15.01.16 11:49 Uhr
 5.425
 

PGP-Verschlüsselung von der Polizei geknackt

Was bisher als schier unmöglich galt, hat jetzt das "Netherlands Forensic Institute" geschafft: Es konnten E-Mails, die per PGP-Verschlüsselung geschützt waren, gelesen werden. Sogar gelöschte Nachrichten konnten rekonstruiert werden.

Das Ganze wurde auf einem Blackberry geschafft. Normalerweise ist ein Blackberry nicht mit PGP ausgestattet. Erst Drittanbieter versehen das Gerät mit diesem Schutz. Wie es letztendlich gemacht wurde, bleibt ein Geheimnis der Behörde.

Mittlerweile geben auch andere Polizeibehörden bekannt, dass PGP auf Blackberrys geknackt wurde. Unter anderem die britischen und auch die US-Behörden. Damit wird die Illusion zerstört, PGP wäre absolut sicher.


Videoplayer auf dieser Seite ausblenden
WebReporter: George Taylor
Rubrik:   High Tech
Schlagworte: Polizei, BlackBerry, Verschlüsselung, PGP
Quelle: n-tv.de

DAS KÖNNTE DICH AUCH INTERESSIEREN

Google: Android-Nachfolger hört auf den Codenamen "Andromeda"
Congstar startet Zuhause Internet per LTE
Sicherheitsblogger wird von Hackern angegriffen

Diese News zu meinen Favoriten hinzufügen Beitrag abgeben

16 User-Kommentare Alle Kommentare öffnen

Kommentar ansehen
15.01.2016 12:01 Uhr von Starstalker
 
+13 | -0
 
ANZEIGEN
PGP musste man spätestens seit 2010 misstrauen, nachdem Symantec dafür 300 Millionen springen ließ. In dem Moment wurde PGP kommerzialisiert und es waren nur noch Peer-Reviews zulässig. Seitdem war es nur noch eine Frage der Zeit, bis Behörden und Institutionen einen Zugang zu den Daten "finden" würden.
Kommentar ansehen
15.01.2016 12:23 Uhr von Rechtschreiber
 
+14 | -1
 
ANZEIGEN
Und? Dann ist es eben geknackt.

1) Immernoch besser als gar kein Schutz
2) Würden alle verschlüsseln, würde der Aufwand, mitzulesen, extrem ins unendliche steigen.
Kommentar ansehen
15.01.2016 12:33 Uhr von CoffeMaker
 
+10 | -1
 
ANZEIGEN
Naja undenkbar ist das Knacken nicht, es gibt keine sichere Verschlüssellung weil eine Verschlüsselung nicht willkürlich sondern methodisch vorgeht, sprich mit genügend Zeit und Rechenleistung dürfte man alles knacken.

Und so wie ich das gerade lese haben die das Gerät per Brutforce geknackt, also ging es um ein vorhandenes Gerät und nicht um das Abfangen von E-Mails die dann entschlüsselt werden. Klar, wenn man das Gerät samt Schlüssel hat kann man auch den Zugriff knacken ^^
Kommentar ansehen
15.01.2016 13:23 Uhr von anonymous2015
 
+2 | -7
 
ANZEIGEN
pgp war noch nie sicher!

meiner meinung nach hat pgp eine schwachstelle (zB in win), das es die win eigene rnd funktion benutzt (die ja wohl bewust berechenbar ist, da dieser fehler seit win95se bekannt ist).

wie immer bei solcher software, ich komerzalisierung: GIFT. durch komerzalisierung wird solche software nicht mehr überprüfbar und muß grundsäzlich als unsicher behandelt werden.

[ nachträglich editiert von anonymous2015 ]
Kommentar ansehen
15.01.2016 15:38 Uhr von ROBKAYE
 
+10 | -1
 
ANZEIGEN
Soweit ich das gelesen habe, ist PGP nicht geknackt worden, sondern die Niederländischen Behörden nutzen eine Lücke bei der Implementierung von PGP im Blackberry, um die Nachrichten auf dem Telefon zu entschlüsseln.
Kommentar ansehen
15.01.2016 18:25 Uhr von Justus5
 
+1 | -0
 
ANZEIGEN
Ich sehs wie Rechtschreiber:
Hauptsache, Veschlüsselung hernehmen.
Die Rechenkapazität, um alles zu knacken, ist auf unserem Planeten momentan nicht vorhanden.

Später? Wer weiß....
Kommentar ansehen
15.01.2016 18:54 Uhr von Rolf44
 
+1 | -2
 
ANZEIGEN
Selbst der Entwickler von PGP Phil Zimmermann hat gesagt das man der Version ab 3.64 (oder so) nicht mehr trauen kann. Das war so Ende der 90er...


Was man nutzen kann ist OPENPGP oder Truecrypt, wobei Truecrypt nur bis Version 7.0 sicher ist. Danach mussten die Jungs das Projekt auf "drängen" der NSA einstellen.

[ nachträglich editiert von Rolf44 ]
Kommentar ansehen
15.01.2016 20:06 Uhr von Starstalker
 
+2 | -0
 
ANZEIGEN
Alternativ kann man sich noch VeraCrypt ansehen. Ist ein Fork von TrueCrypt und wird Quelloffen entwickelt. Ist also eine Weiterentwicklung von TrueCrypt.
Kommentar ansehen
16.01.2016 00:31 Uhr von Peter323
 
+2 | -0
 
ANZEIGEN
Man beachte, dass dies nur auf blackberrys funktioniert. Das deutet daraufhin, dass nicht PGP geknackt wurde, sondern man die App an sich oder eine Lücke im Blackberry OS ausnutzt.
Die Nachrichten an sich werden sicher übertragen.
Kommentar ansehen
16.01.2016 13:28 Uhr von alex070
 
+5 | -0
 
ANZEIGEN
Sie knacken nicht PGP, sie entfernen den Speicher-IC der das Privat-PW Hash enthält lesen ihn extern aus und greifen per Bruteforce das Hash an.

Sie versuchen also eine PW-Bruteforce-Attacke, da dieses über PGP zu lange dauert greifen sie den PW-Hash an.

Diese Methode ist uralt und immer schon war klar, das das PW Hash eine Schwachstelle ist wenn es in falsche Hände gerät. Je schneller Computer Hashes berechnen können um so schwächer sind die Hashes.

Linux sicherte früher seine PW mit MD5 ab, bekam man die Passwortdatei (/etc/shadow) in die Hände konnte man sie z.b. durch "John the Ripper" schicken. Je einfacher das PW war um so schneller hat John es ermittelt. Oder man verwendete vorberechnete Tabellen (Rainbow-Tables).

Mittlerweile wird auch aus anderen Gründen kein MD5 mehr verwendet, sondern z.b SHA-256 oder 512,..., die Berechnungen dauern dadurch wieder länger und passen sich der Rechengeschwindigkeit an.

Nichts anderes ist es hier. Je einfacher das PGP-Privat-PW ist umso schneller kommen sie auf den Hash. Man kann ja davon ausgehen, dass es über die Handytastatur eingegeben wird. Da die Menschen bequem sind hat es wohl kaum mehr als 10 Stellen und selten Sonderzeichen.

Es bleibt dabei, einfachere PW sind unsicher, PGP selbst hat mit dieser Methode jedoch nichts zu tun.

Hier sieht man die "Chip-off" Methode:
http://securemobile.me/...

[ nachträglich editiert von alex070 ]
Kommentar ansehen
17.01.2016 17:57 Uhr von Adam_R.
 
+6 | -0
 
ANZEIGEN
@alex070
Linux verwendet bei seiner Standardverschlüsselung, die schon ab der normalen Installation des Betriebssystems installiert werden kann als Hash SHA1. Auch das gilt bereits als nicht mehr sehr sicher.
Ich habe dann bei der Installation mittels der Live DVD die Verschlüsselung selbst eingerichtet. Die Standardvariante tauschte ich aus durch:
# cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h sha512 -y /dev/sda2
So müsste es sicherer sein. Optional könnte man aes durch twofish oder serpent ersetzen um eine noch härtere Verschlüsselung zu erreichen aber aes ist voll in Ordnung. Statt sha512 könnte man optional auch whirlpool verwenden. Müsste genau so sicher sein. Jedenfalls weit besser als sha1.

Und was die News und PGP angeht hast du vollkommen recht. Von wegen die hätten PGP geknackt. Schon möglich, dass es da eine Lücke bi Blackberrys gibt aber das hat mit PGP nichts zu tun. Du hast ja die Attacke schon beschrieben...So wie n-tv.de es darstellt ist es sicher nicht. Die News haben die so fehlerhaft gebracht dass man es schon fast als Falschmeldung bzeichnen kann. Zumindest als schlecht recherchiert.
Kommentar ansehen
17.01.2016 21:49 Uhr von Johnny Cache
 
+2 | -0
 
ANZEIGEN
Private Keys haben auf Mobilgeräten auch so rein gar nichts zu suchen.
Kommentar ansehen
18.01.2016 12:53 Uhr von DesWahnsinnsFetteKuh
 
+2 | -0
 
ANZEIGEN
Die Polizei, hat da sicher nix geknackt, wenn dann haben sie nen tool bekommen mit dem sie das vielleicht machen könnten. Die Abschreckungswirkung hat hier aber einen grösseren effekt. Hauptsache die Bürger geben endlich ihre Gegenwehr auf. Sonst wird das Internet of Things ein Millionengrab.
Kommentar ansehen
18.01.2016 15:55 Uhr von alex070
 
+1 | -0
 
ANZEIGEN
@Johnny Cache

"Private Keys haben auf Mobilgeräten auch so rein gar nichts zu suchen."

Zur festen Speicherung nicht, das ist richtig. Jedoch muss der Schlüssel zu Laufzeit eingegeben werden und befindet sich dann im flüchtigen Speicher. Je nachdem was das Gerät dort als Speichertechnologie verwendet ist das eventl. nicht so flüchtig wie angenommen.

Es gibt auch die Methode bestimmte Speicher-IC runterzukühlen, dann lassen sich weiterhin noch Daten auslesen, auch wenn der IC vom Strom getrennt war.
Kommentar ansehen
18.01.2016 19:02 Uhr von artinmotion
 
+0 | -0
 
ANZEIGEN
Googelt doch mal nach GnuPG. Nutzt Edwards Snowden auch.
Kommentar ansehen
19.01.2016 08:12 Uhr von Missoni-n
 
+0 | -0
 
ANZEIGEN
Nun seit über 20 Jahren gibt es eine Schlüsselstärke von 256 bit. Nur seitdem hat sich die Rechnerleistung deutlich gesteigert. Daher müste man den Schlüssel auf min. 512 oder 1024 erhöhen.

Refresh |<-- <-   1-16/16   -> -->|
Diese News zu meinen Favoriten hinzufügen Beitrag abgeben


SCHLIESSEN

Willst Du die Seite wirklich verlassen?


DAS KÖNNTE DICH AUCH INTERESSIEREN

Kempen: Autofahrer benutzt Intimzonen von Sexpuppe als Marihuana-Versteck
Ostukraine: 23 Menschen sterben nach Genuss von gepanschtem Alkohol
Schweiz: Parlament beschließt mit einer Stimme Mehrheit Burkaverbot


...oder unseren und keine aktuellen News mehr verpassen?