Diesen Satz (Überschrift) sagte Jacob Appelbaum auf dem 31C3 bei der Veröffentlichung weiterer Snowden-Dokumente zum Thema NSA und Ver-/Entschlüsselung. Wir berichteten.
Auf heise.de ist der Kryptologe Damian Weber die Dokumente noch mal in Ruhe durchgegangen und schildert seine – entwarnenden – Eindrücke:
Doch anders als es die Spiegel-Veröffentlichung nahelegen, gibt es derzeit keine Hinweise darauf, dass die Geheimdienste besondere, bislang unbekannte Fähigkeiten entwickelt hätten, SSH-Verbindungen zu dechiffrieren. Vielmehr deutet alles darauf hin, dass sie die altbekannten Angriffe – also insbesondere das Klauen von Passwörtern und Schlüsseln – perfektioniert haben und exzessiv einsetzen. Die neuen Veröffentlichungen zeigen also vor allem, dass die bereits bekannten Sicherherungsmaßnahmen, wie das Vermeiden von Passwort-Logins durch eine Beschränkung auf Public-Key-Login und eventuell auch ein regelmäßiger Wechsel der Schlüssel, noch wichtiger sind, als bisher angenommen. Analoges gilt übrigens bei IPsec bezüglich der Vermeidung von Pre-Shared-Keys.
Das logische Fazit ist, die betroffenen Programme möglichst sicher zu konfigurieren. Die Standardeinstellungen der meisten Programme sind nicht auf Full-Security ausgelegt, sondern tarieren Sicherheit und Abwärtskompatibilität mit alten Geräten und alten Programmen aus. Da man aber in vielen Fällen schlicht keine Abwärtskompatibilität braucht, kann man auch einfach die State of the Art Sicherheitsfunktionen einsetzen und damit so sicher wie eben möglich fahren.
Der Programmierer stribika hat sich Gedanken gemacht, wie man SSH so konfigurieren kann, dass die „NSA-Analysten traurig werden“. Und hat dazu eine sehr lesenswerte Anleitung geschrieben.
Allgemein lohnt sich immer ein Blick auf BetterCrypto.org. Ziel des BetterCrypto.org-Projekts ist die Erstellung eines Crypto State of the Art Manuals für Administratoren, aus dem man auch Befehle und Configs kopieren kann. Ein erster Entwurf ihres „Applied Crypto Hardening PDF“ steht auf der Webseite bereit. Allerdings überdenken die Macher von BetterCrypto.org ihre Empfehlungen momentan – aufgrund der oben genannten NSA-Dokumente .
During the 31st CCC congress, the german newspaper Der Spiegel released some documents on attempts to break and/or weaken TLS/SSL. This will be a good reason for us to review the BetterCrypto recommendations fully. Stay tuned.
Eine weitere Anlaufstelle ist das von Jacob Appelbaum betriebene duraconf – eine Sammlung von gehärteten Konfigurationsdateien für verschiedene Tools wie SSH, SSL/TLS oder GnuPG.
Der Heiseartikel ruft ein angenehmes Gefühl des Eingelulltwerdens hervor. Doch will ich mich wirklich mit einem kleinen Dorf in Frankreich identifizieren?
Mal keine Altersdiskriminierung jetzt! Das gallische Dorf ist ein ursprünglich analoges Meme älterer Menschen, jeder Babyboomer versteht das, was ist das Problem damit? :)
Sorry! :-)
Im Jahr 2015 soll die Stiftung Datenschutz in einem Projekt Vorarbeit leisten für die Beantwortung von Kernfragen zur Zukunft des Privatsphärenschutzes. Dabei besteht ein enger Bezug zur Digitalen Agenda der Bundesregierung. Für das Projekt sucht die Bundesstiftung zum nächstmöglichen Zeitpunkt einen Referenten / eine Referentin für Datenschutz.
https://stiftungdatenschutz.org/