Krypto-Veteran: Verschlüsselung schützt nicht mehr

Die Verschlüsselung von Daten ist inzwischen kein ausreichender Schutz mehr. Davon ist Adi Shamir, einer der Entwickler des bekannten RSA-Kryptoalgorithmus mittlerweile überzeugt. mehr... Konsole, Ubuntu, Terminal Bildquelle: Andrew Currie / Flickr Konsole, Ubuntu, Terminal Konsole, Ubuntu, Terminal Andrew Currie / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ich hätte da eine Idee, wie wäre es, die Daten verschlüsselt im RAM zu speichern während mit gearbeitet wird?
 
@Knerd: Häh? :D Warum sollte man mit verschlüsselten Daten ARBEITEN? Und was passiert danach mit den Daten? Wieder unverschlüsselt auf die HD zurück schreiben?
 
@tann: Das Problem ist doch, das die Daten unverschlüsselt verarbeitet werden. Also wäre doch die logische Konsequenz, die Daten dauerhaft zu verschlüsseln. Also während der Verarbeitung und der Speicherung ;)
 
@Knerd: Nur kannst du verschlüsselte Daten weder verarbeiten noch dem Anwender anzeigen...
 
@borbor: Ja stimmt, Denkfehler ^^
 
@borbor: Es wird daran gearbeitet, dass man mit verschlüsselten Daten rechnen kann, aber keine Information darüber hat, um was es sich handelt. Bsp.: A gibt B verschlüsselte Daten, B rechnet mit diesen, kennt aber die entschlüsselten Daten nicht. B gibt die Daten wieder an A und A kann diese wieder entschlüsseln. Das ganze ist bekannt als "fully homomorphic encryption [FHE]". Ein interessanter Artikel aus dem Magazin "American Scientist" [http://goo.gl/Ha1A1 Artikel gratis als PDF [grüne Box rechts] erhältlich].
 
@Phantom-Lord: Ist schonmal ein cooler Ansatz, lässt sich aber sicher kaum flächendeckend einsetzen. Und ganz am Anfang (Tastatur) und ganz am Ende (Monitor) müssen die Daten unverschlüsselt vorliegen und sind an/ab-greifbar.
 
@borbor: Ach warum: "Bitte geben Sie Ihren Benutzernamen und Kennwort AES-256-Verschlüsselt ein" ;D
 
@Knerd: Sobald du die entschluesselung auf dem Display anzeigen kannst bringt das ja nichts mehr. Er sagt ja dass wege gefunden werde muessen sich zu schuetzen als vielmehr die daten selbst.
 
@Knerd: Das ändert was? außer dass bei einem Stromausfall richtig freude aufkommt.
 
@FatEric: Naja, bei Stromausfall hab ich immer Freude :D
 
@Knerd: Irgendwann müssen die Daten trotzdem entschlüsselt werden und spätestens dann sind sie wieder angreifbar.
 
Ist doch ganz einfach: Eine autarke Brille, die die Daten auf dem PC/Monitor in Echtzeit entschlüsselt. Nur die Brille kennt den Algorhytmus zum Enschlüsseln der Daten. Auf dem Monitor läuft der schlüsselte Code, ähnlich wie der Matrix-Bildschirmschoner und die Brille entschlüsselt es visuell für den Benutzer.
 
@anandax: Damit könntest du dir die Daten aber nur ansehen und nicht mit Ihnen arbeiten.
 
@mike4001: Das wäre dann zumindest für Präsentationen und dergleichen hilfreich; wobei man die "Brille" natürlich auch noch zum Eingabemedium erweitern könnte; schließlich gibt es ja auch schon seit längerem Touch-Monitore, wobei Monitore bis dahin nur als Ausgabe dienten.
 
@mike4001: Stimmt. Hier müsste man die Eingabegeräte noch anpassen, die wiederum angreifbar wären. Doch nicht so einfach.
 
@anandax: Okay. Ganz simples Beispiel. Du hast ein verschlüsseltes Startdatum und ein verschlüsseltes Enddatum. Du willst dem Nutzer die differenz zwischen diesen beiden Daten anzeigen. Du hast 2 möglichkeiten: A) Du zeigst ihm beide Daten an oder B) du entschlüsselst die Daten, berechnest die Differenz, verschlüsselst die Differenz, verwirfst die entschlüsselten Daten wieder und zeigst die verschlüsselten Daten an. Bei Methode A) wird dir der Nutzer sagen, dass du nicht mehr bei Trost bist und bei Methode B) kann man in den wenigen Mikrosekunden wo die Daten unverschlüsselt sind jene abgreifen. Also keine echte Lösung. Glaub mir, wenn die Lösung so einfach wäre, hätte sie bereits jemand entdeckt. Aber abgesehen davon, es gibt IMMER einen Moment wo die Daten unverschlüsselt sind und potenziell abgegriffen werden können. Es sei denn, der Benutzer führt die Verschlüsselung in seinem Kopf durch.
 
@Suchiman: Es gibt Verschlüsselungsverfahren, die Berechnungen direkt auf dem Ciphertext ermöglichen. Das mit der Erstverschlüsselung muss natürlich anders gelöst werden.
 
@anandax: Yep. Der hat sogar im Code die Blonde mit dem roten Kleid gesehen.
 
@anandax: Rhytmus. haha
 
Eine ganz einfache Lösung wäre doch: offline bleiben. Da kann dann kein Angreifer über den "üblichen" (Online-)Weg darauf zugreifen.
 
@BloodEX: Das wird aber auch nicht viel bringen. Die Schadsoftware wird es schon schaffen, sich durch mehrere PCs vorwärts zu arbeiten und dann präzise im Ziel landen. Wenn ich mich nicht irre, war das mit Stuxnet auch nicht anders?! Die Iraner waren ja auch Offline.
 
@algo: Unterschied: das, wo Stuxnet drauf sollte, sollte ausgeschalten werden. Ein Offline-Heim-PC ausgeschalten? Hat keinen Nutzen...
 
@algo: Zum Beispiel über USB-Sticks, die vorher in infizierten Rechnern steckten oder über Smartphones. Fakt ist aber, dass es irgendeinen Kontakt, irgendeinen Weg geben MUSS, über den sich etwas verbreiten kann, sonst geht das nicht. Stromkabel (bei denen ich mir nicht sicher bin, ob es überhaupt möglich ist, aber man weiß ja nie...), USB-Sticks, SD-Karten, Smartphones, etc.pp., ABER: wenn man ein System komplett abschottet bzw. soweit wie möglich abschottet und nur das allernötigste über mit diesen Rechnern nicht (direkt) verbundenen Systeme erledigt, könnte man Angriffe zumindest weitestgehend ausschließen.
 
@BloodEX: Erzähl mal Deinem Arbeitgeber, dass er keine Daten über Dich speichern soll, und erzähl das dem Finanzamt und Deiner Krankenkasse und der Rentenkasse, dem Stromversorger, dem Internetprovider, dem Einwohnermeldeamt, der GEZ, Deinem Hausarzt, dem Reisebüro bei dem Du Urlaub buchst incl. Airline und Hotel, ... und nein, es ist nicht realistisch alles wieder auf Papier zu machen. Offline bleiben kannst Du vielleicht, aber Deine Daten nicht. Daher ist es wichtig, Daten möglichst gut zu schützen.
 
@Nunk-Junge: Also in einem Reisebüro war ich bisher noch nie. ;) Aber es gibt auch einen Unterschied zwischen Privatpersonen, den Ämtern, kleinen Unternehmen undden großen Unternehmen, Regierungen etc., bei denen die Sicherheit dann natürlich auch einen jeweils anderen Maßstab haben.
 
Ich bin für klassische Datenverarbeitung in Papierform... lässt sich einfach besser wegsperren^^
 
@rallef: Nachdem das papierlose Büro sowieso nie kommt (meine User drucken und kopieren nach wie vor wie die Weltmeister, obwohl wir ein ziemlich leistungsfähiges DMS haben und auch sonst viele elektronische Möglichkeiten), wäre das in der Tat kein schlechte Sache.
 
@rallef: Also wegsperren ließe sich auch ein Computer bzw. die Festplatten. :D
 
@rallef: leider lassen sich diese Daten ganz einfach kopieren. Und wegsperren hilft da auch nicht viel. Beispiel ich besteche deine Sekretärin.... Auch lange Zeit vor der IT waren Daten nicht sicher. Es gibt leider keine 100% Sicherheit.
 
@winül: Blacklists/Whitelists sind manipulierbar!!!!!!!!!!!!!!!!!!!!
 
@winül: Zitat: Soll es ja von beginn an blocken Zitat Ende Soll ist leider nicht sicher genug, wer wirklich will (und die Ressourcen dafür hat) wird auch so was umgehen bzw. cracken können!
 
Eine verwirrende Meldung. Erst geht es um schwache Verschlüsselung, dann plötzlich um Viren/Hacker-Abwehr. Ist doch klar, daß eine gemountete Truecrypt-Platte die Daten nicht mehr schützt, wenn ein Virus durch die Tür kommt. Das ändert doch aber an der Sicherheit von verschlüsselten Laufwerken nichts.
 
@Goto5: der meint wohl: wenn die daten verschlüsselt auf dem server liegen und der nutzer mit einem infiziertem pc diese dann zum bearbeiten öffnet bekommt die schadsoftware die daten unverschlüsselt zu gesicht - somit ist die verschlüsselung überflüssig. da hat der gute aber einen denkfehler, denn dank der verschlüsselung kommt die schadsoftware nur an die daten, wenn auch von einem infizierten gerät drauf zugegriffen wird. die viren/hacker passage beschreibt wohl wie die schadsoftware den rechner befällt - ist aber echt sehr verwirrend geschrieben. der gute israeli hat aber den kern verfehlt, denn wenn man die sicherheitsmaßnahme der verschlüsselung wegnimmt liegen die daten auf dem server in klartext offen und können direkt dort abgegriffen werden, ohne verschlüsselung geht mal gar nichts, sonst würden einfach die festplatten geklaut werden.
 
@otzepo: Ich bin mir da nicht so sicher wer den Denkfehler hat. So wie ich den Artikel lese, geht es um die Gewährleistung der Vertraulichkeit von Daten. Und die ist eben nicht mehr gegeben, wenn man nicht verhindern kann, dass jemand drittes sie abgreift. Ohne Verschlüsselung ist es natürlich unsicherer, aber das ist in der Aussage nicht relevant. Seh es so: Wenn ich kein vernünftiges Schloss für eine Tresortür zusammenbringe, ist der Tresor unsicher. Und da ist es auch nicht das Thema, dass der Tresor noch unsicherer wäre, wenn man die Wände weglässt.
 
@bnc-rainman: Was hier gemeint ist: Selbst der bestgeschützte Tresor ist nicht sicher, wenn dir einer eins über die Rübe gibt, während ihn offen hast ;)
 
@dodnet: Huhuuu... endlich noch einer der geschnallt hat, dass es nicht um die technische Sicherheit von Verschlüsselungen geht, sondern um das außen herum *freu* :-) P.S. Deine Methapher gefällt mir noch besser.
 
@otzepo: Ändert nichts! Goto5 hat mMn völlig Recht, Was hat Verschlüsselung mit Malware/Hackerangriff zu tun? PS Ich wollte dasselbe wie Goto5 schreiben!
PS otzepo Du widersprichst dir in re:1 mMn mehr oder weniger selbst bei der Datenzugriffsgeschichte
Zitat :
>einem infiziertem pc diese dann zum bearbeiten ÖFFNET >bekommt die schadsoftware die daten UNVERSCHLÜSSELT >ZU GESICHT - somit ist die verschlüsselung überflüssig. da Yhat der gute aber einen denkfehler, denn dank der >verschlüsselung kommt die schadsoftware nur an die daten, >wenn auch von einem infizierten gerät drauf ZUGEGRIFFEN >(ÖFFNEN) wird
Zitat Ende
Wo ist da der Denkfehler? - Ich bitte um Aufklärung !
 
@Ansibombe: Es geht darum dass zwischen Systemen verschlüsselt wird und wärend der Laufzeit entschlüsselt wird aber man Probleme hat die quell und zielsysteme richtig abzusichern, da ist dann das genutzte kryptografieverfahren einfach egal weil es schon zuvor bzw danach scheitert. Da hat er wohl auch gerade die Staatsorgane im blick mit ihren staatstrojanern, industriespionagesoftwaresütckchen usw.
 
@Goto5: Aber sicher ändert das was. Ich hab in den letzten Wochen viel darüber gelesen und gemacht, um meine Daten abzusichern, aber zufrieden kann man überhaupt nicht sein. Office 365 bewegt alles in die unverschlüsselte Cloud (schon ein wahnsinn, dass das so hingenommen wird). Hab also Boxcryptor gekauft. Das bringt aber so recht auch nichts, wenn man nicht auch die Systemplatte verschlüsselt, da die Dropbox, Skydrivedaten ja auf der Platte liegen und man das zwar verschlüsselte Boxcryptor-Passwort wohl relativ simpel über die zu schwache Windows -Verschlüsselung knacken kann. Wenn man alle Passwörter manuell eingibt, die ja auch hinreichend gut sein sollen, wird es eh ziemlich übel. Man denke da an die ganzen Passwörter auf diversen Internetseiten, die ja möglichst auch unterschiedlich sein sollen.... Das verschlüsseln der Systemplatte ist allein schon wegen der Performanceeinbußen nicht wirklich schön (das ist deutlich! War erschrocken, wie lange nun alles braucht). Und letztendlich macht jeder Trojaner die ganzen Bemühungen eh zunichte. Momentan gibt es einfach keine praktikable, einfache Möglichkeit, seine Daten komplett zu verschlüsseln. Das soll nicht heißen, dass man komplett drauf verzichten sollte, aber man muss wohl abwägen, wieviel aufwand einem das wert ist....
 
@bowflow: !? Wie bitte ich habe selten einen derart konfusen Beitrag gelesen, velleicht bin ich auch einfach zu blöd um ihn richtig zu verstehen ...
 
@Ansibombe: lol, naja muss Dir irgendwie recht geben. Ich wollte damit sagen, dass man sein System zwar durch Passwörter und kryptographieprogramme absichern kann, das ganze dann aber schnell sehr mühselig wird, wenn man permanent Passwörter eingeben muss und die Systemleistung insgesamt auch stark gebremst ist. Zuviel absichern macht also auch nur bedingt Sinn...Und besonders übel ist, dass wenn ein Trojaner mit Keylogger erst mal erfolgreich im System ist, eh alles sinnlos war. Sorry, ich haoffe das war etwas verständlicher
 
@bowflow:
Zitat
>Und besonders übel ist, dass wenn ein Trojaner mit >Keylogger
>erst mal erfolgreich im System ist
Zitat Ende
Davon redet er am Schluss!

@all ah jetzt verstehe ich warum der Krypto Spezialist, Hacker/Malware und Krypto zusammen bringt ...
 
Nach der Beschreibung gibt es nur eine (relativ) sichere Methode. Daten verschlüsseln und auf ein passives Medium schreiben (CD, DVD, ZIP, die gute alte Floppy ...) dieses in das Laufwerk eines zweiten Systems einlegen, welches über keinerlei Netzwerkanbindungen verfügt und auch sonst keine Funktechnologien nutzt. Auf diesem System die Daten entschlüsseln, bearbeiten, wieder verschlüsseln und zurück auf den Datenträger ... Das Zweitsystem steht dabei in einem "Abhörsicheren" Raum welcher eine Autarke Energieversorgung hat, so das das System auch nicht mal über das gewöhnliche Stromnetz belauscht werden kann...
 
@Hobbyperte: und wie stellst du sicher, dass auf dem passiven Medium kein Virus schlummert? Die Problematik von Antivirenlösungen und Verhaltenserkennung wurde ja im Artikel angesprochen. Selbst Bilder (.jpg) waren ja schon Träger von Viren. Autarke Energieversorgung sollte jedoch nicht nötig sein. Einfach einen Tiefpass bzw. Bandpass in die Zuleitung hängen. Dann sind die Oberwellen (auf der die Daten codiert werden könnten) auch weg.
 
@Hobbyperte: Du kannst übers stromnetz keinen PC mit Daten versorgen. Physikalisch absolut unmöglich. Das A und O, um sich irgendwo reinhacken zu können ist die Datenverarbeitung, sprich dein Code muss irgendwie ausgeführt werden. Ein Netzteil eines PCs besitzt schlicht und einfach keine Recheneinheit, die Daten in welcher Form auch immer auswerten bzw. verarbeiten könnte. Viel mehr ist es so, dass Signale, Störungen und Restwelligkeiten geglättet und/oder auf Masse gezogen werden, und damit nichtmal die Stromanschlüsse der PC Komponenten erreichen. Aber selbst wenn, es besteht Hardwaretechnisch keine Möglichkeit, die Versorgungsspannung der Komponenten auf Daten auszuwerten. Kurz: Es ist vollkommener Schwachsinn. Zu deiner Methode: Was, wenn sich die Schadsoftware mit aufs Medium schreibt und die Daten auf dem zweitrechner dann beim entschlüsseln ausliest und dann beim zurückkopieren wieder auf den ersten Rechner überträgt und ins Internet schickt? Blöd gelaufen...
 
@Laggy: "Physikalisch absolut unmöglich." Diese Aussage zeugt vor allem von viel "nicht Wissen" ... und dann schweigt man am besten. Jede elektrische Komponente strahlt Magnetfelder ab und so wurde in der Vergangenheit der Inhalt manches CRT (im nahen Umfeld) rekonstruiert, ebenso dringen über Sromversorgungsleitungen Magnetfelder nach außen ... welche Inhalte über diesen Wege evt. nach außen gelangen könnten, ist schwer vorhersehbar, das Risiko ist aber nur zu verhindern, wenn es erst gar keine Leitungen nach außen gibt! Zum zweiten schrieb ich ja, das es sich bei dem Modell allenfalls um eine "RELATIV" sichere Methode handelt. Denn richtig - wenn Daten Ausgetauscht werden, gibt es so manches das schief gehen kann und schon ist das abgeschirmte System trotz aller Bemühungen doch infiziert.
 
@Hobbyperte: " Das Zweitsystem steht dabei in einem "Abhörsicheren" Raum welcher eine Autarke Energieversorgung hat, so das das System auch nicht mal über das gewöhnliche Stromnetz belauscht werden kann..." - das ist jetzt aber ein wenig zu viel der Paranoia. Wie bitte soll man denn über das Netzteil an Daten kommen? o.O Ich gehe jetzt mal davon aus, dass kein LAN over Powerline genutzt wird...
 
@dodnet: "Paranoia" ? Derartige Lausch-Angriffe gab es bereits ... jedenfalls in Zeiten als noch analoge Signale zum Monitor übertragen wurden und diese CRT-Geräte kräftige EM-Strahlen absonderten ...
 
Wichtige Daten Server physikalisch vom Netz nehmen, wenn sie ausserhalb nicht gebraucht werden
 
@lesnex: und wie schützt du sie, genau wenn sie gebraucht werden? Das ist alles nicht umfassend genug. Dass die Verschlüsselung ausreichend schützt, solange Daten nicht gebraucht werden wurde nicht bestritten.
 
@lesnex: bringt nichts, wenn irgendetwas von Wert drauf ist, kann es selbst lokal zum Ziel werden. Einmal die Tür nicht verschlossen, hieß bei mir mal, 3 Entlassungen und 5 Gerichtsprozesse.
 
@lesnex: Und wie bekommst du die Daten erstmal auf den Server? Egal wie, da hast du wieder deine Schwachstelle.
 
Verschlüsselung braucht man eh nicht wenn man ein gutes Passwort hat. Habe bei meiner Dropbox ein richtig langes Passwort das kann eh keiner hacken. MfG
 
@PrinzPii: Öhm das is'n trollversuch oder?
Ich meine ich kann das nicht so gut erkennen.
 
@Zerodime: Ich glaube der Fachbegriff dafür ist "Humor" ;-)
 
Verschlüsselung braucht man eh nicht wenn man ein gutes Passwort hat. Habe bei meiner Dropbox ein richtig langes Passwort das kann eh keiner hacken. MfG
 
@PrinzPii: 1. kein Passwort ist unknackbar. 2. dropbox ist gerade eines der Beispiele, bei denen eine Verschlüsselung extrem viel Sinn macht. Deine Daten liegen nämlich unverschlüsselt auf irgendwelchen amerikanischen Servern 3. wenn jemand Zugriff zu deinem pc hat, ob direkt oder per Trojaner o.ä. Hilft dir das stärkste Passwort nichts, weil ich mal vermute, dass du automatisch bei dropbox eingeloggt wirst.
 
Mal ganz ehrlich...wie sicher ist Sicher?
 
@JuanPabloIssa: Nur eins ist sicher: Das nichts sicher ist!
 
Verschlüsselung wird immer ein Bestandteil des Gesamtschutzes sein. "Alleinige Verschlüsselung schützt nicht mehr" wäre ein besserer Titel. Ich kenne Leute, die programmieren nach dem Motto "Wenn der Angreifer auf die Daten kommt, dann ist es egal ob die Daten jetzt verschlüsselt sind oder nicht." und dies ist einfach nicht korrekt. Sind die Daten verschlüsselt, so verschafft man sich enorm viel Zeit die Kunden zu informieren und den Schaden zu minimieren.
 
Ich weiß nicht, die ganzen Vorschläge hier.."Ich bin für Entschlüsselungsbrillen"..."Ich bin für Papierwirtschaft"...wie wäre es mit "Ich bin für Transparenz! Und wenn es begründete Bedenken gibt, halt Offline lassen".
 
@lox33: welche Transparenz? Du redest vermutlich vom gläsernen allem wenn du von Transparenz redest?!
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles