Hadmut Danisch

Ansichten eines Informatikers

Steganographie

Hadmut
25.7.2020 23:43

Leser fragen – Danisch schüttelt mit dem Kopf.

Zu den Artikeln über die Kommunikationsfilter fragt ein Leser:

Hallo Herr Danisch,

könnte Steganographie eine Lösung sein? Können Sie gute technische Einführungen zu diesem Thema empfehlen? Es kann auch sehr mathematisch sein, da bin ich nicht so zimperlich.

Nein.

Aus mehreren Gründen.

  • Steganographie ist eigentlich gar keine saubere Methode ist, sondern ein dirty Workaround. Das kann man mal im kleinen Rahmen machen, aber für die Art der Massenkommunkation, die es hier zu retten gilt, gilt das nicht. Man braucht hier Methoden, die robust, laientauglich und massentauglich sind, und das ist Steganographie nicht nur nicht, sie wäre auch keine Steganographie, wenn sie diese Eigenschaften hätte.
  • Steganographie heißt, Daten in anderen Daten von größerem Umfang zu verstecken oder sie so zu übertragen, dass man gar nicht merkt, dass Daten übertragen werden.

    Ersteres geht in Fällen wie den hier verlangten nicht, weil Videokonferenzen usw. schon die Bandbreite vieler Internetanschlüsse auslasten, man also nicht noch was größeres reinpacken kann, in dem man es verstecken könnte.

    Außerdem ist eine Videositzung so datenintensiv, dass das dann schon auffallen würde.

    Letzteres geht nicht, sofern man über die Dienstleistungen Dritter überträgt. Der merkt ja, was er überträgt.

    Man könnte sich durchaus vorstellen, irgendein belangloses Videogebrabbel zu senden, Blumen beim Wachsen, Liveberichterstattung aus dem Ameisenhaufen, Pornos oder meinetwegen auch leere Stühle nach dem Motto „Kamera vergessen auszuschalten” und im Rauschen dann ein PDF oder einen Tonkanal zu verstecken. Aber das fällt nicht nur auf, das stößt auch das Problem, dass Videoströme bei der Übertragung oft umkodiert werden.

  • Steganographie ist dann eine Methode, wenn sich Sender und Empfänger vertraulich über die Methode einigen können. So von der Taxonomie her gehört Steganographie eigentlich zu den Methoden Security by Obscurity, die schon dann anfällig sind, wenn das Prinzip bekannt wird. Steganographie passt nicht so richtig gut unter Kerckhoffs’ Prinzip.

    Wenn man aber, wie bei solchen Konferenzvideos, Informationen an eine offene, fremde Empfängergruppe übertragen will, kann das aus Prinzip nicht funktionieren, weil sich der Angreifer (Staat/Zensor) ja einfach als Teilnehmer anmelden kann und dann erfährt, wie es geht.

    Es ist immer schwierig, gesichert zu übertragen, wenn man befugten Empfänger und Angreifer nicht auseinanderhalten kann. (War als Problemstellungsanalyse Teil meiner Dissertation.)

  • Die Erfahrung aus der DDR mit der Stasi zeigt, dass immer irgendein IM unter den Empfängern ist, der die Methode verpetzt.
  • Das sind so Themen, für die man sehr schnell abgesägt werden kann. Anforderungen an das Verstecken von Informationen und wie man es anstellt, dass der Angreifer aus informationstheoretischen Gründen nicht erkennen und nachweisen kann, ob und dass man verschlüsselte Daten überträgt, also genau die Abwehr solcher Staatlicher Kommunikationsüberwachung, stand in Kapitel 5 meiner Dissertation, für das man mich 1998 plattgemacht hat.

    Ratet, was sie heute mit Leuten machen, die sowas entwickeln.

    Heute ist das in der derzeitigen politischen Lage alles noch viel heftiger und brenzliger, Terror und so weiter. Seit 9/11 ist das alles noch deutlich verschärft gegenüber der Lage zu dem Zeitpunkt, in dem ich das damals geschrieben habe (1994-1998). Heute noch viel mehr. Sie wollen ja schon normale Kryptographie nicht erlauben.

    Ich hatte das damals anhand von Newsgroup-Artikeln im Usenet als Beispiel beschrieben, wie man da kommunizieren kann, ohne dass es jemand erkennen und nachweisen kann. Würde man heute noch Methoden in brauchbarer Software publizieren, die ernstlich und praktikabel Information versteckt in Social Media transportieren kann, so dass sie beispielsweise in einem Youtube-Video oder Twitter-Tweet-Video oder irgendeinem Amateuerporno überleben und von jedem unauffällig abgerufen werden kann, hätte man inzwischen gute Chancen, dafür richtig umgelegt zu werden.

  • Ich seh’s auch nicht ein.

    Es kann nicht angehen, dass man sich mit solchen Methoden noch Kommunikationswege verschaffen muss.

    Meinungs- und Kommunikationsfreiheit heißt, dass man so einen Scheiß gar nicht erst einführt und solche Methoden gar nicht erst braucht. Man sollte auch keine Diktatur fördern, indem man sich freiwillig in den Untergrund begibt.

    Das Problem sind die Parteien, die sowas wollen, und die Wähler, die sowas wählen.

    Kryptographie ist immer die Kommunikation durch Feindesland, und wenn man sich das eigene Land zum Feindesland baut, indem man solche Parteien wählt, hat man ganz andere Probleme. Dann braucht man sich mit solchen komplizierten und gefährlichen Dingen auch nicht mehr abzugeben.

  • Deshalb kann man dazu auch kein Buch empfehlen.

    Weil man kein Buch über Steganographie schreiben kann. Also, man kann schon. Aber dann ist es nicht mehr so wirklich Steganographie.

    Denn gäbe es ein Buch, könnte das ja jeder kaufen und lesen, und dann wäre es ziemlich wertlos, weil jedem bekannt. Der Grund, warum man Bücher über Kryptographie im Allgemeinen schreiben kann, ist, dass die inzwischen alle nach dem Kerckhoffs’schen Prinzip gebaut sind und man den Mechanismus deshalb frei publizieren kann. Das gilt für Steganographie aber nicht (oder nur eingeschränkt). Man kann zwar auch Steganographie so bauen, dass ein Angreifer sie ohne Kenntnis eine Schlüssels nicht erkennen oder lesen kann – stören oder ausfiltern kann er sie schon. Und genau das war ja hier das Problem.

  • Mal nur so rein hypothetisch und nur zum Zweck des Disputs theoretisch angenommen, ich wüsste, wie man sowas macht.

    Glaubt Ihr im Ernst, ich würde das hier im Blog noch frei beschreiben oder einem Fremden erzählen, der bei mir fragt?