www.drokzid.net

In England muss man mittlerweile seinen Krypto-Key dem Staat gegenüber offenlegen.

Da das FBI die Namen von Anti-Kriegs-Demonstranten in die "Kriminellen-Datenbank" getan hat, wurde diesen die Einreise nach Kanada verweigert.

Das US-amerikanische Ministerium für Heimatschutz (Homeland Security) setzt offenbar fliegende Mini-Drohnen zur Überwachung von Friedensdemonstrationen ein.

EU-Gerichtshof entscheidet, dass Leute auf der EU-Terrorliste keine Grundstücke mehr in der Europäischen Gemeinschaft mehr erwerben dürfen.

Was ich allerdings auch nicht ohne fand, war die Tatsache, dass das BKA nun schon Personen verdächtigt, weil sie auf der Webpräsenz der Polizei surfen.

Am Härtesten allerdings finde ich die Verfolgung von Andrej H., der sich ja vor kurzem noch als mutmaßlicher Terrorist vom Bundesgerichtshof freisprechen lassen musste. Wen die Thematik interessieren sollte, kann sich im Blog seiner Frau näher über den staatlichen Überwachungs-Terror informieren, dem die Beiden ausgeliefert sind.

Allen den jenigen, die vielleicht durch den vorherigen Artikel aus ihrem staatlich verordnetem Tiefschlaf erwacht sind und ihren Klickibunti ICQ-AOL-MSN-Yahho-Schrott gegen eine ordentliche und vor allem sichere Software zu ersetzen gedenken, kann ich nur die Anleitung für verschlüsseltes und anonymisiertes Instant Messaging mit Jabber und GnuPG von Kai Raven empfehlen, welche ich auch in die Rubrik Howtos hinzugefügt habe.

Als ich mir vor einer Weile ein Notebook zulegte, hatte für mich eine sichere Verschlüsselung meiner Daten auf der Festplatte höchste Priorität. Als primäres Desktop-Betriebssystem wurde Debian Linux verwendet und als sekundäres Betriebssystem Windows. Es stellte sich also die Frage nach einer plattformunabhängigen Lösung, so dass der Zugriff auf eine gemeinsame Datenpartition ermöglicht wird.

Verschlüsselung der Partitionen unter Linux

Nach einigen Recherchen stellte ich fest, dass sich für mich als Debian User das Kryptographie-Modul des Device-Mappers dm-crypt zur symmetrischen Verschlüsselung meiner Daten anbietet, welches es ermöglicht, eine Gerätedatei zu verschlüsseln und in eine unverschlüsselte Gerätedatei einzuhängen.

Seit der Veröffentlichung von Debian Etch ist dieses Modul im Partitionsmanager des Debian Installers integriert. Darüber ist es problemlos möglich, verschlüsselte Partitionen zu erzeugen. So kann beispielsweise eine Root-Partiton mit einer definierten Passphrase verschlüsselt werden und Partitionen für die Swap-Partition mit einem zufälligen Schlüssel. Um die Hibernating-Funktion des Notebooks jedoch auch weiterhin zu nutzen, empfiehlt sich allerdings auch die Swap-Partition mit einer Passphrase zu verschlüsseln.

Um verschlüsselte Partitionen auf einem bereits bestehenden System zu erzeugen sind unter anderem die Kernelmodule aes, sha256, dm-crypt und dm-mod erforderlich. Der Zugriff aus der Shell auf Funktionen des Kernelmoduls erfolgt mit Hilfe des Programmpaketes cryptsetup.

modprobe aes
modprobe sha256
modprobe dm-crypt
modprobe dm-mod
aptitude install cryptsetup

Mit dem folgenden Befehl wird eine Partition mit einem 256 Bit langen Schlüssel symmetrisch nach dem Rijndael-Algorithmus verschlüsselt.

cryptsetup -c aes-cbc-essiv:sha256 -y -s 256 luksFormat /dev/sda3

Nach erfolgter Verschlüsselung der Partition anhand einer gewählten Passphrase, kann unter Angabe eines beliebigen Aliases von der verschlüsselten Gerätedatei eine „entschlüsselte Sicht“ erzeugt werden, welche anschließend formatiert und ins Dateisystem eingehangen wird.

cryptsetup luksOpen /dev/sda3 alias
mkfs.ext3 /dev/mapper/alias
mount /dev/mapper/alias /path/to/mount/point

Um beim Laden der Betriebssystemkonfiguration ein Einhängen der Partition unter Angabe der Passphrase zu ermöglichen werden folgende Einträge in den Dateien /etc/crypttab und /etc/fstab vorgenommen.

# Einträge in /etc/crypttab
alias          /dev/sda3           none luks,retry=1,cipher=aes-cbc-essiv:sha256
#
# Einträge in /etc/fstab
/dev/mapper/alias          /path/to/mount/point          ext3          defaults,errors=remount-ro 0       1

Um nicht für alle verschlüsselten Partitionen, welche beim Systemstart geladen werden sollen, eine Passphrase eingeben zu müssen, lohnt sich das Erzeugen einer Schlüsseldatei, die beispielsweise auf der verschlüsselten Root-Partition abelegt wird.

dd if=/dev/random of=/etc/keys/alias.key bs=32 count=1

Dieser Schlüssel wird dann dem dm-crypt Gerät zugewiesen und die nötigen Zugriffsrechte werden gesetzt.

cryptsetup luksAddKey /dev/sda3 /etc/keys/alias.key
chmod 600 /etc/keys/alias.key

Damit beim Systemstart die verschlüsselte Partition mit Hilfe des, auf der Root-Partition abgelegten, Schlüssels entschlüsselt wird, muss in der Datei /etc/crypttab das Schlüsselwort none durch die Pfadangabe zur Schlüsseldatei /etc/keys/alias.key ersetzt werden.

alias          /dev/sda3           /etc/keys/alias.key luks,retry=1,cipher=aes-cbc-essiv:sha256

Aus Gründen der Sicherheit empfiehlt es sich, die Root-Partition beim Laden des Betriebssystems per Passwortabfrage zu entschlüsseln und alle anderen Partitionen durch, auf der Root-Partition abgelegte, Schlüsseldateien zu entschlüsseln. Somit können rein theoretisch alle Partitionen, bis auf /boot, welche zum Laden des Kernels zwangsweise unverschlüsselt bleiben muss, verschlüsselt werden.

Zugriff auf die verschlüsselten Partitionen unter Windows

Ein Zugriff auf die, unter Linux erstellten, verschlüsselten Partitionen erfolgt unter Windows mit Hilfe der freien Software FreeOTFE. Diese Software entschlüsselt die verschlüsselte Partition nach Eingabe des Schlüssels und stellt diese als Laufwerk für den Benutzer zur Verfügung.

Wenn man unter Linux die verschlüsselten Partitionen mit dem ext3-Dateisystem formatiert hat, muss man zuvor jedoch das Windows Betriebsystem um ext3-Funktionalität erweitern. Dies geschieht mit Hilfe der Software IFS Drives.

Auch wenn sich nach den jüngsten Verfolgungen von TOR-Server-Admins wahrscheinlich eh niemand mehr traut, einen Anonymisierungsdienst zu betreiben, möchte in diesem Artikel kurz auf die wesentlichen Funktionsmerkmale und Unterschiede zwischen den Anonymizer-Systemen TOR und I2P eingehen.

TOR steht für Tor`s Onion Routing und bezeichnet ein, in C++ programmiertes, anonymisierendes Netzwerk für TCP-Verbindungen, welches in der Regel von jeder Anwendung verwendet werden kann, welche in der Lage ist, über einen SOCKS-Proxy zu kommunizieren. TOR basiert auf der so genannten Onion Routing Anonymisierungstechnik, bei welcher die Webinhalte über ständig wechselnde Routen von mehreren verschlüsselnden Proxyservern, auch Nodes bezeichnet, geleitet wird.

Da die Grundannahme für die Sicherheit von TOR lautet, dass niemand große Teile des Internets überwachen könnte, scheint es ziemlich anfällig gegenüber Deanonymisierungen zu sein. So ist es durch Überwachung einer ausreichend großen Anzahl von Tor-Knoten bzw. großer Teile des Internets möglich, nahezu sämtliche, über Tor abgewickelte, Kommunikation nachzuvollziehen. Gelingt es, den ersten und letzten Knoten der Verbindung zu überwachen lässt sich mit Hilfe einer statistischen Auswertung auf den Ursprung der Verbindung schließen. Ich will gar nicht wissen, wieviele TOR-Nodes mittlerweile schon von schwarzen Schafen unterwandert wurden. Diese schwarzen Schafe sind dann wahrscheinlich auch die jenigen, die die Betreiber von TOR-Servern aus dem Verkehr ziehen lassen, welche ausnahmsweise aus voller Überzeugung solch einen Server betreiben.

Das Invisible Internet Project (I2P) ist hingegegen ein in Java geschriebenes Projekt, welches sich zum Ziel gesetzt hat, eine Art pseudonymes VPN zu schaffen. Es ist im Gegensatz zu TOR nicht nur ein Verbund von anonymiserenden Proxy-Servern für diverse Internet-Protokolle, sondern ordnet sich, wie auf dieser Abbildung sehr anschaulich dargestellt, im ISO/OSI-Schichtenmodell zwischen der normalen Tranportschicht und der Anwendungsschicht ein. I2P ist also eine anonyme, über peer-to-peer verteilte Kommunikationsschicht, die dafür entworfen wurde, jedes herkömmliche Protokoll zu unterstützen. Jegliche Kommunikation findet bei I2P im Gegensatz zu TOR im anonymen I2P-Netzwerk statt, es existieren also grundsätzlich keine Entry- oder Exit-Server auf der Netzwerkschicht. Lediglich auf der Anwendungsschicht exisitieren einige Exit-Server, welche für die Verwendung von I2P als Anonymisierungsproxy für das HTTP-, DNS- oder SMTP-Protokoll dienen.

I2P ist zwar nach Einstufung der Entwickler eine Beta-Version und bietet noch nicht den angestrebten Grad an Anonymität, welcher in der Version 1.0 erreicht werden soll, aber Berichte über Möglichkeiten zur Deanonymisierung der I2P-Verbindungen scheinen bis dato im Netz noch nicht zu existieren. Auf der offiziellen I2P-Website ist außerdem sehr gut beschrieben, wie das Protkoll-Design von I2P auf mögliche Angriffe, wie beispielswesie Brtufeorce- oder DoS-Attacken, reagiert.

Wen das vorherige noch nicht davon überzeugt hat, von TOR auf I2P umzusteigen, der lässt sich vielleicht von diesem detailierten Vergleich zwischen TOR, I2P, Freenet und Co. überzeugen.

Abschließend möchte ich noch darauf hinweisen, dass man mit Anonymisierungs-Systemen auschließlich Anonymität anstreben kann, jedoch nicht automatisch vollkommen verschlüsselt unterwegs ist. Viele vergessen beispielsweise, dass wenn sie ein Anonymisierungs-Dienst für das Surfen im Internet in Anspruch nehmen, der Exit-Server letztendlich einen normalen HTTP-Zugriff durchführt, welcher alle Daten im Klartext enthält. Für Betreiber solcher Server ist es somit problemlos möglich sensitive Informationen, wie etwa Passwörter oder Bankverbindungsdaten, mitzuschneiden.

Links: Deutsches I2P-Handbuch, TOR-Dokumentation, I2P Tech Intro

... oder wie eine Gegenbewegung zur Stasi 3.0 mutiert:

Ich bin vor kurzem auf ein Projekt namens Aktion Überwach! gestoßen. Ursprünglich handelt es sich dabei um das schwedische Projekt Creeper von Patrik Wallström. Die Idee wurde von Dataloo, welche auch die Schäublone ins Leben gerufen haben, aufgegriffen und eine deutsche Version des Projektes entwickelt.

Ziel des Projektes ist es, Zugriffe von Bundes- und Landesministerien, sowie von Regierungs- und Oppositionsparteien auf teilnehmenden Websites zu überwachen. Dabei werden Zeitpunkt des Zugriffs, die zugreifende Institution und die URL der besuchten Seite protokolliert und auf Vorrat gespeichert.

Technisch realisiert wird das ganze über ein Javascript Snippet, welches bei jedem Zugriff auf die Website die IP-Adresse des potentiell verdächtigen Besuchers an den Server des Projektes übersendet. Dieser prüft dann ob ein Verdachtsmoment vorliegt, protokolliert die oben genannten Daten und auf der teilnehmenden Website wird im Falle eines Verdachtmomentes ein Icon eingeblendet, welches signalisiert, dass der Besucher überwacht wird.

Also ich finde, dass die Idee ja durchaus einen ehrbaren Hintergrund hat, aber die Umsetzung ist einfach nur mehr als katastrophal. Vor lauter Rebellion gegen den Missbrauch von Daten vergessen viele scheinbar die erste Instanz zur Prävention des Missbrauches und zwar ihre eigene Haustür.

In der Form wie das Projekt aktuell umgesetzt wurde, werde ich auf keinen Fall daran teilnehmen. Ich finde man sollte den Kern des Programmes neu entwickeln. Und zwar sollten die IP-Adress-Listen auf den Servern der Teilnehmer liegen, damit dort beispielsweise ein PHP-Skript den Abgleich der Adresse durchführen kann, um unnötigen Datenstriptease zu vermeiden.

Betreiber eines TOR-Servers aus Düsseldorf nimmt diesen vom Netz nachdem er durch nächtlich durchgeführte Hausdurchsuchung eingeschüchtert wird, obwohl der Server, auf welchem der Anonymisierungsproxy läuft, in einem Rechenzentrum steht.

Die Polizei in Bayern zeigt einen 22-jährigen Informatikstudenten an, weil dieser eine so genannte Schäublone mit der Aufschrift Stasi 2.0 aus Gründen des stillen Protests gegen geplante Überwachungsmaßnahmen des Innenministeriums auf die Heckscheibe seines Autos geklebt hatte. Mal so ganz nebenbei muss man natürlich erwähnen, dass eine Beleidigung eine Verletzung des Persönlichkeitsrechtes darstellt und nur vom Beleidigten selber gestellt werden kann, aber in diesem Fall kann man natürlich mal eine Ausnahme machen.

Doch wer schon denkt dass das Verhalten der deutschen Behörden unter aller Kanone und ohne jegliche Rechtsgrundlage wäre, der muss sich mal anschauen was in den USA mit Leuten gemacht wird, die in öffentlichen Reden von Skull & Bones Mitgliedern, in diesem Falle John Kerry, diese mit kritischen Fragen löchern:

Der wissenschaftliche Dienst des Bundestages erklärt in einer PDF-Veröffentlichung die Quantenkryptogaphie:

Die Quantenkryptographie könnte eine Möglichkeit bieten, den zukünftigen Gefährdungen im Informations- und Datenaustausch entgegenzutreten. Damit könnte selbst dann, wenn Lauscher sich die Entwicklung immer leistungsfähigerer Rechner zunutze machen, die Vertraulichkeit und Integrität der Datenübertragung gewährleistet werden.

Hört sich ja soweit ganz toll an, aber versteht der Bürger doch sowieso nicht. Der ist doch schon mit GnuPG verschlüsselten Emails oder SSL geschützten Websites überfordert. Mit Hilfe der Quanteninformatik kann man natürlich auch prima die lächerlichen Krypto-Algorithmen der archivierten Vergangenheit rückentschlüsseln während die Menschheit im Qubit-Chaos zergeht (mal abgesehen von den 23 Professoren, welche die Quanteninformatik verinnerlicht zu haben scheinen ^^).

Da durch die Einführung des Hackerparagrafens §202c StGB, welcher die Verwendung von Sicherheitswerkzeugen (welche natürlich von Natur aus böse sind) untersagt, haben mittlerweile viele deutsche Security Crews, wie etwa Phenoelit, entweder ganz ihre Arbeit eingestellt oder ihre Websites ins Ausland umgezogen. Der Grund ist die Angst vor der vage formulierten Gesetzeslage. Es ist beispielsweise unklar ob bereits das Bereitstellen solcher Werkzeuge als Vorbereitung einer Straftat verfolgt, da es gegenwärtig noch keine Gerichtsurteile bezüglich dieser Problematik gibt.

Aus diesem Grund bietet nun ein IT-Sicherheitsexperte einige Sicherheitswerkzeuge auf einem deutschen Server an und erstatte Anzeige gegen sich selbst. Eine Kopie des Faxes wurde hier veröffentlicht. Die Zerstörung des Wirtschaftssektors IT-Sicherheit kann der Gute damit zwar auch nicht mehr verhindern, aber immerhin erhält man durch anschließende Gerichtsurteile ein wenig Klarheit was die genaue Gesetzeslage angeht. Also, meinen Respekt hat der Kerl definitiv.

Na das nenn ich mal nen Service. Windows spielt automatisch Updates ein, ohne den Benutzer darüber zu informieren, auch wenn der Benutzer sein System so konfiguriert hat, dass vor jeder Installation neuer Updates eine Benutzerbestätigung erforderlich ist.

Microsofts Program Manager Clinton widersprach der von Windows Secrets ebenfalls aufgestellten Behauptung, die Aktualisierung des Windows Updates erfolge selbst dann, wenn der Nutzer auswählte, dass er gar keine Aktualisierungen wünsche. Dies geschehe nicht."

Wie gütig. Ich frage mich sowieso wie man in Zeiten des Bundestrojaners noch auf Windows vertrauen kann...

Ich dachte ich präsentiere euch heute mal ein kleines Programm, welches die Verwaltung von Passwörtern ungemein erleichtert. Dadurch dass die Menge der (hoffentlich ^^) verschiedenen Benutzer- und Passwortkombinationen, die man im täglichen Umgang mit IT-Systemen benötigt stetig ansteigt empfiehlt sich eine professionelle Verwaltung dieser Daten.

Ich benutze dafür die Open Source Software KeePass Password Safe. Die Software gibt es für alle gängigen Betriebssysteme und sogar Portable Varianten für den USB-Stick. Die Passwort-Datenbank wird wahlweise nach dem Advanced Encryption Standard-Algorithmus (AES) oder dem Twofish-Algorithmus verschlüsselt. Die Datenbank kann entweder mit einem Hauptkennwort oder einer Schlüsseldatei oder einer Kombination der beiden Dinge gesichert werden. Letzters empfiehlt sich aus Gründen der Sicherheit natürlich.

Das Programm bietet außerdem die Möglichkeit Passwörter in beliebiger Länge zu generieren, dadurch ist es möglich seine eigenen Kennwörter selbst gar nicht zu kennen, sie aber trotzdem zu nutzen. Dies bietet beispielsweise in "Notfällen" die Möglichkeit, die Schlüsseldatei "versehentlich" zu löschen und jegliche Aussage über bestimmte Kennwörter begründet zu verweigern.