vorherige News

nächste News

Symantec-Experte: "PGP ist weiterhin sicher"

Aussagen der Bundesregierung, denen zufolge es dem Bundesnachrichtendienst (BND) unter Umständen möglich ist, verschlüsselte E-Mails zu lesen, sorgen derzeit für Diskussionen. Nun nahm das IT-Sicherheitsunternehmen Symantec, Anbieter einer kommerziellen E-Mail-Verschlüsselungslösung, zu den Behauptungen Stellung und versuchte, seine Kunden zu beruhigen. "PGP ist weiterhin sicher", so Symantec.

In der Antwort der Bundesregierung auf eine Anfrage einiger Linken-Abgeordneter heißt es, die zur E-Mail-Überwachung eingesetzte Technik sei grundsätzlich, "je nach Art und Qualität der Verschlüsselung", auch für das Mitlesen verschlüsselter E-Mails geeignet (gulli:News berichtete). Dies führte in den Medien teilweise zu der voreiligen Aussage, die Bundesregierung könne "PGP knacken".

Symantec, das in vielen seiner Programme PGP einsetzt, nahm nun Stellung zu diesen Spekulationen. Thomas Hemker, einer der PGP-Experten, der Firma, erklärte nun gegenüber dem IT-Newsportal Golem, er könne sich eigentlich nur einen - von gulli:News ebenfalls bereits als eine Möglichkeit angesprochenen - Angriff mit einem Staatstrojaner als Möglichkeit des erfolgreichen Angriffs auf PGP-verschlüsselte Mails vorstellen. Mit Hilfe einer derartigen Software könnten entweder der private Schlüssel und dessen Passwort kopiert oder aber die E-Mails nach der Entschlüsselung durch den Nutzer mitgelesen werden. "Ja, absolut, das muss der Weg sein," so Hemker über dieses Angriffs-Szenario, "Der Trojaner ist auch der gängige Angriff auf alle Krypto-Implementierungen, nicht nur PGP." Diese Aussage sei zwar spekulativ, aber aus seiner Sicht am plausibelsten. "Unsere PGP-Produkte sind weiterhin sicher," betonte Hemker selbstbewusst. Er kritisierte außerdem, dass die Aussage der Bundesregierung "absolut schwammig" sei. "Wenn sie sich wirklich auf die Verschlüsselung bezieht, ist sie auch falsch", da die Verschlüsselung selbst nicht gebrochen sei.

"Wir hatten in der Vergangenheit ja schon oft Meldungen, laut denen PGP angeblich geknackt wurde. Das waren aber meistens Brute-Force-Attacken, bei denen schwache Passphrases für den Schlüsselzugriff geknackt wurden. Es war niemals ein mathematischer Angriff auf die Kryptografie selbst," berichtet Hemker. Bei einem Brute-Force-Angriff werden einfach sämtliche Möglichkeiten nacheinander durchprobiert. Dieser Angriff ist vergleichsweise primitiv und kostet viel Rechenzeit; wird das Passwort jedoch zu kurz gewählt, führt er - unabhängig von der mathematischen Stärke der verwendeten Verschlüsselung - zum Erfolg.

Hemker wies auf die Möglichkeit hin, Zusatzgeräte wie Smart Cards oder Crypto-Tokens in Verwendung mit PGP zu verwenden und so Keylogger oder Angriffe auf das Passwort auszuhebeln.

Zudem verwies der Symantec-Experte auf die Tatsache, dass seine Firma den Quellcode ihrer PGP-Umsetzung im Internet offen legt und somit jeder Interessierte die Software auf mögliche Implementierungs-Lücken untersuchen kann. Immerhin, so Hemker, sei die Implementierung "oft die entscheidende Frage", wenn es um die Sicherheit einer Verschlüsselungs-Software gehe. Nach Angaben des Symantec-Sprechers nutzen jährlich rund 60.000 Interessierte die Möglichkeit, den offenen Quellcode von Symantecs PGP-Produkten auf derartige Schwachstellen zu überprüfen. Die Software verfüge außerdem  über die Common-Criteria-Zertifizierung und die FIPS-140-2-Validierung und damit "über höchste Sicherheitsstandards", betonte Hemker.

Der Experte verwies darauf, dass die kryptographischen Algorithmen selbst keine Erfindung von Symantec seien, sondern die Implementierung von offenen Standards wie AES, Triple DES und Public-Key-Algorithmen von RSA und Diffie-Hellman. "Das heißt, wenn die Verschlüsselung von der Bundesregierung wirklich kompromittiert werden kann, dann trifft das nicht nur PGP, sondern alle Techniken, Methoden und Produkte, die dies implementiert haben. Browser mit SSL, Server und Festplattenverschlüsselung von anderen Herstellern," betonte Hemker. Insbesondere AES findet derzeit an zahlreichen Stellen, von der Festplatten-Verschlüsselung über zahlreiche verschlüsselte Kommunikationsmedien bis hin zum WLAN-Verschlüsselungsstandard WPA-2, Verwendung. Ihm sei aber kein mathematisches Verfahren bekannt, das für einen derartigen Angriff in Frage komme, erklärte Hemker.

Trotz Aussagen wie der von Hemker könnte die derzeitige Diskussion für massive Verunsicherung unter vielen Internet-Nutzern sorgen. Sollte dies zu einem generellen Misstrauen gegenüber E-Mail-Verschlüsselung und in der Folge einer geringeren Nutzung dieser führen, würde auch die Bundesregierung womöglich feststellen, dass sie mit ihrer betont vagen Aussage erheblichen Schaden angerichtet hat. Immerhin schützt die konsequente und sachgerechte Nutzung von Verschlüsselung auch vor IT-Verbrechen wie Identitätsdiebstahl, einigen Formen des Betrugs und Industrie-Spionage - Delikten, deren Bekämpfung sich auch die Bundesregierung in den letzten Jahren auf die Fahnen geschrieben hat.

Text-Quellen: Golem

Annika Kremer (g+) am Donnerstag, 24.05.2012 22:46 Uhr

Tags: symantec bnd pgp überwachung openpgp verschlüsselung

• Home
• Board
• News
• NewsPresso
• Internet
• IT-Sicherheit
• Hard- und Software
• Games
• Mobile
• Werbung
• Presse
• Kontakt
• Betreiberinfos
• Chat
• Jobs
• Suche

© 1998-2013 InQnet GmbH