www.drokzid.net

In England muss man mittlerweile seinen Krypto-Key dem Staat gegenüber offenlegen.

Da das FBI die Namen von Anti-Kriegs-Demonstranten in die "Kriminellen-Datenbank" getan hat, wurde diesen die Einreise nach Kanada verweigert.

Das US-amerikanische Ministerium für Heimatschutz (Homeland Security) setzt offenbar fliegende Mini-Drohnen zur Überwachung von Friedensdemonstrationen ein.

EU-Gerichtshof entscheidet, dass Leute auf der EU-Terrorliste keine Grundstücke mehr in der Europäischen Gemeinschaft mehr erwerben dürfen.

Was ich allerdings auch nicht ohne fand, war die Tatsache, dass das BKA nun schon Personen verdächtigt, weil sie auf der Webpräsenz der Polizei surfen.

Am Härtesten allerdings finde ich die Verfolgung von Andrej H., der sich ja vor kurzem noch als mutmaßlicher Terrorist vom Bundesgerichtshof freisprechen lassen musste. Wen die Thematik interessieren sollte, kann sich im Blog seiner Frau näher über den staatlichen Überwachungs-Terror informieren, dem die Beiden ausgeliefert sind.

Allen den jenigen, die vielleicht durch den vorherigen Artikel aus ihrem staatlich verordnetem Tiefschlaf erwacht sind und ihren Klickibunti ICQ-AOL-MSN-Yahho-Schrott gegen eine ordentliche und vor allem sichere Software zu ersetzen gedenken, kann ich nur die Anleitung für verschlüsseltes und anonymisiertes Instant Messaging mit Jabber und GnuPG von Kai Raven empfehlen, welche ich auch in die Rubrik Howtos hinzugefügt habe.

Als ich mir vor einer Weile ein Notebook zulegte, hatte für mich eine sichere Verschlüsselung meiner Daten auf der Festplatte höchste Priorität. Als primäres Desktop-Betriebssystem wurde Debian Linux verwendet und als sekundäres Betriebssystem Windows. Es stellte sich also die Frage nach einer plattformunabhängigen Lösung, so dass der Zugriff auf eine gemeinsame Datenpartition ermöglicht wird.

Verschlüsselung der Partitionen unter Linux

Nach einigen Recherchen stellte ich fest, dass sich für mich als Debian User das Kryptographie-Modul des Device-Mappers dm-crypt zur symmetrischen Verschlüsselung meiner Daten anbietet, welches es ermöglicht, eine Gerätedatei zu verschlüsseln und in eine unverschlüsselte Gerätedatei einzuhängen.

Seit der Veröffentlichung von Debian Etch ist dieses Modul im Partitionsmanager des Debian Installers integriert. Darüber ist es problemlos möglich, verschlüsselte Partitionen zu erzeugen. So kann beispielsweise eine Root-Partiton mit einer definierten Passphrase verschlüsselt werden und Partitionen für die Swap-Partition mit einem zufälligen Schlüssel. Um die Hibernating-Funktion des Notebooks jedoch auch weiterhin zu nutzen, empfiehlt sich allerdings auch die Swap-Partition mit einer Passphrase zu verschlüsseln.

Um verschlüsselte Partitionen auf einem bereits bestehenden System zu erzeugen sind unter anderem die Kernelmodule aes, sha256, dm-crypt und dm-mod erforderlich. Der Zugriff aus der Shell auf Funktionen des Kernelmoduls erfolgt mit Hilfe des Programmpaketes cryptsetup.

modprobe aes
modprobe sha256
modprobe dm-crypt
modprobe dm-mod
aptitude install cryptsetup

Mit dem folgenden Befehl wird eine Partition mit einem 256 Bit langen Schlüssel symmetrisch nach dem Rijndael-Algorithmus verschlüsselt.

cryptsetup -c aes-cbc-essiv:sha256 -y -s 256 luksFormat /dev/sda3

Nach erfolgter Verschlüsselung der Partition anhand einer gewählten Passphrase, kann unter Angabe eines beliebigen Aliases von der verschlüsselten Gerätedatei eine „entschlüsselte Sicht“ erzeugt werden, welche anschließend formatiert und ins Dateisystem eingehangen wird.

cryptsetup luksOpen /dev/sda3 alias
mkfs.ext3 /dev/mapper/alias
mount /dev/mapper/alias /path/to/mount/point

Um beim Laden der Betriebssystemkonfiguration ein Einhängen der Partition unter Angabe der Passphrase zu ermöglichen werden folgende Einträge in den Dateien /etc/crypttab und /etc/fstab vorgenommen.

# Einträge in /etc/crypttab
alias          /dev/sda3           none luks,retry=1,cipher=aes-cbc-essiv:sha256
#
# Einträge in /etc/fstab
/dev/mapper/alias          /path/to/mount/point          ext3          defaults,errors=remount-ro 0       1

Um nicht für alle verschlüsselten Partitionen, welche beim Systemstart geladen werden sollen, eine Passphrase eingeben zu müssen, lohnt sich das Erzeugen einer Schlüsseldatei, die beispielsweise auf der verschlüsselten Root-Partition abelegt wird.

dd if=/dev/random of=/etc/keys/alias.key bs=32 count=1

Dieser Schlüssel wird dann dem dm-crypt Gerät zugewiesen und die nötigen Zugriffsrechte werden gesetzt.

cryptsetup luksAddKey /dev/sda3 /etc/keys/alias.key
chmod 600 /etc/keys/alias.key

Damit beim Systemstart die verschlüsselte Partition mit Hilfe des, auf der Root-Partition abgelegten, Schlüssels entschlüsselt wird, muss in der Datei /etc/crypttab das Schlüsselwort none durch die Pfadangabe zur Schlüsseldatei /etc/keys/alias.key ersetzt werden.

alias          /dev/sda3           /etc/keys/alias.key luks,retry=1,cipher=aes-cbc-essiv:sha256

Aus Gründen der Sicherheit empfiehlt es sich, die Root-Partition beim Laden des Betriebssystems per Passwortabfrage zu entschlüsseln und alle anderen Partitionen durch, auf der Root-Partition abgelegte, Schlüsseldateien zu entschlüsseln. Somit können rein theoretisch alle Partitionen, bis auf /boot, welche zum Laden des Kernels zwangsweise unverschlüsselt bleiben muss, verschlüsselt werden.

Zugriff auf die verschlüsselten Partitionen unter Windows

Ein Zugriff auf die, unter Linux erstellten, verschlüsselten Partitionen erfolgt unter Windows mit Hilfe der freien Software FreeOTFE. Diese Software entschlüsselt die verschlüsselte Partition nach Eingabe des Schlüssels und stellt diese als Laufwerk für den Benutzer zur Verfügung.

Wenn man unter Linux die verschlüsselten Partitionen mit dem ext3-Dateisystem formatiert hat, muss man zuvor jedoch das Windows Betriebsystem um ext3-Funktionalität erweitern. Dies geschieht mit Hilfe der Software IFS Drives.

Auch wenn sich nach den jüngsten Verfolgungen von TOR-Server-Admins wahrscheinlich eh niemand mehr traut, einen Anonymisierungsdienst zu betreiben, möchte in diesem Artikel kurz auf die wesentlichen Funktionsmerkmale und Unterschiede zwischen den Anonymizer-Systemen TOR und I2P eingehen.

TOR steht für Tor`s Onion Routing und bezeichnet ein, in C++ programmiertes, anonymisierendes Netzwerk für TCP-Verbindungen, welches in der Regel von jeder Anwendung verwendet werden kann, welche in der Lage ist, über einen SOCKS-Proxy zu kommunizieren. TOR basiert auf der so genannten Onion Routing Anonymisierungstechnik, bei welcher die Webinhalte über ständig wechselnde Routen von mehreren verschlüsselnden Proxyservern, auch Nodes bezeichnet, geleitet wird.

Da die Grundannahme für die Sicherheit von TOR lautet, dass niemand große Teile des Internets überwachen könnte, scheint es ziemlich anfällig gegenüber Deanonymisierungen zu sein. So ist es durch Überwachung einer ausreichend großen Anzahl von Tor-Knoten bzw. großer Teile des Internets möglich, nahezu sämtliche, über Tor abgewickelte, Kommunikation nachzuvollziehen. Gelingt es, den ersten und letzten Knoten der Verbindung zu überwachen lässt sich mit Hilfe einer statistischen Auswertung auf den Ursprung der Verbindung schließen. Ich will gar nicht wissen, wieviele TOR-Nodes mittlerweile schon von schwarzen Schafen unterwandert wurden. Diese schwarzen Schafe sind dann wahrscheinlich auch die jenigen, die die Betreiber von TOR-Servern aus dem Verkehr ziehen lassen, welche ausnahmsweise aus voller Überzeugung solch einen Server betreiben.

Das Invisible Internet Project (I2P) ist hingegegen ein in Java geschriebenes Projekt, welches sich zum Ziel gesetzt hat, eine Art pseudonymes VPN zu schaffen. Es ist im Gegensatz zu TOR nicht nur ein Verbund von anonymiserenden Proxy-Servern für diverse Internet-Protokolle, sondern ordnet sich, wie auf dieser Abbildung sehr anschaulich dargestellt, im ISO/OSI-Schichtenmodell zwischen der normalen Tranportschicht und der Anwendungsschicht ein. I2P ist also eine anonyme, über peer-to-peer verteilte Kommunikationsschicht, die dafür entworfen wurde, jedes herkömmliche Protokoll zu unterstützen. Jegliche Kommunikation findet bei I2P im Gegensatz zu TOR im anonymen I2P-Netzwerk statt, es existieren also grundsätzlich keine Entry- oder Exit-Server auf der Netzwerkschicht. Lediglich auf der Anwendungsschicht exisitieren einige Exit-Server, welche für die Verwendung von I2P als Anonymisierungsproxy für das HTTP-, DNS- oder SMTP-Protokoll dienen.

I2P ist zwar nach Einstufung der Entwickler eine Beta-Version und bietet noch nicht den angestrebten Grad an Anonymität, welcher in der Version 1.0 erreicht werden soll, aber Berichte über Möglichkeiten zur Deanonymisierung der I2P-Verbindungen scheinen bis dato im Netz noch nicht zu existieren. Auf der offiziellen I2P-Website ist außerdem sehr gut beschrieben, wie das Protkoll-Design von I2P auf mögliche Angriffe, wie beispielswesie Brtufeorce- oder DoS-Attacken, reagiert.

Wen das vorherige noch nicht davon überzeugt hat, von TOR auf I2P umzusteigen, der lässt sich vielleicht von diesem detailierten Vergleich zwischen TOR, I2P, Freenet und Co. überzeugen.

Abschließend möchte ich noch darauf hinweisen, dass man mit Anonymisierungs-Systemen auschließlich Anonymität anstreben kann, jedoch nicht automatisch vollkommen verschlüsselt unterwegs ist. Viele vergessen beispielsweise, dass wenn sie ein Anonymisierungs-Dienst für das Surfen im Internet in Anspruch nehmen, der Exit-Server letztendlich einen normalen HTTP-Zugriff durchführt, welcher alle Daten im Klartext enthält. Für Betreiber solcher Server ist es somit problemlos möglich sensitive Informationen, wie etwa Passwörter oder Bankverbindungsdaten, mitzuschneiden.

Links: Deutsches I2P-Handbuch, TOR-Dokumentation, I2P Tech Intro

Der wissenschaftliche Dienst des Bundestages erklärt in einer PDF-Veröffentlichung die Quantenkryptogaphie:

Die Quantenkryptographie könnte eine Möglichkeit bieten, den zukünftigen Gefährdungen im Informations- und Datenaustausch entgegenzutreten. Damit könnte selbst dann, wenn Lauscher sich die Entwicklung immer leistungsfähigerer Rechner zunutze machen, die Vertraulichkeit und Integrität der Datenübertragung gewährleistet werden.

Hört sich ja soweit ganz toll an, aber versteht der Bürger doch sowieso nicht. Der ist doch schon mit GnuPG verschlüsselten Emails oder SSL geschützten Websites überfordert. Mit Hilfe der Quanteninformatik kann man natürlich auch prima die lächerlichen Krypto-Algorithmen der archivierten Vergangenheit rückentschlüsseln während die Menschheit im Qubit-Chaos zergeht (mal abgesehen von den 23 Professoren, welche die Quanteninformatik verinnerlicht zu haben scheinen ^^).