Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

E-Mail-Verschlüsselung: Forscher knacken Passwort über Computergeräusche

Laptop mit Richtmikrofon: Der Aufbau führt aus vier Metern Entfernung akustische Kryptoanalysen durch Zur Großansicht
Genkin/ Shamir/ Tromer

Laptop mit Richtmikrofon: Der Aufbau führt aus vier Metern Entfernung akustische Kryptoanalysen durch

Passwörter knacken aus vier Metern Entfernung: Nur mit Hilfe von kaum hörbaren Geräuschen, die Computer von sich geben, haben israelische Forscher eine als ziemlich sicher geltende Verschlüsselung ausgehebelt.

Computer senden während des Betriebs eine Vielzahl von Geräuschen aus. Der oft nervige Lüfter und das ratternde DVD-Laufwerk sind nur ein kleiner Teil der akustischen Signale, die jeder Rechner in seine Umgebung ausstrahlt. Die feinen, kaum hörbaren und für Menschen nicht identifizierbaren Geräusche der Computerchips können sogar die laufenden Programme enthüllen.

Mit einem Mikrofon konnten israelische Informatiker nun sogar Passwörter für die E-Mail-Verschlüsselung durch eine sogenannte akustische Kryptoanalyse berechnen. Denn jede Rechenoperation und jede Software erzeugen typische Muster, die sich auswerten lassen.

Die Informatiker Daniel Genkin, Adi Shamir und Eran Tromer von der Tel Aviv University in Israel konnten aus den Geräuschen der laufenenden Verschlüsselungssoftware GnuPG, einer freien Version des bekannten PGP-Verschlüsselungsprogramms, den privaten Schlüssel extrahieren. Dieser wird eingesetzt, um in dem Verfahren eine für einen bestimmten Empfänger gedachte Nachricht zu dekodieren. Die Verschlüsselung der Nachricht läuft hingegen über einen öffentlichen Schlüssel. So kann zwar jeder Nachrichten verschlüsseln und an den Empfänger senden, aber nur dieser ist in der Lage, sie zu lesen.

Die Forscher um Shamir, den Miterfinder und -namensgeber des kryptografischen RSA-Verfahrens, haben für ein jüngst veröffentlichtes Papier gezeigt, dass sie innerhalb einer Stunde einen solchen Schlüssel herausfinden und damit knacken konnten. Dafür versandten sie Nachrichten an einen Versuchslaptop. Der Inhalt dieser Nachrichten war ihnen bekannt. Sobald das E-Mail-Programm des Empfängerrechners diese Nachrichten entschlüsselte, gaben die dabei erzeugten Töne Aufschluss über den Schlüssel selbst. Mit immer neuen und abgeänderten Nachrichten ließ sich Bit für Bit herausfinden, mit was für einem privaten Schlüssel die Nachrichten in einen lesbaren Text zurückverwandelt wurden.

Mobiltelefon als Wanze kann privaten Schlüssel verraten

"Ein einfaches Mobiltelefon neben dem Rechner könnte genutzt werden, um solche Attacken auszuführen", schreiben die Forscher. Denn über platzierte Wanzen ließen sich aus der Ferne Tonanalysen durchführen. Nur das Audiosignal wird dafür benötigt. So zeigten die Informatiker auch, dass ein Richtmikrofon und eine aktenkoffergroße Messstation aus vier Metern Entfernung geeignet ist, um die Geräusche des Rechners mit ausreichender Qualität aufzuzeichnen. Die Attacke sei zudem bei mehreren verschiedenen Rechnermodellen erfolgreich gewesen.

Auch die elektrische Spannung, unter der ein Laptop-Gehäuse steht, ist dafür nutzbar, warnen die Forscher. Durch Berührung des Computers oder eine zusätzliche Leitung am USB- oder Bildschirm-Kabel sind Spannungsschwankungen einfach übertragbar und leicht auszuwerten. Sie lassen sich ähnlich einsetzen, um den Schlüssel Stück für Stück zu rekonstruieren.

Um diese Ausspähmethoden für die als sicher geltende E-Mail-Verschlüsselung PGP zu unterbinden, haben die Forscher die Sicherheitslücke erst zusammen mit einem Update der Software veröffentlicht, mit dem das Problem beseitigt werden soll. Nutzer des Verschlüsselungsprogramm GnuPG in den Versionen 1.x sollten ihre Programme umgehend aktualisieren. Vor allem, falls sie davon ausgehen müssen, dass die Tonsignale ihrer Rechner leicht aufzuzeichnen sind. Nutzer der modernen Varianten der Software sind nicht von dem Problem betroffen.

Dem Autor auf Twitter folgen:

kpg

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 107 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. .
geisterfahrerii 20.12.2013
Was hat sich die Computer Gemeinde schon über diese Ente amüsiert. Dass das nun auch noch im Spiegel auftaucht wird der Schenkelklopfer überhaupt werden. Danke your made my day
2. Quatsch
Progressor 20.12.2013
Die Leute glauben nicht mehr an den Weihnachtsmann, also müssen so Sachen her. Da lachen sich einige ins Fäustchen, ein gelungener Gag. 1. Ein PC gibt keine byte- oder gar bitspezifische Töne von sich. 2. Falls er das doch täte, wären die in einem so hochfrequenten Bereich, dass dies durch normale Aufnahmegeräte nicht zu erfassen wäre. 3. Die Arbeitsgeräusche des PCs über Lüfter, Festplatte, Netzteil, Grafikkarte überlagern diese möglichen Geräusche um den Faktor 1000. Da ist nichts mehr herauszufiltern.
3. Backgroundlink
hpop 20.12.2013
Zitat von sysopGenkin/ Shamir/ Tromer Passwörter knacken aus vier Metern Entfernung: Nur mit Hilfe von kaum hörbaren Geräuschen, die Computer von sich geben, haben israelische Forscher eine als ziemlich sicher geltende Verschlüsselung ausgehebelt. http://www.spiegel.de/netzwelt/apps/verschluesselung-forscher-knacken-passwort-ueber-computergeraeusche-a-939996.html
Wer ein gutes write-up lesen will: http://www.cs.tau.ac.il/~tromer/acoustic/ Die akustische side channel attacke ist bereits seit 2004 in der Diskussion, das Verfahren wurde nur verbessert.
4. Etwas auffällig?
ahs1200 20.12.2013
Also wenn jemand vier Meter von mir entfernt da so einen Koffer aufbaut nebst Richtmikro, dann kriege ich das mit ein Bisschen Glück mit.
5. Selten so gelacht.....
bytemare 20.12.2013
was da alles für Idealzustände eintreten müssen, um so etwas herauszufinden ist schon putzig. Alles nur im Labor machbar. In der Praxis kaum umsetzbar. Lachhaft.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH





Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: