Edward Snowden, der berühmte Whistleblower, hat folgenden Tweet veröffentlicht: ffdae96f8dd29237 4a966ec8b57d9cc6 80ce1d23cb7072c5 22efe32a1a7e34b0. Nun wird gerätselt.

Edward Snowden war bisher vor allem als Whistleblower bekannt – also als jemand, der Geheimnisse verrät. Seit vorgestern gehört Snowden jedoch auch zu denjenigen, die Geheimnisse in die Welt setzen. Damit hat er für einiges Rätselraten gesorgt.

 

Der zurückgezogene Tweet

Das Objekt, um das sich alles dreht, ist ein Tweet, den Snowden am 5. August um 12:14 Uhr (vermutlich Moskauer Zeit) verschickt hat. Danke an die Blog-Leser Peter de Boer und John Haas für den Tipp.

Snowden-Tweet

Der Tweet besteht ausschließlich aus einer Folge von 64 Buchstaben, die sich als 32-stellige Hexadezimal-Zahl interpretieren lässt:

ffdae96f8dd292374a966ec8b57d9cc6
80ce1d23cb7072c522efe32a1a7e34b0

Innerhalb von Minuten zog Snowden den Tweet wieder zurück.

Nachdem zunächst einige englischsprachige Portale über den Snowden-Tweet berichteten, hat die Geschichte in den letzten Stunden auch die deutsche Web-Sphäre erreicht. Inzwischen gibt es Artikel zum Thema in der Welt, bei Focus Online, bei N24 und auf anderen Portalen.

 

Eine verschlüsselte Botschaft?

Was steckt hinter dem Tweet? Möglich wäre, dass jeweils ein Zeichenpaar (ff, da, e9, f8 usw.) einen Buchstaben oder eine Zahl im ASCII-Code darstellt. Eine entsprechende Konvertierung liefert jedoch nur Zeichensalat:

Hex-to.ASCII-Snowden

Getreu dem in diesem Blog vielfach zitierten Motto “wer einen Hammer hat, betrachtet jedes Problem als Nagel” könnte es sich bei Snowdens Tweet um eine Verschlüsselung handeln. Doch welches Verfahren hat Snowden verwendet und wozu? Vielleicht hat ein Leser eine Idee.

Einige spekulierten, der Tweet sei die Botschaft eines Dead Man’s Switch, also ein Signal, das ausgelöst wird, wenn sich eine bestimmte Person nicht regelmäßig meldet. Die Münchener Abendzeitung titelte daraufhin reißerisch: „Wurde Edward Snowden entführt oder ermordet?“

Sollte wirklich ein Dead Man’s Switch dahinter stecken, könnte der Tweet ein Schlüssel zu weiteren geheimen Dokumenten sein, die Snowden bei Bekannten hinterlegt hat. Es heißt, er habe über so etwas in der Vergangenheit gesprochen. Immerhin: Schreibt man die Hexadezimal-Zahl als Bit-Folge, dann hat diese 256 Bit. Das entspricht genau der Schlüssellänge, die (neben 128 und 192 Bit) vom Verschlüsselungsverfahren AES verarbeitet wird. Auch viele andere Krypto-Algorithmen unterstützen 256-Bit-Schlüssel.

Andererseits gibt es kryptografische Hashverfahren (z. B. SHA-2 und SHA-3), die Hashwerte der Länge 256 Bit generieren. Ist der Tweet als erstes Glied einer Blockchain gedacht (vergleichbar mit dem Genesis-Block von BitCoin)? Hat ihn Snowden vielleicht versehentlich zu früh veröffentlicht und deshalb wieder zurückgezogen?

Eine weitere Hypothese, die im Netz diskutiert wird: Der Tweet ist eine digitale Signatur. Doch auf was soll sich diese beziehen?

Seit dem mysteriösen Tweet hat sich Snowden anscheinend noch nicht zu Wort gemeldet. Der Snowden-Vertraute und Enthüllungsjournalist Glenn Greenwald teilte am Samstag jedoch mit: “He’s fine”.


 Zum Weiterlesen: Das Rätsel um den Webdriver-Torso-Kanal

Kommentare (16)

  1. #1 Jerry McCarthy
    England
    7. August 2016

    Abo

  2. #2 Klaus Schmeh
    7. August 2016

    Wolfgang Wilhelm über Facebook:

    “Dead Man’s Switch” – umständlicher geht’s nicht? Nur mal als Idee: wäre ich in Russland (oder einem anderen slawischen Land) könnte ich doch schreiben, dass ich ein Märchen gelesen habe, in dem drei Brüder vorkommen). Das wäre etwas weniger auffällig 😛

  3. #3 Axel
    7. August 2016

    Das Problem mit einem Dead-Man’s-Switch (insbes. bei Personen wie Snowden) ist sicherlich (auch), dass es eine Menge Menschen/Staaten/Entitäten gibt, die gerade ein Interesse daran hätten, dass dieser Switch ausgelöst wird. Als Lebensversicherung doch eher ungeeignet.

  4. #4 kud gt
    8. August 2016

    Vielleicht sowas wie ein P2P File Hash einer Datei, die lange lange schon im Netz liegt? Eventuell von einem noch nicht groß bekannten P2P Netzwerk?

    ID im Darknet oder auf in ner DB im Deepweb?

    Stellt sich aber auch die Frage, warum EdS das an alle seine Follower schickte? Was will er damit sichern?
    Oder ists nur ein Test für eine spätere echte ID?

    Auch interessant – danach gabs noch einen weiteren Tweet, der ebenfalls gelöscht wurde:
    Did you work with me? Have we talked since 2013? Please recontact me securely, or talk to @bartongellman. It’s time. https://t.co/AKmgF5AIDJ

    Angekündigt hatte EdS für 2016 noch einen Hammer. Würde ja passen.

  5. #5 kud gt
    8. August 2016

    Könnte damit zusammenhängen:

    Protect our coming publications. Torrent WIKILEAKS INSURANCE 2016-06-03 (88 Gb encrypted) file.wikileaks.org/torrent/2016-0… pic.twitter.com/wwc9Pe0e0J

    https://twitter.com/wikileaks/status/743824112376766465/photo/1

    Dann wäre es das Passwort für das Torrentfile.

  6. #6 user unknown
    https://demystifikation.wordpress.com/2016/08/07/niedrigenergie-passivmensch/
    8. August 2016

    Es könnte die Bestätigung für 2 Dateien sein, die er bekommen hat, in dem er die md5sum für das, was bei ihm ankam schickt – von der Länge entspricht es 2 md5sums und vom Zeichenvorrat auch. Wenn der Absender die gleiche md5sum hat, dann hat wohl kaum jmd. on the fly den Inhalt manipulieren können, so dass eine Kollision zustande kam, also eine andere Datei mit gleichem Hash.
    Da ich mich nicht mit Hashes auskenne weiß ich nicht, ob andere, sicherere Hashes genauso lang sind und in Frage kommen können.

    Gelöscht hätte er es, nachdem er wusste, dass der eigentliche Adressat seiner Botschaft diese empfangen hat, um nicht alle Follower mit dem Rätsel zu belästigen.

    Aber öffentlich hat er es gepostet, damit niemand so leicht weiss, für wen die Nachricht ist. Er hat ja viele Follower.

    Umgekehrt könnte es natürlich auch ein Hashcode sein für etwas, was er selbst geschickt hat.

    Auf Hashcodes für mein Linux-English-Dictionary losgelassen /usr/share/hunspell/en_US.dic, 62k Wörter, ergibt sich keine Kollision.

  7. #7 Turi
    8. August 2016

    Meine Vermutung: Checksum für einen öffentlichen PGP Schlüssel.

  8. #8 Alex
    8. August 2016

    Aber wieso öffentlich ?
    Ich denke besonders er, hat da bessere Mittel um so einen Schlüssel zu versenden.

  9. #9 Turi
    8. August 2016

    Es handelt sich ja eben nicht um den Schlüssel, sondern um die Prüfsumme, mit der man bestätigt das der Schlüssel authentisch ist. Diese muss natürlich auf einen anderem Weg geschickt werden als der Schlüssel selber, um Man in the Middle Angriffe zu erschweren.

    Der Schlüssel selber kann auf einem beliebigen anderen Weg gesendet werden. Er ist auch recht groß, es handelt sich dabei meistens um eine Textdatei. Das gute an PGP ist ja, das der öffentliche Teil des Schlüssel eben öffentlich ist, also jedem bekannt seien darf. Man muss nur sicherstellen das der Schlüssel nicht durch einen Angreifer ausgetauscht wurde und dafür werden solche Prüfsummen genutzt.

  10. #10 Alex
    8. August 2016

    Lassen sich den diese Prüfsummen nicht Manipulieren ?
    Ich könnte mir vorstellen, das die sowas auch hinbekommen oder nicht ?

  11. #11 Klaus Schmeh
    8. August 2016

    Alex Vladi über Facebook:
    Die Idee mit Checksum von einem Hashwert eines Leaks kommt mir fast am realistischsten, vor allem vor dem Hintergrund der Leaks in Rahmen des US-Wahlkampfes…

  12. #12 Klaus Schmeh
    8. August 2016

    @UKunitz über Twitter:
    Tippe auf öffentlichen Schlüssel des Curve25519-Verfahrens. Ergibt mehr Sinn als Hashwert oder symmetrischen Schlüssel.

  13. #13 TWO
    9. August 2016

    most likely it is a 256 bit aes key to decode the first encryption stage for this : “2016-06-03_insurance.aes256” 87.6 GB (94,087,593,304 bytes).

    a further key(s) would be needed for the final decryption,

    regards,

    TWO

  14. #14 TWO
    9. August 2016

    f f d a e 9 6 f
    8 d d 2 9 2 3 7
    4 a 9 6 6 e c 8
    b 5 7 d 9 c c 6
    8 0 c e 1 d 2 3
    c b 7 0 7 2 c 5
    2 2 e f e 3 2 a
    1 a 7 e 3 4 b 0

  15. #15 Cryno
    Rivendel
    9. August 2016

    Theorien

    1. Private Key: Key zum entschlüsseln von informationen. Unwahrscheinlich, Tiwitter ist kein Sichererkanal!!!

    2. Signature: Das könnte schon eher sein, aber warum Twitter als Kanal verwendet wurde???!!! Macht keinen Sinn.

    3. Killswitch: Vermutlich weniger, man hätte hier auch einfach einen Text wie “Snowdan is Dead” posten lassen können.

    4. Hash für irgendeine Datei: nur wenn alle Welt diese Datei herunterladen soll. Ansonsten keine Ahnung.

    Warum Twittert snowdan überhaupt? Es gibt das Darknet wo man auch über Pastebin Infos weitergeben kann!

    Also Sinn macht der Post auf Twiter für mich überhaupt keiner. Lassen wir es dabei!

    • #16 user unknown
      https://demystifikation.wordpress.com/2016/08/09/geraeteturnen/
      9. August 2016

      @Cryno

      Wieso Twitter: Ich hatte ja einen Vorschlag gemacht – um zu verschleiern, wer der gemeinte Empfänger der Botschaft ist.