Startseite > Newskommentare > Hochsichere Verschlüsselung: Klartext

Hochsichere Verschlüsselung: Klartext

Verschlüsselungsverfahren dienen normalerweise dazu, dafür zu sorgen, dass nur berechtigte Personen in der Lage sind, den Text bzw. die Daten zu lesen. Daher versucht man üblicherweise, zu vermeiden, Fremden einfach so die verschlüsselten Daten zu geben. Noch mehr versucht man dabei zu vermeiden, das über eine unverschlüsselte Verbindung zu tun. Normalerweise. Ausgerechnet Steganos, Hersteller einiger Verschlüsselungsprogramme, verletzt nun eigentlich jede dieser Grundregeln, wie Golem.de berichtet.

Man kann den Text auf einer Website eingeben, das Passwort eintippen, und der Text wird verschlüsselt. Kostenlos. Eigentlich könnte man meinen, es handele sich dabei um einen guten Service und eine super Idee. Allerdings werden dabei die Daten an den Steganos-Server geschickt und erst dort verschlüsselt. Und da der Golem-Link noch nicht mal auf die https-Version, sondern die http-Version verweist, und es dort auf die Möglichkeit, https zu nutzen, keinen Hinweis gibt, kann man davon ausgehen, dass die meisten Nuter die Daten auch noch über eine unverschlüsselte Verbindung schicken. Statt also für Sicherheit zu sorgen, sorgt dieser Service für Unsicherheit, da:

  1. Die Daten ungesichert übertragen werden und so leichter abgehört werden können, als wenn sie über eine https-Verbindung eines Webmailers verschickt werden
  2. Der Benutzer dazu animiert wird, ein Passwort im Klartext zu verschicken
  3. Die Datenan einen weiteren Server gehen
  4. Die Daten dadurch, dass der Benutzer sie zu verschlüsseln versucht, für den Angreifer interessanter werden
  5. Der Dienst suggeriert, er sei sicher
  6. Man nicht sieht, wie die Implementierung des Algorithmus aussieht, da die Verschlüsselung serverseitig geschieht, für den Benutzer also eine "Blackbox" ist.
  7. Der Dienst suggeriert, man könne sich vor Datenklau schützen, selbst wenn der Rechner im Internetcafe, in dem man sitzt, voll mit Trojanern und Keyloggern ist (ja, damit hat man zu rechnen. Immer. Auch wenn man es nicht erwartet. Ich weiß wovon ich spreche, weil ich selbst schon mal einen Keylogger an einem Ort, wo ich ihn definitv nicht erwartet hätte, gefunden habe)

Mein Tipp: FINGER WEG! (Es gibt aber auch andere Meinungen)
Wenn man unbedingt das Bedürfnis verspürt, auf fremden, potentiell unsicheren Rechnern geheime Daten einzugeben, sollte man sich wenigstens JavaScrypt holen. Der https-Link erschwert (lies: erschwert, nicht verhindert), dass ein Angreifer den Code verändert – bei einem sauberen Rechner sollte eine Warnmeldung erscheinen, falls jemand das versucht. Die Daten werden hier mithilfe von JavaScript (daher der Name) verschlüsselt, übrigens mit dem gleichen Verfahren (AES-256), welches auch Freecrypt (die Website von Steganos) benutzt. Die Daten werden also nicht ins Internet gesendet. Den JavaScrypt-JS-Code kann jeder selbst überprüfen, wodurch die Chance auf Fehler oder Hintertüren reduziert wird. Im Gegensatz zur Steganos-Webseite klärt JavaScrypt auch über die Gefahren (Keylogger/Spyware, Fehler etc.) auf. Ach ja: Keine Angst – Javascrypt ist nicht wirklich schwer zu bedienen. Es ist nur nicht so schön bunt.

Auf jeden Fall sollte man für die Verschlüsselung ein Passwort nehmen, was man sonst nirgendwo verwendet. Das erhöht die Sicherheit der Verschlüsselung (Was bringt AES, wenn der Angreifer sich das Passwort aus einer anderen unverschlüsselten Verbindng zum Mailserver holt?) und senkt den Schaden, der entsteht, wenn durch die Verschlüsselungssoftware das Passwort selbst kompromittiert wird (was bei der Freecrypt-Website aus den oben genannten Gründen ja nicht so unwahrscheinlich ist).

Aber: Wenn die Kiste, an der man sitzt, kompromittiert ist, bringt alles nicht. (Nein, Virenscanner können keine Sicherheit geben.) Und ich würde defnitiv einem Rechner im Internetcafe nicht trauen.

UPDATE: Inzwischen hat Steganos zumindest das Problem mit der Nichtverwendung von https korrigiert. Danke an Mirko für den Hinweis. 

Kategorien:Newskommentare
  1. 2006-06-04 um 16:33 UTC

    Steganos übernimmt die Weiterleitung auf eine gesicherte https-Verbindung.

  1. No trackbacks yet.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: