Datenverkehr verschlüsseln

Also ich hab mir neulich die Zeitschrift Linux User gekauft da ging es um das Thema Kryptographie. Wie man E-Mails verschlüsselt ist mir mittlerweile so einigermaßen klar (hab hier im wiki auch noch mal gelesen). Allerdings ist mir noch einiges unklar. Mit dem bittorrent client deluge oder ktorrent ist es ja möglich Daten verschlüsselt zu senden bzw. zu empfangen. Ich frage mich nur erstens was für ein Verschlüsselungssystem wird hier eingesetzt und wie geht das praktisch von statten?

Denn auf dem tracker müsste ich ja eigentlich doch erstmal den seedern oder leechern nen key schicken damit die das entschlüsseln können oder wird da vorher ein key zum entschlüsseln unverschlüsselt gesendet was dann ziemlich sinnlos währe weil wenn jemand den kompletten Datenstrom mitschneidet schneidet er ja dann auch die Schlüssel mit und kann den verschlüsselten Datenstrom anschließen entschlüsseln. :???:
.
Da ich von der Matherie nicht viel Ahnung habe frage ich mich halt ob es unterm Strich überhaupt Sinn macht E-Mails etc zu verschlüsseln wenn es dann doch über Umwege möglich ist das ganze zu entschlüsseln

Ich habe bisher nur Erfahrungen im bereich W-Lan gesammelt und außer WPA2 ist ja keines der eingesetzten Verschlüsselungsverfahren annähernd brauchbar.
Macfilter, "verstecken" des Accesspoints bringt gar nichts und WEP Netze lassen sich unter guten Bedingungen in ein paar Minuten knacken. Bei WPA-TKIP soll es wohl ein bisschen länger dauern als bei WEP aber laut Martin Beck soll es wohl auch in 15 oder 20 Minuten (habs jetzt nicht mehr genau im Kopf) unter optimalen Bedingungen knackbar sein.


Dann hab ich mal gelesen das man über einen sogenannten Matrix Tunnel (bei gemoddeter Fritz Box Firmware) der Router alle ausgehenden Daten SSL verschlüsselt.
Lässt sich SSL knacken oder ist das sicher? und vor allem wie soll die Gegenstelle dann die Daten entschlüsseln?

Also ich frag mich halt teilweise wie das funktionieren soll denn wenn ich was verschlüsseltes Sende muss ja die Gegenstelle das wieder irgendwie entschlüsseln können und wenn die Gegenstelle das kann dann müsste das doch auch jeder Dritte können. Das einzige was mir logisch erscheint wenn ich gezielt jemanden einen key gebe z.B. per Post und dieser dann mit diesem key meine gesendeten Daten entschlüsselt. Bei Router und Client ist es ja auch nicht anders beide kennen das wlan Passwort und können desshalb sowohl Daten verschlüsseln als auch entschlüsseln.

So genug der Spekulationen und Eigeninterpretationen. Ich würde mich freuen wenn mir jemand das mal genauer erklärt (vor allem die Sache mit den verschlüsselten Senden von Daten über bt Clients).

Hi Conax,

klingt alles etwas verworren - aber es ist gut, dass du dich mit diesem Thema befasst.
Zuerst einmal die negative Nachricht: JEDE Verschlüsselung (außer dem "one time pad") ist zu brechen. Zumindest irgendwann und mit einem gewissen Aufwand. Aus diesem Grund sprechen wir auch nie von "Sicherheit", sondern immer nur von "mit an Sicherheit grenzender Wahrscheinlichkeit"

"Brechen"/"Knacken"/usw.: Hier musst du unterscheiden, ob es im jeweiligen Algorithmus echte Designfehler gibt, welche mit Kryptoanalyse (also purer Mathematik und Verbindung mit viel Erfahrung ...) gebrochen werden, ob es sich um unsachgemäße (schlampige) Implementierungen eines an sich ansich als sicher geltenden Algorithmus handelt oder um einen brute force Angriff, bei dem alle möglichen Schlüssel durchprobiert werden.
Bei den heute gängigen Algorithmen wie AES kann man davon ausgehen, dass durch die tausendfache Untersuchung Designfehler nahezu ausgeschlossen sind. Selbst so ein Oldie wie 3DES ist bislang kryptoanalytisch noch nicht gebrochen worden.
Häufiger kommen die schlampigen Implementierungen geprüfter Algorithmen vor. Wenn ein Hersteller mit einem "100pro sicheren Tool, weil unter Nutzung von AES" wirbt, sollte man vorsichtig sein. Zumindest, wenn es dann auch noch Closed Source ist bzw. nie von Fachleuten geprüft wurde und/oder eine bestimmte Zulassung besitzt.

Zum "Brutalen Angriff": So wie die ausführende Hardware immer schneller wird, gibt es auch immer bessere Software-Unterstützung. Ich denke hier nur an "Rainbowtables". Hier kann aber erfolgreich mit immer größeren Schlüssellängen gegengesteuert werden. Bedingungung ist hier aber, dass die Anwendungen selbige auch unterstützen. Vor Jahren galten (symmetrische) Schlüssel mit 40 Bit als sicher, heute wenden wir 256 oder gar 512 Bit an. (Alte Faustregel: ein Bit mehr, verdoppelt fast die Rechenzeit ... .) Analog bei der asymmetrischen Kryptologie. Hier waren es mal 768 Bit, heute sind 2K Vorschrift und 4K möglich und in vielen Fällen üblich.
Wenn ein derartiger Brutaler Angriff also immer möglich ist, so ist das letztendlich eine Frage der Zeit und des Geldes. Auf welche / wessen Nachricht soll denn eine Großrechenanlage unter Umständen Jahrelang angesetzt werden? Und wer soll das bezahlen? Und ist dann der Inhalt dieser Nachricht überhaupt noch relevant? Meist stand der Inhalt dieser Nachricht dann nämlich schon Jahre vorher in der B**d-Zeitung. Nebenbei: je mehr verschlüsselte Nachrichten => umso größer die Auswahl ... .

Im Endeffekt ist das Brechen einer kryptierten Nachricht derart ineffektiv, dass selbiges nicht breitenwirksam eingesetzt werden kann - wenn der Anwender nicht eine der o.g. Fehler macht.
Also mussten andere Möglichkeiten gesucht und gefunden (und rechtlich zugelassen) werden.
Es wird zum einen versucht, die Nachricht VOR der Verschlüsselung wegzufangen. (Dieses Thema ist oft genug durchgekaut worden - kein Kommentar dazu.)
Oder man birgt die unverschlüsselten temporären Restbestandteile von der Festplatte. (Alter Grundsatz aus der IT-Sicherheit: Eine Datei ist immer viel leichter zu erzeugen, als dass sie SPURLOS zu beseitigen ist ... .)
Oder man nutzt die parasitären Ausstrahlungen eines jeden handelsüblichen Rechners (TEMPEST-Angriff). Nicht umsonst gibt es so genannte "TEMPEST-Hardware", welche (fast) absolut HF-dicht abgeschirmt wird. (Nachzulesen in Wikipedia ...)

Ich habe versucht, ohne Wertung (!!) hier Möglichkeiten aufzuzeichnen. Auch hier sollten wir im Hinterkopf behalten, dass alle diese Möglichkeiten viel Geld, Zeit und sonstige Ressorcen kosten. Es soll wohl auch Gesetze geben, die die Anwendung dieser Möglichkeiten etwas begrenzen. Zumindest ist das erstgenannte Argument die IMHO wichtigste Bremse.

Zum Schlüsselaustausch: Deine Bedenken, dass bei einer Verschlüsselung die Schlüssel für jeden mitlesbar (mitsniffbar) ausgetauscht werden, sind unbegründet. Es gibt bewährte Verfahren, mit denen ein gesicherter Schlüsselaustausch stattfindet. Das ist eben der große Vorteil der asymmetrischen Kryptologie, welche dieses garantiert. (Näheres ebenfalls Wikipedia.) Selbstverständlich gibt es auch hier die Gefahr der schlampigen Implementierung.

Conax schrieb:

Da ich von der Matherie nicht viel Ahnung habe frage ich mich halt ob es unterm Strich überhaupt Sinn macht E-Mails etc zu verschlüsseln ...

Zum Vergrößern anklicken....

JA, es macht Sinn. Egal ob mit dem vorwiegend professionell genutzen S/MIME oder mit GnuPG, der Verschlüsselung "für die Massen".

Conax schrieb:

... vor allem die Sache mit den verschlüsselten Senden von Daten über bt Clients).

Zum Vergrößern anklicken....

Hier muss ich passen. "Spielkram" ist nicht mein Ding.
Ich kann aber mit Bestimmtheit sagen, dass gute VPN als "sicher" gelten. Das betrifft sowohl Opensourceprojekte wie OpenVPN oder auch kommerzielle Geräte wie SINA (nachzulesen: BSI-Seite). In beiden Fällen wurde und wird ein sehr hoher Aufwand getrieben, um Fehler zu erkennen und zu beseitigen. (Nächster Spruch: "IT-Sicherheit ist kein statischer Zustand, sondern ein andauernder Prozess ... .)


MfG Peter

Guter Artikel Peter! :up:

Hier findest du auch einiges lesenswertes dazu, sowie weitere interessante Gedanken zu diesem Thema.

http://www.bsi-fuer-buerger.de/schuetzen/07_0301.htm

cu

Danke erstmal für die ausführliche Antwort. Ich werd nochmal einiges im wiki nachlesen weil ich mit Begriffen wie one time pad nichts anfangen kann. Zumindest werd ich dann wohl erstmal das mit der Mail verschlüsselung in die Tat umsetzen dazu stand auch in der Zeitschrift Linux User ein Artikel dazu wie das praktisch abläuft, Zertifikat erwerben, einrichten, master key an Freunde weitergeben etc.

Ich werd das auch mal meinem Onkel (selbstständiger Steuerberater) empfehlen falls er seine Mails nicht schon verschlüsselt. Gerade solche Post geht ja keinem Dritten etwas an.

Eigentlich dachte ich bisher immer verschlüsselung etc. währe nur was für Leute die dreck am Stecken haben aber gerade in jüngster Zeit hat sich ja herausgestellt das es jeden treffen kann. Mit Vertrauen ist es eben so eine Sache man kann es sehr schnell zerstören braucht aber lange um es zu erwerben.

Du kannst dir auch mal im TB-Forum unser FAQ ansehen, da habe ich einen größeren Beitrag zum Thema geschrieben. Auch sonst kommt bei uns das Thema recht oft.

MfG Peter

So da ja jetzt Ferien sind hab ich mich nochmal an das Thema "verschlüsseln" rangemacht und mal mit Firefox und Thunderbird angefangen.

Vom Konzept her hat mir GnuPG mehr zugesagt deswegen hab ich für Firefox mir das Addon FireGPG und für Thunderbird Enigmail runtergeladen und installiert.

Ich bin dann in Thunderbird auf OpenPGP ->key management->Generate->new key pairs

Ich weiss ja nicht ob das bis zu diesem Punkt alles richtig war da ich keine Anleitung etc. hatte aber es klang meiner Meinung nach logisch.

ich hab dann oben zuerst unter user id meinen namen+mail adresse ausgewähl (war schon standard alles eingetragen, dann unter passphrase passwort eingegeben und das ganze nochmal im feld daneben wiederholt. Unter dem punkt key expires in hab ich die 5 Jahre drin gelassen (wer weiss ob ich die überhaupt so lange habe). Unter dem Punkt advanced hab ich die key größe auf 2048 gelassen und unter type DSA & El Gamal genommen.

Zum Schluss hab ich dann auf generate key geklickt. Er hat dann noch gefragt nachdem der key generiert wurde ob ich eine art datei anlegen will sozusagen falls der key verloren geht. Dies habe ich auch getan.

So nun aber zum Problem danach war das alles schön aufgelistet.

User ID
Key ID
Type
Fingerprint

Ich hatte mich dann nur verwundert denn ich hatte eigentlich jetzt den public und den private key erwartet sprich den publich key den ich weitergebe und den private key den ich nur für mich habe und nicht weiter geben darf da stand aber nix von private und public ke bzw. hies es ja das mir der private key mitgeteilt wird und der gut aufzuheben sei (hatte vorher Artikel in linux user gelesen da wurde das aber mit S/MIME gemacht).

Ich würde für die Verwaltung von Schlüsseln auf KGpg setzen (für Gnome gibt es bestimmt was ähnliches), denn man kann mit GPG ja nicht nur Mails verschlüsseln. In Thunderbird kannst Du im "Verfassen"-Fenster unter "Open PGP" auswählen, dass Dein öffentlicher Schlüssel an die Nachricht angehangen wird.

Also ich hab jetzt nochmal mit KGpg ein Schlüsselpaar erstellt, das alte hatte ich gelöscht.

Nach dem erstellen des Schlüssels hat es mir den Fingerabdruck angezeigt und die Schlüssel-Kennung. Trotzdem ist für mich immer noch nicht ersichtlich welcher jetzt mein öffentlicher Schlüssel ist und welcher mein privater?

und was hat es mit dem Sperrzertifikat auf sich ist es sinnvoll dieses zu erstellen?

Auszug aus der Hilfe:
Danach müssen Sie den öffentlichen Schlüssel exportieren und Ihren Freunden senden.
Bitten Sie diese, das Gleiche zu tun, damit Sie deren öffentliche Schlüssel importieren können. Um schlussendlich eine verschlüsselte Nachricht zu versenden, geben Sie diese im KGpg-Editor ein und klicken Sie auf "Verschlüsseln". Wählen Sie den Schlüssel des Freundes aus, und klicken Sie erneut auf "Verschlüsseln". Die Nachricht wird verschlüsselt und steht bereit zum Versenden.

Markiere in KGpg Dein Schlüsselpaar, gehe auf "Schlüssel" → "Öffentlichen Schlüssel exportieren", dann hast Du ihn.

so hab die Datei mal gespeichert und mit kwrite geöffnet:

hier mal ein Ausschnitt:
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.9 (GNU/Linux)
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....
-----END PGP PUBLIC KEY BLOCK-----

so jetzt weiss ich schon mal wie der public key lautet (ganz schön lang).
Nur war in den Texten die ich gelesen habe auch die rede vom private key, wie bekomme ich den heraus oder braucht man den doch nicht?

Natürlich benötigst Du immer beide Schlüssel, denn GPG ist ein asymmetrisches Verschlüsselungsverfahren.

Der öffentliche Schlüssel *des Empfängers* wird benötigt, um eine Mail (oder was auch immer) zu verschlüsseln. Dieser Schlüssel kann auch nix anderes (also auch nicht entschlüsseln), deshalb nutzt er einem potentiellen Angreifer wenig - man kann öffentliche Schlüssel z.B. auf Servern wie http://pgp.mit.edu/ hinterlegen, ohne irgendein Risiko einzugehen. Will jemand also eine Mail an Dich verschlüsseln, benötigt er dazu Deinen öffentlichen Schlüssel.

Den privaten Schlüssel benötigst Du, um die mit Deinem öffentlichen Schlüssel verquirlte Mail wieder entschlüsseln zu können, ansonsten Du auch nur Salat zu lesen bekommst. Umgekehrt das selbe Spiel: bevor Du verschlüsselte Mails verschicken kannst, benötigst Du den öffentlichen Schlüssel Deines Mailpartners. Der wiederum schaut aber in die Röhre, wenn er seinen privaten Schlüssel verbummelt (denn natürlich lässt sich aus dem öffentlichen Schlüssel nicht der private ermitteln). Über KGpg kannst Du Deinen privaten Schlüssel über Rechtsklick auf Dein Schlüsselpaar → "Geheimen Schlüssel exportieren" abspeichern. Verwahre ihn gut.

Habe ich das halbwegs äh... schlüssig erklärt?

Danke für die Hilfe.
Wie das System funktioniert mit private und public key hatte ich ja in der Zeitschrift linux user nachgelesen (trotzdem ist deine Zusammenfassung kürzer und enthält das wesentliche).

Jetzt wo ich beide Schlüssel habe kann ich auch damit was anfangen. Ich fande das nur die ganze Zeit verwirrend das es ziemlich einfach ist einen Schlüssel zu erstellen der auch dann angelegt wird aber man danach nicht informiert wird wie man denn jetzt an den public und den private key herankommt aber nun währe auch das gelöst. Danke nochmals für die Hilfe.

gropiuskalle schrieb:

Dieser Schlüssel kann auch nix anderes (also auch nicht entschlüsseln),

Zum Vergrößern anklicken....

Das ist so nicht ganz richtig. Das geschilderte Prinzip funktioniert nämlich auch anders herum. Eine Botschaft die mit dem privaten Schlüssel verschlüsselt wird, kann nur mit dem öffentlichen Schlüssel entschlüsselt werden. Damit wird sichergestellt das die Botschaft auch vom Inhaber des privaten Schlüssel kommt. Dann nennt man das je nach Anwendungsfall Signatur (E-Mail, RPM-Pakete) oder Zertifikat (Server im Internet). Dabei wird aber meistens nicht die eigentliche Botschaft Verschlüsselt, sondern Kriterien mit denen überprüft werden kann, ob die Botschaft bzw. das Datenobjekt verändert wurden und wer der Herausgeber ist.

Naja ich muss jetzt erstmal Familie und Freunde auch dazu bewegen die plugins zu installieren und key zu generieren. Das kann wohl erstmal ne Weihle dauern. Zumindest kann ich ja dann schon mal verschlüsselte Mails versenden und mit dem public key können se den dann entschlüsseln (wenn se die plugins installiert haben). Nebenbei beschäftige ich mich noch mit matrixtunnel bzw. der Nachfolger xrelayd das dann auf meine Fritz Box eingespielt wird. Wenn das dann auch irgendwann durch ist ist die Verschlüsselung der Festplatten an der Reihe. Es ist also noch viel zu tun.

Naja das wird ein größeres Projekt und Ziel des ganzen ist es mehr Sicherheit zu schaffen und dabei noch das ein odere andere über das Thema zu lernen. Ich hoffe nur das es unterm Strich auch wirklich was bringt (nicht so wie beim Setzten eines Windowspasswortes das vor unberechtigten Zugriff schützen soll aber facktisch nur die Illusion von Sicherheit ist :roll: )

Ich muss mir unbedingt mal ne Liste oder sowas in der Art mit den ganzen Passwörtern und keys zusammenstellen sonst verliert man da den Überblick.

Conax schrieb:

Naja ich muss jetzt erstmal Familie und Freunde auch dazu bewegen die plugins zu installieren und key zu generieren. Das kann wohl erstmal ne Weihle dauern.

Zum Vergrößern anklicken....

Na dann beeile dich, so lange wir das noch dürfen ... . (Es wird von Leuten gesprochen, die genau deswegen schlecht schlafen können.)

Conax schrieb:

Ich muss mir unbedingt mal ne Liste oder sowas in der Art mit den ganzen Passwörtern und keys zusammenstellen sonst verliert man da den Überblick.

Zum Vergrößern anklicken....

Am besten, selbige unter die Tastatur kleben ... .

Letzteres ist kein Witz.
Bei Sicherheitskontrollen wird deswegen die Tastatur umgedreht. Bei mir klebt da ein Aufkleber mit folgendem Text:
"Glaubst du wirklich, dass ich so blöd bin, und dass hier mein Passwort steht?"

Nein, da steht keins, denn ich benutze eine Chipkarte: Fürs Anmelden am Rechner, für Mailverschlüsselung mit S/MIME, fürs Auth an diversen Servern, für mein VPN und für die Verschlüsselung meiner Daten am lokalen Client und auf dem Server.
X.509-Zertifikate haben schon ihre Vorteile ... .

MfG Peter

Da ich Hardwarebedingt auf meinen desktop PC open Suse neu drauf machen muss wollte ich mal wissen wie ich am besten die Festplatten verschlüssel. Jetzt macht es nix aus sprich kann das Linux komplett nochmal neue draufmachen und von Anfang an das richtig anpacken.

Also ich stelle mir vor das erstens meine Festplatten gut verschlüsselt sind und zweitens eine Art Zugriffskontrolle eingerichtet wird. Also das z.B. mein Betriebssystem nur in Verbindung mit einem eingesteckten USB Stick oder Speicherkarte bootbar ist und man das ganze auch nicht irgendwie über live cd oder sowas aushebeln kann.
Ich bin da jetzt nicht der Fachmann aber so oder so ähnlich Stelle ich mir das vor.

SuSE bietet bereits während der Installation die Verschlüsselung von Partitionen an. Diese Partitionen sind während des laufenden Betriebes jedoch ungeschützt (z.B. einem Angreifer aus dem Web gegenüber), insofern also nur eine eingeschränkte Sicherheit gewährleistet wird. Diese USB-Stick-Sperren basieren meiner Erinnerung nach auf Windows-Software.

Ich weiss das es während der Installation unter Details oder so die Möglichkeit gibt den Punkt Verschlüsselung zu aktivieren doch 1. wollte ich eben noch mal wissen ob diese Verschlüsselung "sicher" ist bzw. um welches Verfahren es sich handelt (AES, Blowfish, .....)? 2. habe ich bei der Installation festgestellt das sich wohl nur beim "home" Verzeichnis der Punkt Verschlüsselung setzen lässt beim Rest kam jedesmal ne Fehlermeldung.

/dev/null hat geschrieben:
Nein, da steht keins, denn ich benutze eine Chipkarte: Fürs Anmelden am Rechner, für Mailverschlüsselung mit S/MIME, fürs Auth an diversen Servern, für mein VPN und für die Verschlüsselung meiner Daten am lokalen Client und auf dem Server.
X.509-Zertifikate haben schon ihre Vorteile ... .

Ich find die Idee halt nicht schlecht nur ob ich jetzt ne Chipkarte benutze oder USB Stick das dürfte eigentlich egal sein obwohl da ich schon nen internen Card Reader/Writer haber währe Chipkarte wohl die komfortablere Lösung.

Conax schrieb:

Ich find die Idee halt nicht schlecht nur ob ich jetzt ne Chipkarte benutze oder USB Stick das dürfte eigentlich egal sein obwohl da ich schon nen internen Card Reader/Writer haber währe Chipkarte wohl die komfortablere Lösung.

Zum Vergrößern anklicken....

Es geht hier nicht um Komfort.
Eine (echte kryptologische Prozessor-) Chipkarte gilt weltweit als das sicherste Speichermedium für kryptologische Langzeitgeheimnisse. Das bedeutet, dass der private Schlüssel direkt durch den auf der Karte integrierten (und entsprechend überprüften und zugelassenen) Rauschgenerator erzeugt wird, dass dieser Schlüssel die Karte niemals verlässt (die zu entschlüsselnden bzw. zu signierenden Daten müssen zur Karte gebracht werden und werden dort auf dem integrierten Kryptoprozessor bearbeitet), und dass bislang alle Versuche den secret Key auszulesen gescheitert bzw. nur theoretischer Natur sind. Das bedeutet, dass jede Karte ein Unikat ist und dass es (bei der beschriebenen Art der Produktion) nicht möglich ist, ein Duplikat oder einen Nachschlüssel (key recovery) anzufertigen.
Das hat natürlich alles seinen Preis ... . Und für den privaten Nutzer ist es auch nicht unbedingt erforderlich. Einem mitgeschnittenen Chiffrat ist nicht anzumerken, ob es mit einem Softwareschlüssel oder mit einer Chipkarte verschlüsselt wurde. Zumindest, wenn wir den "kleinen" Unterschied in der Qualität der Zufallszahlen aus dem Rauschgenerator einer Chipkarte und dem eines PC mal außer acht lassen.
Aber das geht hier zu weit ... .

Wichtig ist, das wir unsere Privatspäre schützen. Noch dürfen wir das ... .

MfG Peter