PGP und SSH gebrochen?
Seltsame Meldung auf Golem, laut einer Antwort der Bundesregierung können man in gewissem Maße PGP-Verschlüsselungen und SSH-Verbindungen mitlesen.
Die Sache ist ziemlich vage und sicherlich („stille Post”) durch mindestens drei Leute durchgegangen, die sie nicht richtig verstanden und leicht verändert weitergegeben haben.
Man könnte das beispielsweise auch so auslegen, daß man sehr kurze Schlüssel brechen kann. Klar, einen RSA mit 32 Bit bricht sogar mein Stromspar-PC hier.
Man könnte es auch so verstehen, daß sie nicht das Verfahren an sich brechen, sondern spyware haben, die die Schlüssel einsammelt und die Paßwörter dazu abfängt.
Oder vielleicht schaffen sie es eben doch, größere Schlüssel als gedacht tatsächlich zu brechen.
Oder sie bluffen einfach.
Hmh.
11 Kommentare (RSS-Feed)
„tippen” ist da herrlich doppeldeutig 😉
Ein Blick auf die Original-Antwort erübrigt wohl jeden Kommentar: https://p.twimg.com/Atpsap6CEAAMIMJ.png:large
@Jens Kubieziel: Eben nicht. Das ist ja ein Ausschnitt aus der im Golem-Artikel verlinkten Antwort. Die Formulierung kann sehr vieles heißen. Es kann heißen, daß sie Brute Force können, es kann heißen, daß sie eine Schwachstelle gefunden habe, es kann heißen, daß sie Schlüssel klauen, es kann heißen, daß sie es für kurze Schlüssel können. Es heißt alles und nichts.
Ziemlich sicher FUD.
Diese eine RAF-Terroristin haben sie ja damals hoppsgenommen, nachdem sie sich in Online-Foren erkundigt hat, wie das mit der Verschlüsselung funktioniert. Vielleicht will man hier auch nur ein paar Leute aufscheuchen und gucken, wo es wichtige Informationen gibt … Oder man will Leute dazu bringen, auf diese umständliche Verschlüsselung gleich ganz zu verzichten, wenn sie doch eh nichts bringt.
Das heißt also vermutlich “Wir dürfen es aus Geheimschutzgründen eh nicht so genau sagen, also tun wir einfach so, als ob eh niemand vor uns sicher ist.”
golem hat nachgelegt:
http://www.golem.de/news/pgp-vs-geheimdienste-pgp-ist-weiterhin-sicher-1205-92043.html
Sie behaupten nur, dass sie in der Lage sind, die Kommunikation zumindest teilweise auszuwerten. Das heißt keineswegs, dass auch wirklich die Kryptographie dahinter gebrochen ist. Bei verschlüsselten Mails kann man beispielsweise auswerten, wer mit wem kommuniziert. Bei PGP kann man auch den Betreff der Nachricht auslesen, da dieser nicht verschlüsselt ist.
Bei SSH kann man zumindest die Version der verwendeten Client- und Serversoftware sowie die IP-Adressen von Client und Server auswerten. Anhand des Trafficverlaufs lässt sich auch erkennen, ob es sich um einen Datentransfer oder eine interaktive Shell handelt.
Ein Brute-Force Angriff auf das Passwort ist bei PGP nur möglich, wenn man entweder symmetrische Verschlüsselung verwendet oder der Angreifer bereits Zugang zu der Datei mit dem verschlüsselten Key hat.
Hmm, irgendwas war da doch mal vor einer Weile. Ich bin mir nicht mehr sicher was genau von der Schwachstelle betroffen war, ich glaube SSL, aber da hat eine Truppe von Studenten in großem Stil Schlüssel untersucht und festgestellt, dass enorm viele davon einfach zu knacken sind, weil wohl keine ordentlichen Zufallsgeneratoren verwendet wurden.
Auf irgendwas in der Richtung könnte es auch hianuslaufen. Aber das einer unserer Geheimdienste sowas geknackt haben soll…
Ne, da hätte das blinde huhn aber ein verdammt dickes Korn gefunden.
ich sach nur:
Symantec hat kommerzielle PGP-Implementierungen im Angebot.
“Es kann alles oder nichts bedeuten” 🙂 Genau.
Immer wenn irgendso ne Meldung kommt und es ist so ne Antivir Verkaufsstelle im Spiel, werd ich das Gefühl nicht los, da will jemand sein Geschäft ankurbeln. Ich will denen nicht von vornerein was unterstellen, aber deren Geschäft ist das Spiel mit der Angst.
“… spyware haben, die die Schlüssel einsammelt und die Paßwörter dazu abfängt.”
würde ich jetzt mal tippen.