StartseiteCipherbrain

Verschlüsselung wird für die Polizei immer mehr zum Problem

Von / 9. Februar 2021 / 25 Kommentare
Mehr

Kriminelle, die auf ihrem Computer Verschlüsselung verwenden, sind für die Polizei zum Problem geworden. Es gibt zahlreiche öffentlich bekannte Fälle, die dies belegen.

English version (translated with DeepL)

Schauen Sie sich einmal das hier verlinkte Familienfoto an (aus urheberrechtlichen Gründen kann ich es leider nicht direkt in den Artikel aufnehmen). Das Bild zeigt die US-amerikanische Kosmetikerin Susan Powell (1981-?) mit ihrem Ehemann Joshua und den beiden gemeinsamen Kindern.

Doch wer meint, hier sein eine glückliche Familie, zu sehen, der täuscht sich.

 

Der Vermisstenfall Susan Powell

Susan und Joshua Powell heirateten 2001. Sie bekamen zwei Söhne. Doch die Ehe geriet schnell in eine ernsthafte Krise. Joshua konnte nicht mit Geld umgehen, ließ seiner Gattin kaum Freiraum und bedrohte sie. Auf einem selbst aufgenommenen Video sagt Susan Powell: „Wenn ich sterbe, ist es vielleicht kein Unfall, auch wenn es wie einer aussieht.“

Am 6. Dezember 2009 verschwand Susan Powell spurlos. Ihr Ehemann verstrickte sich bei der polizeilichen Vernehmung in Widersprüche, doch man konnte ihm nichts nachweisen. Es ist kaum anzunehmen, dass Susan Powell noch lebt, doch ihre Leiche wurde nie gefunden.

Bei einer Hausdruchsuchung fand die Polizei eine verschlüsselte Festplatte, die Joshua Powell gehörte. Die Ermittler hätten den Inhalt dieses Datenträgers gerne untersucht, doch Powell gab an, er habe das Passwort (aus diesem wird der Schlüssel für die Verschlüsselung generiert) vergessen. Die Polizei versuchte, das Passwort mit einem Wörterbuch-Angriff zu ermitteln (dazu gibt es Programme wie Hashbull), doch ohne Erfolg.

2012 starben Joshua Powell und seine beiden Söhne bei einer Explosion. Die Polizei ging von einer Selbsttötung aus. Susan Powell wird bis heute vermisst. Die Festplatte ihres Ehemannes wurde nie entschlüsselt.

 

Gute Verschlüsselung ist nicht zu knacken

Nicht nur der Fall Susan Powell zeigt: Verschlüsselungstechnik in der Hand von Kriminellen ist für die Polizei zum Problem geworden. Ich habe zu diesem Thema schon öfters gebloggt und außerdem eine Liste von entsprechenden Fällen angelegt. Diese Liste habe ich verwendet, um 2016 bei der RSA-Konferenz in San Francisco einen Vortrag zu halten. Seitdem habe ich diese Fallsammlung zugegebenermaßen etwas vernachlässigt, was ich aber nun ändern will. Falls ein Leser einen Kriminalfall kennt, in dem es die Polizei mit verschlüsselten Computerdaten zu tun hatte, würde ich mich über einen Hinweis freuen.

Das genannte Problem hat inzwischen zu zahlreichen Reaktionen und Lösungsvorschlägen geführt. So fordern Politiker nach gesetzlichen Hintertüren, und es werden Codeknacker-Behörden eingerichtet. Das alles soll aber heute keine Rolle spielen. Stattdessen geht es in diesem Artikel um Kriminalfälle, in denen die Polizei auf Verschlüsselung gestoßen ist. Meine Liste nennt unter anderem folgende Beispiele:

  • Im Rahmen des VW-Diesel-Skandals untersuchte die Polizei 1500 Laptops. Viele davon waren mit einer Verschlüsselungs-Software gesichert, und die Ermittler hatten große Mühe, an die Passwörter zu kommen.
  • Am 8. Juni 2015 wurde der US-Amerikaner Ray C. Owens aus Evanston (Illinois) in seinem Auto erschossen. Die Polizei fand bei der Leiche zwei Smartphones: ein iPhone 6 und ein Samsung Galaxy S6 Edge. Die Daten auf beiden Geräten waren verschlüsselt. Zur Entschlüsselung benötigte man die richtigen Passwörter.Die Polizei konnte diese nicht ermitteln und fand auch sonst keinen Weg, die Verschlüsselung zu knacken. Der Mörder wurde nie ermittelt.
  • Auch Ross Ulbricht, der Betreiber der illegalen Plattform Silk Road, nutzte verschiedene Formen der Verschlüsselung. Das schützte ihn jedoch am Ende nicht vor der Verhaftung und auch nicht vor einer reichlich überzogenen Strafe.
  • Der kanadische Fotograf Justin Gerard Gryba wurde der Herstellung von Kinderpronografie verdächtigt. Die Polizei beschlagnahmte bei ihm einen verschlüsselten Datenträger. Nach zweieinhalbjähriger Suche gelang es den Ermittlern 2014, das Passwort zu erraten. Gryba wurde zu einer zweijährigen Gefängnisstrafe verurteilt.
Maskenmann

Quelle/Source: Phantombild

  • Am 15. April 2011 verhaftete die Polizei den 40-jährigen Pädagogen Martin Ney. Er war der berüchtigte „Maskenmann“, der mehrere Kinder getötet und zahlreiche weitere sexuell missbraucht hatte. Ney besaß mehrere verschlüsselte Datenträger. Er weigerte sich jedoch, das Passwort herauszurücken. Die Wörterbuch-Angriffe der Polizei liefen jahrelang ins Leer. Erst Jahre später, als er längst verurteilt war, hatte Ney ein Einsehen und verriet die Geheimwörter. Nach Angaben der Polizei fand man auf den Platten keine relevanten Informationen.
  • Am 24. April 2015 bekam die US-Amerikanerin Brittney Mills Besuch. Die Person, die vor der Tür ihrer Wohnung in Baton Rouge (Louisiana) stand, wollte möglicherweise Mills’s Auto leihen. Als diese ablehnte, wurde sie erschossen. Der Mörder entkam unerkannt. Die Ermittler wollten das iPhone der Getöteten untersuchen, doch das iPhone-Betriebssystem iOS 8 hatte eine starke Verschlüsselung eingebaut. Die Polizei versuchte, Mills’ iPhone-Passwort zu ermitteln – vergebens.
  • Auf dem Laptop des ehemaligen BND-Mitarbeiters Markus R., der für die CIA spioniert haben soll, wurden verschlüsselte Daten gefunden. Weder der BND noch das Bundesamt für Sicherheit in der Informationstechnik (BSI) schafften es, die Verschlüsselung zu knacken.
  • 2012 verhaftete die Polizei in Hamburg den Schweizer Neonazi Sébastien Nussbaumer. Er stand im Verdacht, einen Mann niedergeschossen zu haben. Bei Hausdurchsuchungen fand die Polizei mehrere verschlüsselte Datenträger. Offenbar gelang es nicht, diese zu entschlüsseln.
  • 2014 versuchte die Polizei in Miami, den Geschäftsmann Jonathan Kent Lee (50) in seiner Wohnung festzunehmen. Ein Bekannter hatte die Ermittler auf ihn aufmerksam gemacht, nachdem dieser ihm stolz einige Kinderpornos gezeigt hatte. Lee konnte zwar entkommen, doch auf seiner Flucht stürzte er von einem Garagendach und starb. Später fanden die Ermittler auf einem Laptop etwa 3.000 kinderpornografische Fotos und außerdem Hinweise darauf, dass Lee ein Mädchen missbraucht hatte. Außerdem stießen die Polizisten auf zwei externe Festplatten mit verschlüsseltem Inhalt verschlüsselt. Es gelang nicht, diese zu dechiffrieren.

 

Der Anschlag von San Bernardino

Der wohl bekannteste Kriminalfall, in dem Computer-basierte Verschlüsselung eine Rolle spielte, trug sich 2015 zu. Am 2. Dezember des gesagten Jahres stürmten bei der Weihnachtsfeier einer Gesundheitsbehörde in San Bernardino (Kalifornien) zwei Personen im Tarnanzug in den Raum und schossen mit Sturmgewehren wild um sich. Nach nur etwa vier Minuten suchten sie das Weite. Beide starben später auf der Flucht in ihrem Auto im Kugelhagel der Polizei. Die Bilanz: 14 Todesopfer (die Täter nicht mitgezählt) und 22 Verletzte.

Farook-car

Quelle/Source: Wikimedia

Die Täter waren schnell identifiziert: Syed Farook, Angestellter der Gesundheitsbehörde, und seine Frau Tashfeen Malik. Farook hatte die Weihnachtsfeier verlassen und war wiedergekommen – schwer bewaffnet und mit seiner Frau als Komplizin. Sowohl Farook als auch Malik waren Muslime.

Die Hintergründe der Tat sind nicht vollständig geklärt. Anscheinend waren Farook und Malik nicht Mitglied einer Terroristengruppe. Sie waren vor der Tat nicht mit Straftaten aufgefallen. Die Umstände sprechen dennoch für eine Tat mit muslimisch-terroristischem Hintergrund.

Bei Syed Farook fand die Polizei ein iPhone. Dieses war mit einem Passwort gesichert. Das iPhone-Betriebssystem iOS nutzt das Passwort, um einen Schlüssel abzuleiten, mit dem fast der gesamte Inhalt des iPhones verschlüsselt wird. Die Polizei konnte somit nicht auf die iPhone-Daten zugreifen. Auf Verdacht ein paar Passwörter auszuprobieren, verbot sich, denn nach zehn Fehleingaben löscht das eingebaute Verschlüsselungsprogramm alle Daten.

Das FBI hat nun die Firma Apple um Hilfe gebeten. Dabei ist klar, dass Apple keinen Generalschlüssel besitzt, mit dem sich ein iPhone ohne Weiteres entschlüsseln lässt. Denoch könnte Apple etwas tun. Denn das Unternehmen kennt die genaue Funktionsweise des eingebauten Verschlüsselungsprogramms und weiß daher, wo im Speicher bestimmte Informationen abgelegt werden.

Apple weigerte sich jedoch, der Polizei beim Dechiffrieren zu assistieren – obwohl das Unternehmen sogar per Gerichtsbeschluss dazu aufgefordert wurde. Apple fürchtete einen Präzendenzfall und wollte verhindern, dass Zweifel an der Sicherheit der iPhone-Verschlüsselung aufkommen.

Am Ende gelang es der Polizei, das Smartphone auch ohne die Hilfe von Apple zu dechiffrieren. Relevante Informationen fand man aber wohl nicht darauf.

 

Fazit

Kriminelle, die Verschlüsselung einsetzen, werden uns zweifellos noch eine Weile beschäftigen. Meine Liste wird daher sicherlich noch wachsen. Vielleicht können mit meine Leser helfen, sie zu aktualisieren.


Further reading: Wie die Polizei verschlüsselt mit einem Millionen-Erpresser kommunizierte

Linkedin: https://www.linkedin.com/groups/13501820
Facebook: https://www.facebook.com/groups/763282653806483/

Subscribe to Blog via Email

Enter your email address to subscribe to this blog and receive notifications of new posts by email.

Stichworte: ,
Mehr

Kommentare (25)

  1. #1 schorsch
    9. Februar 2021

    Wer Verschlüsselung zu einem Problem bei der Aufklärung von Verbrechen erklärt, übersieht, dass die verschlüsselten Daten nie angefallen, die möglicherweise enthaltenen Beweise nie existent gewesen wären, wäre das Verbrechen in einem computerlosen Umfeld geschehen.

    Zumindest bei Verbrechen, bei denen der Computer nicht unmittelbares Tatwerkzeug ist, ist die Polizei heute trotz Verschlüsselung also kein bisschen schlechter gestellt, als es ihre Kollegen vor 50 Jahren waren.

    Der von reaktionären und zutiefst demokratiefeindlichen Sicherheitsfanatikern immer wieder gehörte Ruf nach Zweitschlüsseln für die Polizei ist somit ein unmittelbarer Angriff auf elementare Menschenrechte, ohne einen auch nur annähernd gleichwertigen Sicherheitsgewinn zu bieten.

    Wehret den Anfängen!

  2. #2 Markweger
    9. Februar 2021

    Das wirkliche Problem ist dass man Verbrecher um Gottes Willen nicht zu grob anfassen darf anstelle sie mit geeigneten Mitteln zum Sprechen zu bringen.

  3. #3 John
    Internet
    9. Februar 2021

    > geeigneten Mitteln zum Sprechen zu bringen.

    Und Folter ist, wie wir seit dem Zeitalter der Hexenverfolgung wissen, ja ein wahnsinnig geeignetes Mittel. 8-;

  4. #4 bombjack
    9. Februar 2021

    @Markweger

    und spätestens wenn Du dann mal in die Mühlen kommst…wirst Du ganz froh sein, dass man Dich bei der Vernehmung nicht so grob anfasst und Dich mit geeigneten Mitteln zum Sprechen bringt….

    @Topic: Schwächt man Verschlüsselung, dann schwächt man diese nicht mal für Alle, sondern nur für diejenigen die sich an Gesetze halten werden. Es hindert niemanden mit kriminellen Absichten sich dann illegal ein nicht geschwächtes Programm zu holen oder z.B. bei WhatsApp eine zweite Layer zu verwenden. Veracrypt, PGP usw. sind in der freien Wildbahn zu finden und um deren Verwendung zu verhindern müssten sie als illegal eingestuft werden….die Idee gab es bei der Cryptodiskussion damals von einem Herren Kanther auch schon mal….dass zur Verschlüsselung nur zertifizierte Software, wo der Staat mitlesen kann, eingesetzt werden darf.

    Was da dann noch dazu käme, dass es genügend User gibt, die aus Trotz auf so ein Gesetz pfeifen werden…und ich wäre einer davon…denn ich betrachte eine Festplatte als eine Erweiterung meines Gehirns und damit zum Kernbereich der Privatsphäre gehörend, besonders auch deshalb, weil dort zwangsläufig Daten gespeichert auf die der Nutzer keinerlei Einfluss hat, ob sie gespeichert werden z.B. Festplattenauslagerungsdatei oder Cache von Drucker, Cache von Bildbearbeitungsprogrammen usw. und eine Festplatte nichts vergisst (wer mal mit Encase herumgespielt hat, weiß was ich meine). Praktisch das was den Staat nicht aber auch gar nichts angeht….und genau aus dem Grund verschlüssle ich meine Festplatten und werde mich weigern geschwächte Programme zu benutzen.

    bombjack

  5. #5 schlappohr
    9. Februar 2021

    Ich frage mich, welche Schlüsse wir aus der Existenz solcher Kriminalfälle ziehen können. Verschlüsselungsverfahren mit Backdoor können legal von den Ermittlungsbehörden ausgehebelt werden. Gute Sache. Aber sie können – und werden! – auch illegal von Geheimdiensten und (anderen) Verbrecherorganisationen missbraucht werden. Eine Backdoor-Verschlüsselung ist somit faktisch _keine_ Verschlüsselung. Sie ist wertlos, weil sie sich nicht unter vollständiger Kontrolle des Anwenders befindet.

    Zudem lässt sich der Einsatz sicherer Kryptografie nicht unterbinden, wie schon in #4 erläutert. Wer will, kann seine Platte weiterhin sicher verschlüsseln, ohne dass es jemand merkt, Strafbarkeit hin oder her. Das ist so, als würde man einem Selbstmordattentäter verbieten, sich beim Anschlag selbst zu töten, weil das die nachfolgenden Ermittlungen erschwert. Ein trefflicher Witz.

    Weiterhin: Angenommen, es wird (gesetzlich wie technisch) eine flächendeckende Infrastruktur geschaffen, die nur noch eingeschränkte Verschlüsselung erlaubt. Dann möchte ich nicht darüber nachdenken, was geschieht, wenn in DE eines Tages Extremisten wie die “afd” an die Macht kommen (was nicht ganz unwahrscheinlich ist) und dann ein solches Instrument vorfinden. Eine Mischung aus blutrünstiger Nazidiktatur und chinesischem Überwachungswahn. Bekommt noch jemand eine Gänsehaut? Vor diesem Hintergrund ist es ein relativ geringer Preis, ein paar Kriminalfälle hinzunehmen, die unaufgeklärt bleiben, _ausschließlich_ weil eine Verschlüsselung nicht geknackt werden konnte. Es geht ja nicht darum, die Ermittler all ihrer Werkzeuge zu berauben. Aber bestimmte Dinge dürfen nicht getan werden, auch nicht, um ein Verbrechen aufzuklären.

    Ich glaube, es war Helmut Schmidt, der einmal (sinngemäß) gesagt hat: Die Demokratie muss manchmal seltsame Dinge tun, um sich zu schützen.

  6. #6 Robert aus Wien
    9. Februar 2021

    @schorsch:
    “übersieht, dass die verschlüsselten Daten nie angefallen”

    Das ist leider falsch. Man denke z.B. nur an verschlüsselnde Messenger, die zunehmend (früher unverschlüsselte) Telephonanrufe ersetzen.

  7. #7 Rob
    Oberland
    9. Februar 2021

    Über die Werbepartner der Webseite sollte man sich einmal Gedanken machen. Bei mir steht da gerade “Schauen Sie sich einmal das hier verlinkte Familienfoto an (aus urheberrechtlichen Gründen kann ich es leider nicht direkt in den Artikel aufnehmen).” um dein Eindruck zu vermitteln, es handele sich um einen teil des Artikels.

  8. #8 Humml
    9. Februar 2021

    Im Anschluß an “schorsch” und dem “Robert aus Wien”

    Vor ca. 25 Jahren – das ist für einen 30jährigen eine halbe Ehwigkeit, für einen 50jährigen noch gar nicht so lange her, und für noch Ältere war das praktisch vorgestern – hatten wir:
    den Brief,
    die Postkarte,
    das Telegramm,
    das Telefax,
    das Telephon mit Kabel “maximal 3m” (und rudimentär das Mobiltelephon für die “Schönen” und “Wichtigen”).

    Keine Sau hat sich da um eine “End to End”-Verschlüsselung geschert.

    Und die Mittler dieser Einrichtungen waren lupenreine Staatsbetriebe (nicht etwa GmbH’s oder AG’s mit einer 100%igen Staatsbeteiligung), nämlich die Deutsche Bundespost.
    Und dort saßen Beamte – des Staates.
    Und das hat doch 45 Jahre ganz gut funktioniert.

    Dann kam das mobile “SMS” – das war noch recht sperrig.

    Und dann kam die “Email” und die “Privatisierung”, und das Elend nahm seinen Lauf.
    Und wir wollen gar nicht so genau wissen, wieviel “Email”, “Gezwitscher”, “Instant-Messaging” u.ä., ursprünglich “das Telephonat” war, welches sich, nachdem es seinen Weg via des Ohres ins Hirn gefunden hatte, “in Luft auflöste”.

    Zu “Telegram” z.B. kann man hier -https://de.wikipedia.org/wiki/Telegram-
    u.a. Folgendes lesen:
    “…
    Cloud-basierte Chats
    Bei den Standard-Chats werden die Inhalte auf den Servern des Betreibers gespeichert. So können die Benutzer ihre Nachrichten und Dateien auf mehreren Geräten synchronisieren und abrufen; beispielsweise am Desktop, Tablet oder Smartphone. Die Daten werden erst dann von der Cloud gelöscht, wenn alle an den jeweiligen Chats beteiligten Nutzerkonten gelöscht wurden. Deshalb können nach Defekt oder bei Wechsel des Smartphones diese auf dem Neuen abgerufen werden.
    …”
    Ich behaupte ja nun nicht, allzuviel Ahnung von diesem Mist zu haben.
    Aber wenn man sich die Dimensionen vor Augen führt, das geradezu ungeheuerliche Ausmaß an Daten, die sich vorher einfach in “Nichts” auflösten (oder gar nicht erst anfielen), deren voraussichtlich expotentielle Vermehrung und die damit notwendig werdenden Resourcen jeglicher Art – und das für etwas, was wahrscheinlich zu mindestens 90% ohne Verlust dem unwiederbringlichen Vergessen anheimfallen könnte – ja, dann fragt man sich schon, ob wir noch auf dem richtige Dampfer diesen unermeßlichen Ozean aus Zufälligkeiten durchqueren.

  9. #9 Rallinger
    .lu
    9. Februar 2021

    So fordern Politiker nach gesetzlichen Hintertüren, und es werden Codeknacker-Behörden eingerichtet.

    Die Frage ist aber, ob eine solche Behörde in diesem Fall überhaupt in Aktion getreten wäre, hätte nicht Powell zwei Fehler im Umgang mit der von ihm eingesetzten Verschlüsselungssoftware begangen.
    Powell benutzte TrueCrypt, das nach dem Prinzip der Deniable Encryption funktioniert. Ein verschlüsselter Container innerhalb eines verschlüsselten Containers.
    Bei richtiger Anwendung hätte Powell einige (unverfängliche) Daten im äußeren Container platziert und den Strafverfolgungsbehörden das Passwort genannt. Die Existenz eines inneren Containers mit den brisanten Daten hätte er dann jederzeit glaubhaft abstreiten können.
    Erst als er angab, das Passwort vergessen zu haben wurde beim Intermountain West Regional Computer Forensic Lab (RCFL) der Versuch gestartet, die Verschlüsselung zu knacken.
    Sollte das gelungen sein, werden wir es aber wohl nicht so schnell erfahren; eine Bestätigung seitens der Ermittler würde nämlich den Verdacht aufkommen lassen, dass es in TrueCrypt ein Hintertürchen gibt…
    Zwar wurde TrueCrypt ua. von Jacob Appelbaum als ‘absolut sicher’ bezeichnet, die Glaubwürdigkeit dieser Aussage sei aber jedem selbst überlassen, denn Appelbaum selbst stand (wie alle anderen Entwickler des TOR- Projekts übrigens auch) mit jährlich 6-stelligen Summen auf der Gehaltsliste des Department of Homeland Security, also des Ministeriums für Innere Sicherheit der USA.
    Die TrueCrypt Foundation stellte die Weiterentwicklung ihrer Software jedenfalls im Mai 2014 aufgrund von möglichen,”‘ungelösten Sicherheitsproblemen” ein.

  10. #10 schlappohr
    9. Februar 2021

    @Rallinger
    Interessant, hast du einen Link dazu? Als TC eingestellt wurde, war die Vermutung, die NSA hätte TC zerlegt, weil die Verschlüsselung so gut geworden war (bzw. in der nächsten Version geworden wäre), dass sie für die Schlapphüte nicht mehr zu Knacken war.

  11. #11 Klaus Schmeh
    9. Februar 2021

    Dave Howe via Linked-in:

    A world where you CAN’T keep things secret from the police or the government, you know, just in case they MIGHT want to know, is not a world I want to live in.

  12. #12 Klaus Schmeh
    9. Februar 2021

    >Bei mir steht da gerade “Schauen Sie sich einmal das
    >hier verlinkte Familienfoto an (aus urheberrechtlichen
    >Gründen kann ich es leider nicht direkt in den Artikel
    >aufnehmen).” um dein Eindruck zu vermitteln, es
    >handele sich um einen teil des Artikels.
    Das ist ein Teil des Artikels. Leider stört die Werbung manchmal, aber sie ist eben die einzige Einnahmequelle.

  13. #13 Rallinger
    .lu
    9. Februar 2021

    @schlappohr
    Schon damals war meine Vermutung eine etwas andere. Nämlich, dass die ‘Schlapphüte’ mit der Bitte an die TrueCrypt Foundation herangetreten sind (vorsichtig ausgedrückt), eine Backdoor einbauen zu dürfen, die TCF da aber nicht mitspielen wollte und nur den Ausweg sah, sich durch ein kurzes, nicht weiter kommentiertes “WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues” aus der Affäre zu ziehen.

    Ein anderes, denkbares Szenario wäre auch, dass die Entwickler tatsächlich eine existierende Backdoor gefunden haben und deswegen die Notbremse zogen. Nun sahen die Schlapphüte ihre Felle schwimmen, also wurden eilig Security Audits einberufen, die alle zum Ergebnis kamen, TC sei sicher. Audits unter Mithilfe von Fachleuten wie zB. Appelbaum. Ein Schelm, wer Böses denkt…

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 2010 übrigens TrueCrypt auch analysieren lassen, die Ergebnisse blieben aber 9 Jahre unter Verschluss.

    Links:
    Arstechnica:TrueCrypt audit finds no evidence of backdoors or malicious code
    Matthew Green, CryptographyEngineering: Truecrypt Report
    Der Spiegel: BSI hielt Bericht über Verschlüsselungssoftware unter Verschluss
    fragdenstaat.de: Antrag auf Freigabe der TrueCrypt Analyse ans BSI
    BSI: Sicherheitsanalyse TrueCrypt (PDF, 1.57MB)

    Fast alles zum Fall Powell findet man bei The Cold Podcast sowie bei Reddit.

  14. #14 schlappohr
    10. Februar 2021

    @Rallinger
    Damals gab es ja die wildesten Spekulationen:
    “…is _N_ot _S_ecure _A_s it may contain …” usw.

    Danke für die Links. Das ist ja wirklich interessant: Das BSI weist zusammen mit Fraunhofer nach, dass trueCrypt tatsächlich Mängel enthält, und hält den Bericht dann jahrelang zurück, obwohl TC in Deutschland auch ziemlich verbreitet war. Und das mit dem Verweis auf die Urheberrechte? Sie hätten zumindest sagen können, Leute, lasst die Finger davon. Welche Mimikry steckt da wohl dahinter?

  15. #15 Rallinger
    .lu
    10. Februar 2021

    @schlappohr

    Noch eine kleine Anekdote:

    Damals, 2014, war ich häufig in einem NetSec Chatroom im IRC in dem auch die User ‘arma’ (Roger Dingledine) und ‘ioerror’ (Jacob Appelbaum) verkehrten. Hauptthema im Chat im Mai/Juni war ein Artikel, der die Finanzierung des Tor Projektes durch die Regierung offenlegte (inkl.der Gehaltslisten von arma/ioerror) und natürlich: TrueCrypt.

    Mitten in einer Diskussion über mögliche Backdoors der NSA in TC schrieb arma dann “losing access to tc encrypted volumes isn’t their biggest concern anyway”. Meine Frage daraufhin, ob “losing” nicht aber impliziere, dass man vorher “access” besessen haben müsse, blieb unbeantwortet…

    Kurz später wurde dann klar warum TC nicht mehr “their biggest concern” war: Alexander Volynkin und Michael McCord, zwei IT-Experten der Carnegie Mellon University, hatten angekündigt, auf der im August stattfindenden Black Hat Conference einen Vortrag halten zu wollen mit dem Titel: ‘You Don’t Have to be the NSA to Break Tor: Deanonymizing Users on a Budget’

    Das wurden ihnen allerdings Ende Juli 2014 dann untersagt, womit das Tor Project natürlich nichts zu tun haben will.

    Wieder mal: Ein Schelm, wer Böses denkt.

    Der oben erwähnte Artikel:
    Almost Everyone Involved in Developing Tor was (or is) Funded by the US Government

    Die Ankündigung des Vortrags:
    Hackers can break Tor Network Anonimity with USD 3000

    Die Absage:
    Anwälte sagen Black-Hat-Vortrag zu Tor-Schwachstellen ab

    Das Statement des Tor Projects:
    Tor Project Claims FBI Paid Carnegie Mellon $1 Million To Deanonymize Tor Users

  16. #16 HardiK.
    11. Februar 2021

    Es ist doch absurd, wenn man Verschlüsselung beklagt, wenn die Verschlüssellung auf dem PC (oder anderem Desktop-System, wie es auch das Smartphone eines ist), erst nach der Systemebene wirksam wird. Dann ist die Verschlüssellung im Zweifelsfall unnütz und nur für den Häcker von nebenan wirksam, wenn der nicht auf System-Ebene zugreifen kann, sondern erst auf die verschlüsselte Nachricht.
    Es scheint unmöglich, jeden Computer auf diese Weise zu überwachen, aber es ist eben nicht unmöglich, sondern nur eine Frage der Plattform-Konstitution. Betriebssysteme könnten auf dem zu überwchendem PC algorythmen laufen lassen, die Eingaben (primär über Tastatur) auf Verdächtigkeit prüfen. Der Nutzer bezahlt dann seine eigene überwachung selbst, indem er seinen eigenen Prozessor arbeiten lässt. Das ist eine inzwischen seh rübliche Strategie und Zielsyetzung im modernen Kapitalismus: Lasse den Konsumienten selbst für die Produkte (und für alle anderen Interessen) aufkommen. Denn er ist ja auch der Verursacher des (irgendwelchen) Bedarfs.
    So war das ja auch mit der Einführung des Mobilfunks und der ganzen Infrastruktur: Innerhalb kürzester Zeit durch den kunden per hohen Gebühren amortisiert und dann gabs nur noch “Profite”…. und die synergetischen Mehrwerte einer solchen Vernetzung (Echtzeitspionage des bis dahin nur unzureichend gläsernen Menschen).

    Mit dem ganzen “Krisenschauspiel” bezüglich der Gefahren durch Verschlüssellung wird dieses Detail der zentralistischen Spionage und Herrschaft (durch Manipulation über die selben Echtzeit-Netzwerke) einfach als Inexistent suggeriert, als ob es nicht existierte und Menschen tatsächlich in der Lage wären, eine Spionage wirksam zu umgehen, indem sie dafür hergestellte und programmierte Sicherheits-Software kaufen und einsetzen.

    Dabei sind die meisten Sicherheitsstrukturen auf digitalen Systemen nur wirksam gegen den Häcker von nebenan, der aus Langeweile eben mal versucht, des Nachbarn Eigenleben zu durchstöbern.

    ich bin daher dafür, das man die Gesetze zur Privatssphäre ändert und praktisch alle digitalen Systeme offen zugänglich macht, damit die Wirklichkeit quasi-demokratisch eingesehen werden kann…. von jedem, der interesse daran hat.

    Das ist so ähnlich, wie mit den demokratisch nicht legitimierbaren Existenz von Geheimdienstenin demokratischen Staaten. Wenn “Freiheit”, dann auch Freiheit für alle.

    Wenn aber dieser Menschheit die Privatissphäre noch etwas Wert ist, dann müssten sie einen Software-Tüv einfphren, der Software prüft und dann bedürfte es noch einen digitalen mechanismus, der verhindert, das Code nachträglich verändert wird, damit nicht, wie es derzeit der Fall ist, randomly und unklar gerechtfertigt sogenannte “Updates” aufgespielt werden, deren Sinn nicht mehr detailiert feststellbar ist.

    Diese Art “update-Kultur” ist selbst Teil der seltsamen Software-Welt und womöglich auch Teil der Spionage-Netzwerke.
    In fast keiner relevanten Software kann man heute Updates ausschalten. Die Softwareaktuallisierung ist ein Zwangsakt, der nicht mehr erhindert werden kann (ohne tiefere Kenntnisse und zuweilen gar nicht mehr).

  17. #17 bombjack
    11. Februar 2021

    […]ich bin daher dafür, das man die Gesetze zur Privatssphäre ändert und praktisch alle digitalen Systeme offen zugänglich macht, damit die Wirklichkeit quasi-demokratisch eingesehen werden kann…. von jedem, der interesse daran hat.[…]

    Machst Du mir Deine Bankdaten, Passwörter und die Photo-TANs zugänglich von Deinem Konto? Ich hab da nämlich Interesse daran…

    bombjack

  18. #18 Rallinger
    .lu
    11. Februar 2021

    ich bin daher dafür, das man die Gesetze zur Privatssphäre ändert und praktisch alle digitalen Systeme offen zugänglich macht, damit die Wirklichkeit quasi-demokratisch eingesehen werden kann…. von jedem, der interesse daran hat.

    Nach Kerckhoff’s Prinzip, nachdem nur der Schlüssel, nicht aber das System geheim sein darf, ist diese Forderung natürlich absolut richtig.

    Allerdings gibt es da ein großes Problem: Bis auf sehr wenige Ausnahmen werden selbst den Interessierten die Mechanismen der modernen Kryptografie als ‘kryptisch’ erscheinen. Ich denke zB. nicht, dass auch nur 1% der aktuell über 1,5 Milliarden WhatsApp-Nutzer die genaue Funktionsweise der zugrundeliegenden Ende-zu-Ende-Verschlüsselung versteht.

    Ich zweifle Kerckhoff’s Prinzip sicher nicht an, es hat gegenüber seines Gegenteils Security through Obscurity natürlich viele Vorteile. Diese Vorteile zeigen sich aber umso deutlicher, je kleiner und ‘wissender’ die Userbase ist.

    Nun sind wir, die Nutzer, aber schon lange nicht mehr der verliebte Junggeselle, der sich selbst ein Chiffrierverfahren ausdenkt um seiner Angebeteten eine Nachricht zukommen zu lassen. Vielmehr sind wir wie ein Soldat, der eine Enigma benutzt ohne ihr Prinzip zu verstehen. Gibt man ihm eine neue Walze ändert sich für ihn nichts: er versteht das Prinzip trotzdem nicht.
    Heutzutage nennt man eine neue Walze ‘Update’.

    Wenn aber dieser Menschheit die Privatissphäre noch etwas Wert ist, dann müssten sie einen Software-Tüv einfphren, der Software prüft […]

    Dazu stelle ich nur die Frage in den Raum, die Juvenal bereits vor fast 2000 Jahren formulierte:

    Quis custodiet ipsos custodes? – Wer wird die Wächter bewachen?

  19. #19 HardiK
    12. Februar 2021

    @
    #17 bombjack
    11. Februar 2021

    Manche (viele?) Menschen meinen anscheinend wirklich, das mit Polemik jedes Problem gelösst werden kann.

  20. #20 HardiK.
    12. Februar 2021

    @

    Dazu stelle ich nur die Frage in den Raum, die Juvenal bereits vor fast 2000 Jahren formulierte:

    Quis custodiet ipsos custodes? – Wer wird die Wächter bewachen?

    Prinzipiel: Die Gesellschaft als solche. Indem sie Autorität nur zulässt, wenn sie loyal und kooperativ ist.

    Wenn das nicht funktioniert, dann ist die ganze Idee mit der Demokratie und dem üblichen Kanon der freien “Gesellschaft” sowieso etwas falsch.

    Woraus man schliessen muß, das eine souveräne und unabhängige Existenz unmöglich ist.
    Woraufhin sich weiterhin ergibt, das man das Existenzrecht infrage stellen muß, weil die demonstrative Aufrechterhaltung einer Scheinwirklichkeit schlicht Lüge ist und…. automatisch dem Grundgedanken dieser Gesellschafts- und Politikfgormen widerspricht.

    Wenn also solche Ideale nicht gelebt werden (sondern nur scheinbar erlebt), dann muß diese moderne freie Welt eben aufhören zu existieren. Weil sie sich selbst belügt…in der Lüge lebt.

    Und jeden, der in sie hineinwächst, eine Welt vorspielt, die nicht existiert. Und die dorthineinwachsenden sich dann auf eine Welt einstellen und konditionieren, die so gar nicht funktioniert.

    Was geschieht mit Menschen, die den Beruf, den sie ausüben, gar nicht gelernt haben? Richtig: Sie beherrschen ihre Aufgabe nicht, weswegen sie nur “Scheixxe bauen”.
    Das Absurde in der Analogie ist aber nun : Weil wir alle daran glauben, das wir wissen, was wir tun und glauben, leben wir automatisch alle in “Abrudestan” (dier Erkenntnis kommt irgendwann im Leben zwangsweise – und viola: da sind dann die Querschläger…äh “Querdenker”…)

    Nun sind wir, die Nutzer, aber schon lange nicht mehr der verliebte Junggeselle, der sich selbst ein Chiffrierverfahren ausdenkt um seiner Angebeteten eine Nachricht zukommen zu lassen.

    Das ist eine typische Entwicklung, das wenn etwas neu ist, der Idealismus überwiegt, aber dann, wenn die Generation, die mit dem Neuen groß geworden ist und idealistisch bei der Entwicklung geholfen haben, auch erwachsen wird, stellen sich plötzlich existentielle fragen (Geld verdienen) oder ideologische Fragen (Weltsicht-verfestigungen/radikalisierungen aus dem liberalen herraus und in die parteiische Blase hinein), und dann hört auch der “mythos” vom idealistischen und gerechten Hacker auf zu existieren. Wenn begabte Hacker dann nicht für die ideale Sache arbeiten, sondern für Interessen von Großstrukturen (wirtschaftlich, politisch).

    Und richtig:
    Wenn Programmiercode evolviert, dann kommen selbst digital natives nicht mehr mit. Vor allem, wenn Software nicht mehr mit nur 100 MB auskommt, sondern eben viele Gigabytes groß ist.

    Es sdollte aber aufmerksam machen, das für die meisten Aufgaben so viel Code gar nicht notwendig ist.
    Können sie sich noch erinnern, wie es damals Wettbewerbe gab, bei denen Funktionen daran bewertet wurden, wie wenig Code dazu nötig war?

    Die Entwicklung ist in die vollkommen andere Richtung gelaufen, weil die Technologie (Rechenleistung,Datenspeichergröße) Diese effiziens-notwendigkeiten gar nicht mehr vorraussetzen.

  21. #21 bombjack
    13. Februar 2021

    @HardiK

    Vielleicht habe ich Dich falsch verstanden…aber mir ist dieser Satz von Dir sehr sauer aufgestoßen: […]Betriebssysteme könnten auf dem zu überwchendem PC algorythmen laufen lassen, die Eingaben (primär über Tastatur) auf Verdächtigkeit prüfen.[…]

    Diese Idee gab es schon mal und einer der Vertreter war/ist ein Herr Schünemann der 2012 sowas vorstellte: […]Das Konzept sieht vor, dass die auf den Rechnern von Endanwendern installierte Software deren Dateien beim Öffnen automatisch auf strafrechtlich relevante Inhalte abgleicht. Grundlage der per Hashwerte stattfindenden Überprüfung ist hierbei eine externe Datenbank, auf deren Inhalte die Software automatisch per Internet zugreift. Falls die vorgegebenen Hashwerte auf dem lokalen System auftauchen, kann eine automatische Löschung oder Veränderung der überprüften Daten stattfinden. Das Konzept sieht vor, dass Behörden die Hashwerte liefern und regelmäßig aktualisieren[…]
    Quelle Wikipedia unter dem Namen des Herren…und auf so Ideen reagiere ich sehr sehr allergisch….weil wie man da sieht ähnliches durchaus in Gehirnen von Law-and-order-Fuzzies vorhanden ist….

    oder wie hast Du beide Teile gemeint?

    bombjack

  22. #22 HardiK.
    10. März 2021

    #21 bombjack
    13. Februar 2021

    Ich habs schon so oder so ähnlich gemeint.

    ich denke mir aber nicht (nur) Strafrechtliche Relevanz, sondern auch andere Interessen, die man strategisch mit Taktiken dieser Art umsetzen könnte. Politische, soziale,wirtschaftliche..”pädagogische”…
    Kontroll- oder/und Manipulationsmaßahmen aller Art sind denkbar.

    Manchmal steht etwas zur Diskussion und dann gibt es Kritik und dann… wird es doch in die Hardware oder/und Software eingebaut. Ganz klammheimlich…oder unter einer anderen Erklärung: wegen der Bedienungsfreundlichkeit etwa (nur eben wessen Bedienungsfreundlichkeit?), oder weil man eh ein feature mehr implementiert, das einen Sinn für den User ergibt, aber Zusatzfunktionen aus Routing- oder Hardware-Ebene besitzt.

  23. #23 Rich SantaColoma
    https://proto57.wordpress.com/2016/03/23/the-modern-forgery-hypothesis/
    30. März 2021

    I agree with BombJack, “… denn ich betrachte eine Festplatte als eine Erweiterung meines Gehirns und damit zum Kernbereich der Privatsphäre gehörend…”

    I think that every human has a right to their private thoughts, and not be compelled to only hold those thoughts they are able to memorize. They should be allowed to write them and store them, also, and have them be totally private.

    I am VERY much against… and always have been, long before the computer… the laws which allow the police and courts to seize diaries to look for evidence of a crime. This appalls me. I often wonder how many law abiding people, along with criminals, do not keep diaries because of this. I am an honest person who does not break the law, or tries not to… but I would NEVER keep a diary.

    But I have considered keeping an encrypted diary. I am reminded of this by Klaus’s post, and the great comments here.

    We have a right to our private thoughts, and private actions. I do hate that criminals will always misuse the ability to encrypt evidence of their malicious activities, but freedom is messy and dangerous sometimes.

    On Apple and their refusal to help crack their own phones: In two instances cited, law enforcement could suddenly do it themselves? I personally do not believe this… it strains credibility. I think Apple did it secretly, for the police, with a non-disclosure agreement. I think we will see more such cases in the future… Apple says “no”, the police somehow do it “by themselves”. Sorry, I do not buy that.

  24. #24 Hans-Heinrich Eppendorf zu Eppendorf
    Leuk Stadt
    14. April 2021

    Datenverschlüsselung ist wichtig, weil ein PC faktisch die Auslagerung des eigenen Geistes, der Gedanken, des Seins, usw. sein kann. Dass die Verschlüsselung eines Computers nicht geknackt werden kann/sollte, ist für mich selbstverständlich. Und wer es trotzdem probiert, und es nicht fertigbringt (Sicherheitsbehörden, wie Polizei, Geheimdienste, Anwaltschaften, usw.), sollte dann den Mund halten und nicht rumjaulen, dass es nicht geht. In einen Kopf kann man schliesslich auch nicht so einfach mal eben reinglotzen.

    Nur gut, dass ich selbst persönlich, wohl die perfektesten Verschlüsselungsmechnismen selbst entwickelt habe, die ich nutze. So gut, dass selbst die Existenz einer solchen nicht nachgewiesen werden kann. Das ist wichtig, wenn man mit vertraulichen Daten über Ländergrenzen reist, wo das “rumschnüfflen” gar angeordnet wird und der Verweigerer unter Strafandrohung erpresst wird, endlich zu reden.

  25. #25 Wandee Thaweetham
    Chanthaburi - Thailand
    13. April 2022

    In my opinion we have enough laws that permit government law enforcement agencies to gain access to our comunications. These laws permit to intercept letters, faxes, phone calls etc as long as these intercepts are authorized by a judge. A judge will not agree to sign a warrant based on rumors or a feeling, but will require some form of evidence supporting a claim by law enforcement officers that a crime or crimes have been committed or are at the planning stage. For each individual a separate warrant is required.
    What we see at the moment is by certain politicians and interest groups to push the boundaries of the law and providing a system which doesn’t require a judge anymore, but permits to search digital documents, messages and listen into digital phone calls without the need for warrants. The arguments to support this push are indeed very weak and are the rising figures in crime, organized crime, terrorism. For adding a moral impetus crimes against children are thrown in for good measure. However, looking at statistics there is no increase in crime and the numbers are only larger, because more items have been added to the law books, which until then we’re not recorded.
    Instead of preventing crime the supporters of these changes to the law, prefer to catch the criminals after committing their crimes. For decades cutbacks in human resources have been undertaken, but on the other hand a surveillance net of cameras been placed in our communities. Sure these cameras will record crimes, but an officer on the beat there might have prevented them.
    What changes to the privacy laws will achieve is a society where the exchange of opinions will be suppressed, because what we might write or say here and now might be held against us in the future if the political wind changes.