Warum sollten Geheimdienste überhaupt versuchen PGP zu entschlüsseln?

Einmal angenommen ich möchte den Mailverkehr einer anderen Person mitlesen, die ihre Nachrichten mit PGP verschlüsselt an andere Leute schickt. Wo würde ich da ansetzen? Wohl kaum bei der PGP-Verschlüsselung, sondern eher bei den schwächsten Gliedern im ganzen Mailversand. Das sind der Rechner und der Besitzer des Rechners, welcher die Mails versendet.

Wen kümmert es, ob man nun mit immensem Rechenaufwand einen Schlüssel erraten kann, wenn man die Mail unverschlüsselt frei Haus erhält? Einem Windows-Rechner ein Rootkit-Trojaner unterzuschieben, der Tasteneingaben mitloggt und den Bildschirm abfotografiert ist nun wirklich kein Problem (selbst der gefundene Bundestrojaner konnte das). Selbst ich kenne eine Sicherheitslücke (habe ich in meiner früheren Tätigkeit als Security-Admin vor einigen Jahren mal durch Zufall gefunden), mit der man inklusive Windows 8 alle Windows NT Versionen seit Windows 2000 mit höheren Rechten übernehmen kann.

Wenn man sich wie die Regierungen Zugriff auf DNServer verschaffen und providerseitig an die Internetverbindung einer auszuspionierenden Person kommt, braucht man noch nicht mal eine solche Sicherheitslücke in Windows zu kennen um einen kleinen Spion unentdeckt auf den Rechner des Opfers zu schmuggeln.

Warum sollte sich also irgendeine Regierung der Welt die Mühe machen eine PGP-verschlüsselte Mail zu entschlüsseln, wenn der Absender diese Mail doch zunächst in Klartext auf seinem Rechner tippt und der Rechner total simpel zu übernehmen ist und einem den Text frei Haus liefert? Wieviel Leute schreiben verschlüsselte Mails wohl an einem TrueCrypt-verschlüsselten Rechner, der nie das Internet sieht und transportieren erst den verschlüsselten Text mit einem USB-Stick zu einem Rechner mit Internetzugang, so wie ich das bei wichtigen Nachrichten tue? Vermutlich kaum jemand.

Und selbst dieses Vorgehen ist nicht 100%ig sicher. Erinnernt sich noch jemand, dass selbst auf den vom Internet getrennten Rechnern zur Steuerung von Zentrifugen zur Herstellung von Plutonium im Iran der Virus Stuxnet (https://de.wikipedia.org/wiki/Stuxnet) gefunden wurde? Solange irgendwas wie z.B. das BIOS eines Rechners unverschlüsselt ist oder USB-Sticks zwischen den Rechnern hin und hergetragen werden, kann man auch auf vom Internet getrennten Maschinen Spionage betreiben und das ist immer noch einfacher als PGP zu entschlüsseln.

Wieviele Leute haben wohl ihren geheimen PGP-Schlüssel auf dem Rechner liegen, der am Internet hängt und mit dem sie ihre Mails verfassen und wieviel einfacher ist es wohl diesen Rechner zu übernehmen und dafür zu sorgen, dass einem der geheime PGP-Schlüssel und zusätzlich noch die mit dem öffentlichen Schlüssel des Adressaten verschlüsselten Mails im Klartext in die Hände fallen? Mit einem einzigen übernommenen Rechner kann man so die gesamte Kommunikation zweier Kommunikationspartner mitlesen ohne jemals PGP "knacken" zu müssen.

Glaubt hier ernsthaft jemand irgendein Geheimdienst der Welt macht da den Versuch PGP per BruteForce-Angriff zu knacken? Ich würde das an deren Stelle jedenfalls nicht versuchen, solange ich auf einem anderen Weg so viel einfacher zum Ziel komme.

Der einzige Sinn, den ich darin sehe, dass die Bundesregierung ausposaunt, dass sie möglicherweise PGP-Mail entschlüsseln kann, sehe ich darin, dass dann vielleicht von vorneherein noch mehr Leute ganz auf eine Verschlüsselung ihrer Nachrichten verzichten, da es ja dann scheinbar ohnehin nichts bringt sie zu verschlüsseln und die Nachrichten dieser Leute dann noch bequemer im Netz mitzulesen sind. Netter Versuch. Bei mir werden sie aber weiterhin etwas mehr Aufwand betreiben müssen, wenn sie privaten und beruflichen Mailverkehr mitlesen wollen. Wenn man Ahnung davon hat und entsprechende Vorkehrungen trifft ist PGP mit heutigen Rechnern nämlich nicht knackbar. ;-)



1 mal bearbeitet, zuletzt am 24.05.12 21:16 durch NeverDefeated.

Benutzer wird von Ihnen ignoriert. Anzeigen

Du beschreibst das sehr schön, aber die Argumentation hinkt an ein paar Stellen:

1. Bei dem Fall, von dem wir hier reden, handelt es sich um die strategische Fernmeldeaufklärung (§ 5 G-10-Gesetz). Bei dieser geht es nicht um bereits bekannte Subjekte. Sondern hier versucht man mit Hilfe von Suchbegriffen ein möglichst weites Netz auszuwerfen und zu schauen, ob sich darin irgendwas verfängt.

Das was du beschreibst, würde erfordern, dass man schon weiß, gegen wen man vorgehen will. Das gibt es auch, ist aber in § 3 G-10-Gesetz normiert. Dort gehte es um die Beschränkungen im Einzelfall. Das hat aber mit der kleinen Anfrage, die die Grundlage der Antwort der Bundesregierung ist, nichts zu tun - denn diese bezog sich ausschließlich auf die strategische Fernmeldeaufklärung.

2. Das Gesetz gibt im Falle der strategischen Fernmeldeaufklärung die von dir beschriebene Methode nicht her. Mit Trojanern ist die strategische Aufklärung nicht zulässig. Man muss sich auch vor Augen halten, dass man dort ja erstmal nach nachrichtendienstlich verwertbaren Anhaltspunkten sucht - dazu potentiell jeden Rechner der Welt mit Trojanern zu verseuchen, um auch verschlüsselte Nachrichten nach bestimmten Begriffen durchforsten zu können, um vielleicht was zu finden, wäre wohl kaum noch angemessen (und nebenbei wohl auch kaum geheim zu halten).

Für die strategische Aufklärung käme also tatsächlich nur das harte Knacken der Verschlüsselung in Betracht - keine Quellen-TKÜ o. ä. Das ist aber halt absolut unwahrscheinlich, dass gängige Verfahren - wenn sicher betrieben - sich damit aushebeln lassen. Insbesondere muss man ja auch im Hinterkopf behalten, dass auf Grund der Masse an gescannten Nachrichten, für jede einzelne Nachricht auch nur sehr wenig Rechenzeit zur Verfügung stünde. Auch da würde man also schnell an weitere Grenzen stoßen.

Benutzer wird von Ihnen ignoriert. Anzeigen

Wie weit sich der deutsche Geheimdienst an geltendes Recht und Gesetze hält sollte jedem spätestens seit einer der "Bundestrojaner" gefunden wurde klar sein, der sich ja wohl nicht nur auf Rechnern von potenziellen Top-Terroristen fand und zudem ein paar Funktionen aufwies, die aber selbst bei einem begründeten Verdacht mal sowas von nicht erlaubt sind.

Da sich also dieser "Bundertrojaner" schon auf Rechnern quer durch die Republik befand und Daten sammelte, würde ich ihn als im Rahmen der "stategischen Fernmeldeaufklärung" eingesetzt ansehen. Macht ja auch Sinn, da es, wie Du ja schon erwähnst, eben technisch nicht möglich ist an einem Tag tausende PGP-verschüsselte Mails zu knacken. Da beisst man sich selbst mit einem Superrechner in der Regel schon an einer PGP-Mail die Zähne aus.

Mit dem Trojaner kann man die Mails noch im Klartext auf den Rechnern der Nutzer lesen und nötigenfalls sogar deren geheimen PGP-Schlüssel in Erfahrung bringen. Bequemer geht es nur, wenn alle Nutzer glauben die PGP-Verschlüsselung wäre geknackt und sie eben garnichts mehr verschlüsseln, weil sie denken, dass es sowieso nichts nützt.

Benutzer wird von Ihnen ignoriert. Anzeigen