Die indische Regierung kann jetzt nach jahrelangen Forderungen BlackBerry Messenger und E-Mails entschlüsseln. Das berichtet die größte englischsprachige Tageszeitung des Landes. Umstritten ist, ob nur die Kommunikation über zentrale Server in Indien betroffen ist, oder ob es eine allgemeine Hintertür gibt.
Seit zwei Jahren will Indien auf die verschlüsselten Daten von Research In Motion (RIM) zugreifen. Heute zitiert die Times of India einen Firmensprecher:
I can confirm that RIM is providing an appropriate lawful access solution that enables India’s telecom operators to be legally complaint with respect to their BlackBerry consumer traffic.
Jede Instanz der Software BlackBerry Enterprise Server (BES) hat einen eigenen Krypto-Schlüssel. Man kann die Software entweder selbst aufsetzen, was meist nur Unternehmen machen, oder den Server nehmen, der direkt von Research In Motion betrieben wird. The Register berichtet nun, dass RIM wahrscheinlich den Schlüssel des eigenen Servers an die indischen Behörden gegeben hat, wie sie es auch in Großbritannien taten.
Nachdem Indien gedroht hatte, Blackberries zu verbieten, wenn die Behörden nicht auf die Daten zugreifen können, habe RIM die Kommunikation indischer BlackBerry-User nicht mehr über seine Server in Kanada abgewickelt, sondern extra Server in Indien dafür aufgebaut. Für die gilt dann auch indisches Recht, und die Behörden haben ihren Zugriff.
The Times of India berichtet darüber hinaus über eine Präsentation von RIM selbst, bei der jegliche Kommunikation von BlackBerry-Geräten abgehört werden könne:
Correspondence reviewed by ET, however, shows that the solution demonstrated by RIM can intercept all BlackBerry services. A telecom department official also confirmed that corporate emails would form part of the services that the government will be able to monitor.
Das soll die Firma Verint („Better Business and a Safer World“) entwickelt haben.
The Register bezweifelt diese Möglichkeit. Viel mehr außer Sicherheit hat RIM nicht mehr als Verkaufsargument. Wenn sie das täten und es ans Licht kommt, wären sie am Ende. Zudem behauptet Indien das nicht zum ersten Mal.
So oder so, diese Geschichte beweist mal wieder: Verschlüsselung kann man nur trauen, wenn sie offen ist und man sie selbst einrichtet.
Ich Wette das die indischen/britischen und kanadischen Server die gleichen Schlüssel benutzten. Jemand dagegen? :)
Natürlich kann RIM die BIS-Kommuniktion entschlüsseln, da wird ja auch nur die Verbindung zwischen dem Gerät und dem RIM-Server verschlüsselt.
Geräte die an einem BES hängen können von RIM nicht entschlüsselt werden, und ausser Hörensagen von Leuten ohne Ahnung bietet der Artikel auch keine Quellen für eine gegenteilige Aussage.
BES-Verbindungen sind auch in Indien von den Behörden nicht abhörbar solange die Verschlüsselung nicht geknackt wird, und bislang ist das nicht der Fall.
„globale Backdoor“? Was ist das denn für ein Deutsch? Wenn man mit Gewalt „HIP“ sein will, geht das schon mal in die Hose. Wie wäre es einfach mit „globale Hintertür“? Oder ist das nicht anglizistisch genug?
Backdoor ist n gebräuchlicher technischer Terminus, Hintertür nicht.
Man kann alles Entschlüsseln , es braucht nur genügend „Rechenkraft“ .
In Zeiten der Petaflop Rechner und Rechen Clouds wird das sogar immer mehr „Machbar“ und Erschwinglich.
Hintertüren sind natürlich Einfacher und oft staatlich Erzwungen dabei ist es völlig egal ob bei RIM, Apple oder Microsoft.
Wir sollten uns endlich einmal Verabschieden das es eine sichere mathematische Verschlüsselung für die Computertechnik gibt , auf die eine reale Sicherheit beruhen könnte, das ist einfach Illusorisch und offtmals Selbstbetrug.
In der Theorie natürlich, in der Praxis aber total irrelevant. Ein gutes Kryptosystem, eine gute Implementierung, ein guter Schlüssel (und alle drei Sachen lassen sich in der Praxis mit möglichem Aufwand realisieren) und du kannst soviele Petaflop Rechner oder Clouds zusammenschalten wie du willst, du schaffst es trotzdem nicht in akzeptabler Zeit, ein Brute-Force Angriff erfolgreich durchzuführen.
Das es keine 100% Sicherheit gibt hat die (Fach)Welt schon lange kapiert…
Dann kommt deren Entschlüsslung halt 5 Jahre später , wir haben heute „Rechlenleistung“ wovon man vor 20 J noch geträumt oder gar unmöglich gehalten hat , wie sieht es dann in weiteren 20 Jahren aus?
Natürlich kann man in der Theorie immer stärker Verschlüsseln nur werden die Algorithmen dafür immer unhandlicher und selbst zum Problem im täglichen Umgang, wer möchte schon mit 50 stelligen Passwörtern Jonglieren ?
Nein diese vermeindliche IT-Sicherheit ist ein Irrweg , es wird noch länger dauern es Einzusehen , aber das ist wohl Unvermeidlich.
> Das es keine 100% Sicherheit gibt hat die (Fach)Welt schon lange kapiert…
Warum ziehen sie dann keine Lehren daraus und propagieren weiter eine Scheinsicherheit? … statt einmal die überfällige Disskusion Anzustossen?
wer möchte schon mit 50 stelligen Passwörtern Jonglieren ?
Dafür gibt es Tools wie Keepass.
Und um dem Argument zuvorzukommen, dass auch Keepass eine Backdoor enthalten kann:
Keepass ist Open Source. Jeder kann also den Quellcode untersuchen oder, wenn er ganz sicher gehen will, das Programm selbst kompilieren.
> „Dafür gibt es Tools wie Keepass.
Und um dem Argument zuvorzukommen, dass auch Keepass eine Backdoor enthalten kann“
Diese Tools „Verschlimmbessern“ die Sache eigentlich nur , es reicht ein Funktionsdefekt oder das „abrauchen“ der Festplatte und man kann seine Verschlüsselten Daten oder Zugangspasswörter in den Wind schreiben.
Ein 50 stelliges Passwort kann man zur Not Aufschreiben.
was ist daran neu? Vor genau zwei Jahren war schon mal was ähnliches in der Presse, in Hinblick auf Saudi-Arabien.
http://www.zeit.de/digital/mobil/2010-08/rim-blackberry-saudiarabien/
Das ist genau das Gleiche, ja. Und zu denken dass es in den USA keine „Lawful Interception“-Schnittstelle gibt ist auch eher naiv. UK sowieso, und wieso nicht in Deutschland, wird halt nur nicht drüber berichtet.
Black Barry basiert nicht auf freier Software. Alles was nicht freie Software ist kann potentiell Backdors enthalten und ist somit nicht für vertrauliche Kommunikation geeignet.
Das stimmt zwar , hilft aber in Zeiten staatlicher Trojaner welche als OS oder Programmupdate kommen auch nicht mehr Allzuviel.
Es gibt diese auch für „Open Source“ Programme oder Linux , denn auch dort dauert es bis ein Bug oder Backdoor erkannt ist , nicht jeder vergleicht am Tag tausende Seiten Code.
Da gibt es aber einen großen Unterschied zwischen Bugs und Backdoors
Bugfixing dauert mit Open Source genau so lange wie bei Closed Sorce. Bei Closed Source steckt mehr Geld dahinter, bei Open Source schauen mehr Augen auf den Code.
Backdoors in einem offen verfügbaren Code unterzubringen ist sehr schwierig. Selbst wenn der 100000 Laien und Hobbyprogrammierern nicht auffällt, es genügt ein einziger Fachmann, und die Backdoor ist aufgeflogen.
„Legally complaint“ – ein wahrhaft Freud’scher Vertipper :D