- Smaragd aus Oz
- Beiträge: 12755
- Registriert: 09.05.2009, 10:34
- Kontaktdaten:
PGP- und GnuPG-Verschlüsselung geknackt - Update bereit
"Abhör"-Skandal mal anders: Forscher konnten durch PC-Geräusche den Schlüssel von E-Mail-Verschlüsselungsprogrammen knacken.
Falls bei Euch Wanzen herumsitzen oder Ihr Euch für so wichtig haltet, dass Ihr zur ständigen Erreichbarkeit ein Krebs erregendes Mobiltelefon benutzen müsst, wird ein Update Eurer Programme empfohlen.
Alles weitere in den Artikeln:
http://www.spiegel.de/netzwelt/apps/ver ... 39996.html
http://www.heise.de/newsticker/meldung/ ... 70254.html
Frohe Weihnachten!
Falls bei Euch Wanzen herumsitzen oder Ihr Euch für so wichtig haltet, dass Ihr zur ständigen Erreichbarkeit ein Krebs erregendes Mobiltelefon benutzen müsst, wird ein Update Eurer Programme empfohlen.
Alles weitere in den Artikeln:
http://www.spiegel.de/netzwelt/apps/ver ... 39996.html
http://www.heise.de/newsticker/meldung/ ... 70254.html
Frohe Weihnachten!
... Und hab’s Pflücken nicht gemacht.
- Horizonzero
- Beiträge: 13668
- Registriert: 29.01.2009, 18:08
- AoA: ab 8 aufwärts
- Wohnort: [email protected]
Re: PGP- und GnuPG-Verschlüsselung geknackt - Update bereit
Das ist heftig was Du da ausgegraben hast, meine 1. Konsequenz - das Handy liegt ab sofort nicht mehr in der Nähe des Rechners, 2. Konsequenz, zumindest zuhause wird vor dem Entschlüsseln die Musik lauter gedreht (hab eigentlich immer was am laufen) 3. Den Turnus für Änderung der PW noch enger.
Mann oh Mann die Welt wird immer unsicherer.
Mann oh Mann die Welt wird immer unsicherer.
TPPCH2LMQ (Teleguard)
Re: PGP- und GnuPG-Verschlüsselung geknackt - Update bereit
beim lesen des Artikels musste ich schmunzeln ... Unter wissenschaftlichen tests mit entsprechenden parametern klappt es laut derer aussage .. Was wahr dran ist mhhhh .. Naja ..
Aber praktisch ist das kaum bis gar nicht erfolgsversprächend.
Aber praktisch ist das kaum bis gar nicht erfolgsversprächend.
- Horizonzero
- Beiträge: 13668
- Registriert: 29.01.2009, 18:08
- AoA: ab 8 aufwärts
- Wohnort: [email protected]
Re: PGP- und GnuPG-Verschlüsselung geknackt - Update bereit
Oder die Vogel-Strauß Taktik - geht natürlich auch ...
TPPCH2LMQ (Teleguard)
- Jean Valjean
- Beiträge: 1281
- Registriert: 20.01.2012, 20:16
- AoA: 1-13
Re: PGP- und GnuPG-Verschlüsselung geknackt - Update bereit
Wenn das mal keine Falschmeldung ist...
Ein heutzutage üblicher PC arbeitet im GHz-Bereich, Schallwellen befinden sich aber im Bereich von 15 Hz - 20 KHz. Um hier irgendetwas herauszuhören müssten spezielle Ultraschallmikrofone benutzt werden. Mit einem Handymikrofon funktioniert so etwas bestimmt nicht. Die sog. Gehäusevibrationen befinden sich ebenfalls in einem viel zu niedrigen Frequenzbereich, als dass man dadurch auf die ausgeführten Operationen schliessen könnte. Man kann dabei vielleicht erahnen, ob der PC ausgelastet ist oder nicht, ob es sich dabei um eine Verschlüsselung oder ein Computerspiel handelt dürfte wohl kaum zu erahnen sein, da wie gesagt der Frequenzbereich zu tief ist.
Ein heutzutage üblicher PC arbeitet im GHz-Bereich, Schallwellen befinden sich aber im Bereich von 15 Hz - 20 KHz. Um hier irgendetwas herauszuhören müssten spezielle Ultraschallmikrofone benutzt werden. Mit einem Handymikrofon funktioniert so etwas bestimmt nicht. Die sog. Gehäusevibrationen befinden sich ebenfalls in einem viel zu niedrigen Frequenzbereich, als dass man dadurch auf die ausgeführten Operationen schliessen könnte. Man kann dabei vielleicht erahnen, ob der PC ausgelastet ist oder nicht, ob es sich dabei um eine Verschlüsselung oder ein Computerspiel handelt dürfte wohl kaum zu erahnen sein, da wie gesagt der Frequenzbereich zu tief ist.
"Wer die Sicherheit der Freiheit vorzieht, wird immer in der Unfreiheit landen – und damit in der schlimmsten Unsicherheit, die dem Menschen widerfahren kann."
Roland Baader
Roland Baader
Re: PGP- und GnuPG-Verschlüsselung geknackt - Update bereit
Mag sein, dass Smartphones irgendwann auch einmal so gute Mikrofone haben, dass die vom PC erzeugten Töne in einer ausreichend guten Qualität aufgezeichnet werden können, so dass man sie über das Internet an einen entsprechend vorbereiteten Server schicken kann. Aber ein Richtmikrofon, so wie im Versuchsaufbau verwendet, dürfte dann doch noch mal ne Ecke empfindlicher sein, vor allem, weil es ja immer Umgebungsgeräusche gibt (Musik, Lüfterrauschen usw.).
Ich frage mich allerdings, warum in dem Artikel nicht darauf hingewiesen wird, dass Notebooks ja auch so gut wie immer ein Mikrofon eingebaut haben, das wäre doch viel einfach anzuzapfen. Gerade gestern habe ich eine Meldung gelesen, nach der es Forschern gelungen ist, die Webcam-Firmware von Apple-Notebooks auszutricksen, die zeigen normalerweise nämlich durch eine LED an, wenn sie etwas aufzeichnen - mit dem Firmwarehack wird die LED auch im laufenden Betrieb ausgeschaltet.
Wie gesagt, Möglichkeiten gibt es sicher viele, man könnte die Webcam z. B. benutzen, um das Tippen des Passworts auf der Tastatur aufzuzeichnen. Oder man findet die Kombination anhand der Tippgeräusche heraus (ich denke, jede Taste klingt ein bisschen anders). Keylogger gibt's ja schon lange, und wer Smartphone und Co. anzapfen kann, kann sicher auch den heimischen Rechner anzapfen. Aber egal, wie sehr man sich absichert, am wahrscheinlichsten ist es wohl, dass man irgendwann doch mal eine Dummheit begeht und genau in diesem Moment erwischt es einen dann...
Ich frage mich allerdings, warum in dem Artikel nicht darauf hingewiesen wird, dass Notebooks ja auch so gut wie immer ein Mikrofon eingebaut haben, das wäre doch viel einfach anzuzapfen. Gerade gestern habe ich eine Meldung gelesen, nach der es Forschern gelungen ist, die Webcam-Firmware von Apple-Notebooks auszutricksen, die zeigen normalerweise nämlich durch eine LED an, wenn sie etwas aufzeichnen - mit dem Firmwarehack wird die LED auch im laufenden Betrieb ausgeschaltet.
Wie gesagt, Möglichkeiten gibt es sicher viele, man könnte die Webcam z. B. benutzen, um das Tippen des Passworts auf der Tastatur aufzuzeichnen. Oder man findet die Kombination anhand der Tippgeräusche heraus (ich denke, jede Taste klingt ein bisschen anders). Keylogger gibt's ja schon lange, und wer Smartphone und Co. anzapfen kann, kann sicher auch den heimischen Rechner anzapfen. Aber egal, wie sehr man sich absichert, am wahrscheinlichsten ist es wohl, dass man irgendwann doch mal eine Dummheit begeht und genau in diesem Moment erwischt es einen dann...
Re: PGP- und GnuPG-Verschlüsselung geknackt - Update bereit
Wichtig bei dem Angriff ist, dass sie den Klartext einer Nachricht brauchen.
Der Angreifer schickt euch also eine (wahrscheinlich lange) Email mit viel Text oder große Anhänge und verschlüsseln diese mit eurem öffentlichen Schlüssel.
Beim entschlüsseln dieser Nachricht durch die Software GnuPG müssen dann die Geräusche aufgezeichnet werden um auf den privaten Schlüssel zu kommen.
Sehr wahrscheinlich muss dieser Vorgang allerdings häufig wiederholt werden.
Also man empfängt dann ständig Nachrichten, die wahrscheinlich auch nur leicht voneinander unterschiedlich sind. Das ist schonmal sehr auffällig. (gennant auch chosen-ciphertext-attack) [1:Q1]
Also, wenn jemand mal eine lange oder mehrere verschlüsselte Nachrichten bekommt von irgendjemandem, den man nicht kennt -> gleich in den Müll und vor allem seine Software so konfigurieren, dass sie die Nachrichten nicht automatisch entschlüsselt, wenn sie ankommen [1:Q11]
Die neuste Version von GnuPG wurde anscheinend aber sowieso schon dagegen immunisiert. GnuPG war auch sehr effizient und kompakt geschrieben, sodass wenig Seitenoperationen stattfinden; man kann also Operationen gut raushören und unterscheiden. Inwieweit das für andere Software gilt, müsste man jeweils untersuchen [1:Q10].
Also wie immer bei solchen Nachrichten: Nur ein bisschen abhören ist halt nicht. Es ist schon ein wenig spezifischer und aufwendiger. Trotzdem natürlich nicht zu unterschätzen. Gut ist, dass sie früh darauf aufmerksam gemacht haben, bevor so etwas praktikabel wird. Ganzes Paper [2].
@Lolitas Bro: Siehe [1:Q8]
@Mitleser: Siehe [1:Q5]
[1] http://www.cs.tau.ac.il/~tromer/acoustic/
[2] www.tau.ac.il/%7Etromer/papers/acoustic-20131218.pdf
Interessant auch:
[3] http://www.cs.tau.ac.il/~tromer/acoustic/ec04rump/
Der Angreifer schickt euch also eine (wahrscheinlich lange) Email mit viel Text oder große Anhänge und verschlüsseln diese mit eurem öffentlichen Schlüssel.
Beim entschlüsseln dieser Nachricht durch die Software GnuPG müssen dann die Geräusche aufgezeichnet werden um auf den privaten Schlüssel zu kommen.
Sehr wahrscheinlich muss dieser Vorgang allerdings häufig wiederholt werden.
Also man empfängt dann ständig Nachrichten, die wahrscheinlich auch nur leicht voneinander unterschiedlich sind. Das ist schonmal sehr auffällig. (gennant auch chosen-ciphertext-attack) [1:Q1]
Also, wenn jemand mal eine lange oder mehrere verschlüsselte Nachrichten bekommt von irgendjemandem, den man nicht kennt -> gleich in den Müll und vor allem seine Software so konfigurieren, dass sie die Nachrichten nicht automatisch entschlüsselt, wenn sie ankommen [1:Q11]
Die neuste Version von GnuPG wurde anscheinend aber sowieso schon dagegen immunisiert. GnuPG war auch sehr effizient und kompakt geschrieben, sodass wenig Seitenoperationen stattfinden; man kann also Operationen gut raushören und unterscheiden. Inwieweit das für andere Software gilt, müsste man jeweils untersuchen [1:Q10].
Also wie immer bei solchen Nachrichten: Nur ein bisschen abhören ist halt nicht. Es ist schon ein wenig spezifischer und aufwendiger. Trotzdem natürlich nicht zu unterschätzen. Gut ist, dass sie früh darauf aufmerksam gemacht haben, bevor so etwas praktikabel wird. Ganzes Paper [2].
@Lolitas Bro: Siehe [1:Q8]
@Mitleser: Siehe [1:Q5]
[1] http://www.cs.tau.ac.il/~tromer/acoustic/
[2] www.tau.ac.il/%7Etromer/papers/acoustic-20131218.pdf
Interessant auch:
[3] http://www.cs.tau.ac.il/~tromer/acoustic/ec04rump/
- Horizonzero
- Beiträge: 13668
- Registriert: 29.01.2009, 18:08
- AoA: ab 8 aufwärts
- Wohnort: [email protected]
Re: PGP- und GnuPG-Verschlüsselung geknackt - Update bereit
Hä ? Nachrichten die eingehen werden doch üblicherweise höchstens entschlüsselt um sie zu lesen - eine Nachricht wie Du sie beschreibst müßte mich also auffordern sie zu verschlüsseln- oder ? Und da würde ich schon ins Grübeln kommen.
TPPCH2LMQ (Teleguard)
Re: PGP- und GnuPG-Verschlüsselung geknackt - Update bereit
Genau. Du entschlüsselst ja die Nachricht, die eingeht mit deinem privaten Schlüssel. Jemand hat sie ja an dich adressiert und dafür deinen öffentlichen Schlüssel benutzt, damit kein anderer sie lesen kann.Horizonzero hat geschrieben:Hä ? Nachrichten die eingehen werden doch üblicherweise höchstens entschlüsselt um sie zu lesen
Und - einfach gesagt - die Angreifer hören nun genau hin wie GnuPG mit deinem privaten Schlüssel diese Nachricht entschlüsselt und können dabei mit genügend Daten irgendwann Rückschlüsse auf deinen privaten Schlüssel ziehen.
Re: PGP- und GnuPG-Verschlüsselung geknackt - Update bereit
@Ovid: Danke für die Links; ich hatte heute Mittag nur den Spiegel-Artikel gelesen, der Link zu Heise (habe ich wohl irgendwie übersehen) erklärt die Sache ja schon recht genau, und die Einleitung zu diesem Paper gibt noch ein paar weitere Hinweise. Aber wie Du schon sagst, die Sache ist (zumindest noch) eher theoretischer Natur, weil eben erst einmal einiges an bekannten Daten entschlüsselt werden muss, um überhaupt an die passenden Muster zu kommen. Zwar könnte ein potentieller Angreifer in der Tat "mal eben so" sein Smartphone neben einen fremden Rechner legen, aber dann müsste das erst einmal eine ganze Weile die Geräusche aufzeichnen. Vermutlich führen also andere Methoden wesentlich schneller zum Erfolg, die von mir erwähnten Tippgeräusche wurden ja z. B. ebenfalls im Paper genannt.
Re: PGP- und GnuPG-Verschlüsselung geknackt - Update bereit
Zuletzt geändert von Fetzer am 20.12.2013, 22:51, insgesamt 1-mal geändert.
"Psychoanalyse ist die Geisteskrankheit, für deren Heilung sie sich hält"
_____________________________________________Karl Kraus 1899
_____________________________________________Karl Kraus 1899
- Horizonzero
- Beiträge: 13668
- Registriert: 29.01.2009, 18:08
- AoA: ab 8 aufwärts
- Wohnort: [email protected]
Re: PGP- und GnuPG-Verschlüsselung geknackt - Update bereit
dann verliere besser den Schlüssel nicht ...
TPPCH2LMQ (Teleguard)
-
- Beiträge: 298
- Registriert: 28.01.2017, 13:21
per PGP und S/Mime verschlüsselte Mails sind nicht sicher
Quelle: http://www.sueddeutsche.de/digital/exkl ... -1.3978608Bislang galten verschlüsselte E-Mails als sicher, selbst die NSA konnte die Verschlüsselung nicht umgehen.
Sicherheitsforscher haben die Verschlüsselung von E-Mails ausgehebelt.
Die beiden verbreitetsten Verfahren PGP und S/Mime weisen schwerwiegende Lücken auf.
Auf Twitter fügte er hinzu, dass es derzeit keine verlässlichen Wege gibt, die Lücke zu schließen. Hinzu kommt: Betroffen von dem Angriff sind alle Gesprächsteilnehmer. Es reicht also nicht, wenn man selbst das aktuellste System installiert hat. Man muss darauf vertrauen, dass auch der Gesprächspartner auf dem aktuellsten Stand ist, falls dieser denn existiert. Und genau das wollten PGP und S/Mime verhindern: Dass man anderen vertrauen muss.
Re: PGP- und GnuPG-Verschlüsselung geknackt - Update bereit
Der wichtigere Teil kommt eig. weiter unten in der Meldung.
1.) Man schafft es irgendwie die verschlüsselte Email zu klauen
2.) Man schickt diese Mail - leicht verändert - mit spionierenden HTML-Elementen noch mal ab
3.) Die aktiven HTML-Elemente werden vom Email-Programm geladen und schicken unfreiwillig die entschlüsselte Mail zurück an einen Webserver, den man kontrolliert
Verlässlich kann man die Lücke also schon schließen... indem jede Email-Software einfach keine HTML-Elemente in verschlüsselten Mails verarbeitet (oder zumindest eine Art DOM Security, wie sie gegen XSS Attacken verwendet wird, eingerichtet wird)
Natürlich haben die Autoren schon recht, wenn sie sagen, dass man dem Empfänger vertrauen muss richtig konfiguriert zu sein.
Aber genauso musste man dem Empfänger bisher ja auch vertrauen, dass keine Überwachungssoftware (Bundestrojaner grüßt) installiert ist oder er ganz banal die Mail ausdruckt und versehentlich irgendwo liegen lässt zum Beispiel.
So geht's:Der Angriff der Forscher basiert auf zwei Bedingungen: Erstens, sie besitzen den Ciphertext. Zweitens, im E-Mail-Programm wird HTML erlaubt.
1.) Man schafft es irgendwie die verschlüsselte Email zu klauen
2.) Man schickt diese Mail - leicht verändert - mit spionierenden HTML-Elementen noch mal ab
3.) Die aktiven HTML-Elemente werden vom Email-Programm geladen und schicken unfreiwillig die entschlüsselte Mail zurück an einen Webserver, den man kontrolliert
Verlässlich kann man die Lücke also schon schließen... indem jede Email-Software einfach keine HTML-Elemente in verschlüsselten Mails verarbeitet (oder zumindest eine Art DOM Security, wie sie gegen XSS Attacken verwendet wird, eingerichtet wird)
Natürlich haben die Autoren schon recht, wenn sie sagen, dass man dem Empfänger vertrauen muss richtig konfiguriert zu sein.
Aber genauso musste man dem Empfänger bisher ja auch vertrauen, dass keine Überwachungssoftware (Bundestrojaner grüßt) installiert ist oder er ganz banal die Mail ausdruckt und versehentlich irgendwo liegen lässt zum Beispiel.
Re: PGP- und GnuPG-Verschlüsselung geknackt - Update bereit
Zum Glück sind die meisten E-Mail-Programme heutzutage ohnehin so eingestellt, dass aktive HTML-Elemente erst einmal blockiert werden - zumindest auf dem PC, auf mobilen Geräten ist das leider nicht immer der Fall. Man sollte auf jeden Fall nach einer solchen Option schauen und ggf. aktivieren.
Mehr Infos: https://www.heise.de/newsticker/meldung ... 48988.html
Mehr Infos: https://www.heise.de/newsticker/meldung ... 48988.html