[Politik und Gesellschaft] CIA-Affäre: Deutsche Ermittler scheitern an Laptop von Verdächtigem

Jump to last post
Markus R., ein ehemaliger Mitarbeiter des Bundesnachrichtendienstes (BND), wurde im Juli unter dem Verdacht festgenommen, für die CIA spioniert zu haben. Dabei wurde auch sein Laptop beschlagnahmt. Diesen jedoch konnten die zuständigen Behörden bislang nicht entschlüsseln. Das erklärte Generalbundesanwalt Harald Range vergangene Woche den Obleuten des NSA-Untersuchungsausschusses.

Den Medienberichten zum Thema ist nicht zu entnehmen, mit welcher Software der Laptop gesichert ist; es ist lediglich von einer "offenbar hochprofessionellen Verschlüsselung" die Rede.

Quelle:
You do not have permission to view link please Anmelden or Registrieren
 
Zum Vergrößern anklicken....
MistaKanista schrieb:
Der BND kann den doch ruhig mal ausversehen in ein Flugzeug nach Russland setzen. Die kriegen nen Ami Spion, wir die Kopie von der bald entschlüsselten Festplatte. :coffee:
Zum Vergrößern anklicken....

Das will doch bei uns überhaupt niemand. Stell dir vor, wie die USA mit ihren Freunden umgeht. Was glaubst du, was mit Deutschland passiert, wenn es kein Freund mehr der USA ist. Dann werden bald die ersten Massenvernichtungswaffen hier gefunden und ein Präventivschlag der USA wird sicher nicht auf sich warten lassen. ;)
 
@accC
Naja, auf der Achse des Bösen gibts viele Räder. :D
 
accC schrieb:
Was glaubst du, was mit Deutschland passiert, wenn es kein Freund mehr der USA ist. Dann werden bald die ersten Massenvernichtungswaffen hier gefunden und ein Präventivschlag der USA wird sicher nicht auf sich warten lassen. ;)
Zum Vergrößern anklicken....
Nein, das mit dem Finden ist Putin (Russland). Die USA würden nur behaupten, etwas gefunden zu haben, wobei sich hinterher herausstellen würde, dass dem nicht so ist und Putin gar nicht so dumm ist, wie er manchmal aussieht. ;)

Interessant wäre natürlich trotzdem, wie bzw. womit die Daten verschlüsselt wurden. Denn einerseits böte das ja quasi "amtliche" Sicherheit für die eigenen Privatsphäre - und andererseits könnte man dann vielleicht mal wieder so richtig herzerfrischend lachen. ;)
 
accC schrieb:
Das will doch bei uns überhaupt niemand. Stell dir vor, wie die USA mit ihren Freunden umgeht. Was glaubst du, was mit Deutschland passiert, wenn es kein Freund mehr der USA ist. Dann werden bald die ersten Massenvernichtungswaffen hier gefunden und ein Präventivschlag der USA wird sicher nicht auf sich warten lassen. ;)
Zum Vergrößern anklicken....

Wir sind kein Freund, wir sind das Bückstück. Wir sitzen im Keller mit einem Tennisball im Mund, während Kameras all unsere Peinlichkeiten aufzeichnen. Ab und an kommt Papa Präsident mal vorbei, gibt uns Süßigkeiten und streichelt unser demokratisches Köpfchen.

Und Altkanzler Schröder sitzt am Kellerfenster und macht das:

You do not have permission to view link please Anmelden or Registrieren
 
The_Emperor schrieb:
Mit was die NSA arbeitet weiß ich nicht, aber für deren Verhältnisse ist eine Systemverschlüsselung vermutlich genau so sicher wie für uns der Anmeldebildschirm von Windows.
Zum Vergrößern anklicken....

wie kommst du darauf? die "sicherheit" eines crypto-algorithmus ist bei hinreichend überschaubarer komplexität mathematisch zu beweisen und davon gibts ja einige.. schwachstellen gibt es ggf. in der implementierung, aber das ist alles kein hexenwerk (und im gegensatz zu betriebssystemen sind die gängigen crypto-tools nicht derart komplexität, dass backdoors übersehen werden könnten - und wenn man paranoid ist, schreibt man eben seine eigene minimal-implementierung, das schafft jeder mit mittelmäßigen programmierkenntnissen).. wenn die daten wichtig genug sind, ist jedenfalls immer eine sichere verschlüsselung möglich und da kann auch die NSA nichts anderes tun als das passwort bzw. den schlüssel anzugreifen (im gegensatz zum windows-login ;))..

allerhöchstens wäre noch denkbar, dass man deren rechenkapazität zum bruteforcen etwas unterschätzt.. ich meine, die haben ja schon damals vor gefühlt 100 jahren die GSM-verschlüsselung auf 64 (oder warens 40?) bit beschränkt, damit sie zur not rankommen - und da deren rechenpower sicher auch exponentiell mitwächst (so wie überall), könnte ich mir schon vorstellen, dass sie heutzutage einen 2048 oder 4096 bit key (vorausgesetzt das passwort besitzt wenigstens dieselbe entropie) in verhältnismäßiger zeit (wochen?) bruteforcen können, wenn es ihnen wirklich wichtig ist.. aber ohne frage ist sowas enorm teuer und wird sicher nicht bei vorwürfen wie böser raubmordkopiererei oder kinderpornos angewendet.. und von deutschen behörden schon garnicht..
 
Das war nicht so gemeint als könnten die einfach mal 'ne Systemverschlüsselung in ein zwei Stunden knacken. Damit war gemeint dass, egal was jetzt tatsächlich verwendet wird, eine Systemverschlüsselung auf den Rechner nun die minimalste Grundlage darstellen wird, falls sie in diesem Sinne wie wir sie uns vorstellen überhaupt zum Einsatz kommt.
 
@The_Emperor
Systemverschlüsselung ist eine minimalste Grundlage?
Was willst du damit aussagen?
 
naja, vielleicht haben sie auf den agenten-laptops zusätzlich noch fingerabdruck-, iris-, DNA- und stuhlproben-scanner... :D
 
Novgorod schrieb:
wie kommst du darauf? die "sicherheit" eines crypto-algorithmus ist bei hinreichend überschaubarer komplexität mathematisch zu beweisen und davon gibts ja einige..
Zum Vergrößern anklicken....
Klar, aber wie du selbst schon anmerkst:

schwachstellen gibt es ggf. in der implementierung, aber das ist alles kein hexenwerk
Zum Vergrößern anklicken....
Viel zu oft allerdings schon. Von 120 kommerziellen Crypto-Tools kannst du davon ausgehen, dass ca 100 schon erhebliche Schwächen bei der Implementierung aufweisen, so dass sie im kryptographischen Sinne unbrauchbar sind.

und im gegensatz zu betriebssystemen sind die gängigen crypto-tools nicht derart komplexität, dass backdoors übersehen werden könnten
Zum Vergrößern anklicken....
Voraussetzung wäre natürlich, dass du Einblick in den Quellcode erhältst und das ist gerade bei den kommerziellen Projekten aus verständlichen Gründen nicht (immer) gegeben. Gerade daher wäre es interessant zu wissen, welche Software zum Einsatz kam.

und wenn man paranoid ist, schreibt man eben seine eigene minimal-implementierung, das schafft jeder mit mittelmäßigen programmierkenntnissen
Zum Vergrößern anklicken....
Wenn du von der Basis ausgehen willst, müsstest du natürlich bei der Hardware anfangen und dich dann langsam zu einem Minimal-OS und anschließend zu einem Minimal-Crypto-Tool hocharbeiten. Schließlich kannst du nicht immer davon ausgehen, dass dir Hardware sauberen Zufall liefert, dass keine Soft- und/oder Hardware-Backdoors in tieferen Schichten des Systems stecken. Wenn du natürlich davon ausgehst, dass ein beliebiges Windows System auf beliebiger Hardware sicher ist und du nur noch darauf aufsetzen musst, ist es wiederum relativ trivial, fragt sich nur eben, ob du diese Annahme gerechtfertigt treffen kannst. Wobei relativ trivial nicht heißt, dass jeder Wald und Wiesen Programmierer wirklich sichere Crypto aufbauen kann. Schon kleinste Fehler können die Sicherheit deines Crypto-Systems gefährden.


TBow schrieb:
@The_Emperor
Systemverschlüsselung ist eine minimalste Grundlage?
Was willst du damit aussagen?
Zum Vergrößern anklicken....
Zu (absoluter) Sicherheit gehört schon ein bisschen mehr als das System verschlüsseln. Was bringt dir ein verschlüsseltes System, das, sobald es gestartet wurde, sämtliche Geheimnisse nach außen trägt?
 
accC schrieb:
Von 120 kommerziellen Crypto-Tools kannst du davon ausgehen, dass ca 100 schon erhebliche Schwächen bei der Implementierung aufweisen, so dass sie im kryptographischen Sinne unbrauchbar sind.
Zum Vergrößern anklicken....

gibts dazu eine statistik? ;) - zumindest teile ich nicht dieses gefühl, allein aufgrund empirischer tatsachen.. abgesehen von gesetzlich vorgeschriebenen backdoors in ami-software (darum benutze ich bitlocker nicht, auch wenn es bequemer als truecrypt ist) dürfte die große mehrheit von allem anderen recht zuverlässig funktionieren.. es ist ja schließlich nicht nur die NSA daran interessiert, schwachstellen zu finden, um sich das bruteforcen zu sparen, sondern auch eine ganze menge (anderer) böser jungs mit erheblichen ressourcen.. und nicht einmal drecks-skype hat jemand geknackt.. (und nur um allen eventualitäten vorzubeugen: das exploiten von schlecht programmierten iclouds hat nichts mit dem knacken von verschlüsselungen zu tun...)

Wenn du von der Basis ausgehen willst, müsstest du natürlich bei der Hardware anfangen und dich dann langsam zu einem Minimal-OS und anschließend zu einem Minimal-Crypto-Tool hocharbeiten.
Zum Vergrößern anklicken....

man kann es beliebig weit treiben, aber als faustregel reicht es für mich, wenn ich darauf vertrauen kann, dass der raum, in dem die daten tatsächlich verschlüsselt werden, nicht "physisch" kompromittiert ist.. den rechner vom netz zu trennen ist einfach, aber "die" hätten dir auch nano-wanzen auf die kleidung streuen können und dein passwort wäre damit bekannt :D.. wenn man diese art von paranoia ausschließen kann, dann kann man sich auch mit überschaubaren mitteln eine "sichere" softwareumgebung schaffen, um seine eigene implementierung umzusetzen und die daten zu verschlüsseln (rechner vom netz trennen und hinterher verbrennen - ganz einfach :D)..

Schon kleinste Fehler können die Sicherheit deines Crypto-Systems gefährden.
Zum Vergrößern anklicken....

klar - ebenso führen schon kleinste fehler (z.b. klammer vergessen) dazu, dass es garnicht funktioniert ;).. je nach dem wie wertvoll deine daten sind, hat man bei der implementierung eben eine gewisse verantwortung (die haben piloten auch), es bedeutet aber nicht, dass es extrem kompliziert ist.. insbesondere kann einer alleine den kompletten code überblicken und ist nicht gezwungen, sich auf die arbeit anderer zu verlassen.. ja, nicht jeder ist ein programmierer, aber wenn's einem so wichtig ist und man truecrypt nicht traut, dann lernt man's eben ;)

Zu (absoluter) Sicherheit gehört schon ein bisschen mehr als das System verschlüsseln.
Zum Vergrößern anklicken....

die gibt es eben nicht - es ist immer möglich, dass du permanent überwacht wirst und "sie" deshalb alle deine passwörter und überhaupt die daten vor der verschlüsselung bereits haben.. die frage ist nur, ob "sie" sich den aufwand wegen dir und deiner "urlaubsvideos" wirklich machen wollen...
 
The_Emperor schrieb:
Dass garantiert viel bessere, komplexere passive Sicherheitsvorkehrungen in Verwendung sind.
Zum Vergrößern anklicken....
Und was soll das sein?
Im Rechtsstaat Deutschland ist eine Vollverschlüsselung das enfachste und zugleich eines der besten Mittel. Ist alles verschlüsselt und der Verdächtige darf zu den Vorwürfen schweigen, dann ist der Verdächtige fein raus. Bisschen besser wäre in der Tat ein verstecktes verschlüsseltes Betriebssystem mit einem äußeren Ködersystem, so wie es Truecrypt zB anbietet. Wenn du aber bei der Vollverschlüsselung mit möglichem verstecktem Beteriebssystem von "minimalster Grundlage" sprichst, dann erklär uns doch effektivere im Alltagsgebrauch viel bessere, komplexere, passive Sicherheitsvorkehrungen. Bedenke aber, dass zB modifizierte Hardware gegen Abstrahlung vom kompromittierender Strahlung selbst wieder ein verräterisches Indiz darstellt.


accC schrieb:
Zu (absoluter) Sicherheit gehört schon ein bisschen mehr als das System verschlüsseln. Was bringt dir ein verschlüsseltes System, das, sobald es gestartet wurde, sämtliche Geheimnisse nach außen trägt?
Zum Vergrößern anklicken....
Welche sämtlichen Geheimnisse werden denn nach dem Start nach außen getragen?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben