie etwa Verwandtschaft oder Berufsgeheimnis zu haben.“

    Gibt es also nur für Zeugen ohne Recht auf Aussageverweigerung. Gilt also insbesondere nicht für Angeklagte. Damit ist in diesem Fall die Sache geklärt… nach dt. Recht kann afaik kein Angeklagter dazu gezwungen werden, sich selbst zu belasten – das schließt die Herausgabe von Passwörtern ein.

  18. @ Commander1024,

    eine Backdoor kann bei open source genauso drin sein. Und jenachdem wie gut im Code versteckt findet das kein Mensch. Open source ist nicht per Definition sicherer, auch, wenn das einige Fanbois immer wieder steif behaupten.

  19. Ich frage mich, warum der private Key (der sollte privat sein!) überhaupt auf dem Rechner lag? Besser aufgehoben wäre er auf einem Cryptokey (nicht zu verwechseln mit einem USB Stick!).

    Wahrscheinlich weil das ansonsten äußerst unpraktisch zu handhaben ist. Für den Normaluser, der kein Geld in Kryptohardware investieren kann oder will, ist das zunächst die einfachste Möglichkeit. Wenn die Passphrase stark genug ist, ist das auch ausreichend sicher. *find*

  20. Ich frage mich, warum der private Key (der sollte privat sein!) überhaupt auf dem Rechner lag? Besser aufgehoben wäre er auf einem Cryptokey (nicht zu verwechseln mit einem USB Stick!).

    Für den Normalnutzer, der kein Geld in zusätzliche Kryptohardware investieren kann oder will, ist das die einfachste Möglichkeit. GnuPG ist ansonsten nur umständlich zu handhaben, wenn man jedesmal vor Gebrauch erstmal wieder den Private Key von einem externen Datenträger einspielen muss. Wenn die Passphrase stark genug ist, ist das auch eigentlich ausreichend sicher.

  21. Fies und gemein, wie ich bin, weise ich mal vorbeugend auf das Tool „ElcomSoft Distributed Password Recovery“ der russischen Firma ElcomSoft hin(www.elcomsoft.com).

    Hier lassen sich sowohl vernetzte Computer als auch NVidia-Grafikkarten zum Cracken mitbenutzen.

    Ich habe das Teil mal in der Probierversion ausgetestet – zumindest vierstellige Passwörter sind schnell zu finden.

    Für das mitlesende BKA: Die Rechnung für diese Beratungsrechnung erstelle ich später. Ich kann kann einen sehr günstigen Tarif pro durchprobierte potentielle Passphrase anbieten. Natürlich fange ich zuerst mit den 255stelligen Keys an…

  22. Hallo Frau Roth,
    ein frohes und gesundes neues Jahr aus Meck-Pomm und viel Kraft.

    Ich habe mal ein 10 stelliges Passwort ausprobiert.

    Für dieses Passwort „A@gMx.4Dä“
    braucht man „Ungefähre Zeit für Suche: 149’540 Jahr(e) (bei 1’000’000 Tests/Sekunde) „
    Anzahl benötigte Versuche: 4’715’895’382’000’000’000
    bei https://passwortcheck.datenschutz.ch/check.php

    Falls sich Herr Holm überhaupt noch an das Passwort erinnert kann er ja mal ein Vergleich mit dem oben machen (durch anschauen! in Gedanken).

    Es ist für Sie schlecht weil das BKA dann noch viele Jahre ermittelt und zu unseren Lebzeiten kein Ende zu erwarten ist. Und dann haben sie erst das Passwort für den Schlüssel aber der muss ja nicht zu der Datei passen.
    Ich glaube das man mit den Jahren auf jedem Rechner verschlüsselte Dateien findet die nicht mehr zu öffnen sind weil zu alt und Schlüssel längst weg oder runter geladen und gemerkt verschlüsselt und nicht gelöscht.

    Ich wünsche noch einen guten Verlauf für dieses Sache.

    Sven

  23. Nichts ist unsicherer als trügerische Sicherheit… Die Anfrage des BKA hat als Indiz für die Stärke von GPG/PGP oder der dahinterstehenden Algorithmen ungefähr so viel Wert wie ein Fliegenschiß auf’m Kreuzfahrtschiff.

    Und die Antwort von Herrn Prof. Schoder halte ich für genial: Das BKA wäre gezwungen, für möglichst viel Geld nichts weiter als eine Aufwandsanalyse mit genauso unbekanntem wie möglicherweise kaum zu verwertenem Ergebnis zu kaufen – Geld, das dann dem Institut des Herrn Prof., mithin der Forschung oder Lehre und nicht mehr unmittelbar dem Spitzelsystem zur Verfügung steht.

    Nennt man sowas nicht Optimierung? 😉

  24. Amüsant ist es schon, wenn das BKA, das BSI und noch selbsternannte Sicherheitsexperten an so was scheitern. Kauft nicht das BSI eigentlich den gesamten Markt für Kryptologen,… leer?

    Ich probiere mal die Frage, lohnt es sich oder nicht fundierter zu beantworten(Rechnungen, … können falsch sein, aber ich krieg ja auch keinen Stundenlohn).
    In PGP wird der private key mit der Passphrase verschlüsselt. Das bedeutet, auch wenn sie bei Andrej den Private key gefunden haben, dann nur in „verschlüsselter“ Form. Um ihn in gebrauchsfertiger Form zu erhalten, benötigen sie, sollten nicht schwerwiegende Fehler in den kryptographischen Algorithmen existieren, die Passphrase. Und dafür müssen sie alle möglichen Passphrasen durchprobieren.
    Die Verschlüsselung des private key funktioniert so, dass aus der passphrase ein Hash gebildet wird, womit dann der private key „verschlüsselt“ wird. Um Passphrasen auf ihre Richtigkeit zu testen müssen sie also diese Hashfunktion auf die potentielle Passphrasen anwenden. Es hängt also stark davon ab, wie schnell sie den hash einer passphrase berechnen können.
    Da ich nicht weiß, mit welcher PGP/GPG Version verschlüsselt wurde, kann ich das nur beispielhaft am md5-Hash-Algorithmus explizieren. Für den teilweise auch verwendeten sha1 unterscheiden sich die Laufzeiten aber nur graduell.
    Prinzipiell gilt für solche Berechnungen, dass schnellste Hardware-Implementierungen um Größenordnungen schneller sind als jede Software-Implementierungen, wir wenn wir vom schlimmsten Fall ausgehen, also davon, dass dem BKA das so wichtig ist und es deshalb extra eine Hardware-md5 Implementierung in Auftrag gibt.
    Die schnellste Hardware-MD5 Implementierung soll 5,8 GigaBitproSekunde schaffen. Damit können 45.312.500 Hashes in einer Sekunde durchprobiert werden.
    Das hört sich viel an. Reicht aber bei weitem nicht aus. Eine Passphrase kann üblicherweise aus 26 Großbuchstaben + 26 Kleinbuchstaben + 10 Zahlen bestehen: also aus 62 Zeichen. Die Benutzung von Sonderzeichen ignoriere ich, macht alles nur schlimmer für das BKA. Das heißt, wenn die Passphrase aus einem Zeichen besteht muss die Hardware Implementierung 62 Möglichkeiten im schlimmsten Fall durchprobieren, bei zwei Zeichen 62*62 und bei drei Zeichen 62^3. Dies nennt man exponentielles Wachstum, hierbei sollte man sich klarmachen, dass schon die Verwendung von zehn Zeichen zu 839299366000000000 Möglichkeiten führt und bei einem Zeichen mehr, also 11 Zeichen hat die Zahl schon zwei Nullen mehr.
    Wie lange muss jetzt die Passphrase sein, damit diese Hardware-Implementierung im schlimmsten Fall 1 Millionen Jahre laufen muss? Dies lässt sich jetzt leicht berechnen mit dem Ergebnis, dass 13 Zeichen ausreichen. Jetzt kann das Bka natürlich ganz gewitzt sagen: hey wir haben zwar keinen Sachverstand, dafür aber viel Kohle und die Hardware-Implementierung wird einfach auf 1000 parallel arbeitende Chips verteilt. Womit sie dann auch nur noch 1000 Jahre bräuchten. Aber bei nur einem Zeichen mehr, würde daraus wegen dem exponentiellen Wachstum wieder mehr als eine Million Jahre.
    Allerdings nimmt die Rate auch exponentiell ab, das heißt bei den hier gelegentlich vorgeschlagenen 8 Zeichen würde das BKA mit der einfachen Implementierung nicht etwas 200 Jahre brauchen, sondern nur 25 Tage!
    8 Zeichen sind also prinzipiell zu wenig! Nehmt mindestens 15, die reichen definitiv aus. Wegen dem exponentiellen Wachstum ist auch relativ irrelevant wie die Hardware schneller wird, da die Entwicklung aus physikalischen Gründen nicht beliebig voranschreiten kann.

    Falls sich jetzt das BKA allerdings Hoffnung gemacht hat, dass Andrej eine 8-stellige Passphrase hat, dann muss ich es ein wenig enttäuschen: Was ich oben nicht verraten habe: PGP arbeitet noch ein wenig anders: es nimmt nicht die passphrase und macht daraus den hash, sondern es wiederholt diese Prozedur mehrmals. Somit muss auch jede Implementierung des BKA diese Prozedur entsprechend oft wiederholen. Und in den Standardeinstellungen wiederholt PGP diese Prozedur 65536 Mal. Entsprechend oft müßte also auch eine Hardware-Implementierung diese Prozedur iterieren, was zwar nicht mehr chips bedeutet, da einer 65536 Mal hintereinander genutzt werden kann, aber entsprechend alles 65536 Mal so lange dauert. Wenn Andrejs Passphrase also 8 Zeichen hat und nicht aus einem Wort besteht, wodurch eine Wörterbuch-Attacke möglich wäre, dann ist es schon relativ hoffnungslos.

    Den Versuch das ganze mittels Software-Implementierung auf irgendwelchen Semi-großrechnern der Uni Köln zu lösen ist ergo relativ lustig.
    Und an Stelle des BKA würde ich das sinnlose Unternehmen aufgeben.

  25. Genau so würde ich das auch machen:
    ein saftiges Angebot für die Erfolgs- und Aufwandsabschätzung für ein noch saftigeres dreijähriges Folgeprojekt, bei dem dann mit einer vermutlich 32,43567%igen Wahrscheinlichkeit das Passwort geknackt werden kann.
    Leider tritt dann doch die knapp 68% Wahrscheinlichkeit ein, dass es nicht klappt.
    Dann hätte ich aber schon das nochmals etwas teurere Angebot für ein fünfjähriges Folgeprojekt fertig, mit dem man die Erfolgswahrscheinlichkeit auf 33,43453% steigern kann.

    Spätestens wenn wir im siebenstelligen Bereich ankommen (bei den Kosten) wird irgendjemand aufgeben. Wer dumm sein will, muss leiden…
    😉

  26. Falls die GPG Dateien nutzlos sind könntet ihr dem BKA die Passphrase gegen Geld anbieten, so das es sie billiger kommen würde. Win-Win.

  27. womit wieder bewiesen wäre, die möchtegern schnüffler hättern gern amerikanische verhältnisse, haben nur „libanesische“ hardware, „afganhnische“ mitarbeiter, und gleichen dies durch eigenwillige gesetzesausweitung, und das verschwenden von steuergeldern aus.
    guten morgen deutsches BKA,hausaufgaben machen,und nicht das versagen mit aussitzen verschleiern.

  28. Muahaha.. da werden dann bestimmt auch noch so Diskussionen zwischen den Behörden gekabelt, wie man eigentlich so bescheuert sein konnte, das GnuPG-Projekt eine Zeitlang zu fördern, ohne eine Hintertür einzubauen und ob nicht genau das eigentlich der Sinn der Projektförderung war.

    Ich warte ja eigentlich nur auf den Tag, bis ein angeblicher Top-Terrorist gefangen wird und die Behörden dann den Gang nach Canossa öffentlich antreten müssen und sagen, dass man die Verschlüsselung nicht aufbekommt. Dann dauert es sicherlich nur noch 20 Sekunden, bis der erste schreit, dass man starke Verschlüsselung verbieten müsse.

  29. @Jan: wenn ein einziges Zeichen den Aufwand 50x hoeher treibt, dann ist bereits ein einziges weiteres Zeichen in der Lage, den Gesamtaufwand 50 x 50 = 2500 mal hoeher zu machen als zu Beginn der Rechnung.

  30. Eine Linux LiveCD ohne Netzwerkunterstützung uvm.

    https://www.privacy-cd.org/

    Viele Packer können sehr gut verschlüsseln.:

    http://peazip.sourceforge.net/

    – Portable

    – Keyfiles

    – Keyfilegenerator (Entrophy Evaluation 4096 Bits)

    – Object control Hash = Whirpool (512 bit)
    – Volume control Hash = Whirlpool (512 bit)

    http://en.wikipedia.org/…pool_%28cryptography%29

    – Streamcipher with One-key_MAC AES 256 Rijndael

    http://www.nuee.nagoya-u.ac.jp/…a/omac/omac.html

    FreeARC

    http://freearc.org/

    – AES/Blowfish/Twofish/Serpent Encryption

    – Keyfiles

    – Ability to chain multiple ciphers.

    Peazip verschlüsselt besser als TrueCrypt. Die „beste Verschlüsselung“ ist nach wie vor neue Dateiformate, welche die Forensik nicht kennt und einsehen kann.

    Forensik durchsucht die Header einer Datei – kann sie die nicht auslesen wird die Datei zwar sichtbar aber kann nicht verarbeitet und damit angezeigt werden.

    Ich brauch auch gar keine verdächtige Verschlüsselung und die Datei nur in ein Format konvertieren, dass keine Anwendung versteht.

    Z. Bsp. packJPG

    http://www.elektronik.htw-aalen.de/packjpg/

    Keine Forensik kann diese Daten anzeigen.

    Da packJPG ohne Table-, Frame- und SOIMarker auskommt kann ich die Datei auch nvidia.dll umbenennen und eine Treiberdatei für Grafikkarten vortäuschen.

    Also Leute – Finger weg von AVI,WMV,MP3,DOC,TXT,JPG,TIF,RTF und anderen bekannten Dateiformate wenn ihr Daten sicher beschützen wollt.

    Ich wünsche mir eine passive Polizei. Also nur auf Anfrage kommt die Polizei, wird aber selbst von sich aus nie tätig im Auftrag. Das empfinde ich als optimalen Zustand. Zum Glück gibt es viele Beamte die einiges „Übersehen“ und sich nicht zu Durchführungsgehilfen umfunktionieren lassen.

    Eine Hausdurchsuchung ist ein sehr hässliches Gefühl. Das kann niemand begreifen wer es nicht erlebt hat. Wer Humor hat, verarbeitet es als grossartiges Event und lacht darüber. Wen diese „Eindringung“ schockiert verändert sich schlagartig. Kommt noch eine Festnahme und Verhöre dazu fühlt man sich nackter als nackt.

  31. Pingback: Z! - Zeitgeist, Entwicklung, Technik - der Technik Podcast

  32. Irgendwie scheinen hier ziemlich viele Leute das Knacken von Passwörtern und das Brechen von Verschlüsselungsverfahren über den Haufen zu werfen…

    Grundsätzlich ist jedes Passwort knackbar. Durch bloßes Ausprobieren (Brute-Force). Das war schon immer so und der Aufwand steigt mit der Zeichenzahl wie überall zu lesen.

    Ein Verschlüsselungsverfahren kann durch Bruteforce nicht geknackt werden. Es kann nur der richtige Schlüssel gefunden werden, was das Verfahren per se aber noch nicht angreifbar macht, solange der Schlüsselraum groß genug ist.

    Es wäre dann knackbar, wenn sich aus Klartext und Chiffrat der Schlüssel errechnen ließe. Ein gutes Verschlüsselungsverfahren zeichnet sich genau dadurch aus, daß alles bekannt ist (Klartext, Chiffrat, Verfahren) außer dem Schlüssel und es außer Brute-Force(ausprobieren) keine effektive Möglichkeit gibt den Schlüssel zu finden.

    RSA im speziellen beruht auf dem mathematischen Problem der Faktorisierung. Es ist sehr einfach zwei sehr große Primzahlen zu finden. Multipliziert man diese miteinander so ist es hingegen sehr aufwendig diesen Faktor in die Primzahlen zu zerlegen. Aktuell ist dafür außer Probieren (Brute-Force) kein mathematischer Ansatz verfügbar. Wenn jemand dieses Problem löst (und es gibt bestimmt genügend Leute die daran arbeiten) dann ist auch dein Homebanking keine gute Idee mehr….

  33. Pingback: PGP-Verschlüsselung: Schutz vor Zugriff auf Dateien durch Unbefugte? | Fau Aachen – Anarcho-Syndikalistische Gewerkschaft

  34. Pingback: Froschs Blog » Blog Archive » Rechtsfreier Cyberspace

  35. Pingback: Verschlüsselung Praxis FAQ – Sicherheit / Algorithmen / Geschwindigkeit / Rechtliches » Nerd6

  36. Pingback: Verschlüsselung Praxis FAQ – Sicherheit / Algorithmen / Geschwindigkeit / Rechtliches » Nerd6

Kommentare sind geschlossen.