|
Kein Datensicherheitssystem ist unangreifbar. PGP kann auf verschiedenen Wegen hintergangen werden. Mögliche Angreifbarkeiten schließen ein: Bekanntwerden ihres geheimen Schlüssels oder des Schutzsatzes, Veränderung öffentlicher Schlüssel, gelöschte Dateien, die immer noch auf ihrer Festplatte sind, Viren und Trojanische Pferde, Lücken in der physikalischen Sicherheit, elektromagnetische Emmissionen, ungeschützte multi-user Systeme, Datenverkehranalyse oder sogar direkte Kryptoanalyse.
Manchmal benutzen kommerzielle Produkte den \'Federal Data Encryption Standard\' (DES), einen ziemlich guten Algorithmus, der von der US-Regierung für kommerzielle Anwendung empfohlen wird (allerdings nicht für geheime Regierungsdaten, naja...). Es gibt mehrere Arbeitsmodi, die DES benutzen kann, wovon einige besser als andere sind. Die US-Regierung empfiehlt, nicht den schwächsten Modus für Nachrichten zu verwenden, den \'Elektronisches Codebuch\' (ECB) Modus. Aber Sie empfehlen die stärkeren und komplexeren Modi \'Chiffratrückführung\' (Chiper-Feedback - CFB) oder Chiffratblockverkettung (Chiperblock-Chaining - CBC).
Sogar die wirklich guten Softwarepackete, die DES in korrekter Weise verwenden, haben immer noch Probleme. Das Standard-DES benutzt einen 56-bit Schlüssel, der für heutige Anforderungen zu klein ist, und jetzt auch leicht mit simplem \'Durchprobieren\' aller Schlüssel auf Hochgeschwindigkeitsmaschinen knackbar ist. DES ist am Ende seines nützlichen Lebens angelangt, und somit auch alle Software, die es benutzen.
Es gibt eine Firma, genannt AccessData (87 East 600 South, Orem, Utah 84058, Telefon 1-800-658-5199) welche ein Softwarepacket für $185 verkauft, das die eingebauten Verschlüsselungen von Lotus 1-2-3, MS Excel, Symphony, Quattro Pro, Paradox, und MS Word 2.0 knackt. Es rät nicht einfach Passwörter -- es macht echte Kryptoanalyse. Einige Leute kaufen es, wenn Sie die Passworte zu ihren eigenen Dateien vergessen haben. Behörden kaufen es auch, damit sie die Dateien lesen können, die sie beschlagnahmen. Eric Thompson sagt, sein Programm braucht nur Bruchteile einer Sekunde, um sie zu knacken, aber er hat ein paar Warteschleifen eingebaut, damit es für den Käufer nicht zu einfach aussieht. Er sagte mir auch, das die Passwort- Option von PKZIP auch oft einfach geknackt werden kann, und seine behördlichen Kunden haben diesen Service schon von einem anderen Anbieter.
Schlusswort
Israelische Forscher haben eine Methode entwickelt, die so gut wie jedes Verschlüsselungssystem knackt, auch das bei sensiblen Daten von Banken meistverwendete, DES. Es gilt als sicher, weil es mit Primzahlen arbeitet und \"Einbrecher\" mit extrem langen, schwer zu findenden Zahlen abwehrt. Gegen die Israelis hilft die Strategie nichts, sie finden Primzahlen jeder Länge, indem sie wie Verhaltensforscher die Chips beobachten, denen die Verschlüsselung einprogrammiert ist. Ähnliches ist schon bei \"public keys\" gelungen, bei denen alle Sender einen gemeinsamen Schlüssel und nur der Empfänger noch einen zweiten hat. Anstatt wie herkömmliche Datendiebe diesen Schlüssel zu stehlen, haben US-Forscher über die Beobachtung der Länge seiner Entzifferung durch den Empfänger die Codes geknackt. Nun wurde der härtere DES - ein \"secret key\", bei dem die Parteien den Schlüssel austauschen - überlistet. Die Forscher holen sich das Verschlüsselungsprogramm aus der \"black box\" - dem versiegelten, unzugänglichen Chip -, indem sie mehrere Male dieselbe Botschaft durch den Chip schicken und ihn zwischen jedem Durchgang mit Mikrowellen bestrahlen. Dadurch richten sie kleine Schäden im Programm an, das dann immer ein wenig anders verschlüsselt. Aus diesen Abweichungen schließlich kann man mit einem speziellen Verfahren - Differential-Fehler-Analyse - den Schlüssel selbst rekonstruieren.
|
