A U S G E S C H N Ü F F E L T

FBI dringt in fremden Computer ein

In den USA sorgt eine FBI-Aktion für Wirbel. Die Bundespolizei hatte bei einem mutmaßlichen Gangstersyndikat-Mitglied eine manipulierte Computertastatur eingesetzt, um die Passwörter des Mannes auszuspähen.

Nicodemo S. Scarfo, der Sohn des früheren Syndikat-Bosses von Philadelphia, leitet in New Jersey ein Kreditbüro, das mit der Mafia in Verbindung stehen soll. Er benutzte nach eigenen Angaben das weitverbreitete PGP-Verschlüsslungsprogramm, um seine Computerdateien vor neugierigen Augen zu schützen.

Doch die Bundesbehörden wollten Scarfos Vorsichtsmaßnahmen umgehen. Wie die Internet-Nachrichtagentur Wired berichtet, spionierten sie an der Software vorbei seine Geheimnisse aus: FBI-Agenten brachen am 10. May 1999 in sein Büro in Belleville in New Jersey ein und installierten vermutlich eine manipulierte Computertastatur, die seine eingetippten Kennwörter speicherte. Ein siebenseitiger Gerichtsbeschluss legitimierte die Aktion. Demnach durften die Agenten in das Büro einbrechen, die Schnüffel-Technologie installieren und später wieder abbauen.

Der Fall, der nun vor Gericht verhandelt wird, scheint der erste zu sein, bei dem derartige Ermittlungsmethoden erlaubt waren. Einige Rechtsexperten sagen, die FBI-Aktion habe Grenzen überschritten."Ich glaube kaum, dass das verfassungskonform war", sagte David Sobel, Vorsitzender des"Electronic Privacy Information Centers" in Washington."Dieser Vorgang hat das Potenzial einen juristischen Präzedenzfall zu schaffen." Er befürchtet, dass wenn der Staat nicht in seine Schranken gewiesen werde, die Anzahl der virtuellen Ausspähungen raketenartig nach oben schießen könnte.

Etwas anders sieht das der Juraprofessor Eugene Volokh. Seiner Ansicht nach könnte die Regierung argumentieren, dass die Vorgehensweise nicht im Widerspruch zur amerikanischen Verfassung stehe. In vielen Punkten unterscheide sich das Ausschnüffeln von elektronischen Geheimnissen nicht vom Einsatz von Abhörwanzen. Und diese Technologie sei verfassungskonform.

Der Anwalt Scarfos, Donald Manno, hält dagegen: Die Privatsphäre seines Mandanten sei erheblich eingeschränkt gewesen. Alles was er auf seinem Computer getippt habe, Briefe an seinen Anwalt oder seinen Arzt, konnten vom FBI überwacht werden.

Der Scarfo-Fall platzt mitten in eine heftige Diskussion der amerikanischen Ã-ffentlichkeit. Das US-Justizministerium legte Mitte 1999 einen Gesetzesentwurf auf den Tisch, dem zufolge auch elektronische Überwachungsmethoden großzügiger angewandt werden könnten. Die Gesetzesinitiative wurde aber nach Protesten von Bürgerrechtsgruppen in Teilen zurückgezogen. Im überarbeiteten"Cyberspace Electronic Security Act", der dem Kongress zur Abstimmung vorlag, waren die umstrittenen Passagen gestrichen.

Dennoch hält die US-Regierung an der eigentlichen Idee fest."Wenn Dealer und Terroristen Verschlüsselungsprogramme nutzen, muss der Staat in der Lage sein, in einer Art und Weise zu reagieren, dass Ermittlungen und Verdachte nicht zunichte gemacht werden", schrieb US-Justizministerin Janet Reno an den Kongress.



Na, heißt das jetzt, daß PGP sicher ist, oder will das FBI die Leute nur an der Nase herumführen?

<center>

<HR>

</center>

>Na, heißt das jetzt, daß PGP sicher ist, oder will das FBI die Leute nur an der Nase herumführen?
Einmal ist das nicht nur eine Frage des Verschlüsselungsalgorithmus, sondern
auch eine Frage der Hardware. Komputer kann man ebenso wie Telefone prinzipiell
abhören (vor allem die Ausstrahlungen des Monitorkabels, aber vermutlich auch
andere Abstrahlungen). Es gibt eine dagegen entwickelte Technologie (tempest),
die aber klassifiziert ist. Ob die abschirmende Tapete, von der bisweilen die
Rede ist, einen Schutz bietet, ist mir nicht bekannt. Natürlich kann man auch
einfach in einen Raum einbrechen und dann die dort befindliche Comutersoftware
modifizieren.

Ich kenne mich mit den Details der neueren Varianten von PGP nicht besonders
gut aus, glaube aber, daß nach wie vor der RSA-Algorithmus zum Schlüsseltausch
benutzt wird, wobei verschiedene Schlüssellängen zur Auswahl stehen, wobei ich
mich auf Potenzen von zwei beschränke. Gegen finanzstarke Gegner sind nur
>=1024 Bit ausreichend. 512 Bit sind im August 1999 erstmals in einem offenen
Experiment mit dem Zahlkörpersieb gebrochen worden. Bei der extremen Wichtigkeit
des Problemes der elektronischen Primfaktorzerlegung für die Kryptologie und bei
der Möglichkeit, gegen 512 Bit RSA auch eine Materialschlacht mit dem älteren
MPQS-Verfahren zu schlagen, ist fraglich, ob dies überhaupt die erste Zerlegung
einer `harten' (ohne kleine Primteiler oder spezielle Form) 512-Bit Zahl war.
Ich glaube, ganz alte Varianten von PGP haben sogar 256-Bit RSA angeboten, aber
in diesem Fall würde die Primfaktorzerlegung mit dem MPQS nur etwa zwei bis
vier Stunden auf einem 450 MHz Pentium PC dauern.

Der Blockschlüssel für PGP ist IDEA. Meines Wissens noch nicht geknackt, aber
meine Informationen sind nicht sonderlich aktuell. Es gibt ein schönes Buch
von Bruce Schneier (Applied Cryptography) in mehreren Auflagen und einige
Newsgroups (Cypherpunks oä).


<center>

<HR>

</center>

<center>

<HR>

</center>

>Es gibt ein schönes Buch
>von Bruce Schneier (Applied Cryptography) in mehreren Auflagen und einige
>Newsgroups (Cypherpunks oä).

Wow! Fachsimpeleien auf fremdem Gebiet!
Aber ich sehe das Thema als so wichtig an, dass ich mir eine Einführung wünsche. Immer mehr Info´s und Dokumente werden über´s Internet gesandt. Wenn ich denke, dass Gutachten mit Firmeninternas unverschlüsselt als Word-Doc zur Korrektur auf meinem PC landen, wird mir ganz anders. Was bei Behörden, Anwälten und in der Medizin so über e-Mail alles versandt wird, mag ich lieber gar nicht wissen.

Im Moment ist es eher ein Wirtschaftsspionage-Thema. Da lohnt sich scheinbar der immense Auswertungsaufwand.

Doch auch wenn ich sehe, über welche Stolpersteine Politiker abgesägt werden, dann bietet die Auswertung von e-Mails etc. eine unerschöpfliche Fundgrube für Erpressungen. Und wer weiß denn schon, ob er/sie nicht in 10, 20 Jahren ein hohes Tier werden wird!

Und was wird erst, wenn wir in 10 oder 20 Jahren wieder totalitärere Verhältnisse hier haben? Wenn Arbeitgeber sich von der Schufa nicht nur die Kreditwürdigkeit übermitteln lassen können sondern für ein paar Mark auch ein Persönlichkeitsprofil?

Mann bin ich pessimistisch drauf!
Dennoch Bitte an Jefra:

Kennst Du eine kurze Einführung, wie das mit den Schlüsseln funktioniert? Ist das wie eine Zip-Datei mit längerem Passwort? Wie kommt der richtige Dechiffriercode zum gewünschten Empfänger, ohne dass er abgefangen werden kann?
Wird das Datenvolumen durch Verschlüsselung vervielfacht? etc. etc.



<center>

<HR>

</center>

1. PGP wird kaum akzeptiert. Ich habe NOCH NIE eine e-mail mit meinem Schlüssel bekommen.

2. Ich benutze einen PGP-RSA-Schlüssel der Version 2.6.x - die läuft unter MS-DOS - mit einer Schlüssellänge von 8124 Bit - das extremste, was du finden kannst & eine wunderbare Sache, wenn du die Schlapphüte ärgern willst.
Der Nachteil det janzen ist, dass die Entschlüsselung auf deinem Rechner ewig dauert. Ein zehnseitiges ASCII-Dokument entschlüsselst du am besten abends um 6 Uhr & lässt den Rechner über Nacht laufen, & hast dann am Morgen dein Ergebnis.
Das ist nur dann praktikabel, wenn du fürs Entschlüsseln einen eigenen Rechner hast (auch sinnvoll als Virenschutz...)

Hardy

<center>

<HR>

</center>

Bruce Schneiers Buch ist sicher eine lohnende Investition, wenn man sich für das Programmieren der kryptographischen Algorithmen interessiert. Es wendet sich eindeutig an Leser mit gewissen Informatik-Kenntnissen, zum Teil auch Mathematik-Kenntnissen (aber auf einem recht elementaren Niveau). Man kann sich,
glaube ich, über www.digicrime.com zu Schneiers homepage (ich glaube, www.counterpane.com) durchklicken und findet dort auch Links zu verschiedenen
Organisationen, die sich um Fragen der Datensicherheit verdient gemacht haben (zB www.eff.org, wenn ich mich richtig erinnere).

Soweit mir bekannt ist, verwendet pgp den (langsamen) RSA-Algorithmus, um einen
Schlüssel für den blockweisen Algorithmus IDEA (nicht ganz so langsam) zu
verschlüsseln. In puncto Geschwindigkeit gibt es sicherlich bessere Kandidaten
als IDEA. Die Länge der Nachricht wird wohl nur unerheblich verlängert, jedenfalls bei längeren Texten.

Ich glaube, daß für Privatpersonen der Schutz des PC gegen physischen Zugang bzw. Abhören das eigentliche Problem darstellt, das auch kaum zu lösen ist. Wenn sich irgendein Staat, Geheimdienst oder MAFIA für Ihre Daten interessiert, wird man die Daten auf diese Weise erhalten können. Durch Anwendung von pgp schützt man sich gegen Bestrebungen, nach dem Prinzip 'Staubsauger im Internet' Persönlickeitsprofile für große Menschengruppen zu erstellen.


<center>

<HR>

</center>