Nachdem kurz nach der WhatsApp Übernahme die Suche nach und Diskussion über einen sicheren Messenger begann, möchte ich im Folgenden kurz auf die häufigsten Fehler aufmerksam machen, die App-Entwickler bei der Implementierung von Verschlüsselung zur Datenübertragung machen.
Schwachstelle 1: Die App nutzt einen gleichbleibenden, symmetrischen Schlüssel
Leider immer noch sehr häufig in Verwendung - gleichbleibendene, symmetrische Schlüssel.
Das Risiko liegt klar auf der Hand. Der Schlüssel muss im Client zu irgendeiner Zeit im Klartext vorliegen und kann ausgelesen werden. Ab diesem Punkt ist jede Verschlüsselung hinfällig - die Kommunikation jedes Clients kann entschlüsselt werden.
Der heutige Beitrag ist eine Fortsetzung des Beitrags "Grundlagen der Verschlüsselung", es geht etwas mehr in die technischen Details: Der Verschlüsselungsmodus. Der letzte Beitrag dieses Blogs ist etwas länger her, leider habe ich momentan relativ wenig Zeit. Aktuell schreibe ich parallel einen Beitrag über die Absicherung des ngnix Webservers, beim Verfassen des Beitrags habe ich jedoch bemerkt, dass vielen die Relevanz der Auswahl des Verschlüsselungsmodus nicht bewusst ist.
Wird beispielsweise der im folgenden erklärte Electronic Codeblock Mode gemeinsam mit der Verschlüsselung AES in bestimmten Anwendungssituationen genutzt, kann die Verschlüsselung trotz sehr gutem Passwort vollkommen unsicher und leicht zu "knacken" sein.
Die symmetrische Verschlüsselung kann in zwei Grundtypen eingeteilt werden:
Blockchiffrierungen, hierbei wird der Klar- und der Chiffretext (das verschlüsselte Gegenstück zum Klartext) blockweise verarbeitet. Ein Block hat eine typische Größe von 64, 128, 192 oder auch 256 bit.
Stromchiffrierungen, hierbei wird der Text bitweise (manchmal auch byteweise) verarbeitet.
Der kryptographische Modus ist eine Art Erweiterung der Grundchiffrierung (AES, Serpent, Blowfish, ...) mit einer Rückkopplung und einigen einfachen mathematischen Operationen.
In vielen Anwendungen kann der Modus konfiguriert werden, im Artikel "TLS (SSL) Verschlüsselung und Schwachstellen im Detail" habe ich beispielsweise gezeigt, dass zu Beginn einer verschlüsselten Sitzung eine Cipher Suite ausgehandelt werden muss. Innerhalb der Suite wird auch die Verschlüsselung, die Blockgröße und der Modus festgelegt, z.B.:
AES_128_GCM (= Grundverschlüsselung AES, Keysize 128 bit und Modus GCM), oder
AES_128_CBC.
Auch in vielen Verschlüsselungs-Anwendungen wie OpenVPN oder OpenSSL basierten Programmen kann der Nutzer einen Algorithmus frei wählen. Zur Wahl des am Besten passenden ist jedoch einiges an Hintergrundwissen notwendig, welches ich im Folgenden vermitteln möchte.
Seit wenigen Tagen überschlägt sich die Presse mit Meldungen, dass Verschlüsselungen "im Internet" geknackt worden sein. Leider wurde hierbei so oft voneinander zitiert, dass sich auch viele Übertreibungen und Vereinfachungen in den Nachrichten finden, die mit der Wahrheit wahrscheinlich nicht mehr all zu viel zu tun haben. Nachdem ich die ersten Schlagzeilen gelesen habe, dachte ich mir anfangs, dass ich es mir nicht vorstellen konnte, dass die unterschiedlichen mathematischen Probleme, auf den Verschlüsselungen beruhen, geknackt worden sind. Nach dem Lesen der Artikels bemerkte ich, dass ich recht hatte: Nicht die Verschlüsselungen wurden geknackt, sondern, im Gegenteil, es wurde getrickst und beeinflusst, um Verschlüsselungen, durch absichtlich inkorrekte Implementierung, unsicherer zu gestalten.
Wie ich bereits im Beitrag Grundlagen der Verschlüsselung auf mögliche Schwachstellen hingewiesen habe, möchte ich nun einmal kurz & leicht verständlich auswerten, was eigentlich in den Presse in den letzten Tagen bekannt geworden ist. Ich stütze mich hierbei auf die Berichte der New York Times, des Guardian und des Online-Portal ProPublica. Weiterhin habe ich mir Texte von Bruce Schneier als Quelle genommen, ein anerkannter, renommierter Kryptographieexperte, der ebenfalls Zugriff auf die geleakten Dokumente hatte.
Ist die SSL Verschlüsselung unwirksam und somit sinnlos?
Nein, nach den bisher vorliegenden Informationen nicht. Den Berichten zur Folge wurden Wege gefunden, dennoch verschlüsselte Informationen mitlesen zu können. Die Wege sind bei weitem nicht neu, nur die Größenordnung und die hohe Systematik dahinter ist neu. Um die "Schwachstellen" von SSL nachvollziehen zu können, müssen wir im im Bereich der SSL bzw. TLS Verschlüsselungen ins Detail gehen, hierbei werde ich auch auf das Thema Perfect Forward Secrecy (PFS) eingehen.
Der TLS-Handshake: Der Verbindungsaufbau
Wird eine https-verschlüsselte Webseite aufgerufen, müssen zahlreiche Nachrichten zwischen den Server und dem Browser ausgetauscht werden, bevor im Browser der Inhalt der Webseite angezeigt werden kann.
Der TLS Handshake im Detail (Angelehnt an https://commons.wikimedia.org/wiki/File:SSL_handshake_with_two_way_authentication_with_certificates.svg)
Da das Thema der E-Mail Verschlüsselung in den letzten Tagen häufiger in der Presse war, möchte ich dies in meinem IT Security Blog aufgreifen. Für Anfänger ist das Thema der E-Mail Verschlüsselung (leider) nicht ganz so einfach zu durchschauen, was auch an den verschiedenen, zueinander inkompatiblen Standards liegt. Beginnen möchte ich mit einer allgemeinen Frage: Was bringt eigentlich E-Mail Verschlüsselung? Reicht es nicht, wenn ich zu meinem Mailserver eine verschlüsselte Verbindung herstelle?
Der Weg einer E-Mail im Internet
Exemplarisch möchte ich den Weg einer E-Mail anhand einer Graphik erläutern:
Ähnlich der oberen Graphik würde wahrscheinlich eine schulbuchmäßige Darstellung aussehen: Der Sender verbindet sich mit seinem Mailserver, entweder
mit Hilfe eines E-Mailclients wie Thunderbird, Outlook oder dem Mailclient seines Handys oder
direkt mit dem Webmailer, also über die Webseite des Anbieters.
Der Mailanbieter nimmt die E-Mail des Senders entgegen, und sendet diese an den Mailserver des Empfängers. Dort wird sie in den Posteingang des Empfänger gelegt und wartet darauf, durch den Empfänger geöffnet zu werden. Genauer möchte ich nun die Wolke "Internet" betrachten, die in zahlreichen Graphiken auftaucht, aber selten beschrieben wird.
Ein Thema, welches in den letzten Tagen in der Presse, in den Medien und Foren gerne als "Allheilmittel" gegen staatliche Überwachung oder Wirtschaftsspionage genannt wurde, ist Verschlüsselung.
Um es vorwegzunehmen: Zweckmäßig und korrekt eingesetzt, ist Verschlüsselung sinnvoll - aber sie ist kein Allheilmittel. Die Verschlüsselung einer E-Mail verschlüsselt beispielsweise nicht den Betreff, den Empfänger oder Absender (="Metadaten"), sondern nur den Inhalt und ggf. die Dateianhänge. Der Header, oder korrekt ausgedrückt die "Header Section", bleibt etwa unverschlüsselt. Der Header enthält neben den Absende- und Empfangsadressen auch Informationen über die Route, die die E-Mail vom Absender zum Empfänger genommen hat. Da im Rahmen der Vorratsdatenspeicherung (= was übrigens gleichbedeutend mit dem aus wahltaktischen Gründen eingeführten Wort "Mindestdatenspeicherung" ist) oder den bekannten Überwachungsprojekten hauptsächlich Metadaten gesammelt werden, bringt eine Verschlüsselung an dieser Stelle erst mal wenig gegen die Erstellung von Profilen, wer mit wem wann zu welchem Thema Nachrichten ausgetauscht hat.
