[deleted] NSA umgeht Verschlüsselung TLS WebRTC?

[debnuxer]

Schon gelesen?

http://www.heise.de/newsticker/meldung/ ... 50935.html


Hinzu kommen scheinbar von der NSA geforderte Masterschlüssel bei den Zertifizierungsstellen.

Die Beeinflussung von Standards lässt sich gerade sehr gut beobachten. Bei Perfect Forward Secrecy (PFS) und Datagram Transport Layer Security (DTLS) wird das Diffie-Hellmann Schlüsselaustauschverfahren eingesetzt. Man bedenke auch das SPDY in HTTP 2.0 einfließt und bald nur noch UDP spricht und deswegen DTLS zum Einsatz kommt, welches wohl kein RSA Schlüsselaustauschverfahren mehr unterstützen wird. Auch bei WebRTC kommt DTLS zum Einsatz. Bei Diffie-Hellmann ist ein aktives MitM möglich, d.h. beiden Seiten können eigene Schlüssel aufgezwungen werden, ohne dass diese etwas davon bemerken. Um den Zielserver zu verifizieren kommt nun PKIX over Secure HTTP (Posh) zum Einsatz. Vorteil für Endverbraucher komm raus, ich kann dich nicht finden. Trotzdem wird das alles als großer Sicherheitsgewinn verkauft, weil eine verdachtsunabhängige VDS nun nicht mehr möglich ist. Der Haken an der Sache ist aber: Auch die Backbonebetreiber (Prism Lauschposten) müssen mit der NSA zusammenarbeiten, womit man selbst in geschlossenen WAN Netzen nicht mehr sicher ist. Es dürfte denen nicht mehr allzu schwer fallen, per MitM zumindest einen Großen Teil des TLS Verkehrs im Klartext mit zu lesen, immerhin verteilt sich der Aufwand unter den einzelnen Backbonebetreibern. Und selbst wenn nur ein kleiner Prozentsatz dadurch in Echtzeit mitgelesen werden sollte, so lassen sich immerhin Zugangsdaten ergattern. Und für den Rest gibt es immer noch das neue Rechenzentrum in Utah, wo wohl auch am Knacken von AES gearbeitet wird. Wobei das Diffie-Hellmann Verfahren natürlich viel einfacher via Bruteforce geknackt werden kann, spätestens wenn der Zuwachs an Rechnerleistung (GPU Power – Yeah!) die alten Schlüssellängen entwertet. Und wieso sollte die NSA nicht noch zusätzliche Rechenleistung von Google, MS oder Amazon abgreifen?
Wie hieß es nochmal in den Fernsehnachrichten? Onlinebanking ist dennoch sicher! Klar doch, weil es so uninteressant ist, dass es von vorne herein aussortiert wird. Dafür interessieren sich schwarze Schafe in WLANs, unter den Betreibern von kostenlosen Proxys oder Hacker von Routern sehr dafür und lesen heimlich durch MitM die Zugangsdaten mit. Und was wenn die NSA die Downloads von Verschlüsselungssoftware intercepted, heimlich und einfacher denn je.


Zur Abhilfe gegen diese Echtzeitüberwachung im Browser fällt mir spontan folgendes ein:

Nur das RSA Schlüsselaustauschverfahren benutzen, solange es unterstützt wird und die NSA ihre Forderung nach Masterschlüsseln bei den Zertifizierungsstellen nicht wahr gemacht hat.
Schwache Ciphern und solche mit Diffie-Hellmann deaktivieren, also eigentlich bleibt nur folgendes übrig:
security.ssl3.rsa_aes_128_sha, security.ssl3.rsa_aes_192_sha, security.ssl3.rsa_aes_256_sha, security.ssl3.rsa_camellia_256_sha
Den Rest kann man deaktivieren und SSL3 sowieso (security.enable_ssl3). Wobei einige Server diese Ciphern möglw. nicht anbieten, deshalb im Fall von Firefox, bzw. Iceweasel einfach ein zweites Profil einrichten. Außerdem existiert im Firefox eine Option (network.http.proxy.version) um HTTP 1.0 für Proxys zu benutzen, somit sollte sich in Zukunft auch auf HTTP 1.1 zurückstellen lassen.

Eine bessere Alternative zu Posh scheint das danetool zu sein, aber dazu kann ich noch nichts sagen.

Keine großen Anbieter nutzen, schon gar nicht in der USA oder UK und bestenfalls welche mit selbstsignierten Zertifikaten. Bei RSA hilft zusätzlich Perspectives oder das SSL Observatory von HTTPS-Everywhere.

Open Source nutzen, wir hatten zwar auch ein Problem mit OpenSSL, das gesamte Vorgehen des Maintainers schließt wohl einen Vorsatz aus. Auf jeden Fall aber wurde das Thema öffentlich behandelt und war bis zu bestimmten Personen zurückzuführen. Das sind schon ziemlich schlechte Bedingungen für Geheimdienste und je mehr Aufwand ein Geheimdienst betreiben muss, um so weniger kann er mit seinem Budget umsetzen. Softwareseitig korrekt implementierte Verschlüsselung scheint generell in Ordnung zu sein, wobei die ja angeblich teilweise ebenfalls von der NSA angewendet wird.

In regelmäßigen Abständen die Passwörter wechseln.


Prism Lauschposten:
http://www.heise.de/newsticker/meldung/ ... 28683.html
http://www.heise.de/newsticker/meldung/ ... 45984.html

PFS:
http://www.heise.de/security/artikel/Zu ... 23800.html

DTLS:
http://www.heise.de/security/meldung/IE ... 28946.html

Posh, inkl. Hinweis zum danetool:
http://www.heise.de/netze/meldung/IETF- ... 28343.html

Masterschlüssel:
http://www.heise.de/security/meldung/US ... 24012.html

Utah Rechenzentrum:
https://de.wikipedia.org/wiki/Utah_Data_Center

[dufty]

Welch reisserischer Thread-Titel

Dass der große Bruder aus Übersee SSL geknackt hätte, habe ich jetzt noch keinem Bericht entnommen.
Desweiteren, der 2. heise-Artikel
http://www.heise.de/security/artikel/Fo ... 32806.html
empfiehlt quasi das Gegenteil von Dir: PFS & Diffie-Hellmann ja, RSA weniger ...

[debnuxer]

Reisserisch schon, aber genau das behaupte ich ja auch (hoffentlich zu Unrecht).

Klar, weil aber genau das ist ja das Problem, wie ich finde.

Das ganze stinkt mir so generell zum Himmel, dass die den Snowden noch nicht geholt haben und die ganze Art wie diese Berichterstattung aufgezogen ist.

Vor allem dass ausgerechnet die NYT und der Guardian der NSA andauernd in die Suppe spucken wollen, ja wo gibt es denn so etwas?

OK, Profi wie man ist wäre man zumindest sicher gestellt dass alle Anderen sofort abschreiben.

Das riecht mir eindeutig nach Muppetalarm.

Nämlich erst mal schön die Illusion jeder für halbwegs sicher empfundenen Kommunikationstechnik zerstören, um dann eine sichere Lösung des Problems aufzeigen.

Scheinbar kann man nur so Cloud, DEMail und Co. vorantreiben.

Es werden neuerdings Kühlkörper auf Mainboards als WIFI Antennen genutzt und scheinbar möchte UEFI auch gerne nach Hause telefonieren.

Alles soll an Ausweis-ID und derartiges Gedöhns gebunden werden und die Werbewirtschaft möchte endlich RFID, NFC etc. einsetzen.

Dass jemand ein Passwort in seinem Kopf hat ist auch Unsinn, denn das könnte ja jemand vergessen.

Statt dessen bietet sich der Herzschlag, die Iris, der Fingerabdruck, die Stimme, das Iris Bewegungsmuster usw. an.

Auch Eingabegeräte können natürlich auf solchen Techniken basieren.

Das Desktopgeschäft bricht ein und die Internetlobby produziert mittlerweile mobile Hardware, Software (Appliances), führt neue Standards ein und arbeitet mit der NSA zusammen.

Als Betriebssystem dient bei denen quasi nur noch ein Browser, der mit Apps (deren einziges wahres Konzept momentan das Datensammeln und nach Hause telefonieren ist) aus dem Appstore erweitert werden kann.

Einen Werbeblocker oder gar nmap wird man dort wohl vergeblich suchen.

Durch TPM soll verhindert werden, dass nicht vom Appstore freigegebene Software installiert oder ausgeführt wird, da diese potentiell unsicher ist.

Plötzlich sind dann nur noch die völlig unsicheren Linuxe an der Virenverseuchung des Internets schuld.

Über Secureboot wird dann nur noch erlaubt was sich wenigstens an einige grundlegende Spielregeln hält.

Und auch die Serverhersteller scheinen zu Appliances überzugehen, wo soll dann bald noch Debian laufen, auf dem Smartphone?

Außerdem steht BigData bevor und wenn die NSA da so weiter macht wie bis her, dann kann die mit ihrem Budget bald nicht mehr viel erreichen.

Also lässt man die Internetlobby mitgesponsorte Standards etablieren.

Dann präsentiert man diese als Allheilmittel gegen die von Snowden enthüllten und völlig übertriebenen Machenschaften von der NSA.

Wo ist denn z.B. der Unterschied zwischen RSA und PFS?

Der Anwender spürt doch keinen Unterschied, außer die verzögerte Latenz.

Klar, bei RSA könnte ein Hacker einen Schlüssel auf einem Server ergaunern, was mit DH nicht passieren kann.

Aber wie oft kommt das denn vor und wie viele werden erst Router hacken, WLANs ausnutzen und kostenlose Proxys betreiben, weil MitM durch DH völlig spurenfrei praktizierbar ist?

Welches Netz ist noch sicher wenn es keine Möglichkeit gibt zu prüfen ob MitM statt findet oder nicht, zumindest für den Normalanwender?

Und falls die NSA so mächtig ist wie Snowden behauptet und überall die Finger im Spiel hat und bei einem Großteil der Verschlüsselung wirklich trotzdem mitlesen kann, wieso sollte sie dann DH durchlassen?

Ich meine bis vor kurzen hat die noch Zertifikate gefälscht und ergaunert bei den Großen Konzernen.

Wenn die NSA ein Problem hat, dann doch wohl eher selbstsignierte Zertifikate, all die kleinen Anbieter und natürlich BigData.

Da wäre es natürlich hilfreich, die Verschlüsselung schon vorher auszuhebeln, was wie man gerade in den veröffentlichten Dokumenten lesen konnte, genau der angestrebten Taktik der NSA entspricht.

Durch DH und die Zusammenarbeit von Backbonebetreibern ginge das natürlich maximal effizient.

Und nebenbei auch noch ohne Zeugen bei allen möglichen Anbietern zu produzieren oder bei den Endanwendern, welche z.B. SSL Observatory einsetzen.

Jedenfalls solange die NSA mit Backbonebetriebern zusammenarbeitet halte ich DH in dieser Hinsicht nicht für Fortschrittlich.

Da müsste dann schon eine sinnigere Alternative zu Posh her.

[dufty]

Jetzt haste zum großen Rundumschlag ausgeholt, leider nicht ebenso mit harten Fakten.

Aber unabhängig davon, was ich fast noch spannender finde als die Ver-/Entschlüsselung:
Jetzt hat man also 1 ZettaByte an Daten und was macht man damit?

Zu Stasi-zeiten bekam der Staatsfeind einen menschlichen Schnüffler als Wohnungsnachbarn,
der wichtiges von unwichtigem trennen konnte.
Wenn man nur daran denkt, wie schlecht - jahrzehntelang - die maschinelle Übersetzung z. B. war.

Stell mir das ganze wie ein Super-Google vor, ein Googolplex sozusagen

[debnuxer]

Harte Fakten kann ich natürlich nicht liefern aber ich finde es logisch, weil es einfacher, heimlicher und billiger ist.

Wenn die die Idee noch nicht hatten, dann werden die die sicher noch bekommen, denke ich mal.


Nicht viel, halt warten bis der Analysealgorithmus Alarm schlägt und ein Fenster auf geht.

Das Problem ist dann wiederum, dass selbst dann nicht all die Meldungen genau überprüft werden können.

Dann wird entweder wild um sich geschossen (wie auch immer?) oder es werden nur die größten terrorwütigen Spinner herausgefischt.

Die Gefahr ist dass man am Flughafen via Gesichtserkennung herausgefischt wird und dann ewig verhört und durchsucht wird, nur weil man ein paar mal nach Dingen wie USB-Raketenwerfer gesucht hat.

Oder wenn irgendwann Drohnen überall herumschwirren, autonome Kamerakäfer herumkrabbeln und dann Türen via Gesichtserkennung verschlossen bleiben oder die elektronische Währung eingefroren wird, nur weil man irgendwie auf einer Terrorliste gelandet ist, guckt man dumm aus der Wäsche.

Ich glaube nicht dass ich, alleine weil ich wüsste dass es so ist, glücklich sein könnte, auch wenn ich eigentlich nichts schlimmes täte.

[mclien]

Ich habe jetzt mal nur überflogen, aber was mir zu den Berichten (also denen, die quasi alle sagen; "ist sowieso schon alles geknackt von der NSA) eingefallen ist:
Wir nehmen mal an ich bin gerade die NSA und sehe: Oh Mist durch Snowden fangen jetzt alle an zu verschlüsseln. Was tun?
...Brainstormpause....
Ah, alles klar wir verbreiten mal schnell die NAchricht, dass wir alle knacken können!
Ergebnis: Alle die uninteressant sind und gerade anfangen wollten zu verschlüsseln sagen sich: "Ach, wenn es eh nix nutzt, kann ich es ja auch lassen".
NSA: " Gerade nochmal gut gegangen. Die interessanten Dinge sind wieder nur die, die weiterhin verschlüsselt sind und dafür habe ich ja genug Superkomputerleistung. Hätten jetzt alle angefangen zu verschlüsseln, hääte ich erst alles knacken und danach filtern müssen, jetzt ist es wieder andersrum, (so wie vorher)"

Anekdote am Rand (aus der Hannoverschen Allgemeinen Zeitung): "Interview mit einem IT_Experten":
"auch Kriminelle spähen aus" (Hä? AUCH??? Was bitte ist den die NSA anderes als eine kriminelle Vereinigung. wenn nicht gar DIE schlimmste auf dem Planete?).
Danach kommt dann noch Gefasel von "weder Rechner braucht eine Firewall, virenscanner und Windowsupdates".

[debnuxer]

Supercomputerleistung für die massenhafte Entschlüsselung von bspw. AES?

Ok, es ist theoretisch so dass AES 256bit und 192bit besser zu knacken sind, als 128bit.

Außerdem ist die NSA größter Arbeitgeber für Mathematiker und Informatiker in den USA und betreibt eigene Forschung und greift natürlich auch auf öffentliche Ergebnisse zu.

Das ergibt natürlich einen gewissen Wissensvorsprung und es besteht noch die Möglichkeit einer Backdoor.

Doch was wenn China das herausfindet?

Das würde bedeuten das die Chinesen die NSA einfach durch Supercomputer überwachen könnten, die ebenfalls AES einsetzt und auch wegen Wirtschaftsspionage wäre das sehr unklug.

Daher wäre wahrscheinlich eher ein Quantencomputer nötig.

Außer wenn man die Verschlüsselung durch Bruteforce knacken könnte, was bei aufgezeichnetem Diffie-Hellmann möglich ist.

Deshalb wird das wohl höchstens für TLS, WebRTC usw. verwendet werden.

Anekdote am Rand (aus der Hannoverschen Allgemeinen Zeitung): "Interview mit einem IT_Experten":
"auch Kriminelle spähen aus" (Hä? AUCH??? Was bitte ist den die NSA anderes als eine kriminelle Vereinigung. wenn nicht gar DIE schlimmste auf dem Planete?).
Danach kommt dann noch Gefasel von "weder Rechner braucht eine Firewall, virenscanner und Windowsupdates".

Typische irreführende Meinungsmache halt.

Die NSA hat ihre Daseinsberechtigung, aber sie übertreibt es mit ihrem Überwachungswahn.

Davor schützt auch keine Firewall usw.

[schorsch_76]

Erstmal: Panik bringt gar nichts.

Hier [1] [2] rechnet jemand mal vor was benötigt wird um einen 256 Bit schlüssel zu brechen.

Thus, in order to simply flip through the possible values for a 128-bit symmetric key (ignoring doing the actual computing to check it) would theoretically require 2^128 − 1 bit flips on a conventional processor. If it is assumed that the calculation occurs near room temperature (~300 K) the Von Neumann-Landauer Limit can be applied to estimate the energy required as ~10^18 joules, which is equivalent to consuming 30 gigawatts of power for one year. This is equal to 30×10^9 W×365×24×3600 s = 9.46×10^17 J or 262.7 TWh (more than 1/100th of the world energy production).

AES permits the use of 256-bit keys. Breaking a symmetric 256-bit key by brute force requires 2^128 times more computational power than a 128-bit key. 50 supercomputers that could check a billion billion (10^18) AES keys per second (if such a device could ever be made) would, in theory, require about 3×10^51 years to exhaust the 256-bit key space.

Also: Was sind die wirklichen Schwächen?
- Fehler in der Implementierung welche den Schlüsselraum stark einschränken. bsp Enigma [3]
- Fehler im Zufallszahlengenerator. Beispiel Bug in Debian SSL vor ein paar jahren
- Ungenügende Entropie bei der Erstellung der Schlüssel
- schwache Passwörter!!!
- Schwächen im Design. Bsp. SSL. Mit dem Masterkey kann sämtliche Kommunikation mitgelesen werden. Vermutlich wurde das von lavabit gefordert.

Meiner Meinung nach ist das eine FUD Kampagne der NSA/US Regierung.

Gruß
schorsch

[1] http://blog.fefe.de/?ts=acd52294
[2] http://en.wikipedia.org/wiki/Brute-forc ... cal_limits
[3] http://en.wikipedia.org/wiki/Enigma_mac ... l_analysis

[Gunman1982]

Denke nicht das das als FUD gemeint war. Ich bin nur der Ansicht das das Paper [1] ein wenig missverstanden wird.
Was der Author zeigen will:
Standard sagt:
AES128 -> 10 rounds
AES256 -> 14 rounds

Ein Angriff (related key attack) besteht schon länger für AES256 (9 rounds) welcher zudem noch verwandte schlüssel brauchte aus dem Jahr 2000. Dieser wurd dann verbessert und brauchte weniger Zeit und Schlüssel und liess sich dann auch auf AES256 (11 rounds) anwenden. Der aufmerksame Mitleser kann sehen das, sofern AES256 so implementiert ist wie der Standard es vorsieht (mit 14 rounds), dieser Angriff nichts bringt. AES256 ist somit immernoch schwerer zu brutforcen als AES128!

Kommen wir zu der Aussage des Authors: Man sollte AES256 mit 28 "rounds" einsetzen umd einen größeren Sicherheitspuffer zu haben. Die Angriffe werden immer nur besser, nicht schlechter,

Weitere Aussagen zu dem Thema: AES256 bringt nicht unbedingt mehr Sicherheit als AES128 da beide (sofern der Standard eingehalten wird) nicht geknackt sind und sofern jemand einen Angriff findet der AES128 mathematisch bricht ist AES256 auch gebrochen. AES256 bringt nur mehr gegen bruteforce im Vergleich zu AES128.

1: https://www.schneier.com/blog/archives/ ... w_aes.html

[mclien]

Meiner Meinung nach ist das eine FUD Kampagne der NSA/US Regierung.

dito. Neter nebeneffekt, alle DAUs kümmern sich jetzt doch nicht um Verschlüsselung und ich habe es als NSA wieder schön sotiert:
Keine Verschlüsselung: regierungstreuer Depp
Verschlüsselung: krimineller Hacker, Terrorist o.ä. (einfach hingehen und Schlüssel erfoltern)

[dufty]

Dank an Gunman1982, hat das schön zusammengefasst!

Falls Quanten-Computer entsprechende Reife entwickeln würden, könnte damit die Schlüssellänge
halbiert werden, so dass zuminderst das Brechen von AES128 nicht mehr so ganz unrealistisch erscheint.