NSA knackt systematisch Verschlüsselung im Internet

[accC]

Hier hat sich also die Diskussion versteckt.
Im Newsbereich gabs dazu ja schon einen Thread, vielleicht sollte man die irgendwie zusammenlegen.
Hatte gestern nur den aus dem Newsbereich gesehen.

@Kugelfisch

Insofern gehe ich davon aus, dass nicht die Kryptografie, sondern die X.509-PKI angegriffen wird und Man-in-the-Middle-Angriffe gefahren werden.

Du gehst also davon aus, dass es korrupte Zertifizierungsstellen sind?
Denkbar wäre ja auch noch, dass Unternehmen bewusst oder unbedwusst, freiwillig oder unfreiwillig ihre private keys heraus rücken (müssen), oder? Derartige Fälle sind ja doch auch hin und wieder bekannt geworden.

 

[Mr_J]

Wenn ich mir die möglichen Exploits bei X.509 anschauen dann sieht insbesondere der Punkt "Colliding Certificates" für mich relativ kritisch aus, da man dabei ja ein Zertifikat mit gültiger Signatur aber einem,anderen Public Key erzeugen kann.

MfG
Mr. J

 

[OT33]

In her witness statement submitted to the British court on Friday, Detective Superintendent Caroline Goode, who said she was in charge of Scotland Yard's Snowden-related investigation, said that among materials officials had seized from Miranda while detaining him was an "external hard drive" containing data encrypted by a system called "True Crypt," which Goode said "renders the material extremely difficult to access."

Goode said the hard drive contained around 60 gigabytes of data, "of which only 20 have been accessed to date." She said that she had been advised that the hard drive contains "approximately 58,000 UK documents which are highly classified in nature, to the highest level."

Goode said the process to decode the material was complex and that "so far only 75 documents have been reconstructed since the property was initially received."

http://www.reuters.com/article/2013/08/30/us-usa-security-snowden-nytimes-idUSBRE97T0RC20130830

via blog.fefe.de

Selbst ich mit meiner rudimentäre Ahnung dazu merke, dass das nicht schlüssig ist. Fefe kommt auch zu dem Schluss.

 

[KippaKong]

@Mr_J:
Die Schwachstelle haben meines Wissens die meisten CAs damals auch erkannt. Problem war ja das die Zertifikate mit MD5-RSA-Hashes signiert wurden.
Inzwischen wird für die Signatur SHA-1 mit RSA als Algorithmus verwendet.
Ich hab jetzt auf die Schnelle leider keinen Link gefunden, aber das war im 2007/2008 ein Thema bei den CAs.

 

[Kugelfisch]

Hier hat sich also die Diskussion versteckt.
Im Newsbereich gabs dazu ja schon einen Thread, vielleicht sollte man die irgendwie zusammenlegen.
Hatte gestern nur den aus dem Newsbereich gesehen.

Stimmt, das war ungünstig. Nachträglich zusammenlegen kann man die Threads allerdings schlecht, daher habe ich https://ngb.to/threads/2528-SSL-möglicherweise-nicht-mehr-sicher mit Verweis auf diesen Thread geschlossen, da sich in diesem Thread mehr technische Informationen finden.

Du gehst also davon aus, dass es korrupte Zertifizierungsstellen sind?

Entweder korrupte CAs (was mir angesichts der vielen CAs, welchen moderne Browser standardmässig vertrauen, nicht unwahrscheinlich scheint), oder die Kompromittierung privater Schlüssel zumindest grösserer Websites - das scheint mir wesentlich wahrscheinlicher als ein Angriff auf die Kryptografie an sich.

Weitere bekannte, u.a. auch von Bruce Schneier als zumindest nicht undenkbar bezeichnete Spekulationen umfassen Angriffe auf oder Backdoors in bestimmen Implementierungen oder einen realistischen Angriff auf RC4 - siehe etwa https://www.schneier.com/blog/archives/2013/09/the_nsa_is_brea.html.

Wenn ich mir die möglichen Exploits bei X.509 anschauen dann sieht insbesondere der Punkt "Colliding Certificates" für mich relativ kritisch aus, da man dabei ja ein Zertifikat mit gültiger Signatur aber einem,anderen Public Key erzeugen kann.

Das ist allerdings nur durch einen Kollisionsangriff auf den verwendeten Hash-Algorithmus möglich. Entsprechende Schwachstellen waren in MD5 seit 2005 bekannt, es dauerte allerdings bis nach 2008, bis zumindest keine neuen Zertifikate für MD5-basierte CSRs mehr ausgestellt wurden. Denkbar wäre natürlich, dass die NSA einen praktikablen Kollisionsangriff auf einen anderen, noch verwendeten Hash-Algorithmus gefunden hat, das scheint mir jedoch eher unwahrscheinlich, zumal der Weg über die Kompromittierung einer oder mehrer CAs weniger auffällig und wohl für staatliche Stellen mit entsprechenden Rechten auch einfacher ist.

 

[Mr_J]

Die Frage ist dann allerdings wie man mit potentiell korrupten CAs umgeht? Vertraut man in Zukunft nur noch bestimmt CAs die z.B. in Deutschland liegen, bei denen es der NSA deutlich schwieriger fallen dürfte eine Kooperation zu erzwingen?

MfG
Mr. J

 

[Kugelfisch]

Das wird clientseitig nicht umsetzbar sein, da man dann bei den Websites, welche solche Zertifikate einsetzen, keine Möglichkeit mehr hätte, die Authentizität zu überprüfen. Auch muss man sich fragen, was man im Zweifelsfall gegen einen MitM-Angriff tut - selbst wenn man diesen erkennen könnte, hat man bloss die Wahl, die Verbindung abzubrechen (und den Dienst somit nicht zu nutzen) oder die Verbindung dennoch aufzubauen. Sollte tatsächlich jemand im grossen Stil (und nicht nur gezielt) MitM-Angriffe an grösseren Knotenpunkten oder gar IXes fahren würde das Ablehnen von dessen Zertifikaten dazu führen, dass man keine SSL/TLS-Sessions mehr aufbauen kann. Insofern sehe ich in da bloss die Möglichkeit, heuristisch zu versuchen, MitM-Angriffe zu erkennen (z.B. durch Browser-Erweiterungen wie Certificate Patrol), und im Zweifelsfall zu entscheiden, ob die Vertraulichkeit der übertragenen Daten oder die Möglichkeit zum Aufbau der Verbindung an sich wichtiger ist. Als Diensteanbieter könnte man zumindest für die erzwungene Herausgabe von privaten Schlüsseln (oder deren Leak im Falle eines kompromittierten Systems) vorsorgen, indem man PFS nutzt.

Allerdings lassen sich MitM-Angriffe prinzipbedingt nicht komplett unauffällig durchführen, da man bei einem grossflächigen Angriff zumindest feststellen könnte, dass viele Zertifikate auf dasselbe Intermediate- oder Root-CA-Zertifikat zurückzuführen wären, und ggf. auch, dass das ältere, ursprüngliche Zertifikat weit vor Ablauf seiner Gültigkeitsdauer `ersetzt` wurde. Insofern wäre ich sehr an weiteren Details interessiert, welche den Umfang und die Technik der mutmasslichen Angriffe betreffen. An dieser Stelle bemerkt man leider einen Nachteil von Snowdens Entscheidung, die Originaldokumente nur an bestimmte Redaktionen weiterzugeben, statt sie öffentlich zugänglich zu machen (dass scheinbar Dokumente/Frstplatten beschlagnahmt oder zerstört wurden und unklar ist, ob noch weitere Kopien davon existieren, ist ein weiteres Problem).

 

[Pleitgengeier]

Dass TrueCrypt unsicher bzw. "unterlaufen" sein soll, ist auch mir neu. Jedenfalls wurde dies in anderen, ähnlichen Foren wie dem ngb nicht angesprochen. Es wäre auch sehr interessant, ob dies nur unter bestimmten Faktoren, etwa einem unsicheren Passwort oder nicht komplett verschlüsselten Datenträgern (was ja nicht neu ist) oder anderen Schwachstellen, auftritt oder ob True Crypt an sich bzw. die eingesetzten Verschlüsselungen gebrochen worden sind.

Das Problem ist nicht Truecrypt sondern das System auf dem es läuft.

Ich traue Truecrypt zu, sicher zu verschlüsseln. Sobald ich aber eine TC-Partition oder einen Container mounte, hat das OS Zugriff auf die verschlüsselten Daten.
Ist dieses OS Windows, kann man mit zahlreichen Backdors rechnen.

Ob Windoof diese Daten irgendwo hinsendet solange sie gemounted sind würde ich zumindest nicht ausschließen.
Ebenfalls könnte Windoof Keylogger-Funktionen beinhalten...