Link-Lese: NSA

Link-Lese: NSA

Verschlüsselung ist ein Problem für datensammelnde Geheimdienste. Aus den Berichten der vergangenen Tage lässt sich herauslesen, dass sie deshalb darauf setzen, vor der Verschlüsselung an die Daten zu kommen oder sich Hintertürchen zu sichern. Das heißt sie versuchen einerseits Abhörmöglichkeiten in Software zu implementieren, sorgen andererseits dafür, dass sich löchrige Standards verbreiten und genutzt werden. Außerdem üben sie Druck auf Unternehmen aus, die proprietäre Verschlüsselungstechnologie vertreiben.

The New York Times has published further details of last week’s leaked documents detailing the NSA’s program of sabotage to crypto products and standards. The new report confirms that the standard that the NSA sabotaged was the widely-suspected NIST Dual EC DRBG standard. The Times reports that the NSA then pushed its backdoored standard through the International Organization for Standardization and the Canadian Communications Security Establishment.

– boingboing.net

Kryptographen gehen davon aus, dass offene Systeme wie TrueCrypt weiterhin nicht entschlüsselt werden können. Das Problem ist aber: Es muss davon ausgegangen werden, dass Behörden wie die NSA bereits vor der Verschlüsselung zum Beispiel auf einem der oben genannten Wege Zugriff auf die Daten erlangen. Panik macht sich breit.

Betroffen scheinen vor allem SSL/TLS, VPN, OTR und auch LTE.

  • SSL/TLS: Das Verschlüsselungsprotokoll Transport Layer Security dürfte den meisten von Besuchen auf https-Webseiten bekannt sein. Es ermöglicht auch die Zertifizierung von Webseiten, sodass der Nutzer vor Phishingangriffen geschützt wird. Die meisten Browser nutzen dafür ein Schloss-Symbol (verschlüsselte Verbindung) und die Signalfarbe grün (zertifizierte Seite).
  • VPN: SSL-VPNs sind virtuelle private Netze, die mit dem oben genannten Protokoll verschlüsselt werden. Zum Einsatz kommen sie zum Beispiel, wenn sich Mitarbeiter über das Internet ins Firmennetzwerk einloggen, der Computer also virtuell im geschlossenen Netzwerk der Firma steht. Dafür nutzen sie in der Regel einen VPN-Client (Programm) oder Browser-Plug-In.
  • Laut netzpolitik.org auch OTR: Off-the-Record Messaging ist verschlüsseltes Chatten mittels Pretty Good Privacy (PGP). Heise.de nimmt darauf allerdings keinen Bezug und, da es sich um PGP Verschlüsselung handelt, kann auch hier eigentlich nur über andere Wege außerhalb der eigentlichen Verschlüsselung auf die Nachrichteninhalte zugegriffen werden.
  • Wie der Zugriff auf die LTE-Technologie funktioniert, wird in den Artikeln ebenfalls nicht beschrieben.

Die Veröffentlichungen zeigen folglich, dass gerade die weit verbreiteten und von vielen Menschen genutzten Standard-Technologien Ziel der Geheimdienste sind.

Links:
netzpolitik.org
boingboing.net
heise.de

Ein besonders interessantes Beispiel, warum die NSA gar nicht erst verschlüsselte Verbindungen und Datenpakete knacken muss, findet sich übrigens im Finanz- und Bankensektor: SWIFT. | Link: heise.de

Die NSA leitet außerdem Rohdaten, die sie selbst anscheinend noch gar nicht weiter geprüft haben, direkt an einen der israelischen Geheimdienste weiter: „NSA: Nun auch geheimdienstliches Abkommen mit Israel zum Datentausch“ – netzpolitik.org

Mark Zuckerberg meldete sich im Zusammenhang mit staatlichen Datensilos ebenfalls zu Wort. Statt aber zu sagen, dass er die Daten, die er mittels Facebook sammelt, gar nicht erst an Behörden weitergeben will oder, dass sich Facebook für bessere Gesetze zum Datenschutz einsetzen möchte, meint er: Die NSA hat’s verbockt. Weiter: Facebook wäre ja gern transparenter, darf aber nicht. Die gesamte Problematik scheint mehr als schlecht kommuniziert betrachtet zu werden, denn als wirklicher Datensammel-Skandal.

Es bleibt also dabei: Dass die NSA und ähnliche Organisationen Zugriff auf nahezu jeden Aspekt privaten Lebens haben, ist nicht verwunderlich. Eine Organisation, die Daten und Geheimnisse von Menschen sammelt, kann sich alleine dadurch weitere Zugänge zu noch mehr Informationen erschließen: Firmen und Politiker sind angreif- und erpressbar.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.