Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

IT-Sicherheitskonferenz: Internet-Verschlüsselung unter Beschuss

Aus Las Vegas berichtet

Noch ist der Standard für sichere Datenübertragung im Web nicht geknackt worden. Doch auf der IT-Konferenz Black Hat zeigen Forscher, wie sie unter Umständen doch an Geheimnisse kommen, die damit gesichert werden - und warnen vor einer "Cryptopocalypse".

Teilnehmer der Black Hat 2013: Angriff auf das TLS-Protokoll Zur Großansicht
REUTERS

Teilnehmer der Black Hat 2013: Angriff auf das TLS-Protokoll

Zuerst die gute Nachricht: Noch lassen sich Internetverbindungen so verschlüsseln, dass sie sich praktisch nicht knacken lassen. Nutzer erkennen das an dem "https" in der Adresszeile des Browsers. Wenn dieses Kürzel erscheint, werden die übertragenen Daten vom TLS-Protokoll (Transport Layer Security) geschützt. Dabei wird ein öffentlicher Schlüssel genutzt, um die Daten zu verschlüsseln, und ein privater, um sie wieder lesbar zu machen. Der mathematische Aufwand, so eine asymmetrische Verschlüsselung zu knacken, ist so hoch, dass Computer dafür viele Jahren brauchen.

Doch auf der IT-Sicherheitskonferenz Black Hat haben mehrere Forscher gezeigt, wie sich das TLS-Protokoll trotz aufwendiger Verschlüsselung unter Umständen angreifen lässt. Von den versammelten Hackern wurden sie dafür gefeiert wie Rockstars. Die Beispiele zeigen, wie komplex die unverzichtbare Technik geworden ist.

  • Zur Musik aus "Mission Impossible" führten Angelo Prado, Neal Harris und Yoel Gluck einen Angriff namens Breach vor. Dazu nutzten sie die Kompression von Webseiten aus. Sie schieben dem Nutzer Hunderte Anfragen an einen Webserver unter und schauen, wie sich die Größe der verschlüsselten Seite ändert. So können sie unter bestimmten Umständen Daten erraten, ohne die Verschlüsselung an sich zu knacken. Bei ihrer Präsentation konnten sie auf diese Weise einen Code innerhalb einer knappen Minute aus einer verschlüsselten Seite extrahieren. Das Department of Homeland Security warnt Website-Betreiber vor dem Problem, für dass es derzeit keine einfache Lösung gebe.
  • Eine Erweiterung des TLS-Protokolls sorgt dafür, dass sich ein Webserver eine einmal eingerichtete verschlüsselte Verbindung merken kann und sie nicht jedes Mal von neuem aufbauen muss. Der in Großbritannien arbeitende Sicherheitsexperte Florent Daignière wies auf Mängel bei der technischen Umsetzung dieser sogenannten Session Tickets hin. Standardmäßig würden diese Tickets zu lange gespeichert. Er präsentierte ein Tool, mit dem er derart verschlüsselte Daten nachträglich entschlüsseln konnte.
  • Ben Smyth und Alfredo Pironti haben einen Angriff entwickelt, bei dem sie sich in die Verbindung zwischen Nutzer und Server einklinken, etwa über ein manipuliertes W-Lan. Meldet sich ein Nutzer von einem TLS-gesicherten Webdienst wie Hotmail oder Gmail ab, leiten sie den Logout-Befehl nicht an den Server weiter, schicken dem Nutzer aber eine gefälschte Logout-Bestätigung. Bekommen sie danach Zugriff auf den Computer des Opfers, können sie den Webdienst wieder aufrufen und weiternutzen. Die beiden Forscher vom französischen Institut National de Recherche en Informatique et en Automatique wollen so auch Helios-Wahlcomputer hereingelegt haben.

Die gezeigten Angriffe zielen auf konkrete Umsetzungen der Verschlüsselung, nicht auf das Prinzip als solches. Was aber, wenn in der Mathematik ein Durchbruch erzielt wird - und die asymmetrische Verschlüsselung sich plötzlich in ein paar Minuten knacken lässt? Die IT-Experten Alex Stamos, Tom Ritter, Thomas Ptacek und Javed Samuel forderten die anwesenden Industrievertreter und Hacker zur Wachsamkeit auf. Sollte es künftig bessere Lösungen geben, die zum Knacken der Codes nötigen Rechenschritte abzuarbeiten, müsste sofort alles umgestellt werden - die "Cryptopocalypse".

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 28 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. bitte keine falschen Infos verbreiten... es gibt keine
sok1950 03.08.2013
Elektronisch werden private und öffentliche Schlüssel per elektronischer Zertifikate übermittelt und gespeichert. Die öffentlichen und(!) privaten Schlüssel (bzw. die Zertifikate mit diesen Schlüsseln) sind in jedem Fall auf den entsprechenden Computern gespeichert. Die zur Datenübertragung genutzten Programme müssen auf diese Schlüssel (automatisiert) zugreifen können, um ver- und entschlüsseln zu können. Aber nicht nur die für die Datenübertragung notwendigen Programme haben Zugriff auf dieses Schlüssel. Auch andere Programme können auf diese Schlüssel zugreifen. Es ist ein leichtes, z.B. den Windows-Zertifikatespeicher auszulesen, alle(!) Zertifikate mit privaten Schlüsseln auszulesen und diese unbemerkt zu versenden. (Dies gilt im übrigen auch für Firefox und Co. bzw. andere Betriebssystem - die dortigen Quellcodes, und damit auch die Zugriffe zur Zertifikatsverwaltung sind offen zugänglich) Es mag richtig sein, dass die https-Verbindung sicher ist. Dies ist aber dann nicht der Fall, wenn die privaten Schlüssel Dritten bekannt sind. ...und alles was im Hauptspeicher passiert, (auch die Ent- und Verschlüsselung und die dafür benutzten Schlüssel) sind dem Betriebssystem bekannt. Quizfrage: Was macht Windows wenn ein privater Schlüssel importiert/genutzt wird? Antwort: Nach Hause telefonieren....
2. Und das Ganze geht noch einfacher
u.loose 03.08.2013
wenn eine US Firma von einem Geheimgericht unter Androhung einer 150 jährigen Gefängnisstrafe verdonnert wird, den Schlüssel raus zu rücken... Oder der Server wird gleich vom NSA selbst betrieben... Man hat sich weltweit in eine IT-Abhängigkeit begeben - das könnte sich für viele amerikanische Firmen noch als echtes Problem darstellen. Der User kann sich dann allerdings nur wie bei der Wahl zwischen Pest un Cholera entscheiden: Liest der BND bei einer deutschen Webseite mit und transferiert die "Erkenntnisse" an die USA, oder leiste der NSA mit und der BND bekommt ein paar Brocken ab.
3. Ganz toll...
Kompromiss 03.08.2013
Schön das es Verschlüsselung gibt. Schade nur, dass es anscheinend Hintertüren in Betriebssystemen gibt, die einen direkten Zugang zu den Schlüsseln ermöglichen. Zumindest für Windows scheint dies erwiesen zu sein. Würde mich nicht wundern, wenn dies bei anderen Produkten aus USA, China, Russland, .... ebenso der Fall wäre. Hier sind Gesetze gefordert, die sowas verbieten und auch die in Europa sitzenden Tochtergesellschaften von Firmen die Hintertüren einbauen oder "vergessen" zu schließen, in Haftung zu nehmen.
4. Scheindebatte
Archimedes_da_Siracusa 03.08.2013
Diskussionen um die Sicherheit der Kryptographie lenken vom eigentlichen Problem ab, den Sicherheitslücken. Sowohl Hacker als auch Dienste haben Datenbanken voll von Sicherheitslücken für Standardsysteme, wie zum Beispiel Windows PCs. 99% der Nutzer von Spiegel-Online können innerhalb von 5 Minuten gehackt werden und zwar ohne dass sie dazu beitragen müssen.
5.
mr.ious 03.08.2013
Zitat von sysopREUTERSNoch ist der Standard für sichere Datenübertragung im Web nicht geknackt worden. Doch auf der IT-Konferenz Black Hat zeigen Forscher, wie sie unter Umständen doch an Geheimnisse kommen, die damit gesichert werden - und warnen vor einer "Cryptopocalypse". http://www.spiegel.de/netzwelt/web/black-hat-2013-https-verschluesselung-unter-beschuss-a-914481.html
Tja, da kann man nur hoffen das die Leute die Paarship und neu.de nutzten, bisher auch immer auf https setzten. Sind ja "nur die Besten" die da vermittelt werden, drum hat die wohl auch noch niemand erwähnt. ;) Da fält mir auch dieser Satz ein, der im meist kommentierten Artikel zum Thema gerade auf ZEIT ONLINE zu lesen ist : ""Er lügt", sagte der Abgeordnete Mike Rogers damals. " Mit "Er" ist Snowden gemeint, und der scheint, wenn auch nicht so einfach darstellbar, genau das zu tun. Sicher ist "die Lüge" oder "lügen" nicht so leicht definierbar wie das allseits vorrausgestzt wird. Es ist sogar ziemlich schwierig zu definieren und vor Gericht gilt das weglassen von Erinnertem auch als Lüge. "Der Vorsatz macht die Lüge" ich denke auf das kann man sich auch einigen wenn man seinen Kindern was harmloses vom Osterhasen erzählt. Drum finde ich persönlich, das so ein "Geheimdienstmensch" wie Snowden, der ja da angeblich nicht als Akten schleppende Hilfskraft tätig gewesen sein soll, wo er eben war, er durchaus lügt. Das sollte man vielleicht auch dem Autor des Artikels sagen, der das zwar offensichtlich genau so mit Vorsatz unter der Überschrift schreibt die was von facebook zum Inhalt hat, man da natürlich auch mitlesen kann wenn man nicht mal die E-Mail-Adresse gehabt hätte, wie die Bezugnahme der "Geheimdokumente" die https gar nicht erwähnen. Snowden-Enthüllungen: NSA liest auch Facebook-Chats mit | ZEIT ONLINE (http://www.zeit.de/digital/datenschutz/2013-07/xkeyscore-snowden-folien) Toll. Server-Client funktioniert wie eh und je. Wirklich tolle Geheimdienstinfos. ;)
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: