NSA/GCHQ können HTTPS Verschlüsselung überwachen

Fragen zur Organisation, spezielle technische Fragen zum Dienst,
User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by totentanz » Thu Sep 05, 2013 23:27

Zeit.de wrote:NSA und GCHQ sei es durch Kontakte zu den vermeintlich vertrauenswürdigen Verschlüsselungsanbietern gelungen, Hintertüren in die sicheren Verbindungen einzubauen.
zeit.de wrote:Nach Informationen von Edward Snowden ist es Geheimdiensten gelungen, die Verschlüsselung via HTTPS zu umgehen. Mit Milliarden wurden dazu auch Technikfirmen bestochen.

Der US-Geheimdienst NSA und der britische Geheimdienst GCHQ haben sich offenbar Zugang zu Verschlüsselungszertifikaten verschafft, die Internetnutzern eigentlich eine sichere Datenverbindung garantieren sollen. Dies geht aus Dokumenten des Whistleblowers Edward Snowden hervor, aus denen der Guardian und die New York Times zitieren. Demnach können die Geheimdienste Datenübertragungen mitlesen, die via SSL verschlüsselt sind.
http://www.zeit.de/digital/datenschutz/ ... luesselung
guardian wrote: US and UK spy agencies defeat privacy and security on the internet

• NSA and GCHQ unlock encryption used to protect emails, banking and medical records
• $250m-a-year US program works covertly with tech companies to insert weaknesses into products
• Security experts say programs 'undermine the fabric of the internet'
guardian wrote:"Project Bullrun deals with NSA's abilities to defeat the encryption used in specific network communication technologies. Bullrun involves multiple sources, all of which are extremely sensitive." The document reveals that the agency has capabilities against widely used online protocols, such as HTTPS, voice-over-IP and Secure Sockets Layer (SSL), used to protect online shopping and banking.

The document also shows that the NSA's Commercial Solutions Center, ostensibly the body through which technology companies can have their security products assessed and presented to prospective government buyers, has another, more clandestine role.

It is used by the NSA to "to leverage sensitive, co-operative relationships with specific industry partners" to insert vulnerabilities into security products. Operatives were warned that this information must be kept top secret "at a minimum".

A more general NSA classification guide reveals more detail on the agency's deep partnerships with industry, and its ability to modify products. It cautions analysts that two facts must remain top secret: that NSA makes modifications to commercial encryption software and devices "to make them exploitable", and that NSA "obtains cryptographic details of commercial cryptographic information security systems through industry relationships".
http://www.theguardian.com/world/2013/s ... s-security

Obwohl man den Verdacht ja schon lange hegt, nun die Bestätigung. Die NSA ist ein Haufen von Überwachungsgeilen Imperialisten. Und die Firmen die da mit drin stecken können dicht machen, aus der Nummer kommen die nicht heil raus. Jetzt wird auch Jeder darauf aufmerksam was für eine Sauerei hier abläuft. Die NSA betreibt das Internet zu ihrem persönlichen Vergnügen. Und der Pofalla erklärte die NSA Affäre für beendet, die beginnt gerade erst. Jetzt sollte man die CAs und Firmen die mit drinstecken identifizieren, und sich dieser hinsichtlich Nutzung zu entledigen. Man muss auch darüber nachdenken seine eigene CA zu betreiben.

Bruce Schneier hat einen sehr treffenden Kommentar geschrieben

http://www.theguardian.com/commentisfre ... nsa-spying

Zusätzliche Unterlagen:

https://www.documentcloud.org/documents ... ocument/p3

https://www.documentcloud.org/documents ... ocument/p3

Al3ph
Posts: 140
Joined: Sun Aug 11, 2013 20:41

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by Al3ph » Fri Sep 06, 2013 1:00

Genau was ich schon seit Langem sage - es gibt hierfür nur eine Lösung und die heißt Open Source.

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by totentanz » Fri Sep 06, 2013 7:07

Leider ist auch OpSo so eine Sache. Von Truecrypt gibt es zum Beispiel keine Quelltext Analyse. Zumindest ist mir bis jetzt nichts bekannt. http://www.stroica.com/2009/05/30/6-gru ... truecrypt/
Alternative wäre: http://diskcryptor.net/wiki/Main_Page/de
Ich kann mir schon denken bei welchen Produkten die CyberNazis Interesse haben könnten Schwachstellen einzubauen.

kalle
Posts: 31
Joined: Sat Jan 28, 2012 11:42

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by kalle » Fri Sep 06, 2013 7:33

Es gibt 'ne Anlalyse zu Truecrypt vom Privacy-CD Team. https://www.privacy-cd.org/downloads/tr ... sis-en.pdf

Schlussfolgerungen:

1: Die Binarys auf der Webseite sind definitiv nicht aus den veröffentlichten Sourcen compiliert. Das wurde von Heise.de vor kurzem wohl bestätigt in irgendeiner Print-Ausgaben. Hat das jemand gelesen?

2: Seite 13 ist interessant. Möglicherweise gibt es in der Windows-Version eine Backdoor mit einem 2.Key im Header.


Und dann soll es bei Cryptome etwas geben zu Backdoors: http://blog.fefe.de/?ts=acd81575
Currently available for major encryption software — Microsoft Bitlocker, FileVault, BestCrypt, TrueCrypt, etc.

cane

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by cane » Fri Sep 06, 2013 11:27

Zu der Truecrypt-Analyse Seite 13:

Windows und Linux schreiben leere Bereiche auf der Festplatten u.a. Block Devices (z.B. File Slack u.ä) unterschiedlich. Linux füllt diese leeren Bereiche mit NULLEN, Windows kopiert willkürlich Bereiche aus dem Hauptspeicher auf die Platte. Das könnte den komischen Inhalt unter Windows erklären.

(Die ganze Anlayse habe ich noch nicht gelesen, danke für den Link.)

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by totentanz » Fri Sep 06, 2013 14:15

Die TAZ hat das mal zusammengefasst:
taz wrote: Genau diese Standardisierungsverfahren geraten aber jetzt in den Fokus. Schon einmal vermuteten Kryptografen, dass das NIST in einen Standard absichtlich Fehler eingebaut hatte. Ein wichtiges Element von mathematischen Verschlüsselungsverfahren sind Zufallsgeneratoren. In einem Zufallszahlengenerator mit dem Namen Dual_EC_DRBG fand der Wissenschaftler und Microsoft-Mitarbeiter Niels Ferguson 2007 einen Fehler. Ferguson vermutete, dass es sich dabei um kein Versehen handelte, beweisen konnte er es nicht.

Dual_EC_DRBG allerdings wurde bislang nirgends in großem Umfang eingesetzt, selbst wenn es sich um eine NSA-Hintertür handelt, dürften die Auswirkungen begrenzt sein. Ein schales Licht könnte aber auch auf einen anderen Standard fallen: Der Advanced Encryption Standard (AES) aus dem Jahr 2001, der heute an vielen Stellen eingesetzt wird. Dieser wurde in einem Wettbewerb des NIST ausgewählt.

Die Forscherwelt lobte damals das transparente und offene Verfahren, aber manch einer war dennoch mit der Entscheidung unglücklich. Auch hier hatte Niels Ferguson den Finger in die Wunde gelegt und wies noch vor der Bekanntgabe des Gewinners auf mögliche Schwächen des neuen Verfahrens hin.
https://www.taz.de/Neue-Snowden-Enthuellungen/!123251/

Und genau so wird es sein, daher schleunigst umsteigen, bitte. Und wenn es Blowfish ist.....

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Geheimdienste wollten Veröffentlichung über NSA-Verschlüssel

Post by totentanz » Fri Sep 06, 2013 14:32

heise wrote:Dass es den Geheimdiensten nicht schmeckt, wenn ihre Geheimnisse aufgedeckt werden, kann man sich denken. Dass sie sich allerdings in einem demokratischen Rechtsstaat komplett der Kontrolle entziehen können, dürften selbst NSA und GCHQ kaum erwarten dürfen. Das sehen sie teilweise aber wohl anders. So im jüngsten Fall: Der Guardian und die New York Times enthüllten, dass und vor allem wie erfolgreich die Geheimdienste der USA und Großbritanniens Verschlüsselung umgehen, unterminieren und teilweise auch knacken. Im Vorfeld der Veröffentlichung versuchten Vertreter der Geheimdienste, die Publikation der Artikel zu verhindern.

Laut Guardian verlangten Vertreter der Geheimdienste von der britischen Zeitung und ihren Partnern New York Times und ProPublica, die Enthüllungs-Artikel über die Angriffe von NSA und GCHQ auf Verschlüsslung im Internet zu unterlassen. Begründung: Zielpersonen im Ausland könnten durch die Veröffentlichung veranlasst werden, zu neuen Formen der Verschlüsselung oder der Kommunikation im Allgemeinen zu wechseln, die schwerer zu sammeln und zu entschlüsseln wären.
http://www.heise.de/security/meldung/Ge ... 51133.html

bodman

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by bodman » Fri Sep 06, 2013 15:15

Bruce Schneier - A guide to staying secure (The Guardian 06.09.2013)

http://www.theguardian.com/world/2013/s ... rveillance


Auszug:
....... I have five pieces of advice:

1) Hide in the network. Implement hidden services. Use Tor to anonymize yourself. Yes, the NSA targets Tor users, but it's work for them. The less obvious you are, the safer you are.

2) Encrypt your communications. Use TLS. Use IPsec. Again, while it's true that the NSA targets encrypted connections – and it may have explicit exploits against these protocols – you're much better protected than if you communicate in the clear.

3) Assume that while your computer can be compromised, it would take work and risk on the part of the NSA – so it probably isn't. If you have something really important, use an air gap. Since I started working with the Snowden documents, I bought a new computer that has never been connected to the internet. If I want to transfer a file, I encrypt the file on the secure computer and walk it over to my internet computer, using a USB stick. To decrypt something, I reverse the process. This might not be bulletproof, but it's pretty good.

4) Be suspicious of commercial encryption software, especially from large vendors. My guess is that most encryption products from large US companies have NSA-friendly back doors, and many foreign ones probably do as well. It's prudent to assume that foreign products also have foreign-installed backdoors. Closed-source software is easier for the NSA to backdoor than open-source software. Systems relying on master secrets are vulnerable to the NSA, through either legal or more clandestine means.

5) Try to use public-domain encryption that has to be compatible with other implementations. For example, it's harder for the NSA to backdoor TLS than BitLocker, because any vendor's TLS has to be compatible with every other vendor's TLS, while BitLocker only has to be compatible with itself, giving the NSA a lot more freedom to make changes. And because BitLocker is proprietary, it's far less likely those changes will be discovered. Prefer symmetric cryptography over public-key cryptography. Prefer conventional discrete-log-based systems over elliptic-curve systems; the latter have constants that the NSA influences when they can.
Last edited by bodman on Fri Sep 06, 2013 15:25, edited 1 time in total.

victorhugo
Posts: 15
Joined: Thu Aug 08, 2013 17:44

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by victorhugo » Fri Sep 06, 2013 15:24

Truecrypt-Analyse liegt ebenso in de vor.
https://www.privacy-cd.org/downloads/tr ... sis-de.pdf

User avatar
totentanz
Posts: 516
Joined: Thu Nov 15, 2012 15:09

Re: NSA/GCHQ können HTTPS Verschlüsselung überwachen

Post by totentanz » Fri Sep 06, 2013 16:13

Merci !!!

Hier der ein Auszug von Bruce Schneier Interviwes in Germanski:
heise.de wrote:Weiterhin empfiehlt er, die eigene Kommunikation generell verschlüsseln, etwa mit TLS und IPsec. Interessant für Insider: Schneier rät dabei von Verschlüsselung auf Basis Elliptischer Kurven (EC) ab; in den letzten Jahren ging der Trend eher hin zur Verwendung von EC-Verfahren, unter anderem weil sie deutlich kürzere Schlüssel ermöglichen und somit schneller und ressourcenschonenender sind. Insbesondere rät Schneier, Verfahren, die auf dem herkömmlichen Problem der diskreten Logarithmen beruhen wie klassisches RSA gegenüber denjenigen zu bevorzugen, die auf Elliptischen Kurven beruhen. Die EC-Verfahren enthalten eine Reihe von Parametern; Schneier befürchtet, dass die NSA deren Wahl gezielt beeinflusst, um sich Vorteile zu verschaffen. Das erinnert an den Verschlüsselungsstandard DES, in dessen Entwicklung sich die NSA gezielt eingeschaltet hatte

Was kommerzielle Anbieter von Verschlüsselungssoftware angeht, winkt Schneier ab. Er schätzt, dass die meisten Produkte großer US-Firmen NSA-Hintertüren haben, viele Produkte aus anderen Ländern ebenso – oder zumindest entsprechende Lücken für den jeweiligen Landesgeheimdienst. Closed-Source sei insgesamt anfälliger für Hintertüren als Open Source. So sei etwa TLS-Verschlüsselung empfehlenswert, hingegen proprietäre Dienste wie BitLocker eher nicht.

Selbst verwendet Schneier unter anderem GPG, Silent Circle, Tails Linux, OTR, TrueCrypt und BleachBit. Generell sei Linux Windows-Systemen vorzuziehen, wobei er selber "unglücklicherweise" noch schwerpunktmäßig Windows nutze. Alles in allem gelte: Auch wenn die NSA das Internet in eine gewaltige Überwachungsplattform verwandelt habe, könnten die Geheimdienstler dennoch nicht zaubern. Selbst deren enorme Kapazitäten haben ihre Grenzen. "Verschlüsselung ist dein Freund", so Schneier.
http://www.heise.de/security/meldung/Br ... 51318.html

Irgendwie beruhigt mich der letzte Absatz ungemein. Wenn Bruce Schneier diese Software die dort genannt ist selber nutzt, ist das Risiko gering. Mein Skepsis gegenüber AES für die lokale Datenverschlüsselung war anscheinend gerechtfertigt. Ich setze seit Jahren auf Twofish oder Serpent.
Mich interessiert Symantec sein PGP Desktop,ob dieses noch als sicher einzustufen ist. Ich habe schlimme Befürchtungen.
Last edited by totentanz on Fri Sep 06, 2013 16:26, edited 1 time in total.

Post Reply