Interessantes zur Sicherheit im Netz.
Israelische Forscher knackten GSM-Code
Das Abhören von Mobiltelefonen im GSM-Netz ist noch einfacher geworden.
Das haben die israelischen Computerspezialisten Adi Shamir und Alex
Biryukov jetzt bewiesen. Die international anerkannten Experten haben nach
eigenen Angaben mit einer einfachen Computerausstattung (128 MB RAM,
zweimal 73 GB Festplattenspeicher), den bisher als abhörsicher gelten
Verschlüsselung nach dem GSM-Standard hingewiesen, die allerdings bisher
nur mit hohem Aufwand ausgenutzt werden konnten.
Hintergrund: Handy und Funkstation vereinbaren beim Telefonieren über GSM
am Anfang des Gesprächs einen Code, der vor dem Abhören schützen soll.
Bisher wären nach Angaben von Kryptografie-Experten mehrere Tage in einem
mittleren Rechenzentrum nötig gewesen, um den Code zu knacken. Mit Shamirs
neuem Trick gehe das jetzt in einer Sekunde.
Unsicher sei GSM auch vor Shamirs neuer Methode schon gewesen, heißt es in
Expertenkreisen. Zum Handy-Abhören brauche man außer der recht preiswerten
Computer-Hardware auch eine Anlage zum Empfang der Funksignale, die
einige zehntausend Mark kostet. Für interessierte Industrie-Spione aber sind
die Mithör-Hürden damit kleiner geworden, denn Adi Shamir will die genaue
Beschreibung seiner Methode noch in dieser Woche veröffentlichen.
Quelle: www.billiger-telefonieren.de
Uwe Rosenhahn - [email protected] 08.12.1999
Projekt zur Weiterentwicklung und Vermarktung des GNU Privacy Guards (GnuPG)
Durchgeführt von der German Unix User Group (GUUG) e.V.
In Zusammenarbeit mit
G-N-U GmbH
LinuxLand International
DFN-PCA-Projekt
Werner Koch Softwaresysteme
Gefördert vom deutschen Bundesministerium für Wirtschaft und Technologie (BMWi)
In dieser Presseerklärung versuchen wir, Antworten auf die am häufigsten gestellten Fragen zu
unserem Projekt zu geben. Wenn Sie darüber hinaus Fragen an uns haben, können Sie uns unter der
E-Mail-Adresse [email protected] erreichen.
Worum geht es in dem Projekt?
Ziel des Projekts ist es, den GNU Privacy Guard (GnuPG) und damit starke
Verschlüsselungstechnologie für die allgemeine Öffentlichkeit nutzbar zu machen.
Was ist GnuPG?
GnuPG ist eine von Werner Koch aus Düsseldorf entwickelte Verschlüsselungs-Software. GnuPG
wird von Sicherheitsexperten in aller Welt als eines der derzeit besten Verschlüsselungssysteme
anerkannt.
Das Besondere an GnuPG:
GnuPG implementiert den OpenPGP-Standard, der als Erweiterung von PGP den derzeitigen
de-facto-Standard im Internet darstellt.
GnuPG ist ein offizielles GNU-Projekt und freie Software unter der GNU General Public
License (GNU GPL).
Was ist freie Software?
Freie Software, auch Open-Source-Software genannt, ist Software, deren Lizenzbedingungen dem
Benutzer bestimmte Rechte zusichern:
Jeder hat das Recht, freie Software nach eigenem Ermessen zu nutzen. Dies schließt
kommerzielle Nutzung ausdrücklich ein.
Der Quelltext muß jedem Benutzer offengelegt sein.
Der Benutzer hat das Recht, die Software zu modifizieren und in modifizierter Form
weiterzuverteilen.
Freie Software ist also sehr wohl kommerzielle Software. Ziel unseres Projekts ist es unter anderem,
durch den Vertrieb von GnuPG wirtschaftliche Erfolge zu erzielen.
Ein wichtiger Teil der existierenden freien Software stammt aus dem GNU-Projekt der Free
Software Foundation - siehe http://www.gnu.org. Auch GnuPG ist ein offizieller Bestandteil
des GNU-Projekts.
Weitere Informationen über freie Software finden Sie in englischer Sprache unter
http://www.gnu.org/philosophy/free-sw.html sowie in deutscher Sprache unter
http://www.gnu.de, http://www.de.debian.org/intro/free.de.html oder
http://www.g-n-u.de/freie-software.html.
Die garantierte Einsehbarkeit des Quelltextes von GnuPG gewährleistet vollständige Transparenz.
Bei hohen Anforderungen an die Sicherheit ist dies eine unverzichtbare Grundlage.
Was wollen wir mit dem Projekt erreichen?
Im Zeitalter zunehmender Vernetzung ist die Privatsphäre ein wertvolles und immer
schwieriger zu schützendes Gut.
Elektronische Unterschriften können in Zukunft sichere Geschäfte im Internet ermöglichen
und unsere gesamte Wirtschaft revolutionieren.
Durch die Nutzbarmachung starker Verschlüsselungstechnologie für jedermann wollen wir die
hierfür nötigen Werkzeuge zur Verfügung stellen.
Gleichzeitig wollen wir zeigen, daß freie (Open-Source-) Software durchaus dazu geeignet ist, sich
auf dem Markt zu behaupten und sich mit nicht-freien, proprietären Konkurrenzprodukten im fairen
Wettbewerb zu messen. Da die hervorragende Qualität von freier Software längst eine unbestrittene
Tatsache ist, wird es in diesem Projekt vorwiegend um leichte Bedienbarkeit gehen.
Warum verwenden wir nicht PGP?
PGP ("Pretty Good Privacy") ist ein Produkt aus den USA und unterliegt der amerikanischen
Gesetzgebung, beispielsweise den Exportbeschränkungen. Somit ist es in Europa nicht für alle
Einsatzgebiete geeignet.
PGP wird zwar derzeit mit Quelltext ausgeliefert, aber dieser Quelltext ist nicht vollständig, und es
gibt keine Garantie, daß dies auch in Zukunft so bleiben wird. PGP ist daher keine freie Software.
Desweiteren unterstützen aktuelle Versionen von PGP Optionen zur Einrichtung von Drittschlüsseln.
Viele Anwender haben dadurch das Vertrauen in diese Software verloren.
Was werden die konkreten praktischen Auswirkungen des Projekts sein?
GnuPG wird komplett mit Handbuch im Fachhandel erhältlich sein. Privat- wie Business-Anwender
werden das Paket für einen angemessenen Preis erwerben können. Es wird leicht zu installieren und
leicht zu benutzen sein, ohne dabei an Funktionalität einzubüßen. Es wird professionellen Support
geben.
Auf welche Weise wollen wir selbst an dem Projekt verdienen?
Anwender wissen es zu schätzen, wenn Software installationsfertig auf CD mit Handbuch angeboten
wird, und sind erfahrungsgemäß bereit, hierfür einen angemessenen Preis zu zahlen.
Business-Anwender haben über das reine Produkt hinaus Bedarf für zusätzliche Dienstleistungen,
beispielsweise die fachgerechte Installation der Software in einem Firmen-Netzwerk oder
qualifizierte Schulung der Mitarbeiter. Als Entwickler von GnuPG sind wir in besonderer Weise in der
Lage, diesen Support zu leisten.
Was bringen wir in das Projekt ein?
GnuPG ist seit September 1999 in der Version 1.0 für Unix-kompatible Betriebssysteme im Internet
frei verfügbar und für erfahrene Anwender voll einsetzbar.
Damit auch weniger computererfahrene Benutzer die Software einsetzen können, sind jedoch noch
umfangreiche weitere Entwicklungsarbeiten zu leisten, beispielsweise die Portierung auf
unterschiedliche Betriebssysteme, die Entwicklung grafischer Benutzerschnittstellen und das
Schreiben eines Handbuchs.
Nicht zu unterschätzen ist auch die Aufgabe, die Software zu einem marktfähigen Produkt
zusammenzustellen und ein angemessenes Marketing zu betreiben, um die Öffentlichkeit über die
neuen Möglichkeiten zu informieren.
Durch unser Projekt sichern wir außerdem die Weiterentwicklung von GnuPG und setzen ein Signal
für die Open-Source-Entwicklung in der Industrie.
In welcher Weise soll die Förderung verwendet werden?
Mit der Förderung soll sichergestellt werden, daß Privatanwendern wie kleinen und mittelgroßen
Firmen eine sichere Verschlüsselungs-Software für einen angemessenen Preis zur Verfügung steht.
Es wird einige Zeit vergehen, bis das Projekt genügend Gewinn erwirtschaftet, um sich selbst zu
tragen. In dieser Zeit müssen in den Bereichen Entwicklung und Produktisierung kostspielige
Investitionen geleistet werden. Um diese Anfangsinvestitionen leisten zu können, benötigen und
erhalten wir Förderung durch das Bundesministerium für Wirtschaft und Technologie.
Mit GnuPG wurde ein Stein für die Förderung von Freier Software (Open-Source) ins Rollen
gebracht: Das BMWi hat inzwischen erklärt, daß noch weitere geförderte Projekte folgen sollen.
Wir sind zuversichtlich, daß sich die freie Software GnuPG dauerhaft als zuverlässiges Werkzeug
etablieren wird, das den europäischen Bürgern auf dem Weg in das Informationszeitalter Sicherheit
bietet.
Quelle:http://www.gnupg.de/03.12.1999
Im Umgang mit Handys und E-Mail sind die Deutschen nach Ansicht des
Bundesbeauftragten für den Datenschutz, Joachim Jacob, nachlässig und
ignorant. Die Begeisterung über die neuen Kommunikationsmittel sei derart
ausgeprägt, dass die Bürger zu wenig auf den Schutz ihrer eigenen Daten
achteten, sagte Jacob am Sonntag in einem Interview des Südwestrundfunks
zur Internationalen Funkausstellung (IFA). Da die Informationsflüsse weit
über den nationalen Bereich hinausgingen, dürfe man sich im Datenschutz nicht
allein auf den Staat verlassen, sagte Jacob. E-Mails und Handy-Gespräche könnten
im Ausland mit anderer Gesetzgebung sehr viel leichter kontrolliert werden.
Bei der rasanten technischen Entwicklung hinke der Gesetzgeber automatisch
hinterher. Selbsthilfe und Eigenverantwortlichkeit seien nötig. Weiterhin
forderte der Datenschutzbeauftragte Erfolgskontrollen bei der Telefonüberwachung,
die sich von 1995 bis 1998 auf knapp 10 000 Fälle verdoppelt habe. Deutschland
habe damit unter den Demokratien eine Spitzenstellung eingenommen. Bereits am
vergangenen Wochenende hatte Jacob kritisiert, dass nirgendwo Zahlen über
Verlauf, Ergebnis, die genaue Zahl der Betroffenen und die Kosten der
Abhörmaßnahmen zusammengeführt werden. Er kündigte an, mit einer regelmäßigen
Berichterstattung für den Bundestag an die Öffentlichkeit zu treten.
Quelle: netseek.de31.08.1999
Im Internet ist eine Webseite aufgetaucht, die das Eindringen in anscheinend jeden
Hotmail-Account ermöglicht. Nach der Eingabe der Benutzerkennung landet man ohne
Passwortabfrage in der Mailbox des Hotmail-Teilnehmers. Darin hat man dann vollen
Zugriff auf eingegangene E-Mails und in der Regel auch auf die persönlichen Daten
und Einstellungen des rechtmäßigen Benutzers. Über die technischen Hintergründe und
den Urheber des Hacks ist noch nichts bekannt. Hotmail-Benutzer haben keine Möglichkeit,
den Dienst kurzfristig zu sperren oder zu löschen. In den Vertragsbedingungen heißt
es lapidar: "Möchten Sie den Dienst kündigen, dann können Sie dies nur tun, indem
Sie den Dienst nicht weiter verwenden." Derzeit erlischt ein Hotmail-Account nach
90 Tagen Nichtbenutzung. Während dieser Zeit darf der Teilnehmer nicht einmal nachsehen,
ob noch E-Mail eingegangen ist, sonst beginnt die Frist von vorn. Auch eine automatische
Antwort auf eingehende Nachrichten ist nicht möglich - ungelesene E-Mail wird ohne Hinweis
an den Absender gelöscht. Hotmail-Benutzer sollten bis auf weiteres regelmäßig ihre
E-Mail auf dem Server löschen, persönliche Daten verschleiern und angegebene Passwörter
für weitere E-Mail-Accounts löschen. Wer regelmäßig vertrauliche Daten übermittelt bekommt,
sollte erwägen, ein außerordentliches Kündigungsrecht geltend zu machen.
Quelle: netseek.de31.08.1999
Adi Shamir, Wissenschaftler am Weizmann-Institut in Israel und Mitentwickler
des RSA-Verschlüsselungsverfahrens, hat ein neues System entwickelt, mit dem
sich gängige Verschlüsselungscodes knacken lassen sollen. Wie die US-Zeitung
Wall Street Journal berichtet, soll Shamirs Rechner dank optischer
Signalverarbeitung in der Lage sein, die kürzeren und häufiger genutzten
RSA-Schlüssel mit lediglich 512 Bits innerhalb weniger Tage zu entschlüsseln
- damit könne er US-Websites knacken, die gesetzlich auf Schlüssel mit 512
Bit beschränkt sind. Nur Regierungseinrichtungen und Banken benutzen längere
Schlüssel mit 1024 Bit und mehr. Shamir bezeichnet seine Entwicklung als "The
Weizmann Institute Key Locating Engine" (TWINKLE). Der Rechner existiert
derzeit allerdings nur als Prototyp - die Entwicklungskosten liegen bei
geschätzten 3,6 Millionen Mark. http://www.weizmann.ac.il
Quelle: netseek.de 24.08.1999
Zurück