Artikel vergisst die andere Seite

Benutzer blumenwiese schrieb:

Das gilt zum Glück nicht. Es gibt derzeit zwei bekannte Quanten-Algorithmen:
* Beim Knacken beliebiger Verschlüsselungsverfahren muss auch der Quanten-Computer viele, viele Schlüsselkombinationen durchprobieren, aber nur so viele, als sei die Schlüssellänge halbiert. Ein Quanten-Computer braucht also zum Knacken von (z.B.) AES mit 128-Bit-Schlüssel genauso viele Zyklen, wie ein normaler Computer zum Knacker einer älteren Verschlüsselung mit 64-Bit-Schlüssel. Letzteres ist gerade so im Bereich des technisch machbaren angekommen.
* Ein bestimmtes Verschlüsselungsverfahren, nämlich RSA, fällt jedoch beim Angriff mit einem Quanten-Computer komplett in sich zusammen. Dummerweise wird nun genau RSA ubiquitär eingesetzt.


Für abhörsichere Übertragung braucht man keine "Quanten-Computer", sondern "nur" bereits kommerziell erhältliche Geräte zur Quantenkryptographie. Jedoch funktioniert die Quantenkryptograhie nur, wenn man eine direkte Glasfaser-Leitung zwischen Sender und Empfänger hat. Das im Internet üblicherweise verwendete "Store-and-Forward"-Prinzip, wo ein Router ein Paket erstmal empfängt, dann analysiert, und dann passend weiterleitet, geht genau NICHT.

Ich denke, das Thema eignet sich gut für ein Editorial. Wird aber recht technisch werden. Bis Sonntag!


Kai

Benutzer Kai Petzke schrieb:

...
...

Darauf freue ich mich, möchte aber mal einen Gedanken für die Entwurfsphase beitragen:
Symmetrische Schlüssel verschlüsseln "gruppenbezogen".
(Im zweiten Weltkrieg mussten die Kommandanten den Schlüssel vor dem Einsatz persönlich erhalten und es war derselbe, der im Hauptquartier verwendet wurde)
Wie immer man es gestaltet, es braucht eine Schlüsselinhaber-Authentifizierung. Die Simkarten enthalten ein Ki-Schlüssel den es einmal in der Simkarte und einmal im AuC (AuthentificationCenter) gibt. Selbst für die "Zeitkarte" werden neue Ki-Schlüssel vergeben.

Die (asymmetrische) RSA-Schlüssel werden personenbezogen / rollenbezogen oder sonstwie einzelbezogen verwendet. Ein damit vollzogener kryptographischer Vorgang ist dann eine "empfänger-zielgerichtete" Verschlüsselung bzw. in umgekehrter Reihenfolge eine Absender-nachweisende Signatur.

Wenn man Alles, was Verschlüsselung heißt, in einen Topf schmeißt, ist man bei Versuch des Verstehens in Teufels Küche. Z.B.: Was nutzt mir eine Quantenkryptographie, wenn ich für jeden Emailempfänger ein anderes Paar verschränkte Quantenzustände brauche, wenn ich dieses Geheimnis vorab per Boten austauschen muss, aber wegen der NSA kein Vertrauen mehr in die klassischen Kommunikationsdienste mehr habe?

Ordentliche Verschlüsselung braucht eine "Authentifizierung" des Kommunikationspartners, andernfalls ist man per MITM angreifbar.
Wenn man das ganze auf dem Niveau von Staatsparanoia diskutiert, ist es widersinnig, sich auf Personalausweise und andere staatliche Erkennungssysteme zu verlassen.
Dann gibt es nur noch zwei Möglichkeiten: konspirativ (laut wikipedia ~im Geheimen) die Schlüssel vorab austauschen, oder RSA Schlüssel mit öffentlichem Austausch von RSA-Public Keys
Will man irgendetwas das einem Adressbuch entspricht, z.B. die Möglichkeit auf einer Internetseite die Emailadresse oder die OTR-Adresse zu lesen und dann PGP oder OTR zu verwenden, kommt man an RSA nicht vorbei. (oder modern ECC)

Ich kann doch nicht zu jedem Reisebüro vorsorglich abertausende Glasfaserleitungen auf Vorrat verlegen, falls ich Morgen mal eine verschlüsselte Email an ein bestimmtes Reisebüro schicken will, mit dem ich noch nie Kontakt hatte.

Identität ist an Identitätsmerkmale gekoppelt und bislang hatten wir weltweit Vertrauen in unsere Passämter (die freilich ihren Mitarbeitern des jeweils eigenen Inlandsgeheimdienstes falsche Ausweise mit gefälschten Personalienangaben in Erstausrüsterqualität ausstellen)

Elektronische Kommunikation kann aber keine Identitätsmerkmale transportieren! Entweder man muss das Muttermal, bzw. den ganzen Kopf abschneiden, um ihn mechanisch zu transportieren (ganz schlechte Idee), oder kann nur ein digitales Foto davon erstellen (und das ist dann kopierbar, ergo kann die NSA es für Täuschungen verwenden sobald man das Merkmalsfoto in einer Email verschickt).
In der elektronischen Kommunikation gibt es im Ideallfall einzigartige RSA-Schlüssel im Sendegerät, die nie verschickt werden, mit dem der Besitzer beweist, dass die Email "von seinem" Gerät aus verschickt wurde. Und er behauptet, dass er keinen Anderen an das Gerät gelassen hat, solange der elektronische Schlüssel drinsteckte (ergo keiner den Schlüssel kopiert haben kann, auch wenn er nicht fest mit dem Körper des Absenders verbunden ist)
Mehr in Richtung "elektronische Identität" (ein unlösbarer Widerspruch in sich) wird es nie geben können. (die ganze Biometrie beruht auf Auswertungstabellen, die genauso wie das vorgenannte Foto NSA-korrumpierbar sind) Es wird immer nur technische Authentizitätsmerkmale (Private-Key-Schlüsselbesitz) geben können.
Die ganze laienhafte Schreibe, die so geschrieben wird, zeugt doch immer von fatalem grundsätzlichen Unverständnis: Wenn eine Email-Account-Passwort-Ausspähung (von unbedarften Journalisten) "Identitätsdiebstahl" genannt wird, was passiert dann mit einem Menschen der zwei Emailfächer hat? Kann dem seine Identität zweimal gestohlen werden? (NEIN!) Gibt es halbe Identitäten (NEIN!) Es gibt nur Authentizitätsmerkmale die (raub-)kopiert (=juristisch ausgespäht) werden können. Meine Identität gibt es nur einmal, aber die kann ich nicht an eine Email anhängen, weder als Signatur noch als Zugriffsschutz.

Und wenn wir technische Authentifizierungsmaßnahmen endlich etablieren, kommen wir zu einem ON-Off-Phänomen auf das unsere Gesellschaft noch gar nicht vorbereitet ist: Entweder MITM-resistente Verschlüsselung mit wirksamen Zugriffsschutz, dann kommen aber weder NSA noch die Polizei, noch Paypal oder sonstwer an die Daten. Oder die Mühe ist umsonst.

Trauen wir uns als Gesellschaft auf die "väterlich-ordnenden" Datenzugriffsmöglichkeiten vollständig zu verzichten?

Ein "bisschen Verschlüsseln mit staatlich verwalteten Aufsperrmechanismen" für den Fall der Fälle wird es nie wirklich geben können. Das ist die Lektion die weder die NSA noch die Öffentlichkeit bisher bis zu Ende gelernt haben.
Staats-Spionage gefährdet die Demokratie, Vollständige Verschlüsselung nimmt uns allen ein Ermittlungsverfahren.

Wenn RSA/ECC vollständig geknackt werden oder die Leute zu bequem bleiben, sich mit asymmetrischer Verschlüsselung (=zielgerichtete Verschlüsselung) und asymmetrischer Kommunikationspartnererkennung (=Authentifizierung) zu beschäftigen, bleibt nur das "Schlandnetz": Ich muss meinem Emailprovider vertrauen, der Empfänger muss seinem Provider vertrauen und das paranoide Gefühl, dass 3-7 Geheimdienste trotzdem mitlesen können, wird nie wieder ganz verschwinden, denn es wird nur Hop2Hop verschlüsselt.

Von Jahr zu Jahr können sich immer mehr Länder gute Rechenzentren leisten. Im Moment bekommt nur die NSA Prügel. Im Moment schweigt man über Chinas, Russlands und Frankreichs Geheimdienst und schreibt ab und zu über GCHQ. Angesichts der Moore'schen Regel werden sich in 10 Jahren auch Indien, Pakistan, Venezuela und Brasilien derartige Rechenzentren leisten können. Nicht zu Vergessen die bekannten Aktivitäten von Kanada und Australien.

Also wann werden wir uns uns trauen, unsere Gesellschaft von richterlich erlaubter Nachrichtenüberwachung durch die inländischen Behörden auf eine dezentrale, elektronische Authentifizierungs-Geheimnis-Verwaltung umzustellen, die NSA-sicher ist? (NSA-proof aber staatsanwaltlich aufsperrbar wird es nie geben)

Das Problem ist, dass wenn es wirklich sicher verschlüsselt, kein Staatsanwalt mehr an die Daten rankommen kann. Kein Filtern von NSU-Emails, kein Filtern von Links-Terroristen-Emails, und keine knackbaren Emails bei der Durchsuchung einer in Insidergeschäfte verwickelten Bank, kein Nachweis von Preisabsprachen der Tankstellen, denn dann haben alle sicher verschlüsselte Kommunikation zur Verfügung.

Was werden wir machen, wenn die ersten Straftäter (Börenspekulanten, Steuerhinterzieher) in der Presse auftauchen, die Threema benutzt haben und ihren Bankberater oder ihren Steuerberater im Threema-Adressbuch haben?

Dürfen die dann schweigen oder wird es wie in Einzelfällen in UK Strafhaft wegen der Verweigerung der Herausgabe des Passwortes geben?

Benutzer Kai Petzke schrieb:

Benutzer IMHO antwortete:

Das Editorial ist bereits geschrieben, siehe hier:
https://www.teltarif.de/kryptographie-...


So ist es.


Yep!


Das tolle an der Quantenkryptographie ist, dass die Nachrichten während des Transports unkopierbar sind! Ich kann also ein Buch mit 1000 Schlüsseln (die ich für die kommenden Sitzungen verwenden will) an meinen Freund schicken. Anschließend rufe ich meinen Freund über eine öffentliche Leitung an, und prüfe nach, ob Schlüssel 124, 429 und 617 korrekt bei ihm angekommen sind (die Nummern, die ich abfrage, wähle ich natürlich zufällig aus!), und auch, ob der Hash-Wert über alle Schlüssel stimmt. Wenn die Antwort auf beides "ja" ist, dann haben wir nun 997 geheime Schlüssel, die keine kennt, außer uns beiden.

Denn Quantenkryptographie heißt: Selbst, wenn die NSA an den Kabeln sitzt, kann sie sich zwar dazu entscheiden, mitzulauschen, sie kann dann aber die Nachricht nicht identisch reproduzieren, und bei meinem Freund kommt zusätzliches Rauschen an. Die meisten Schlüssel werden also falsch ankommen, und die oben genannte Prüfung führt zu erheblichen Abweichungen!
(Natürlich kann die NSA weiterhin mithören, wenn sie die Empfängerapparatur selber manipuliert).


So ist es. Das gilt auch für Quantenkryptosysteme. Wenn ich meinen Freund nicht sicher am Telefon erkenne, dann könnte die NSA die per Quantenkryptographie ausgetauschten Schlüssel natürlich abfangen, und mein Überprüfungstelefonat mit meinem Freund ebenfalls auf einen ihrer Agenten umleiten.


So, wie Sicherheit derzeit im Internet implementiert ist, haben Sie recht. Allerdings wäre es auch mit Pre-Shared-Keys möglich, eine sichere Infrastruktur aufzubauen, bei der Einzelpersonen (also z.B. Kunde und Web-Shop-Betreiber) sichere Verbindungen miteinander aufbauen, die für gewöhnliche Dritte nicht abhörbar sind. Das Verfahren entspricht dabei i.W. dem, das die Mobilfunk-Netzbetreiber seit zwei Jahrzehnten erfolgreich auf ihren SIM-Karten einsetzen. Nachteil der "SIM-Lösung" ist neben der ganzen Logistik, dass der Sicherheits-Provider grundsätzlich das Wissen hat, um alle Verbindungen abhören zu können.

Man muss allerdings auch beim derzeitigen Modell mit Zertifizierungs-Authoritäten (kurz CA) letztendlich der CA vertrauen. Sie ist ja immer in der Lage, einen Fake-Key zu zertifizieren, der einen Man-in-the-Middle-Angriff ermöglicht. Einziger (allerdings auch erheblicher) Vorteil im CA-Modell: Der genannte Vertrauensbruch durch die Ausstellung falscher Zertifikate kann recht leicht öffentlich gemacht werden, und die CA kann ihre Beteiligung (oder zumindest den laxen Umgang mit ihrem geheimen Schlüssel) nicht abstreiten.


Das ist eines der großen Probleme der Quantenkryptographie. Das beschränkt diese derzeit auf dedizierte Anwendungen. Denkbar ist natürlich, für kurzzeitigen Schlüsselaustausch per Roboter gezielt Glasfaserleitungen zusammenschalten zu lassen, so, wie früher Telefonate auch von mechanischen Hebdrehwählern vermittelt wurden. Aber auch das wird eher nicht den Massenmarkt erreichen.


Ich bin auch schon über das Wort "Identitätsdiebstahl" gestolpert, und verwende es eher selten bis gar nicht. Allerdings passiert es einem Menschen, dem die Kreditkarten- und E-Mail-Zugangsdaten geklaut werden, sehr wohl, dass er seine digitale "Echtheit einer Person oder Sache; völlige Übereinstimmung mit dem, was sie ist oder als was sie bezeichnet wird" (das ist die Bedeutung von "Identität" laut Duden) verliert, denn irgendwo da draußen agiert ja nun versteckt eine weitere Person unter demselben Namen.


Das mit der Identität ist wie mit den Menschenrechten: Man kann einem Menschen auch nicht zweimal seine Menschenrechte wegnehmen. Sie sind unteilbar. (Auch das Recht auf (digitale) Identität gehört sicher zu den Menschenrechten).


Es geht in diese Richtung. Wir werden sehen, ob die Gesellschaft zu echt sicherer Kommunikation bereit ist, und ob Threema und Co. sie bringen. Aber wer NSA und Co. aussperren will, wird ein "Kanzlerhandy" mit sicherer Nachrichtenübermittlung zum Allgemeingut machen müssen.


Kai