Die Aktualisierungen gibt es als
RSS-Feed  oder im Changelog.

Privacy Handbuch

Im Januar 2015 hat der britische Premierminster Cameron den crypto war 3.0 mit der Forderung eröffnet, dass jede Kommunikation für Geheimdienste einsehbar sein muss. Weitere Politiker wie Obama, der damalige Bundes­innenminister de Maizière oder der australische Justizminister Keenan assistierten. Als hinreichender Grund wird der allgegen­wärtige TERRORISMUS kolportiert, der unsere demokratischen Werte bedroht.

Ein generelles Verbot starker Kryptografie wird nicht ernsthaft diskutiert. Es wäre nicht durchsetzbar und eine kommerzielle Nutzung des Internets wäre praktisch tot. Damit sind nicht Googles Werbeeinnahmen gemeint sondern industrielle Anwendungen, mit den denen richtig viel Geld umgesetzt wird (z.B. im Bereich Banken, Börsen usw.).

Ein Schwerpunkt der aktuellen Angriffe auf Verschlüsselung richtet sich gegen Krypto Messenger Apps. Dabei sind zwei "Angriffs-Muster" erkennbar:
  1. Forderung nach Backdoors für Behörden und "Dienste"

    Diese Strategie ist nicht neu und wurde schon mehrfach gegen Kommunikationsdienste erfolgreich eingesetzt, sobald diese Dienste eine nennenswerte Popularität erreichten.
    • Skype wurde 2005 durch Anwendung des CALEA Act. gezwungen, Schnittstellen für die Überwachung bereitzustellen. Diese Überwachung wurde ständig weiter ausgebaut und heute liest Microsoft als Betreiber des Dienstes ungeniert mit.
    • Blackberry wurde in Kanada, in Indien und anderen Ländern gezwungen, den Behörden den Generalschlüssel für die Entschlüsselung zur Verfügung zu stellen.

    Mit Gesetzen wurde versucht, diese Praxis auf alle Krypto Messenger auszudehnen:
    • Ein Anti-Terror Gesetz sollte alle Anbieter von Messaging Diensten in Russland zwingen, dem Geheimdienst FSB die Möglichkeit zur Entschlüsselung der Kommunikation zu geben. Außerdem sollen die Inhalte der Kommunikation für 6 Monate und die Metadaten für 3 Jahre gespeichert werden. Der Versuch der Durchsetzung dieses Gesetztes gegenüber dem Messenger Telegram endete in einem Fiasco. Gegenwärtig wird die Durchsetzung des Gesetzes nicht verfolgt.
    • In Australien wurde im Dezember 2018 das Assistence and Access Bill verabschiedet, welches ebenfalls die Anbieter von Messaging Diensten zur Hinterlegung eines Generalsschlüssels bei den Strafverfolgungsbehörden verpflichtet, um verschlüsselte Kommunikation entschlüsseln zu können. Anbieter von Messaging Diensten wie die Signal haben es abgelehnt, dem Gesetz Folge zu leisten. Die Durchsetzung des Gesetzes wird ebenfalls nicht verfolgt.
    • In Deutschland hat Bundesinnenminster Seehofer im Mai 2019 ähnliche Vorstellungen geäußert. Nach seinen Vorstellungen sollten alle Messaging Dienste gezwungen werden, die gewünschten Kommunikations­daten selbst zu entschlüsseln und in entschlüsselter Form den Straf­verfolgungs­behörden zur Verfügung zu stellen. Die vehemente Kritik des Bundesverbandes für IT-Sicherheit, eco-Verband der Internetwirtschaft, CCC, Digitale Gesellschaft... u.a.m. verhinderte die Umsetzung dieser Pläne.

    Moderne Krypto Messenger sind gegen diese Angriffe robust. Technisch ist es den Betreibern von Messaging Diensten wie Signal, Wire, Threema oder Telegram nicht möglich, die Ende-zu-Ende Verschlüsselung nachträglich mit einem Master-Key zu knacken. Daher sind die genannten gesetzlichen Initiativen nicht durchsetzbar.

    Seit Mitte 2018 ist daher ein Umdenken bei den Beführwortern der Überwachung erkennbar. Es wird keine Entschlüsselung der Kommunikation gefordert, aber die Betreiber von Messaging Diensten sollen Behörden dabei unterstützen, sich als "stille Teilnehmer" in eine verschlüsselte Kommunikation einzuklinken und so Chats bzw. Gruppenchats live und unbemerkt belauschen zu können:
    It's relatively easy for a service provider to silently add a law enforcement participant to a group chat or call...

    We're not talking about weakening encryption or defeating the end-to-end nature of the service. In a solution like this, we're normally talking about suppressing a notification on a target's device, and only on the device of the target and possibly those they communicate with. That's a very different proposition to discuss and you don't even have to touch the encryption.
    Salopp gesagt: Die "Dienste" möchten also den Multi-Device-Support moderner Krypto-Protokolle exploiten und dabei nicht erwischt werden. Sie möchten die Möglichkeit haben, ein neues Gerät im Namen eines Benutzers zu registrieren ohne das Benutzer eine Warnmeldung bekommt, und mit diesem Gerät alle verschlüsselten Chats mitlesen.

    (Vereinzelt waren Strafverfolgungsbehörden mit dieser Methode bereits erfolgreich, weil Kriminelle die möglichen Schutz­maßnahmen der Messenger nicht aktivierten oder Warnungen ignorierten.)

    Die Beführworter dieses Ansatzes argumentieren, dass diese Überwachungs nicht anders wäre, als der Einsatz von Krokodilklemmen bei der guten, alten Telefonie und das damit die Sicherheit der Verschlüsselung nicht generell geschwächt werden muss.
  2. Staatliches Hacking und Einsatz von Trojanern

    Da Hintertüren in der Verschlüsselung von Kommunikation zur Zeit in der EU und den USA nicht populär sind, versucht man es mehr mit staatlichen Hackerangriffen, die gesetzlich legitimiert und personell besser ausgestattet werden.
    • In Deutschland nimmt die im Nov. 2015 angekündigte Bundes-Hacker-Behörde zur Unterstützung von Geheimdiensten und Strafverfolgung beim Brechen von Verschlüsselung langsam Gestalt an. Die "Zentrale Stelle für Informationstechnik im Sicherheitsbereich" (Zitis) soll seit 2017 mit 60 Mitarbeitern einsatzbereit sein und dann schrittweise auf 400 Mitarbeiter ausgebaut werden.

      Der bis 2015 vom BKA eingesetzte "Bundestrojaner" der Firma DigiTask wurde vom CCC nach nur 11 Einsätzen enttarnt. In den Folgejahren gab es technische Probleme mit der selbst entwickelten RCIS 1.0 ("Remote Control Interception Software"), die in der Praxis unbrauchbar war. Seit Mitte 2018 ist eine Software von FinFischer für die Online-Durchsuchung und Quellen-TKÜ verfügbar, die eine brauchbare Einsatzreife erlangt haben soll. Neben dem BKA möchte auch der Verfassungs­schutz dieses Spielzeug einsetzen, beispiels­weise wenn mal wieder die Beobachtung einer "terroristischen Vereinigung" nach §129a konstruiert wurde. Das würde die Einsatz­zahlen in Zukunft deutlich nach oben treiben.

    • In den USA soll Rule 41 of the US Federal Rules of Criminal Procedure seit Dez. 2016 das staatliche Hacken von Tor- und VPN-Nutzern für das FBI massiv erleichtern, unabhägig davon, in welchem Land die Tor-Nutzer sich befinden.

      Dass das FBI den TorBrowser knacken und installieren kann, haben sie 2013 und 2015 bewiesen. Der 2015 verwendete Exploit scheint auch 2016 noch zu funktionieren. TorProject.org und die Mozilla Foundation haben sich um eine Veröffentlichung des Exploit bemüht, aber das Wissen um diese Schwachstelle wurde unter Hinweis auf die "Nationale Sicherheit" als geheim klassifiziert.

      Die Kompetenzen der NSA im Rahmen des Programms BULLRUN wurden durch die Dokumente von Snowden/Greenwald bekannt. EGOTISTICALGIRAFFE heißt das Programm, welches Methoden zum offensiven Angriff auf Tor entwickelt.

    • In Schweden darf die Polizei ab März 2020 Bundestrojaner einsetzen. In der Begründung für das Gesetz wird darauf verwiesen, das 90% der Kommunikation, für die die Polizei eine Lizenz zur Überwachung hat, verschlüsselt über Messenger wie Signal App erfolgt.

Frontdoor Diskussion

Auf dem Grünen Polizeikongress im Nov. 2019 haben Conztanze Kurz (Sprecherin des CCC) und Konstantin v. Notz (Grüne) den Vorschlag unterstützt, dass Anbieter von Messaging Diensten eine "modifizierte" Version der App bereitstellen könnten, in der die Ende-zu-Ende Verschlüsselung zugunsten der Strafverfolgung kompromittiert wurde. Diese Version könnte in Kooperation mit Google bzw. Apple auf den Smartphones der Zielpersonen verteilt werden. Diese "Frontdoor" genannte Option hätte einige Vorteile gegenüber einer "Backdoor", die die Krypto aller Messaging Apps kompromittiert, oder gegenüber Bundestrojanern, die den Schwarzmarkt für Exploits anheizen werden.
Lizenz: Public Domain