Blog

Verschlüsselungs-Hintertüren sind eine schlechte Idee, hier ist der Grund …

Verschlüsselungs-Hintertüren sind hier keine gute Idee



Verschlüsselung ist in den letzten Jahren zu einem heißen Thema geworden und viele beliebte Messaging-Apps wie WhatsApp, Viber und Signal sind mittlerweile durchgängig geschützt.

Dies war zwar eine positive Entwicklung für Sicherheit und Datenschutz, hat aber auch einiges gebracht stellten die Strafverfolgung vor neue Herausforderungen und erschwerten häufig die Ermittlungen . Wenn Daten ordnungsgemäß verschlüsselt sind, können die Behörden ohne den Schlüssel nicht darauf zugreifen.



Wenn Terroristen und kriminelle Banden diese sicheren Kommunikationsmethoden nutzen, kann die Polizei nicht mehr wie früher die Verbindung abhören und ausspionieren. Es ist durch eine Menge komplexer Mathematik geschützt, die weder Haftbefehlen noch Drohungen nachgibt und die Informationen praktisch unzugänglich macht.

Die Probleme, mit denen Strafverfolgungsbehörden konfrontiert sind, wurden den nationalen Gesetzgebern in vielen Ländern zur Kenntnis gebracht, wobei Befürworter entweder auf Gesetze drängen oder diese verabschieden, die darauf abzielen, die Verschlüsselung zu unterbrechen und den Behörden den Zugriff auf Daten zu erleichtern. Der Vorstoß war besonders deutlich bei den Five Eyes-Partnern von Australien , Kanada , Neuseeland , Die Vereinigtes Königreich und das Reh .



Diese Bewegung ist problematisch, denn wie wir oben erwähnt haben, ist der einzige Meister der Verschlüsselung die Mathematik, aus der sie besteht. Während die meisten von uns den Behörden gerne dabei helfen würden, ihre kriminellen Ziele zu verfolgen, gibt es auch einen Konflikt zwischen den Bedürfnissen der Behörden und den Interessen der globalen Informationssicherheit.

Das zentrale Dilemma besteht darin, dass wir nicht einfach die Verschlüsselung knacken oder eine Hintertür auf eine Weise einbauen können, die nur die Behörden ausnutzen können – Dies würde das gesamte System schwächen, Dies ermöglicht es Angreifern, die Hintertür zu kapern und auf die Kommunikation aller Personen zuzugreifen.

Da wir alle auf Verschlüsselung angewiesen sind, um unser Online-Leben zu schützen, würde ein solcher Schritt alle gefährden, und die potenziellen Nachteile überwiegen bei weitem die Unterstützung, die solche Maßnahmen der Strafverfolgung bringen würden.

Schließlich haben Kriminelle ein Interesse daran, nicht erwischt zu werden, und würden daher auf andere Systeme ausweichen, die ihre Kommunikation schützen. In der Zwischenzeit wird der Rest von uns wahrscheinlich weiterhin die geschwächten Systeme nutzen, was uns anfälliger für Angriffe macht.

Die Welt der Verschlüsselung und Datensicherheit kann komplex sein. Gehen wir also zunächst einen Schritt zurück und schauen wir uns an, warum wir Verschlüsselung brauchen, wie sie funktioniert, was eine Hintertür technisch gesehen ist und einige Beispiele dafür, warum das Einfügen einer Hintertür ein Problem darstellt schreckliche Idee.

Siehe auch: Gängige Verschlüsselungstypen

Warum müssen wir unsere Daten überhaupt schützen?

Das Leben ist voll von beidem sensible oder wertvolle Informationen Wir möchten nicht, dass andere davon erfahren. Es ist kein neues Phänomen – viele von uns haben peinliche Kindheitsgeheimnisse, von denen wir möchten, dass andere sie nicht kennen, während Tresorbesitzer ihre Kombinationen im Allgemeinen geheim halten möchten.

Da nun ein Großteil unseres Privat- und Arbeitslebens online abgewickelt wird, ergibt sich daraus Die digitale Welt beinhaltet auch erhebliche Mengen sensibler und wertvoller Informationen, die wir schützen müssen. Beispielsweise erledigen viele Menschen ihre Bankgeschäfte mittlerweile online. Wenn es keine Schutzmaßnahmen gäbe, könnte jeder, der sich Zugang zu Ihrem Konto verschafft, problemlos auf Ihr Geld zugreifen und Überweisungen tätigen.

Das Gleiche gilt, wenn Sie Ihrem Freund ein Geheimnis in einer Online-Nachricht senden. Wenn es keine Sicherheitsvorkehrungen gäbe, könnte im Grunde jeder mit ein wenig Zeit und Know-how sie abfangen und die Details dann entweder zu seinem eigenen Vorteil nutzen oder sie der Welt preisgeben.

In der physischen Welt können Sie Ihre Tresorkombination aufschreiben und in Ihrem Haus verstecken. Um es zu bekommen, müsste nicht nur jemand in Ihr Haus einbrechen, sondern auch wissen, wo es sich befindet. Zusammengenommen ist dies ein relativ sicheres System.

Wenn Sie Ihrem Freund in einem persönlichen Gespräch ein Geheimnis verraten würden, könnten Sie sich umschauen und sicherstellen, dass niemand zuhört. Wenn Sie ein wertvolles Ziel sind, das aktiv überwacht wird, könnten Sie beide gehen Gehen Sie an einen beliebigen Ort im Wald und führen Sie dort Ihr Gespräch. Diese Schritte würden bedeuten, dass Sie das Geheimnis sicher verraten könnten, ohne dass die Gefahr besteht, dass Sie belauscht werden.

Im Internet hingegen läuft es nicht wirklich so. Wenn keine Schutzmaßnahmen oder Überwachungsinstrumente eingesetzt würden, Sie würden nicht wissen, ob jemand mithört, und Sie hätten keine Möglichkeit, Angreifer daran zu hindern, Ihre Daten abzugreifen.

Beispielsweise denken Sie möglicherweise, dass Sie sicher online mit einem Freund sprechen, obwohl Sie in Wirklichkeit Nachrichten an einen Angreifer gesendet haben. Angreifer können sich bei einem sogenannten Man-in-the-Middle-Angriff heimlich in ein Gespräch einmischen.

Hacker machen sich die zusammengewürfelte Struktur des Internets zunutze und fangen jegliche Kommunikation ab, die ihnen zur Verfügung steht, um an Daten zu gelangen, die sie verkaufen oder für die Begehung weiterer Straftaten nutzen können. Aufgrund dieser Bedrohung nutzen wir Maßnahmen wie Verschlüsselung und Authentifizierung, um uns zu schützen und die Sicherheit unserer Daten zu gewährleisten. Ohne sie wäre das Internet ein Blutbad und niemand könnte es sicher nutzen.

Wie werden unsere Daten geschützt?

Die Technologie ermöglicht die Einführung neuer Tools und Plattformen, die unser Leben einfacher gemacht haben, aber ihr Fortschritt treibt auch die Verbreitung neuer Angriffe voran. In unserer etwas verdrehten Welt, Technologie bietet auch viele der Lösungen, obwohl es ständig darum kämpft, mit den neuesten Bedrohungen Schritt zu halten.

Wenn wir unsere Bankdaten eingeben oder viele große Websites besuchen, wird die Verbindung mit einem Sicherheitsprotokoll namens verschlüsselt TLS . Dabei handelt es sich im Wesentlichen um eine Reihe von Standards, die Computern und Servern mitteilen, wie sie Daten untereinander authentifizieren und verschlüsseln sollen, damit beide Parteien auf interoperable und sichere Weise kommunizieren.

TLS sperrt die zwischen den Parteien übertragenen Daten und wandelt sie in Chiffretext um. Wenn Daten auf diese Weise verschlüsselt werden, können Angreifer die tatsächlichen Daten, die über die Verbindung gesendet werden, nicht sehen und können so Passwörter und andere vertrauliche Informationen sammeln.

Ebenso verfügen Messaging-Plattformen wie WhatsApp über eine Ende-zu-Ende-Verschlüsselung, was bedeutet, dass jemand, selbst wenn jemand die Daten abfängt, nicht auf die wichtigen Details zugreifen kann, die Sie Ihrem Freund senden. Alles wird als Chiffretext gesendet, der erst am Ende der Reise in der Anwendung Ihres Empfängers entschlüsselt wird.

Es gibt eine Reihe weiterer Protokolle, Algorithmen und Techniken, die zur Sicherung verschiedener Teile unserer digitalen Welt beitragen. Im Mittelpunkt stehen die Prozesse der Authentifizierung und Verschlüsselung, aber was genau sind sie?

Die entscheidenden Aspekte der Datensicherheit

Wenn wir Informationen schützen und vor den Händen von Gegnern bewahren wollen, müssen sie erstellt werden vertraulich . In diesem Zusammenhang bedeutet es lediglich, dass die Daten geheim gehalten werden müssen, sodass nur autorisierte Personen darauf zugreifen können.

In der Datensicherheit wird Vertraulichkeit durch Verschlüsselung erreicht, bei der es sich im Wesentlichen um einen komplexen Code handelt, der Daten in eine Mischung aus unleserlichen Zeichen umwandelt, die als „Verschlüsselung“ bezeichnet wird Geheimtext .

Wenn Daten mit einem ausreichend sicheren kryptografischen Algorithmus verschlüsselt werden, kann keine Person oder Organisation darauf zugreifen, es sei denn, sie verfügt über den Schlüssel, der zum Verschlüsseln verwendet wurde (der Einfachheit halber ignorieren wir komplexere Schemata wie öffentliche Schlüssel). Verschlüsselung in diesem Artikel). Es ist am einfachsten, sich Schlüssel als lange und komplexe Passwörter vorzustellen. Auch wenn es einige Unterschiede gibt, würde uns deren Erklärung auf eine Irre führen.

Beim Einsatz von Verschlüsselung ist darauf zu achten, dass nur autorisierte Personen auf die Daten zugreifen können. Bei verschlüsselten Ordnern auf einem Computer möchte möglicherweise der Eigentümer der einzige Berechtigte sein.

In anderen Situationen, beispielsweise bei Messaging-Anwendungen, müssen beide Seiten der Kommunikation berechtigt sein, darauf zuzugreifen. Es gibt auch eine Vielzahl von Umständen, in denen viele Personen für den Zugriff auf bestimmte Systeme oder Daten autorisiert werden müssen.

In jeder dieser Situationen wird der Zugriff durch gesteuert Authentifizierung . Dies kann bedeuten, dass Benutzer ihre Schlüssel direkt eingeben oder eine Reihe von Mechanismen verwenden, die mit ihrem Verschlüsselungsschlüssel verknüpft sind. Sie sind in folgende Kategorien unterteilt:

  • Wissen – Dabei handelt es sich um Dinge wie Passwörter, PIN-Nummern und Sicherheitsfragen.
  • Eigentum –Dinge, die du hast. Ein gutes Beispiel ist Ihr Telefon, das über SMS-Authentifizierung oder Authentifizierungs-Apps Teil des Prozesses sein kann. Physische Sicherheitstoken sind ein weiterer häufiger Typ.
  • Inhärenz – Das sind im Wesentlichen Dinge, die du bist. Sie umfassen meist biometrische Faktoren wie Fingerabdrücke, Stimmmuster, Gesichtserkennung usw.

Mithilfe von Authentifizierungsmaßnahmen können wir die Identität einer Person bestätigen, die versucht, in ein System einzudringen oder Daten einzusehen. Wenn die Person die erforderlichen Informationen, Artikel oder Funktionen nicht bereitstellen kann, wird ihr der Zugriff verweigert und die Daten werden vertraulich behandelt.

Diese Prozesse verhindern, dass Angreifer oder andere unbefugte Personen in geschützte Systeme eindringen und auf verschlüsselte Daten zugreifen. Multi-Faktor-Authentifizierungssysteme kombinieren mehrere dieser Verfahren, wodurch es Angreifern erschwert wird, in ein System einzudringen, was dessen Sicherheit erhöht.

Weitere wichtige Aspekte der Datensicherheit sind: Integrität , die anzeigt, ob die Daten ihre ursprüngliche Form behalten oder ob sie manipuliert oder beschädigt wurden. Es gibt auch Nichtabstreitbarkeit Dies ist ein Merkmal, das es dem Autor der Daten unmöglich macht, seine Beteiligung zu leugnen.

Diese anderen Eigenschaften können auch mit Kryptografie angegangen werden, wir werden sie jedoch nicht im Detail behandeln, da sie für das Verständnis der Funktionsweise von Hintertüren nicht so wichtig sind.

Es ist erwähnenswert, dass keine dieser Maßnahmen narrensicher ist und Angreifer sie oft umgehen können. Wenn sie jedoch ordnungsgemäß und mit den besten Sicherheitspraktiken implementiert werden, können Sie einigermaßen sicher sein, dass diese Mechanismen Ihre Systeme und Daten angemessen schützen.

Was genau ist eine Hintertür?

Nachdem Sie nun einige Hintergrundinformationen darüber haben, warum wir unsere Daten schützen müssen, und über die Grundlagen dessen, wie dies geschieht, können wir genauer darauf eingehen, was Hintertüren eigentlich sind. Hintertüren sind grundsätzlich alle Mittel, die es jemandem wissentlich ermöglichen, die Authentifizierungs- oder Verschlüsselungsmaßnahmen zu umgehen, die wir verwenden, um unsere Daten und Systeme zu schützen.

Hintertüren können entweder dem Entwickler oder einem Angreifer bekannt sein, der sie einfügt. Was sie von Exploits unterscheidet, ist, dass sie absichtlich von jemandem durchgeführt wurden.

Manchmal werden sie während der Entwicklung gezielt eingefügt. Dies geschieht häufig aus scheinbar legitimen Gründen, beispielsweise um Entwicklern bei der Fehlerbehebung zu helfen. Zu anderen Zeiten können Hintertüren für unheimlichere Zwecke in Systeme eingefügt werden, etwa um Zugriff auf verschlüsselte Benutzerdaten zu erhalten. Sie werden nicht immer unter offizieller Anleitung erstellt – manchmal werden sie heimlich von böswilligen Insidern eingefügt.

Gelegentlich können Hintertüren ihr Leben als unbeabsichtigte Exploits beginnen. In diesen Fällen werden sie möglicherweise von den Entwicklern entdeckt und dann an Ort und Stelle belassen, um einen weiteren Zugriff zu ermöglichen. Manchmal scheinen Hintertüren zufällig entstanden zu sein, obwohl sie in Wirklichkeit absichtlich eingebaut wurden.

Dies gibt dem Täter eine plausible Leugnung: Er kann so tun, als hätte er die Hintertür nicht wissentlich eingefügt, und öffentlich bestreiten, dass er sie ausgenutzt hat.

Hacker können auch Hintertüren durch Trojaner und andere fortgeschrittenere Techniken erstellen. Wenn sie über ausreichende Ressourcen verfügen oder die Unterstützung des Nationalstaats haben, können diese Angriffe unglaublich raffiniert sein.

Warum sind Hintertüren gefährlich?

Wenn es eine Hintertür gibt und ein Angreifer davon weiß oder jemand unwissentlich darüber stolpert, kann sie ihm Zugriff auf die Systeme oder Daten verschaffen, die durch Authentifizierung und Verschlüsselung geschützt werden sollen.

Dies ist offensichtlich katastrophal, da alle Anstrengungen zur Sicherung der Informationen umgangen werden und die Daten offen bleiben und für jeden angreifbar sind, der durch die Hintertür geht. Hintertüren können in verschiedenen Formen auftreten und je nach Situation unterschiedliche Zugriffsgrade ermöglichen.

Hintertüren können verwendet werden, um:

  • Erhalten Sie Fernzugriff auf Systeme.
  • Installieren Sie Schadsoftware.
  • Auf sensible oder wertvolle Daten zugreifen, diese stehlen, kopieren, verändern oder löschen.
  • Systemeinstellungen ändern.

Es gibt noch einige zusätzliche Aufgaben, für die Hintertüren genutzt werden können. Die besorgniserregendsten Situationen in der obigen Liste sind jedoch, wenn sie verwendet werden, um sich unbefugten Zugriff auf Konten oder Systeme zu verschaffen, und wenn sie dazu genutzt werden, Daten wie Firmengeheimnisse oder Kreditkarten zu stehlen Details und Passwörter.

Wenn Angreifer einen solchen uneingeschränkten Zugriff erhalten, können sie großen Schaden anrichten oder die gefundenen Daten für weitere Angriffe und kriminelle Kampagnen nutzen.

Wo können Hintertüren platziert werden?

In beides können Hintertüren eingefügt werden Hard-und Software . Wenn sie in die Hardware eingebaut werden, kann dies während der Herstellung an einem bestimmten Punkt der Lieferkette geschehen oder sie können später heimlich hinzugefügt werden. Sobald eine Person oder Organisation ein Gerät besitzt, können Hintertüren auch von jedem eingefügt werden, der physischen Zugriff darauf hat

Auch in der Software stellen Hintertüren eine erhebliche Bedrohung dar. Sie können auf den untersten Ebenen, etwa in Compilern und Firmware, bis ganz nach oben eingefügt werden. Software-Hintertüren können während der anfänglichen Entwicklungsphase platziert, im Rahmen von Updates oder sogar gepusht werden von einem Angreifer mit einem Trojaner installiert .

Was könnte passieren, wenn die Behörden eine Hintertür einbauen würden?

Um zu verstehen, warum gesetzlich vorgeschriebene Hintertüren eine schlechte Idee sind, müssen wir uns ansehen, wie ein solches System aufgebaut sein kann. Eine der praktischsten Lösungen bestünde darin, dass jeder Anbieter verschlüsselter Dienste über einen verfügt Hauptschlüssel mit denen sie auf die individuellen Schlüssel zugreifen können, die die Daten jedes ihrer Benutzer schützen. Selbst wenn ein solches System ideal umgesetzt würde, würde es dennoch dazu führen unzumutbare Sicherheitsrisiken .

Während ein Großteil des Systems automatisiert werden könnte, müssten irgendwann die Mitarbeiter einbezogen werden, und hierin liegen große Risiken Fehler oder Korruption könnte passieren. Nehmen wir an, ein großes Technologieunternehmen muss ein solches System einrichten und erhält täglich Hunderte oder Tausende von Anfragen zum Zugriff auf verschlüsselte Benutzerdaten von verschiedenen Strafverfolgungsbehörden.

Um ein solches Volumen zu bewältigen, müssten mehrere Mitarbeiter mit der Verwaltung des Hauptschlüssels und dem Umgang mit den privaten Schlüsseln der betreffenden Personen beschäftigt sein. Wenn auf ein derart komplexes System ständig zugegriffen werden muss, ist es nicht schwer, sich vorzustellen, dass Fehler passieren können, die letztendlich dazu führen können, dass Unbefugte darauf zugreifen.

Hintertür-2

Hintertür von der Electronic Frontier Foundation, lizenziert unter CC0

Neben dem Risiko, das durch menschliches Versagen entsteht, müssen wir auch den unglaublichen Wert eines solchen Endlagers berücksichtigen. Wenn es die privaten Schlüssel für Millionen oder sogar Milliarden von Benutzern enthalten würde und ein Tor zu ihren Daten wäre, wäre jede kriminelle Bande und jede nationalstaatliche Hackergruppe unglaublich versucht, es aufzubrechen. Sie wären bereit, Hunderte Millionen Dollar für Angriffe auf die Datenbank auszugeben.

Angesichts der enormen Ressourcen, die für das Problem aufgewendet werden, kann es nicht lange dauern, bis motivierte Gruppen die vorhandenen Sicherheitsmaßnahmen überwinden. Dies könnte entweder durch Bestechung, Nötigung oder technische Angriffe geschehen, aber das Ergebnis wäre dasselbe: ungezügelter Zugriff auf den Datenschatz.

Die Welt wird bereits von scheinbar ständigen Datenschutzverletzungen überschwemmt Warum sollten wir Hintertüren einbauen, die zu noch mehr Einbrüchen führen können?

Hier geht es nicht nur um die globale Sicherheit. Wir müssen auch die Möglichkeit eines Missbrauchs dieser Systeme berücksichtigen. Australien ist kürzlich verstorben Hilfe- und Zugangsgesetz ist einer der besorgniserregendsten Gesetzestexte, der zum Einbau von Hintertüren führen könnte.

Der Gesetzentwurf selbst ist ziemlich zweideutig, was einer der besorgniserregendsten Aspekte ist. Darüber hinaus ist die Kontrolle über das Verfahren eingeschränkt, wenn Backdoors jemals gefordert werden. Die Behörden verlangen nicht einmal einen konkreten Haftbefehl für ihre Forderungen (obwohl in dem Fall bereits ein Haftbefehl ausgestellt werden muss), so dass ein Richter nicht entscheidet, ob die gewünschten Zugriffsmaßnahmen angemessen sind.

Es wird noch schlimmer, weil Ein großer Teil des Prozesses unterliegt der Vertraulichkeit . Unternehmen ist es gesetzlich nicht gestattet, an die Börse zu gehen, wenn sie gezwungen wurden, eine Hintertür einzubauen.

Australien ist ein relativ demokratisches Land, daher ist sein Ansatz kaum ein Worst-Case-Szenario. Aber was wäre, wenn autoritäre Regime am Ende einen solchen Zugang fordern würden? Wenn Unternehmen von diesen Regimen gezwungen werden, Benutzerdaten zu entschlüsseln, könnte dies zu Menschenrechtsverletzungen gegenüber den Zielen führen.

Beispiele für Hintertüren

Hintertüren gibt es in verschiedenen Konfigurationen. Sie können hardware- oder softwarebasiert sein, für scheinbar legitime Zwecke wie den Entwicklerzugriff eingefügt werden, im Code versteckt sein, um Spionage zu ermöglichen, oder sogar von Hackern eingefügt werden, um Daten zu stehlen oder andere Cyberangriffe zu starten.

Im Folgenden finden Sie einige der dreistesten Backdoor-Beispiele, die entdeckt wurden und ein breites Spektrum an Situationen abdecken:

Der Clipper-Chip

Eine der frühesten Hintertür-Kontroversen betraf die versuchte Einführung des Clipper-Chips durch die NSA in den neunziger Jahren. Der Chip wurde jedoch zur Verschlüsselung von Sprachkommunikation und anderen Daten entwickelt. Es enthielt absichtlich eine Hintertür, die es den Behörden ermöglichte, Nachrichten zu entschlüsseln .

Jeder Chip hatte seinen eigenen einzigartigen Schlüssel, der die verschlüsselte Kommunikation entsperren konnte Diese Schlüssel würden von der Regierung gesammelt und treuhänderisch aufbewahrt . Angeblich wäre der Zugriff auf die Schlüssel nur mit möglich gerichtliche Genehmigung , allerdings waren viele Cypherpunks und Bürgerlibertäre skeptisch.

Zu diesem Unbehagen kam noch der geheimnisvolle Charakter der zugrunde liegenden Sicherheit des Chips hinzu. Während der Chip und seine Hintertür öffentlich bekannt waren, es basierte auf einem Algorithmus namens Skipjack , das damals geheim gehalten wurde, sodass Forscher es nicht auf Sicherheitslücken untersuchen konnten. Die einzigen Details, die veröffentlicht wurden, waren, dass der Algorithmus ähnlich sei DES , symmetrisch und hatte einen 80-Bit-Schlüssel.

Schließlich wurden einige externe Forscher hinzugezogen, um eine Stellungnahme abzugeben unabhängige Beurteilung des Chips. Sie stellten fest, dass der Algorithmus für seinen Zeitraum relativ sicher war und keine offensichtlichen Lücken aufwies. Sogar Akademiker, die habe den Algorithmus studiert Nach der Freigabe wurden keine schwerwiegenden Schwachstellen entdeckt.

Trotz dieser Zusicherungen hatten die Kritiker des Algorithmus immer noch ein Recht auf ihre Skepsis. Schließlich hat die NSA eine lange Geschichte darin, kryptografische Schemata zu untergraben und deren Grenzen zu umgehen. Die damit verbundene Geheimhaltung trug sicherlich nicht dazu bei, die Ängste zu zerstreuen.

Obwohl sich das Verschlüsselungsschema als sicher erwies, Stattdessen war das Schlüsselhinterlegungssystem angreifbar . Es wird Law Enforcement Access Field (LEAF) genannt und erfordert den korrekten 16-Bit-Hash, um Zugriff zu erhalten. Der Hash war zu kurz und andere geeignete Hash-Werte könnten es sein brutal erzwungen mit relativer Leichtigkeit.

Dies führte dazu, dass möglicherweise andere Hash-Werte vom empfangenden Chip akzeptiert wurden, was letztendlich dazu führen konnte, dass den Strafverfolgungsbehörden der Zugriff verweigert wurde. Im Wesentlichen bedeutete dies, dass diejenigen mit genügend Entschlossenheit möglicherweise in der Lage gewesen wären, die Treuhandfunktion zu deaktivieren. Dies ermöglicht ihnen, ihre Daten über den Chip zu verschlüsseln, verhindert jedoch, dass die Behörden darauf zugreifen können .

Dies spielte natürlich Schwerverbrechern und Terroristen in die Hände, die die Zeit und die Ressourcen hatten, die Sicherheitsmechanismen zu umgehen. Wenn sie überhaupt die Hauptziele des Treuhandsystems waren, machte diese Schwachstelle das gesamte System sinnlos. Das Treuhandsystem wäre nur gegen diejenigen nützlich, die nicht über solche Fähigkeiten oder Ressourcen verfügen, wie zum Beispiel normale, gesetzestreue Bürger.

Es wurden zahlreiche weitere Angriffe auf das Treuhandsystem veröffentlicht, die zeigten, dass es weder sicher noch für seinen angeblichen Zweck geeignet war. Dies erreichte 1997 seinen Höhepunkt Papier ,Die Risiken der Schlüsselwiederherstellung, der Schlüsselhinterlegung und der Verschlüsselung durch vertrauenswürdige Dritte, die Schlüsselhinterlegungs- und außergewöhnliche Zugangssysteme grundsätzlich angriff, und nicht nur in der Implementierung des Clipper-Chips.

Das Papier argumentierte: „Schlüsselwiederherstellungssysteme sind von Natur aus weniger sicher, teurer und schwieriger zu verwenden als ähnliche Systeme ohne Wiederherstellungsfunktion.“ Es ging auf die Sicherheitseinbußen und Komfortprobleme ein, die sich aus diesen Systemen ergeben, und argumentierte, dass Umfang und Komplexität zu solchen Systemen führen würden „letztlich inakzeptable Risiken und Kosten.“

Diese und andere Probleme führten zu weit verbreitetem Widerstand gegen den Clipper-Chip, und die Chips wurden weder von Herstellern noch von Verbrauchern in nennenswertem Umfang angenommen. Gleichzeitig führten neue Sicherheitssysteme wie PGP dazu, dass sicherere Verschlüsselungsoptionen auf dem Markt waren, wodurch ein kompromittiertes System wie der Clipper-Chip unnötig wurde.

Obwohl das vernichtendste Papier gegen wichtige Treuhandsysteme vor mehr als 20 Jahren veröffentlicht wurde, gelten viele seiner Grundsätze immer noch. Da die Forderungen nach Verschlüsselungs-Hintertüren in den letzten Jahren wieder aufkamen, veröffentlichten die ursprünglichen Autoren des Papiers eine Folgebericht und erläuterte, warum solche Systeme immer noch eine schlechte Idee seien.

Supermicro-Hintertür

Hintertüren können auf breiter Ebene in das Design verschiedener Komponenten eingebaut oder von Angreifern einzeln installiert werden. Das Einfügen von Hintertüren ist auf die eine oder andere Weise eine Herausforderung, und eines der bekanntesten Beispiele der letzten Jahre war wahrscheinlich eine Erfindung.

Im Oktober 2018 veröffentlichte Bloomberg eine Titelgeschichte mit dem TitelDer große Hack, in dem seine Reporter behaupteten, dass chinesische Lieferanten Spionagechips in ihre Produkte einbauten, die später von einigen der größten Technologieunternehmen der Welt verwendet wurden.

Dem Bericht folgte starke Ablehnungen von jedem der beteiligten Unternehmen, darunter Supermicro, Apple und Amazon. Seitdem gibt es eine ausführliche Rezension , und immer noch ist kein einziger Spionagechip aufgetaucht.

Bloomberg bleibt bei seinem Standpunkt und weigert sich, die Geschichte zurückzuziehen, aber zum jetzigen Zeitpunkt ist die wahrscheinlichste Schlussfolgerung, dass die Geschichte erfunden wurde oder dass die Journalisten von ihren Quellen mit Fehlinformationen gefüttert wurden.

NSA-Hardware-Hintertüren

Die NSA verfügt über ein ganzes Team, das sich dem heimlichen Zugriff auf die Kommunikation widmet, dem so genannten Abteilung Tailored Access Operations (TAO). . Entsprechend Spiegel , die Abteilung verfügt sogar über einen Katalog für ihre Arbeiten. Zu den hardwarebezogenen Angeboten gehört ein manipuliertes Monitorkabel, mit dem Mitarbeiter sehen können, „was auf dem Zielmonitor angezeigt wird“.

Ein weiteres Produkt ist eine „aktive GSM-Basisstation“, mit der Mobiltelefone überwacht werden können, außerdem sind getarnte Wanzen zum Abhören von Computern erhältlich. Die oben genannten Produkte können für 30 US-Dollar, 40.000 US-Dollar bzw. in 50er-Packungen für 1 Million US-Dollar erworben werden.

Der Katalog Dazu gehörten auch eine Reihe verschiedener Hardware-Hintertüren, mit denen die Sicherheit von Produkten verschiedener Hersteller umgangen werden konnte. Dazu gehörten BIOS-Implantate, mit denen HP-Server untergraben werden konnten, Geräte, die gegen Cisco- und ASA-Firewalls eingesetzt werden konnten, und Hintertüren, die die Sicherheit von Huawei-Router umgehen konnten.

Andere Hardware-Hintertüren

Abgesehen von den oben genannten Fällen Beispiele für Hardware-Hintertüren sind nicht besonders häufig . Sie geben jedoch im militärischen, geheimdienstlichen und geheimen Regierungskontext nach wie vor Anlass zu besonderer Sorge. Es gibt einige Meinungsverschiedenheiten darüber, wie praktisch es ist, diese Art von Modifikationen bei der Spionage zu nutzen, insbesondere wenn man bedenkt, wie einfach Alternativen wie Software-Hintertüren sind.

Angesichts der großen Vorsicht, die Organisationen in den oben genannten Bereichen an den Tag legen, sind die beiden wahrscheinlichsten Schlussfolgerungen: Diese Sektoren sind übermäßig vorsichtig oder geben nicht viele Informationen über entdeckte hardwarebasierte Spionageversuche heraus.

Die letztgenannte Schlussfolgerung ist sicherlich plausibel, da Geheimdienste dazu neigen, ihr Wissen über die Fähigkeiten eines Gegners nicht zur Schau zu stellen. Diese Art des Bluffens kann von Vorteil sein, da es den Behörden einen Einfluss verschafft, der ihnen hilft, ihre Gegner genau zu überwachen, sie mit Desinformationen zu versorgen und heimlich Abwehrkräfte gegen die bekannten Fähigkeiten aufzubauen.

Die öffentliche Offenlegung etwaiger von Regierungsbehörden entdeckter Hintertüren würde dazu führen, dass die Informationen an den Gegner gelangen, sodass eine solche Politik die oben genannten Vorteile zunichte machen würde. Aus diesen Gründen, Es ist nicht unangemessen zu glauben, dass Hardware-Hintertüren häufiger vorkommen, als die Öffentlichkeit glauben macht .

Angesichts der Komplexität und Kosten dieser Art von Angriffen Es ist wahrscheinlich, dass sie gezielt statt auf breiter Basis durchgeführt werden. Eine größere Anzahl an Zielen würde auch die Wahrscheinlichkeit erhöhen, dass die Hardware-Hintertüren entdeckt werden, so dass eine Begrenzung der Reichweite hardwarebasierter Angriffe dazu beitragen würde, diese verborgen zu halten.

Hintere Öffnung

Back Orifice ist eine berühmte Software-Hintertür, die Ende der neunziger Jahre veröffentlicht wurde. Es war ursprünglich entfesselt um die inhärenten Sicherheitsprobleme in Windows 95 und 98 aufzuzeigen, Es könnte aber auch als legitime Fernzugriffssoftware dienen.

Neben diesen Anwendungen könnte es auch auf schändlichere Weise eingesetzt werden – als Trojaner, der Zielsysteme übernehmen kann. Als Hacker ihre Opfer dazu verleiteten, das Programm zu installieren, schufen sie eine Hintertür, die es ihnen ermöglichte, aus der Ferne auf ihre Computer zuzugreifen, Tastenanschläge zu protokollieren, Passwörter zu stehlen und die verschiedenen Prozesse auf dem Computer zu kontrollieren. Auf Back Orifice folgte Back Orifice 2000, das auf ähnliche Weise auf Windows NT, Windows 2000 und Windows XP abzielte.

Die Hintertür der NSA in einem Zufallszahlengenerator

Eines der kühnsten Backdoor-Beispiele der letzten Zeit war von der NSA gepflanzt in den Dual Elliptic Curve Deterministic Random Bit Generator (DualL_EC_DRBG). Es handelte sich angeblich um einen kryptografisch sicheren Pseudozufallszahlengenerator, der schließlich vom National Institute of Standards and Technology (NIST) zum Industriestandard erklärt wurde.

Lassen Sie uns etwas zurückgehen, um Ihnen ein tieferes Verständnis des Problems zu vermitteln. Zufallszahlengeneratoren sind ein wichtiger Bestandteil der Kryptographie und werden in einer Reihe von Anwendungen eingesetzt. Viele unserer Algorithmen basieren auf dieser Art von Generator, um ausreichend zufällige Zahlen zu erzeugen. Wenn der Zufallszahlengenerator zu vorhersehbare Zahlen erzeugt, können Hacker möglicherweise alle mit dem Algorithmus verschlüsselten Daten entschlüsseln.

In den frühen 2000er Jahren leitete die NSA den Versuch, einen neuen Zufallszahlengenerator zu standardisieren, der die Kryptografie mit elliptischen Kurven nutzt und den Namen Dual_EC_DRBG trägt. Die Agentur drängte zunächst auf die Übernahme durch das American National Standards Institute (ANSI). Laut einem der Autoren des Standards John Kelsey , Fragen zu einer möglichen Hintertür wurden erstmals bei einem Treffen im Jahr 2005 aufgeworfen .

Das Hauptproblem bestand darin, dass einige der Zahlen falsch waren sorgfältig so ausgewählt, dass die Ausgabe des Zufallszahlengenerators erfolgt vorhersagbar . Dieses Setup ermöglichte es der NSA, Daten zu entschlüsseln, die von Protokollen verschlüsselt wurden, die Dual_EC_DRBG verwendeten.

Um diese Befürchtungen zu zerstreuen, ermöglichten die Autoren des Standards den Implementierern, ihre eigenen Zahlen zu wählen, was angeblich die Hintertür neutralisieren würde. Allerdings ist die Kleingedrucktes In der Norm heißt es, dass die Wahl anderer Werte letztlich nicht mit der Norm vereinbar sei. Tatsächlich Die Implementierer waren gezwungen, die kompromittierten Zahlen zu verwenden, wodurch die Hintertür aktiviert wurde.

Ein anderer Studie festgestellt, dass der Zufallszahlengenerator war aus verschiedenen Gründen unsicher. Die Kryptoanalyse ergab, dass die Ausgabe des Generators nicht wirklich zufällig war, was ihn anfällig für andere Angriffe machte.

Kritik und Spekulationen hielten in den folgenden Jahren an, der fehlerhafte Algorithmus fand jedoch immer noch eine gewisse Akzeptanz im Mainstream, insbesondere als Teil der BSAFE-Kryptografiebibliothek von RSA. Erst im September 2013 wurde die Absicht der Hintertür im Rahmen der durchgesickerten NSA-Dokumente von Edward Snowden bestätigt.

Unter der riesigen Menge an durchgesickerten Daten befanden sich Beweise dafür Das Bullrun-Programm der NSA , die darauf abzielte Brechen Sie Verschlüsselungsalgorithmen, fügen Sie Hintertüren ein und entschlüsseln Sie Daten durch eine Vielzahl anderer Mittel. Eine der vielen Enthüllungen im Datendump war, dass die NSA aktiv daran gearbeitet hatte, eine Hintertür in den Dual_EC_DRBG-Standard einzufügen.

Nach dem Leck veröffentlichten NIST, NSA und RSA Erklärungen, in denen sie ihre Organisationen von jeglicher Beteiligung distanzierten. Trotz dieser Dementis war die Subversion, die stattgefunden hatte, für die Kryptographie-Community klar.

Am Ende des Jahres a Reuters-Bericht enthüllte, dass die NSA eine geheime Zahlung von 10 Millionen US-Dollar an RSA organisiert hatte, damit Dual_EC_DRBG in BSAFE aufgenommen wurde. Trotz der vernichtenden Berichte gaben die in den Skandal verwickelten Organisationen weiterhin nach sorgfältig formulierte Aussagen die ihre Rolle im Skandal herunterspielten und stattdessen generell empfahlen, sicherere Zufallszahlengeneratoren zu implementieren.

Bis 2015 verwendete Juniper Networks noch Dual_EC_DRBG im Betriebssystem seiner NetScreen VPN-Router. Angeblich gab es Gegenmaßnahmen, um die Hintertür zu deaktivieren, doch gegen Ende des Jahres war dies der Fall entdeckt Das Code, der diese Abwehrmaßnahmen außer Kraft setzt, wurde von unbekannten Angreifern eingefügt . Diese Schwachstelle ermöglichte die Entschlüsselung des auf den NetScreen VPN-Routern verschlüsselten Datenverkehrs.

WordPress-Plugin-Hintertür

Im Mai 2019 fanden Forscher von Defiant eine Hintertür in einem WordPress-Plugin namens Slick Popup. Der Fehler betraf alle Versionen bis 1.71 und könnte von Angreifern verwendet werden, um auf Websites zuzugreifen, auf denen das Plugin ausgeführt wird.

In den neuesten Versionen des Plugins waren die Anmeldeinformationen mit dem Benutzernamen fest codiertslickpopupteamund ein Passwort vonOmakPass13#. Diese Anmeldeinformationen könnten von jedem mit technischen Kenntnissen gefunden werden, wodurch die Sicherheitsüberprüfung des Systems überflüssig wird .

Hacker könnten diese Werte nutzen, um sich auf den Websites ihrer Ziele einzuloggen, dann weitere Hintertüren zu bauen und weitere Angriffe zu starten. Es ist erwähnenswert, dass der Fehler im Plugin jedem, der es bereitgestellt hat, Zugriff auf die gesamte Website gewähren könnte. Dies ist eine weitere Erinnerung daran, dass Benutzer immer vorsichtig sein müssen, da alle ihre Abwehrmaßnahmen durch nur ein unzuverlässiges Plugin gefährdet werden können.

Zunächst veröffentlichte der Entwickler einen Fix für die kostenpflichtige Version des Plugins, nicht jedoch für die kostenlose Version. Obwohl der Entwickler Downloads der kostenlosen Version nicht verfügbar machte, blieben diejenigen, die das Plugin bereits verwendeten, anfällig

Jüngste Forderungen der Regierung nach Hintertüren

Obwohl Hintertüren von der überwiegenden Mehrheit der Branche als schlechte Idee angesehen werden, Verschiedene Regierungen drängen weiterhin auf einen besonderen Zugang zu verschlüsselten Daten . Im Laufe der Zeit scheint sich die Öffentlichkeit der mit Hintertüren verbundenen Risiken bewusster geworden zu sein, es zeichnet sich jedoch ein besorgniserregender Trend ab Politiker fordern nun die gleiche Zugangsart unter anderen Namen.

Unabhängig davon, welche politisch verträglichen Begriffe verwendet werden, beinhaltet jeder Vorschlag, der einer Hintertür ähnelt Dadurch werden die bestehenden Sicherheitsmechanismen der Verschlüsselung und Authentifizierung untergraben, was wiederum das gesamte Sicherheitsökosystem gefährdet.

Ein Beispiel für diesen Trend stammt vom FBI-Direktor Chris Wrays Rede 2018 , in dem er ausdrücklich feststellte: „Wir suchen nicht nach einer ‚Hintertür‘“, nur um der Bemerkung zu folgen: „Was wir fordern, ist die Möglichkeit, auf das Gerät zuzugreifen, sobald wir einen Haftbefehl erhalten haben.“ ein unabhängiger Richter, der gesagt hat, dass wir einen wahrscheinlichen Grund haben.“

Trotz Wrays größter Bemühungen sind seine beiden Aussagen widersprüchlich. Ein Hintertürsystem ist die einzig sinnvolle Möglichkeit, den Behörden besonderen Zugriff auf verschlüsselte Kommunikation zu gewähren, unabhängig davon, ob der Prozess Richter und Haftbefehle involviert oder nicht.

Das FBI ist mit seinen widersprüchlichen Forderungen nicht allein. Das britische Pendant, das GCHQ, hat sich für einen anderen Ansatz entschieden, der die gleichen potenziellen Auswirkungen auf die globale Sicherheit hat. In einem (n Aufsatz Im Lawfare-Blog plädierten zwei technische Direktoren des GCHQ für ein System, das scheinbar dem alten Trick ähnelt, Krokodilklemmen an einem Telefonkabel anzubringen und abzuhören.

Auch wenn ihr Vorschlag vielversprechend erscheint, scheitert er bei genauer Prüfung. Der erste große Streitpunkt ist dieser Die Ende-zu-Ende-Verschlüsselung in unserer Online-Welt unterscheidet sich deutlich von den Telefonleitungen früherer Zeiten . Um eine Telefonleitung abzuhören, ist ein physischer Zugang erforderlich, wohingegen digitale Kommunikation, die nicht ordnungsgemäß gesichert ist, theoretisch von überall auf der Welt aus gehackt werden kann.

Dies macht einen unsicheren Online-Kommunikationskanal weitaus anfälliger als eine unsichere Telefonleitung. Ein mongolischer Hacker wird sich kaum die Mühe machen, über Berge und Meere zu reisen, nur um eine Telefonleitung abzuhören, aber Die geografische Entfernung wird irrelevant, wenn internetbasierte Angriffe ins Spiel kommen.

Der GCHQ-Plan plädiert dafür, Druck auf Technologieunternehmen auszuüben „Fügen Sie einen Teilnehmer der Strafverfolgungsbehörden stillschweigend zu einem Gruppenchat oder -anruf hinzu.“ In dem Aufsatz wird behauptet, dass ein solcher Aufbau es den Behörden ermöglichen würde, mitzuhören und gleichzeitig eine Ende-zu-Ende-Verschlüsselung aufrechtzuerhalten, aber so einfach ist das nicht.

Eine Gruppe von Technologieunternehmen, darunter Apple, Google und Microsoft, sowie führende Kryptografen fassten es in ihrem Bericht am besten zusammen offener Brief gegen den Vorschlag protestieren.

Der GCHQs Das Ghost-Protokoll stellt ernsthafte Bedrohungen für die digitale Sicherheit dar: Wenn es implementiert wird, untergräbt es den Authentifizierungsprozess, der es Benutzern ermöglicht, zu überprüfen, ob sie mit den richtigen Personen kommunizieren, führt zu potenziellen unbeabsichtigten Schwachstellen und erhöht das Risiko, dass Kommunikationssysteme missbraucht oder missbraucht werden könnten.

Diese Cybersicherheitsrisiken bedeuten, dass Benutzer nicht darauf vertrauen können, dass ihre Kommunikation sicher ist, da Benutzer nicht mehr darauf vertrauen können, dass sie wissen, wer sich am anderen Ende ihrer Kommunikation befindet, was eine Bedrohung grundlegender Menschenrechte, einschließlich Privatsphäre und freier Meinungsäußerung, darstellt. Darüber hinaus würden Systeme neuen potenziellen Schwachstellen und Missbrauchsrisiken ausgesetzt sein.“

Trotz der sorgfältigen gegenteiligen Argumentation im Essay ist der Vorschlag des GCHQ darauf ausgerichtet Umgehen Sie die normalen Authentifizierungsmechanismen in Kommunikationsplattformen. Dies würde es im Wesentlichen zu einer Hintertür mit einem anderen Namen machen und die gleichen Risiken bergen.

Die Deutschen haben sich dem Anti-Verschlüsselungs-Zirkus nicht entzogen und grübeln darüber nach eigene Gesetze Dies würde Technologieunternehmen dazu zwingen, den Klartext verschlüsselter Gespräche herauszugeben, wann immer sie von einem Gericht dazu aufgefordert werden.

Dies ist derzeit in keinem sinnvollen verschlüsselten Nachrichtensystem möglich. Wenn also Gesetze erlassen werden, Die Unternehmen müssten ihre Dienste anpassen und die Sicherheit schwächen . Wie wir immer wieder diskutiert haben, wäre ein solcher Vorschlag schädlich für die globale Sicherheit.

Australien hat sich in letzter Zeit als weltweit führend positioniert, wenn es um schlecht durchdachte Sicherheitsgesetze geht. Ende letzten Jahres wurde die bestanden Hilfe- und Zugangsgesetz Dabei handelte es sich um eine vage und unpolierte Sammlung von Gesetzen, die auch Technologieunternehmen dazu zwingen könnten, ihre Sicherheit zu schwächen.

Leider sind die Prozesse hinter solchen Forderungen geheim, sodass die Öffentlichkeit möglicherweise nie erfährt, ob und wie die Befugnisse genutzt werden und welche Auswirkungen sie haben könnten.

Wie können wir dazu beitragen, die Risiken von Hintertüren zu minimieren?

Hintertüren sind im aktuellen Technologiezeitalter ein heißes Thema, sowohl als Angriffsmethoden als auch als Teil von Vorschlägen, die angeblich darauf abzielen, unsere Gesellschaften vor kriminellen Bedrohungen zu schützen. Es gibt zwar keine Anzeichen dafür, dass beide Arten verschwinden werden, wir können jedoch eine Reihe von Maßnahmen ergreifen, um die Risiken von Hintertüren zu minimieren.

Lehnen Sie sich gegen alle Gesetze, die Hintertüren vorschreiben

Der offensichtlichste Schritt ist Wir lehnen jede Gesetzgebung ab, die darauf abzielt, Hintertüren hinzuzufügen oder unsere Sicherheitssysteme auf andere Weise zu gefährden . Unabhängig davon, welche Art von Rechtfertigung eine Regierung anzuführen versucht, sei es Terrorismus oder Kriminalität, werden diese Vorschläge der allgemeinen Sicherheit wahrscheinlich weitaus mehr Schaden zufügen, als sie jemals durch die Ergreifung von Bösewichten ausgleichen können.

Wenn Ihr Land Gesetze vorschlägt, die der Sicherheit abträglich sein könnten, möchten Sie sich vielleicht am politischen Prozess beteiligen und die Abschaffung der Gesetze fordern. Dies kann bedeuten, dass Sie an Protesten teilnehmen, Briefe an Ihre Vertreter schreiben oder andere politische Maßnahmen ergreifen.

Trotz aller Bemühungen ist ein solcher Widerstand möglicherweise nicht immer wirksam – schauen Sie sich nur Australien an. Von den 343 Eingaben, die als Reaktion auf die Veröffentlichung des Entwurfs des Assistance and Access Bill eingereicht wurden, äußerten sich alle bis auf einen kritisch zum Gesetzentwurf. Trotz solch heftigen Widerstands wurde das Gesetz irgendwie trotzdem verabschiedet.

Trotz der Herausforderungen ist es einen Versuch wert, politisch gegen solche Vorschläge vorzugehen. Die öffentliche Opposition hat die Debatte schon früher gewonnen – Sie müssen sich nur das Clipper-Chip-Beispiel von oben ansehen, um sich zu vergewissern, dass es sich nicht immer um ein hoffnungsloses Unterfangen handelt.

Hardware-Hintertüren

Hardware-Hintertüren können unglaublich schwer zu erkennen sein, insbesondere wenn sie im Rahmen eines raffinierten Angriffs eingeführt werden. Das macht uns verwundbar, besonders wenn man das bedenkt Ein Großteil der Technologielieferkette ist in Ländern angesiedelt, in denen Gegner zahlreiche Möglichkeiten haben, Hintertüren einzubauen.

Die Verlagerung der Lieferkette ist kaum ein pragmatischer Ansatz. Es würde Jahrzehnte dauern, die notwendige Infrastruktur aufzubauen, und Der Preis für technische Produkte wäre aufgrund der gestiegenen Arbeitskosten deutlich höher . Dennoch lohnt es sich, dies als langfristige Option in Betracht zu ziehen, insbesondere für kritische Infrastrukturen und Hardware, die in sensiblen Prozessen eingesetzt werden.

Es gibt eine Vielzahl von Kontrollen, die relativ wirksam zu sein scheinen, wenn es um hochwertige Ziele wie Militär- und Regierungssysteme geht. Diese gelten zwar nicht für normale Benutzer, normale Verbraucher sollten sich jedoch keine allzu großen Sorgen über die Möglichkeit von Hardware-Hintertüren in ihren Computern und Geräten machen. Dies liegt daran, dass die meisten Menschen nicht mit Informationen umgehen, die wertvoll genug sind, um die Kosten für die Einführung weitreichender Hintertüren zu rechtfertigen.

Software-Hintertüren

Ein größeres Problem bereiten Software-Hintertüren, da sie viel kostengünstiger und einfacher einzubauen sind. Die Risiken dieser Hintertüren können sein teilweise minimiert, indem nach Möglichkeit Open-Source-Software verwendet wird. Die Offenheit des Quellcodes bedeutet, dass ihn viele Menschen unabhängig einsehen können, was die Wahrscheinlichkeit erhöht, dass Hintertüren entdeckt werden.

Hintertüren können auch durch eingeschränkt werden Kompilieren von Software als reproduzierbare Builds. Dieser Prozess stellt im Wesentlichen eine Vertrauenskette zwischen dem Quellcode, den Menschen lesen können, und dem Binärcode her, den Maschinen für die Kommunikation verwenden.

Wenn Software auf diese Weise entworfen wird, lässt sich nachweisen, ob in den Quellcode eingegriffen wurde oder nicht, und so lassen sich Gefahren wie Hintertüren leichter erkennen.

Ein weiterer wichtiger Schritt zur Minimierung der Risiken ist Aktualisieren Sie die Software so schnell wie möglich . Denn wenn Hintertüren entdeckt und veröffentlicht werden, enthält das nächste Software-Update oft einen Fix dafür. Wenn Sie mit dem Update warten, könnten Sie anfälliger sein, da die Werbung rund um die Hintertür andere Hacker dazu veranlassen könnte, Angriffe über die Hintertür zu starten.

Was passiert, wenn Regierungen Hintertüren einführen?

Wenn Gesetze eingeführt werden, die Hintertüren vorschreiben, ist die Wahrscheinlichkeit groß, dass dies der Fall sein wird länderspezifisch . Nehmen wir an, die USA zwingen alle ihre Unternehmen, Hintertüren einzuführen, die es den Behörden ermöglichen, auf zuvor verschlüsselte Benutzerdaten zuzugreifen. Wenn ein Unternehmen solche Anforderungen vermeiden wollte, könnte es dazu vielleicht in der Lage sein seine Geschäftstätigkeit in eine andere Gerichtsbarkeit verlegen, wo es nicht zur Einhaltung verpflichtet ist.

Alternative, Benutzer könnten zu einem Messaging-Dienst migrieren, der in einem anderen Land ansässig ist das nicht solchen Gesetzen unterliegt, wodurch sie die potenziellen Kompromisse vermeiden können, die durch Hintertüren entstehen. Wenn jedes Land Hintertüren vorschreibt, könnten dezentrale Verschlüsselungs-Apps auftauchen, die in keinem Land ansässig sind.

Wir müssen realistisch sein und das verstehen Es wird immer Möglichkeiten geben, mögliche Verschlüsselungs-Hintertürgesetze zu umgehen . Das Problem ist, dass Nur diejenigen mit den stärksten Beweggründen – Terroristen, Kriminelle und dergleichen – werden sich die Mühe machen, diese Wege zu nutzen .

Tatsächlich wird die Gesetzgebung zu Hintertüren nur dazu dienen, die allgemeine Sicherheit zu gefährden, und da Kriminelle zu komplizierteren Methoden zur Sicherung ihrer Kommunikation übergehen werden, werden solche Gesetze den Behörden nicht das gewünschte Ergebnis bescheren.

A große Mehrheit der Experten Experten aus der Praxis sind sich einig, dass das gezielte Einfügen von Hintertüren in unsere Systeme jeden anfälliger macht. Es ist schwer, die potenziellen Gefahren gegenüber den minimalen Vorteilen zu rechtfertigen, die die Behörden daraus ziehen könnten. Warum hören wir also nicht auf die Experten?

Hintertür von Joost Markerink lizenziert unter CC0

^