Elektronische ÜberwachungBundesregierung verweigert Auskunft zu deutschen Geheimdiensten

Können deutsche Geheimdienste PGP entschlüsseln? Das suggeriert eine Antwort der Regierung auf eine kleine Anfrage der Linkspartei. Viele Fragen zur „strategischen Fernmeldeaufklärung“ will man jedoch nicht öffentlich beantworten.

Deutsche Geheimdienste haben im Jahr 2010 über 37 Millionen E-Mails überwacht. Das hat mehr Fragen als Antworten aufgeworfen, die die Linksfraktion im Bundestag der Bundesregierung gestellt hat. Jetzt ist die Antwort da und überrascht vor allem mit folgender Aussage:

Frage: Ist die eingesetzte Technik auch in der Lage, verschlüsselte Kommunikation (etwa per SSH oder PGP) zumindest teilweise zu entschlüsseln und/oder auszuwerten?

Antwort: Ja, die eingesetzte Technik ist grundsätzlich hierzu in der Lage, je nach Art und Qualität der Verschlüsselung.

Wir spekulieren mal lieber nicht mit, das kann gerne in den Kommentaren geschehen.

Interessanter ist, was die Regierung nicht sagen will:

  • Mit welchen technischen Verfahren man Kommunikation überwacht? Geheim.
  • Von welchen Firmen man Überwachungstechnologie kauft? Geheim.
  • Wie viele Mitarbeiter für die Überwachung zuständig sind? Geheim.
  • Wie viel die Überwachungsmaßnahmen kosten? Geheim.
  • Wie viele „Telekommunikations-Verkehre“ gefiltert werden, um aus 37 Millionen Mails 213 Hinweise zu erhalten? Geheim.
  • Wie man bei E-Mails zwischen inländischen und ausländischen unterscheiden will? Geheim.
  • Wo und wie lange Treffer gespeichert werden? Geheim.
  • Wo die Überwachungshardware vom BND steht? Geheim.
  • Ob man den Internetknoten DE-CIX überwacht? Geheim.
  • Ob man mit Providern zusammen arbeitet? Geheim.

Die Abgeordneten Jan Korte und Andrej Hunko ziehen in ihrer Pressemitteilung folgende Schlüsse:

Das Ausmaß der elektronischen Überwachung durch die deutschen Geheimdienste ist vermutlich viel größer als bislang angenommen. Es ist zudem unklar wie sichergestellt wird, dass die Geheimdienste sich tatsächlich auf die Überwachung einer ‚erlaubten‘ Quote von 20 Prozent der digitalen Kommunikation beschränken: Denn die vier Provider sind gegenüber dem Bundesnachrichtendienst zur vollständigen Übergabe aller Daten verpflichtet.

Angeblich habe die elektronische Schnüffelei ‚wesentlich zur Aufklärung oder Abwehr schwerer Straftaten beigetragen‘. Die Bundesregierung selbst trägt jedoch nichts zur Erhellung dieses groß angelegten Angriffs auf die informationelle Selbstbestimmung bei: Wesentliche Aspekte werden in der Geheimschutzstelle des Bundestages hinterlegt und damit der öffentlichen Diskussion entzogen. Abgeordnete dürfen die geheim gehaltenen Informationen nicht durch Netzaktivisten, Bürgerrechtler oder Anwälte bewerten lassen.

Stattdessen werden wie von autoritären Regimes Anwendungen der deutschen Firmen Utimaco, Ipoque oder Trovicor genutzt, um möglichst tief in die private digitale Kommunikation einzudringen. Ich gehe davon aus, dass der Auslandsgeheimdienst auch ausländische Rechner mit Trojanern ausspioniert.

66 Ergänzungen

  1. Ihr seid vielleicht naiv.??
    Wenn ich das schon wieder lese: Zitat „Das Ausmaß der elektronischen Überwachung durch die deutschen Geheimdienste ist vermutlich viel größer als bislang angenommen. “

    Glaubt ihr denn wirklich, das sich diese Regierung und deren Unterorganisationen derart über die Schulter schauen lässt?
    Was wir brauchen ist eine waschechte Revolution, merkt ihr nicht das die bereits alles geplant haben: Einschränkung der Versammlungsfreiheit, ähnlich wie in Spanien und Kanada, oder wie neulich auch schon in Frankfurt.
    Schäuble und Konsorten sind auf EU Ebene, dabei, die gesetzlichen Rahmenbedingungen zu schaffen um jeden Keim schon im Ansatz zu ersticken.

    1. „waschechte Revolution“ haben zumeist die unangenehme eigenschaft, dass danach die als Konterrevolutionaere verdaechtigten ueberwacht werden. Also erklaer mal, wie eine solche Revolution eine staerkung der Buergerrechte bringen soll. Oder verwendest du das wort nur so wie eine Marketingmetapher?

      1. Das ist meine Antwort…

        Passiver Widerstand, ein paar Gedanken dazu.
        Die Grundnahrungsmittel in der Umgebung kaufen, achtet auf „Faire Trade“, wie zum Beispiel bei der Teekampagne, in Berlin.
        Kauft keine neuen Autos mehr, denn die alten sind meist viel billiger. Das ist mein Spezialgebiet, ihr könnt mir glauben, dass die neuen Autos allesamt eine hightech wegwerf Ware darstellen.
        Glaubt nicht an den Quatsch von Abgasnormen, niedrigeren Co2 Ausstoß.
        Das ist wie mit der Feinstaubplakette und vielen Anderem auch, eine absolute Verarschung.
        Breitbandbildschirme, Handys, PC´s auch mal ein paar Jahre länger benutzen, viele techniche Geräte braucht sowieso kein Mensch.
        Keine Markenklamotten mehr, erteilt Gucci, Boss, und Armani eine klare Absage
        Keine Aktien und Börsenspekulationen, nehmt nicht vorschnell Kredite auf, am besten ihr verzichtet ganz darauf.
        Vergesst nicht, dass unser gesamtes System auf Kredite und unbegrenztes Wachstum aufgebaut ist.
        Treibt wieder Tauschhandel wenn irgend möglich.
        Das gleiche gilt für die Kreditkartenbenutzung, benutzt wieder Bargeld, das ist nicht zurück zu verfolgen.
        Erteilt dem Konsum eine klare Absage!
        So bekommt man dass System in die Knie.
        Schaut mal nach, ob ihr wirklich all Eure Versicherungen überhaupt braucht, die ihr Euch in all den Jahren angeschafft habt.
        Wenn die Menschen nur noch das kaufen würden, was sie wirklich benötigen, wird sich dieses System ganz schnell als ad acta bestätigen.
        Ach, und holt euer Geld von der Bank, falls ihr noch welches habt…;

  2. Ich bezweifle, dass die Aussage „Ja, die eingesetzte Technik ist grundsätzlich hierzu in der Lage, je nach Art und Qualität der Verschlüsselung.“ irgendetwas über die Entschlüsselung von PGP etc. aussagt. „Je nach Qualität“ kann alles mögliche bedeuten. Wenn die Technik problemlos 128-Bit-RSA-Keys faktorisieren kann, ist die Aussage schon erfüllt. Das sagt jedoch gar nichts über Schlüssel mit grösseren Bitlängen aus…

    1. Es kommt immer darauf an wer den PGP Code Implementiert oder das Programm dafür Programmiert , mit Hintertüren nützt auch 1024 oder höherer Bit-RSA-Code nichts.
      Es bleibt eigentlich nur „Open-Source“ Programme oder Routinen , nur sollte man sich da auch nicht sicher sein wie vor einiger Zeit einige Bugs bewiesen , ob diese mit Absicht dort plaziert wurden, wer kann es schon sagen….?
      Zur Sicherheit wird wohl auch kaum jemand einen PHP Code selbst kompilieren und mit wem dann die Anbieter zusammenarbeiten?

    2. fragt sich noch was die geheimdienste unter entschlüsselung verstehen. vielleicht meinen sie, dass sie den sender und empfänger entschlüsseln können ;)
      und ehrlich gesagt, der BND hat um die 6000 mitarbeiter und ein budget von gut 500 mio € da sind für sinnvolle datenauswertung und datamining auch nicht soviel eingeplant. und das sie wieder auf externe firmen zurück greifen zeigt auch wieder wie degeneriert und ausgedünnt der mitarbeiterstab in der beziehnung ist.

      1. Dafür benötigt man keine 1000 Mitarbeiter mehr sondern nur die richtige Software und Suchalgorithmen…. oder wieviel Mio Mitarbeiter hat zb. Facebook um Konten und Pofile von ca 1Mrd Menschen zu Verwalten ?

  3. Man kann daraus auch den gegenteiligen Schluss ziehen: Grade Geheimdienste sind oft daran interessiert, dass sie möglichst stark erscheinen. Wer nimmt schon einen Geheimdienst ernst, der sagt, dass er im Prinzip machtlos ist?
    So ein Geheimdienst hat auch auf internationaler Ebene verloren: Als ausländischer Geheimdienst würde ich an so jemanden bestimmt keine wirklich vertraulichen Daten weiter geben.

    Aus der Antwort kann man zuverlässig nur einen Schluss ziehen: Nichts genaues weiß man nicht.

  4. Grundsätzlich gilt:
    Alles was machbar ist wird gemacht.
    Solange es keine echte Kontrolle über die Geheimdienste gibt machen sie alles was möglich ist.
    Allerdings bezweifle ich doch stark das Geheimdienste egal welcher Nation in der Lage sind ohne die privaten Keys und die Keysätze eine PGP verschlüsselte mail zu entschlüsseln.
    SSL sieht wieder anders aus, da könnte man sich schon man in the middle zusammenbasteln oder einen ungepatchten Exploit ausnutzen.
    Stellt sich halt die Frage warum sie einen Staatstrojaner brauchen, wenn sie doch laut Auskunft sowieso schon alles entschlüsseln können ?
    Ein Schelm wer sich dabei was denkt :-P

    1. Passwort-Bruteforce/pw-listen
      schau dir nur die fülle an pw-listen im umlauf an,
      gescheite passwörter sehen anderst aus

      1. Und was nützen die Dir wenn Du den private-key nicht hast ?
        Einfach mal RTFM:
        http://www.pgpi.org/doc/pgpintro/
        Selbst wenn ich den Behörden meine Pass-Phrase nenne können sie ohne den private key nichts entschlüsseln.
        Es ist also keine reine Frage der Pass-Phrase Sicherheit !
        Ob ich nun „Sonnenblume“ als Passwort habe oder „lkdedhfd tvireu iu484wh er jtncg ir toewo “ ist für die Entschlüsselung seitens Dritter irrelevant …
        Es ist zwar auch theoretisch möglich den private key zu rekonstruieren, nur wird bei PGP ja nicht ausschließlich die Pass-Phrase zur Generierung genutzt, daher ist von einem erheblichen Aufwand auszugehen.
        Und ich persönlich denke das die Geheimdienste eher Geld in rechtsradikale V-Männer stecken, als in Großrechner :-P

  5. Man sollte sich halt daran Gewöhnen
    „Die besten Zeiten des Internet sind wohl Vorbei“
    wird Zeit für etwas Neues …. ;-)

    1. Das ließe sich auch verallgemeinern zu:
      – Die „besten“ Zeiten des Kapitalismus sind wohl vorbei…
      – Die besten Zeiten der repräsentativen Demokratie sind wohl vorbei…
      – Die besten Zeiten der Biosphäre sind wohl vorbei (28% der Tierarten bereits ausgerottet)…
      usw.

  6. Vielleicht hilft es, die Nadel im Nadelhaufen zu verstecken? Also alles rein unter jede Email was die Sniffer anspringen lässt.

    Gibt es da irgendwo ’ne vorbereitete Sammlung von Keywords?

    Vieleicht mal zwei Mailserver mit „Nadel“-Mails“ permanent untereinader kommunizieren lasse – natürlich per Email.

    P.S.: nicht Naddel-Mails ;-)

  7. habs schon mal gesagt in einem anderen zusammenhang. es dauert nicht mehr lange, bis wir die brut aus ihren löchern holen und aus ihren überbezahlten „jobs“ schmeissen. in der freien wirtschaft würden sie wahrscheinlich am hungertuch nagen oder hartz4 bekommen, diese elendsversager von politdummies.

  8. Was bedeutet es, wenn 20% des Datenverkehrt näher untersucht wird?

    Wenn ich vermute, dass Videos und Bilder größtenteils vernachlässigt werden, könnte das bedeuten, dass sonstiger Datenverkehr fast zu 100% überwacht wird.

    Dann wäre der Überwachungsstaat schon längst Realität.

    1. Wenn Du Mengenmäßig Streams, Video und Bild Transfers ausfilters bleiben schon weniger als 20% Volumen übrig. damit kannst Du davon ausgehen, dass dieser restliche Teil vollständig überwacht wird.

      Zum Thema Verschlüsselung.

      Bei komerziellen Produkten made in USA gehe ich davon aus dass alles was mit Schlüsseln von 128Bit++ arbeitet geschwächte Schlüssel erstellt. Das ist jedoch nicht ohne weiteres nachweisbar. Mit solchen Manipulationen wäre auch PGP angreifbar. Es gibt in den USA immer noch das Exportverbot für „starke Verschlüsselung“ dazu heißt es in einer Richtlinie, dass Produkte für den Export, Bei Verschlüsselungsstärken über 128Bit mit geschwächten Schlüsseln auszurüsten sind. Damit können also alle kommerziellen Produkte großer Firmen vom Nördlichen Amerika sich daran halten werden.

      Ob es den Schlapphüten inzwischen gelungen ist, schwächenden Code auch in Opensource Produkte einzuschleusen ist ungewiss. bei bereits kompilierten Versionen, die von dort stammen könnten wäre ich aber vorsichtig! Es wäre fast nicht nachweisbar.

      Ausserdem gilt sowieso, dass Computer die sicher ver/entschlüsseln sollen, erst einmal sicher eingerichtet sein müssen. Dies ist nach heutigen erkenntnissen nur noch mit OpenSource überhaupt möglich. Alles andere muss als kompromittiert betrachtet werden! Opensource aus USA (Linux Distributionen zbsp.) sollte man ebenfalls genau prüfen, bevor man da Vertrauen reinsetzt.

      Es wäre also sehr sinnvoll für solche Systeme am besten vollständig selbst kompilierte Systeme zu verwenden, deren Source aus geprüften Quellen stammt. Ein modifizierter Compiler wäre hier ein sicheres Einfallstor, da man den so gut wie nicht prüfen kann!

  9. Der Kommentar von „Mingfu“ im Golem-Forum bringt es auf den Punkt:

    Die Anfrage lautete, ob die eingesetzte Technik verschlüsselte Kommunikation zumindest teilweise entschlüsseln und / oder auswerten kann. PGP und SSH wurde lediglich als denkbare Beispiele aufgeführt.

    Die Antwort lautet schwammig: „Ja, die eingesetzte Technik ist grundsätzlich hierzu in der Lage, je nach Art und Qualität der Verschlüsselung.“ – Die Technik ist also grundsätzlich in der Lage verschlüsselte Kommunikation zumindest teilweise zu entschlüsseln oder auszuwerten. Auf die Beispiele wurde dabei gar nicht eingegangen.

    Jetzt schauen wir nochmal genauer hin: Als erstes sollte das Wort „grundsätzlich“ stutzig machen. Im juristischen Kontext dreht dieses Wort die Bedeutung weitgehend um. „Grundsätzlich“ geht etwas, aber… – es bedeutet demnach, dass es eigentlich fast nie geht. Die Bundesregierung gibt also zwischen den Zeilen zu erkennen, dass sie gängige Verschlüsselungsverfahren nicht aushebeln kann. Alles Andere wäre auch ein Wunder – dass ausgerechnet deutsche Geheimdienste sich kryptographisch hervortun, ist bisher nicht bekannt. Und dass, falls dem so wäre, auch nichts durchsickert, wäre ebenfalls unwahrscheinlich.

    Der zweite Punkt ist der, dass die Frage zu blöd gestellt war. Denn die Frage hieß ja, ob man verschlüsselte Kommunikation teilweise entschlüsseln oder auswerten kann. Denn selbstverständlich kann man auch verschlüsselte Kommunikation auswerten ohne die Verschlüsselung zu knacken. Zum Beispiel kann ja auch schon interessant sein, wer, mit wem, wie viel kommuniziert. Dazu brauche ich die Verschlüsselung gar nicht knacken und kann trotzdem was auswerten.

    Und der dritte Punkt ist der, dass natürlich bekannte Sicherheitslücken in verschiedenen Verfahren (ggf. auch in älteren Versionen, z. B. auch bei SSH) genutzt werden können, um Inhalte zu entschlüsseln. Es wird ja in der Antwort nicht darauf eingegangen, was man tatsächlich entschlüsseln kann. Eventuell testen sie auch nur, ob sie mit ROT-13 beim Entschlüsseln Erfolg haben und hatten tatsächlich mal einen Zufallstreffer…

    1. wäre ich ein Hacker mit dem gezielten Wunsch eine bestimmte Qulle Ziel Verbindung abzuhören, würde ich beim heutigen Stand der Technik, gar nicht erst versuchen sie Verschlüsselung zu brechen, da viel zu aufwändig. vielmehr würde ich versuchen Quelle oder Ziel direkt anzugreifen um entweder Die Kommunikation vor der Verschlüsselung oder nach der Entschlüsselung abzugreifen, oder noch einfacher mindestens auf einer Seite versuchen die Schlüssel und evtl. Paswörter abzugreifen. Da fast jedes System dem Geheimdienst bekannte Schwachstellen aufweist, ist eine gezielte Überwachung und Spionage fast immer erfolgreich.
      Eine grundsätzliche Überwachung bei guter Verschlüsselung ist es hingegen nicht, solange man nicht die Schlüssel abgreifen konnte!

  10. auch Brieftauben mit Rot13-verschlüsselten Nachrichten sind verschlüsselte Kommunikation.
    Der Fehler lag in der Fragestellung. Man hätte halt direkt nach GPG/SSH fragen sollen und nicht nach „Verschlüsselte Kommunikation“ und 2 Beispiele angeben sollen wie solche evtl. aussehen könnte.

    Da könnte selbst ich nicht anders drauf antworten als „Ja, kommt drauf an was womit genau verschlüsselt ist“.

  11. Das heißt noch lange nicht, PGP sei geknackt.

    Das „Ja“ in der „überraschenden Aussage“ kann bei dieser uneindeutigen Fragestellung („etwa PGP“ und „entschlüsseln und/ODER AUSZUWERTEN“) als Antwort auf „oder auszuwerten“ gelesen werden und bedeutete dann z.B. die Metadaten wie z.B. wer wann mit wem wo wie oft (das ist natürlich schon ausreichend sensibel) auszuwerten, nicht unbedingt die Inhalte!

    1. „Das heißt noch lange nicht, PGP sei geknackt “

      Diese allgemeine „Petaflops- Superrechner“ Wettrüsten der Staaten benötigt man ja auch nur zur besseren „Wettervorhersage“ wie allgemein Behauptet …..

  12. Ich frage mich bei so was immer, wie oft die Antwort eigentlich lauten muesste:
    „Tut mir leid, aber die Beamten wollten keine klaren Auskuenfte geben!“

  13. Kann jeder. Die Frage ist, ob man es grundsätzlich machen will. Brauchen Sie noch diesen Finger?

  14. Na super! Da wird eine Behörde was gefragt und sie funktioniert ausnahmsweise indem sie alles „geheim“ hält. Die würden sich ja sozusagen selbst ad absurdum führen wenn sie es nicht täten.

  15. Naja bei Frage 1-4 und 8-10 kann ichs schon verstehen. Was soll der BND da sonst bitte sagen, ein Geheimdienst der seine Art zu arbeiten offenlegt oder Rückschlüsse darauf zulässt, ist halt auch ein bisschen dämlich ;-)

    Frage 5-7 würde mich aber auch mal interessieren, da könnten die ruhig gesprächiger sein, vorallem Frage 6.

  16. Das Geheimdienste in vertretbarer Zeit Texte entschlüsseln können, welche mit modernen Verfahren verschlüsselt wurden, dem würde ich keinen Glauben schenken. Es gibt eine ganze Menge Wissenschaftler welche an diesem Thema arbeiten und bisher gibt es doch nicht einmal vernünftige Ansätze, wie so ein Angriff überhaupt aussehen sollte. Dieses Problem ist von der mathematischen Seite so schwierig, dass es nicht mit Geld gelöst werden kann. Die Lösung hängt von wenigen Spitzenforschern ab, welche sicherlich nicht alle gekauft wurden.

    1. Unsinn. Es ist allgemein bekannt, dass sich z.B. amerikanische Geheimdienste Programmierer krallen, die bestimmte Crypto-Implementierungen dahingehend manipulieren, dass etwa bestimmte „Zufallszahlen“ vorhersagbar sind. Dann noch „etwas“ Rechenleistung dazu… schwupps. Passt. Gerade der Mythos vom „sicheren Open Source“ hat sich hier als busted erwiesen.

      1. *lol*
        Wenn ich Opensource habe kann ich ja genau so eine Manipulation erkennen, ich glaube kaum das das nicht sofort in einschlägigen Foren die runde machen würde :-P

      2. Was soll denn bei Verschlüsselung sicherer sein als OpenSource?
        ClosedSource von Firmen, die dem am meisten Bietenden schon mal einen Gefallen tun (hustStuxnethusthust)?

      3. Sagen wir mal so, ein oder mehere geheime Rootkit im Windows würden vieles sehr vereinfachen.
        Natürlich würden amerikanische Dienste das niemals von einem US Unternehmen verlangen dessen Betriebssystem auf über 90% aller Rechner Weltweit läuft , zb auch auf Chinesische oder Russische?
        Sie kämen sicher niemals auch nur auf die Idee …..

      4. Opensource Schützt nicht per se vor manipuliertem Code. Jedoch ist nur bei Opensource überhaupt die MÖGLICHKEIT der Entdeckung einer Manipulation vorhanden! Dass es trotzdem manchmal erst viel zu spät auffällt erklärt, dass nur ein sehr kleiner Teil von Programmierern überhaupt die Fähigkeit besitzt solche Modifikationen oder „Bugs“ überhaupt zu entdecken!

  17. „Deutsche Geheimdienste haben im Jahr 2010 über 37 Millionen E-Mails überwacht.“

    Nach dem, was die Massenmedien berichtet haben, ist Eure Behauptung falsch: 37 Mio. ist NICHT die Anzahl der überwachten emails sondern die Anzahl der TREFFER, welche dann im Anschluß manuell ausgewertet werden. Bei 37 Mio. Treffern ist von einer 100% Überwachung der email-Kommunikation auszugehen. Eine manuelle Überprüfung von 37 Mio. emails: Dafür wird man schon so um die 1000 Leute brauchen. Das bedeutet 100% Überwachung wo das Grundgesetz 0% zuläßt. Das nenne ich Verfassungsbruch. Kraft kommt und geht. Und wenn dieser offene Verfassungsbruch nicht länger gedeckt wird, dann wird es für Gerichte eine Menge zu tun geben.

  18. Hmm. Stinkt ein bisschen nach erfolgreicher Anwendung von PSYOPS … dahinter kann man dann ungefähr alles verbergen … oder auch nichts …

  19. Meine Erfahrungen mit Justiz, Behörden und Politik sagen mir, ohne Intuition zu benutzen, dass alles ein vorprogrammierter Betrug ist. Ich kann alle nur raten, wenn Sie an ein Projekt arbeiten, wo Sie den Eindruck haben, damit Ihr Lebensunterhalt zu verdienen, sollten Sie Vorsicht sein; jemand „Unbekanntes“ kann Ihr Projekt auf den Mond patentieren und dann sind, wie üblich die Chinesen oder Terroristen schuldig, vielleicht auch Ausländern, Hauptsache Sie glauben alles was sie Ihnen weismachen wollen, denn das ist der Plan: Lasst euch nicht täuschen, wählt den richtigen Politikern und verlangt, dass sie auch ihre Versprechungen in die Tat umsetzen!

  20. Die hätten sagenkönnen, was sie wollten.
    1) „Nein, PGP-verschlüsseltes können wir nicht knacken“
    2) „Können wir alles prinzipiell entschlüsseln“
    Entweder stellt man mit der ersten Antwort direkt die Frage nach einer zukünftigen Existenzberechtigung oder man glaubt es einfach nicht: „die wollen uns doch nur was vormachen“.
    Der zweite Punkt ist wie „Wasser ist nass“. Natürlich kann ich jeden PGP-verschlüsselten Text „prinzipiell“ entschlüsseln. Ich bräuchte eben nur den Schlüsselsatz und die Passphrase.
    Was abseits davon geht, ist man sich weitgehend einige, dass es nur über Passwort-Rateattacken oder Rekonstruktion schwacher Zufallszahlengeneratoren geht.
    Auch wenn erwiesen ist, dass diee NSA dem allgemeinen mathematisch-kryptologischen Wissensstand einige Jahre voraus ist, kann bezweifelt werden, dass sie in allen wesentlichen Verschlüsselungssystemen hinreichende Schwachstellen gefunden haben.
    Die damalige Einflussnahme auf die S-BOX-Werte bei der DES-Entwicklung haben sich sehr viel später als kryptologische Verbesserung gegenüber den vorherigen Werten herausgestellt – die NSA hat also ganz entgegen der verbreiteten Vermutung den Algorithmus eben nicht geschwächt, sondern gegen die damals noch allgemein unbekannte differentielle Kryptoanlyse gehärtet.

    Also locker bleiben. Der BND ist meiner Meinung nach maximal auf der wissentschaftlichen Höhe der Zeit – und sicherlich nicht dem allgemeinen Wissenschaftsstand voraus. Also sind lange Passwörter sicher. Selbst die , die aus aneinandergereihten Lexikonworten bestehen sind wesentlich sicherer als kürzere, kaum zu merkende Sequenzen aus Buchstaben und Sonderzeichen.

    1. Dabei wird aber vergessen das heute im Gegensatz zu Früher oder was beim User auf dem Schreibtisch steht, Diensten heutzutage bis zu 10 +x Petaflops- Superrechner zur Verfügung stehen , Experten sagen in wenigen Jahren könnten es über 100 Petaflops werden.
      Wie stark sollte man denn dann das Internet Verschlüsseln und wird es nicht irgentwann Unwirtschaftlich immer mehr Rechnenleistung in tiefe Verschlüsselungen für eine einigermaßen sichere Kommunikation für „alle“ zu Investieren?

  21. Hey Leute

    bin zwar kein IT-Fachmann, aber gewöhnt euch doch mal an, beim E-Mail schreiben und versenden zum Schluß immer die Wörter Obama, Osama, Terror, Bombe, Anschlag, Atombombe usw. einzufügen, nur so aus Scheiß, damit die Wichser auch genug zu tu haben. Stellt euch mal vor , jeder würde das machen, die wären so überlastet, die hätten nicht mal annähernd die Chance weiter zu überwachen.

    1. Macht sich unter Geschäftsmails bestimmt super.
      Echte Terroristen werden sowieso kaum mit solchen Begriffen arbeiten, sondern irgendwelche Alltagsbegriffe nehmen. Das kann dann für einen intellektuellen Leser durch Nonsens-Sätze auffallen, in der ersten Ebene filtert aber ja nur der Computer nach bestimmten Begriffen.
      Die einzigen, die man mit sowas bekommt, sind „Terroristen“, die zu dumm sind, einen Eimer Wasser umzutreten.

    2. Hey Leute

      bin zwar kein IT-Fachmann, aber gewöhnt euch doch mal an, beim E-Mail schreiben und versenden zum Schluß immer die Wörter Obama, Osama, Terror, Bombe, Anschlag, Atombombe usw. einzufügen, nur so aus Scheiß, damit die Wichser auch genug zu tu haben. Stellt euch mal vor , jeder würde das machen, die wären so überlastet, die hätten nicht mal annähernd die Chance weiter zu überwachen.-
      ——————
      Auf diese Idee kam ich auch schon– und wird schon seit geraumer Zeit angewendet…..
      wünsche dabei den diensthabenden Überwachern viel Vergnügen und Lesespaß!!!
      Die brauchen doch auch ein wenig was zum lachen…..
      Sollen sie doch mein Zeugs lesen, langsam ist mir das egal.
      Brisantes wird nicht über Mail mitgeteilt. Basta. Dann geht mir der
      „Kontroll-Terror “ sonst wo vorbei….und eine „Bombe“ geht bei mir nicht hoch.

  22. Aus welchem Grund sollte es im Bundesamt für Verfassungsschutz ein besseres EDV Know-How geben als bei anderen staatlichen Stellen? Wird da etwa nicht nach TV-ÖD bezahlt?

  23. Nur mit einer http://www.Verfassungsinitiative.info werden wir auch das Problem des Schutzes der eigenen Daten effektiv lösen können, s. den Entwurf zu Artikel 19.
    Erst bei der Verweigerung der Anerkennung einer nach Isländischem Vorbild durch das Volk entworfenen zeitgemäßen Verfassung darf sogar nach Art. 20 (4) GG der Aufstand gerechtfertigt durchgezogen werden!

    1. Sorry,
      aber wann versteht das Volk, das ihr GG in diesen Fragen keine Relevanz mehr hat?
      Die Isländische Verfassung mag ja „Gut“ sein aber nach einem angestrebten EU-Beitrit auch nur noch Makulatur.
      Wenn dann muss dieses auf Europäischer Ebene Geändert werden oder mit einen EU Ausstieg.

  24. Dass pgp als Verschlüsselung nicht sicher ist, solle wohl jedem klar sein. AES (Advanced Encryption Standard) sollte aber fuer standard-sachen reichen.

    AES ist wohl zu entschluesseln, wobei der Aufwand nur lohnt, wenn man wirklich weiss, dass schwere Straftaten vorliegen.

    Das dumme an AES ist eben, dass man als Verschlüsseler gleich auffällt und dann natürlich erstmal per se unter Verdacht steht („Was hat der zu verbergen???“)

    Der Beste Schutz sind noch immer Deckbegriffe und klartext.

    1. Der Kommentar von klausi ist größtenteils grober Unfug. Die Pauschalaussage „PGP sei nicht sicher“ ist unbegründet und hängt natürlich von der verwendeten Schlüssellänge, dem Verfahren und (nicht zu vergessen) den Seitenkanälen ab (z.B. wird der Betreff einer Mail nicht verschlüsselt). Apropos verwendete Verfahren: PGP verschlüsselt pro Nachricht einen Sitzungsschlüssel mit einem asymmentrischen Verfahren (z.B. RSA). Dieser Sitzungsschlüssel wird dann verwendet um die Nachricht mit einem symmetrischen Verfahren wie z.B. AES zu verschlüsseln. Auch hier wird das Unwissen von klausi sehr deutlich. Nachzulesen sind diese Details übrigens in RFC4880.

      Abgesehen davon kann ich beisteuern, dass mit ein Mitarbeiter der Polizei mir gegenüber behauptete, dass die Auswertung verschlüsselter Daten in der Regel keinen Erfolg hat (oder der Aufwand dem Nutzen in keinem Verhältnis steht). Ob man das glauben möchte sei jedem selbst überlassen.

      Nur so als Info: Wer PGP nicht vertraut, sollte besser kein Linux verwenden, denn die Integrität des Sources wird über (PGP) signierte „pull requests“ sicher gestellt.

  25. Wir hatten ja in unserer Pressemitteilung nicht behauptet, PGP oder SSH könne mirnichtsdirnichts geknackt werden. Stattdessen haben wir eher auf die Verunsicherung bei der Nutzung von Verschlüsselungstechniken aufmerksam gemacht. Die Diskussion hier, aber auch bei golem.de bestätigt unseren Argwohn.

    Ob die verschlüsselte Kommunikation per SSH oder PGP geknackt werden kann, hängt ja auch davon ab ob Behörden sich – etwa über den Einsatz eines Trojaners – Passwörter oder private Schlüssel besorgen können. Dies traue ich den Geheimdiensten des Bundes zu.

    Offenbar existiert dort auch Software, die dann beim Entschlüsseln helfen kann – so läßt sich die Antwort jedenfalls interpretieren. Dass allerdings die sichere Kommunikation in einem für Behörden vertretbaren Zeitaufwand oder gar in Echtzeit abgehört werden kann, glaube ich nicht. Hier hätte aber eine offenere Antwort geholfen, das wachsende Misstrauen in die Schnüffelei deutscher Polizeien und Geheimdienste zu entkräften.

      1. PGP kann man grundsätzlich mit viel Rechenleistung Entschlüsseln (Brute Force Angriff ) die große Frage ist nur bis zu welcher „Verschlüsslungstiefe“ dies schon für Dienste ohne zu großen Aufwand möglich ist.
        Einige halten die allgemein noch übliche RSA-1024 Verschlüsselung für noch Sicher andere schon länger nicht mehr.
        Zum ersten mal würde sie nachweißlich 2010 von Forschern der University of Michigan mit einer etwas umstrittenen Methode geknackt.
        Man sollte dabei aber immer im Auge behalten das die GPU Entwicklung und Leistungsfähigkeit in den letzten Jahren fast eplosionsartig gestiegen ist und ein ein paar relativ günstige Grafikkarten heutzutage schon einen „Super-Computer“ von vor 20 J ersetzen können.

        http://www.tech-blog.net/rsa-1024-verschlusselung-mit-neuer-methode-geknackt/

  26. Wenn Dir Dein email Partner per IP den direkten Zugriff auf einen Ordner gibt; kann man sich hier in einer z.B. word Datei, direkt austauschen.
    Ohne emailverkehr.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.