{"id":2493,"date":"2013-07-10T19:11:32","date_gmt":"2013-07-10T18:11:32","guid":{"rendered":"http:\/\/www.thetawelle.de\/?p=2493"},"modified":"2015-06-08T10:41:06","modified_gmt":"2015-06-08T09:41:06","slug":"warum-verschlusselung-nicht-funktioniert","status":"publish","type":"post","link":"https:\/\/www.thetawelle.de\/?p=2493","title":{"rendered":"Warum Verschl\u00fcsselung nicht funktioniert."},"content":{"rendered":"

\"5ymbol_picture_s3cur1ty_thr3at_550\"<\/a>Seit dem Bekanntwerden von den machtvollen B\u00fcrgerkontrollsystemen PRISM, TEMPORA, 5EYES und wie die alle hei\u00dfen, schreien mich die Nerds die ich kenne wieder voll mit „Verschl\u00fcsselung ist die L\u00f6sung!“<\/strong> und „Verschl\u00fcsselung ist voll einfach!“<\/strong> beide Ausspr\u00fcche sind falsch, tut mir leid Nerds! Und dann regen sie sich auch noch auf das niemand verschl\u00fcsselt, fangen gar an zu weinen<\/a> und ignorieren lieber dass es zu kompliziert<\/a> ist, zu kompliziert<\/a> ist und zu kompliziert<\/a> ist.<\/a><\/p>\n

Verschl\u00fcsselung ist zu kompliziert<\/h3>\n

Fangen wir an Punkt eins zu dekonstruieren: Es steht das Postulat im Raum, Verschl\u00fcsselung sei einfach. Quasi jeder k\u00f6nnte es mal eben installieren, man muss es nur wollen.<\/p>\n

Ich hab es ausprobiert, vielleicht bin ich zu schlau<\/del>d\u00e4mlich, ich hab ein Diplom in Wirtschaftsinformatik<\/strong>, ich habe einen Doktor in Ingenieurwissenschaften in Mathematik und Informatik<\/strong>, und<\/del> (Anmk.: nachtr\u00e4glich durchgestrichen, k\u00f6nnte als \u00fcberheblich interpretiert werden)<\/em> ich habe schon Rechner (i.e. Commodore Amiga) programmiert da war Pluto noch ein Planet<\/strong> und das Internet noch gar nicht erfunden.<\/p>\n

Ich hab es nicht<\/u> hinbekommen. Aber nicht weil ich es nicht hinbekommen h\u00e4tte, sondern weil der Aufwand (der sehr gut kalkulierbar ist)<\/strong> schlichtweg den Nutzen (der \u00fcberhaupt nicht kalkulierbar ist)<\/strong> \u00fcberkompensierte. Mag sein das mich genau diese \u00dcberlegung als Wirtschaftsinformatiker vom reinen Informatiker unterscheidet: Ich stelle Wirtschaftlichkeits\u00fcberlegungen VOR<\/strong> der Implementierung an, der Informatiker DANACH<\/strong> oder viel \u00f6fter GAR NICHT<\/strong>.<\/p>\n

Das Herunterladen der GPGTools<\/strong><\/a> war noch einfach. Und ab der Installation wurde es h\u00e4sslich. Einmal installiert, beginnt ein untransparenter Prozess<\/strong>, in dem irgendwelche Schl\u00fcssel<\/strong> generiert werden, irgendwelche Passw\u00f6rter<\/strong> eingegeben werden, diese Schl\u00fcssel in einer eigenen propriet\u00e4ren Schl\u00fcsselinfrastruktur<\/strong> abgelegt werden und dem Nutzer wird absolut NICHTS<\/strong> erkl\u00e4rt von dem was der Rechner da eigentlich grade f\u00fcr ihn macht. Demnach bleibt er mit einer GPG Installation zur\u00fcck, die zwar erfolgreich war, aber vollkommen untransparent ist. Das ist ein 100% FAIL<\/strong>! Da gibt es gar nichts dran zu deuten. Ich kreide das den Machern von dem Toolpaket nicht an, die haben auch nur begrenzte Ressourcen und haben aus ihrer Sicht das Optimum getan: Ein einfacher Installer. Prima.<\/p>\n

Doch dann geht es weiter. Wir erinnern uns, wir wollen diese ganze Krypto eigentlich nur, um unsere Kommunikation zu sch\u00fctzen<\/strong>. Doch eine L\u00f6sung zum Schutz der Kommunikation ist noch nicht etabliert. Jetzt muss jede Software<\/strong> die zum Kommunizieren gemacht wurde einzeln irgendwie mit dieser GPG Basissoftware verkn\u00fcpft werden. Daf\u00fcr widerum muss die Kommunikationssoftware explizit daf\u00fcr ausger\u00fcstet sein, dass sie optional einen Schutz der Kommunikation mit Zusatztechnologie wie GPG herstellen kann. An dieser Stelle meldet sich der Wirtschaftsinformatiker in mir zum zweiten Mal: Warum um alles in der Welt ist die Kommunikationssoftware nicht von BEGINN AN per default im sicheren Betriebsmodus? Warum geht das nur optional?<\/strong> Und hier bewahrheitet sich halt eine alte Entwicklerweisheit mal wieder: „Default Settings do matter!“<\/strong><\/p>\n

Wenn der Kunde erst selbst aktiv werden muss, um etwas „sicher“ zu machen, dann werden menschliche Fehler passieren und gro\u00dfe Katastrophen. In diesem Fall bedeutet das leider: Kein normaler Mensch verschl\u00fcsselt irgendwas, liebe Nerds.
\n<\/strong><\/div>\n

Verschl\u00fcsselung ist leider nicht die L\u00f6sung!<\/h3>\n

Frage: Warum ist Verschl\u00fcsselung keine<\/u> L\u00f6sung f\u00fcr das Problem?<\/strong><\/p>\n

Stellen wir doch mal die Gegenfrage: Was ist eigentlich das Problem?<\/strong><\/p>\n

    \n
  1. Nerds sagen:<\/strong> Klartext ist das Problem. Dein Mailprogramm ist das Problem. Dein Chatclient ist das Problem. Deine unverschl\u00fcsselte Festplatte ist das Problem.<\/li>\n
  2. B\u00fcrger sagen:<\/strong> \u00dcberwachung ist das Problem. Das gebrochene Briefgeheimis ist das Problem. Eindringen in meine Privatsph\u00e4re ist das Problem. Vorratsdatenspeicherung, h\u00e4ssliche Passfotos und Chipkarten mit meinen Fingerabdr\u00fccken drauf sind das Problem.<\/li>\n
  3. Politiker sagen (nicht):<\/strong> Vertrauen ist das Problem. B\u00fcrger die Fragen stellen sind das Problem. Keine Kontrolle zu besitzen ist das Problem. B\u00fcrger die mich nicht w\u00e4hlen sind das Problem.<\/li>\n<\/ol>\n

    Wir sehen drei Parteien, jeder sieht das Problem vollst\u00e4ndig anders als der andere. Das sind keine guten Voraussetzungen f\u00fcr eine L\u00f6sung. Wenn man sich jetzt mal vergegenw\u00e4rtigt, wer hier das Problemgef\u00fchl ausgel\u00f6st hat, dann wird es schon einfacher.<\/p>\n

    Also fragen wir uns, „Wer hat das Problemgef\u00fchl eigentlich ausgel\u00f6st?“<\/strong><\/p>\n

      \n
    1. Nerds sagen:<\/strong> Die Politiker, die uns \u00fcberwachen und zensieren wollen.<\/li>\n
    2. B\u00fcrger sagen:<\/strong> Die Politiker, die uns \u00fcberwachen und zensieren wollen.<\/li>\n
    3. Politiker sagen (nicht):<\/strong> Die B\u00fcrger, die nicht genug Angst vor den B\u00fcrgern haben.<\/li>\n<\/ol>\n

      Nerds und B\u00fcrger sind sich einig, \u00dcberwachung und Zensur ist der Tod jeglicher Freiheit und die Garantie f\u00fcr ein totalit\u00e4res System.<\/strong> Das gilt nicht f\u00fcr alle Nerds und B\u00fcrger, es gibt Ausnahmen wie der Beitrag „Elternb\u00fcndnis vernichtet Killerspiele \u00f6ffentlich“<\/a> in der ZEIT zeigt. Die Politiker aber glauben, die B\u00fcrger w\u00fcrden sich nicht genug gegen Gefahren und negative Einfl\u00fcsse jedweder Art sch\u00fctzen wollen. Die Politiker unterstellen den B\u00fcrgern und Nerds, sie w\u00e4ren diesen ein zensiertes Vollkaskoleben<\/strong> schuldig, ohne jedes Risiko. Das benutzen sie dann als Hebel, denn zugleich finden sie es nat\u00fcrlich toll, wenn sie die Kontrolle haben jeden B\u00fcrger jederzeit beliebig ausforschen zu k\u00f6nnen, ob er nicht vielleicht sogar eine Gefahr f\u00fcr sie selbst sein oder werden k\u00f6nnte. Politiker haben Angst vor B\u00fcrgern und Nerds und vertrauen ihnen nicht.<\/strong> Sie sagen sich: Vertrauen gut und sch\u00f6n, aber Kontrolle ist dreimal besser f\u00fcr den Machterhalt und vorhersagbare Wahlergebnisse. Das gilt nicht f\u00fcr alle Politiker, es gibt Ausnahmen wie der Beitrag „Norwegens Art, die Freiheit zu verteidigen“<\/a> in der ZEIT zeigen.<\/p>\n

      Die Politik s\u00e4ht Zwietracht und Mi\u00dftrauen indem sie den B\u00fcrgern unterstellt sie w\u00e4ren eine Gefahr f\u00fcr andere B\u00fcrger und man m\u00fcsse sie vor sich selbst sch\u00fctzen. Im Zweifel eben mit drastischen Ma\u00dfnahmen wie Wasserwerfern, Bundesnachrichtendienst, Internetzensur usw. Das ist der klassische K\u00f6nigsmechanismus<\/strong><\/a> nach dem Prinzip „Teile und herrsche!“. Ein sehr einfaches und sehr wirkungsvolles Prinzip, dass oft auch mit FUD<\/a> erweitert wird, um die B\u00fcrger noch schneller misstrauisch gegen\u00fcber z.B. Ausl\u00e4ndern, Schwulen, Lesben, Alten, Kindern, Jugendlichen, M\u00e4nnern, Frauen, Linken, Rechten, Hackern, und beliebigen anderen Gruppen zu machen. Aber ich weiche vom Kurs ab…<\/p>\n

      Fazit: Nerds und B\u00fcrger haben grunds\u00e4tzlich unterschiedliche Sichtweisen als Politiker WAS das Problem ist. Zusammenf\u00fchrend kann man die Sichtweisen so wiedergeben, dass sich beide Gruppen grunds\u00e4tzlich nicht mehr vertrauen. Das gegenseitige Vertrauen ist auf dem absoluten Nullpunkt. DAS ist das Problem und das Machtungleichgewicht zugunsten der Staatsmacht.<\/strong><\/p>\n

      Die Kosten der Verschl\u00fcsselung \u00fcberwiegen den Nutzen<\/h3>\n

      Der Mensch entscheidet zwar selten rational, aber hin und wieder eben doch. Softwareinstallationen die sich \u00fcber Stunden hinziehen und selbst mit bestem Willen und vielen gegoogelten Tutorials zu keiner L\u00f6sung f\u00fchren, bringen den homo oeconomicus dann doch irgendwann hervor und lassen ihn durch wirtschaftliche \u00dcberlegungen (siehe auch Sisyphos<\/a>) sein Tun einstellen.<\/p>\n

      W\u00e4hrend die Kosten von Verschl\u00fcsselung<\/strong> klar auf der Hand liegen (Stundenlanges googeln nach Tutorials, nervige Installation von intransparenter Software, m\u00fchsame Konfiguration und stundenlanges Testen der Verschl\u00fcsselung der Kommunikation in Zielprogrammen), ist der Nutzen der Verschl\u00fcsselung<\/strong> in \u00fcberhaupt keiner Weise nachweisbar.<\/p>\n

      In der Wissenschaft w\u00fcrde man sagen die Kosten sind offensichtlich, aber der Nutzen ist eine Hypothese<\/a><\/strong>, eine Aussage, deren G\u00fcltigkeit man f\u00fcr m\u00f6glich h\u00e4lt, die aber nicht bewiesen oder verifiziert ist. Und diese Hypothese gilt nur so lange als M\u00f6glichkeitskonstrukt, bis sie entweder verifiziert oder falsifiziert wurde. Jemand der seine Kommunikation verschl\u00fcsselt kann nicht \u00fcberpr\u00fcfen, ob die Verschl\u00fcsselung ihn tats\u00e4chlich sch\u00fctzt, er muss darauf vertrauen – oder sch\u00e4rfer formuliert „dran glauben“ – das sie es tut bis verifiziert oder falsifiziert wurde, dass sie ihn tats\u00e4chlich sch\u00fctzt. Doch Glauben ist nicht wissen, und da f\u00e4ngt die Religion bereits an, pflegte mein Mathematiklehrer zu sagen.<\/p>\n

      Frage: Warum kann man nicht \u00fcberpr\u00fcfen bzw. verifizieren, ob Verschl\u00fcsselung sch\u00fctzt?<\/strong><\/p>\n

        \n
      1. Ist der Rechner bereits kompromittiert (was man ebenfalls als Laie nicht<\/u> \u00fcberpr\u00fcfen kann), ist jegliche Verschl\u00fcsselung sinnlos, da jemand anderes die Kontrolle \u00fcber den Rechner hat.<\/li>\n
      2. Selbst wenn ich alles brav verschl\u00fcssele, so muss doch alles auch wieder entschl\u00fcsselt werden, damit ich es in Klartext lesen kann. Gesch\u00fctzt wird maximal der Transportweg der Nachricht, denn einmal bei mir angekommen wird die Nachricht in Klartext angezeigt f\u00fcr jeden der zu dem Zeitpunkt Gewalt \u00fcber meinen Rechner hat. Ich kann aber nicht pr\u00fcfen, ob nicht jemand andres meinen Rechner kontrolliert.<\/li>\n
      3. Selbst die h\u00e4rteste Verschl\u00fcsselung setzt darauf, dass man auf seinem Rechner ein Geheimnis besch\u00fctzen kann. Dieses Geheimnis ist der sogenannte PRIVATE KEY (letztlich auch nur ein Textschnippsel). Doch wie soll der Nutzer diesen Schl\u00fcssel sch\u00fctzen, wenn er nichtmal wei\u00df wo er ihn denn finden kann und wie kann er kontrollieren, dass ihn niemand anderes bekommt?<\/li>\n
      4. Letztlich sind ALLE Verschl\u00fcsselungen in determinierender Zeit knackbar, denn wer gen\u00fcgend Rechenpower hat, der kann mit einer sogenannten Bruteforce-Attacke einfach alle m\u00f6glichen Schl\u00fcsselkombinationen durchprobieren. Klar das braucht ’ne Weile, aber wer wei\u00df welche Rechenkraft den Regierungen heute schon in Geheimlabors zur Verf\u00fcgung steht? Vom Quantencomputing hat man lange nichts mehr geh\u00f6rt, vielleicht funktioniert es l\u00e4ngst.<\/li>\n
      5. Daraus folgt der n\u00e4chste Schluss: Da ich nicht mitbekomme, wenn mein Schl\u00fcssel geknackt wurde, kann ich auch nicht erfolgreich pr\u00fcfen, ob ich noch sicher bin. Ich muss daran glauben das schon alles gut sein wird!<\/li>\n<\/ol>\n

        Antwort: Weil man nicht \u00fcberpr\u00fcfen kann, ob nicht etwa andere Wege den Zugriff auf die verschl\u00fcsselte Nachricht m\u00f6glich machen, oder gar der Schutz vollst\u00e4ndig geknackt wurde.<\/strong> Wer also mit Verschl\u00fcsselung beginnt, den kann man zu Recht als bestraft im Sinne von Sisyphos bezeichnen, denn dieser wurde f\u00fcr seine Renitenz dem Gott Thanatos gegen\u00fcber bestraft und auf Ewigkeit dazu verdammt, immer wieder einen Marmorblock einen Berg hinaufzubringen, der oben dann wieder herunterrollt. Sisyphos wei\u00df nicht, ob es etwas bringt den Mamorblock nochmal hochzutragen, bis er es getan hat und dieser eben wieder herunterrollt. Doch das ist noch nicht das gr\u00f6\u00dfte Problem der Verschl\u00fcsselung.<\/p>\n

        Der rein hypothetische Nutzen von Verschl\u00fcsselung unterliegt dem Gesetz von Metcalfe<\/h3>\n

        \"metcalfe_law_network_effect\"<\/a>Jeder der Verschl\u00fcsselung einsetzen m\u00f6chte, kann das nur tun, wenn er sich mit seinen Kommunikationspartnern darauf geeinigt hat. Beide m\u00fcssen zudem einen zueinander kompatiblen Standard zur Verschl\u00fcsselung<\/strong> verwenden. Es ist wie mit den Faxger\u00e4ten<\/strong> damals, ich kann nur jemandem etwas faxen, der ein ebensolches Faxger\u00e4t wie ich besitzt. Der Nutzen meines eigenen Faxger\u00e4tes steigt mit der Anzahl der potenziellen Kommuniationspartner<\/strong> die ein ebensolches Ger\u00e4t besitzen. Die mathematische Gesetzm\u00e4\u00dfigkeit, die den Nutzen f\u00fcr den Einzelnen beschreibt ist Metcalfe’s Law<\/strong><\/a>. Wer das mit den Faxger\u00e4ten nicht nachvollziehen kann (liebe Digital Naives), der stelle sich das ganze eben mit Facebook<\/strong> oder studi.vz<\/strong> (gibt’s zwar nicht mehr aber war was \u00c4hnliches) vor. Man nennt das auch den Netzwerkeffekt<\/strong>.<\/p>\n

        Fazit: Ich fasse zusammen<\/h3>\n

        Mein vorl\u00e4ufiges Fazit in diesem Trauerspiel sieht so aus:<\/p>\n

          \n
        1. Verschl\u00fcsselung ist nicht<\/u> die L\u00f6sung, weil Klartext nie das Problem war.<\/strong> B\u00fcrger (inkl. Nerds) und Staat sind in der tiefsten Vertrauenskrise<\/strong> ever. Beide Parteien streben deshalb nach mehr Kontrolle, doch nur der Partei an der Macht gelingt diese Kontrolle was zu noch mehr Misstrauen und Machtungleichgewicht<\/strong> f\u00fchrt. Und das ist das Problem. Ein soziales Problem, kein technisches.<\/li>\n
        2. Verschl\u00fcsselung ist zu kompliziert.<\/strong> Niemand versteht was die GPGTools-Installation wirklich tut. Ich kann es nicht \u00fcberpr\u00fcfen, ich muss vertrauen bzw. glauben, das es funktioniert.<\/li>\n
        3. Verschl\u00fcsselung ist zu teuer.<\/strong> Sie ist nicht etwa deshalb zu teuer weil die Kosten zu hoch w\u00e4ren, sondern weil der Nutzen nicht nachweisbar ist. Auch eine Verschl\u00fcsselung mit infinitesimalen (extrem geringen) Kosten w\u00e4re noch zu teuer. Damit scheitert sie wirtschaftlich am homo oeconomicus.<\/li>\n
        4. Die Verbreitung der Verschl\u00fcsselung unterliegt Metcalfe’s Gesetz.<\/strong> Der Nutzen (der bisher rein hypothetisch ist) steigt mit der Anzahl der Teilnehmer. Doch die kritische Masse an Teilnehmern muss erst noch erreicht werden, wogegen jedoch Punkt 2 und Punkt 3 sprechen.<\/li>\n<\/ol>\n

          Die Kommentare sind er\u00f6ffnet… jetzt d\u00fcrft ihr mich bashen liebe Nerds…<\/em><\/p>\n

          Wie man das Problem l\u00f6sen k\u00f6nnte<\/h3>\n

          Update 13.7.2013<\/strong><\/p>\n

          Schritt 1: E-Mail Programm wechseln & Skype f\u00fcr immer l\u00f6schen<\/h4>\n

          \"verbraucher_sicher_online\"<\/a>Wie die Diskussion in den Kommentaren unten ja zeigt, ist Nicht-Verschl\u00fcsseln derzeit leider auch keine L\u00f6sung<\/strong>. Also hilft nur sich verst\u00e4ndliche Information<\/a> dort zu holen wo sie verst\u00e4ndlich zu finden ist, z.B. bei http:\/\/www.verbraucher-sicher-online.de<\/a>.<\/p>\n

          \"sicher_entleeren\"<\/a>Unabh\u00e4ngig davon bleibt die h\u00f6chst frustrierende Erkenntnis, egal wieviele Seiten man sich anguckt und wo man nach Verschl\u00fcsselung f\u00fcr sein Lieblingsmailprogramm guckt, es ist v\u00f6llig sinnlose Zeitverschwendung<\/strong> sofern man nicht bereits eines der folgenden, als Alternativen gelisteten Mailprogramme nutzt, MUSS man sein Mailprogramm wechseln<\/strong>. Da die Microsoftprodukte offenbar (wie wir seit dieser Woche offiziell wissen; einige wussten es nat\u00fcrlich schon immer…) mit einer Spionagehintert\u00fcre versehen sind die selbst funktionierende Verschl\u00fcsselung (die aber leider sowieso nicht verf\u00fcgbar ist) umgehen kann, ist eine Trennung davon ohnehin unausweichlich. Auch Skype kann man bei der Gelegenheit dann gleich mal f\u00fcr immer in der M\u00fclltonne entsorgen und beim Rechtsklick auf das M\u00fclltonnensymbol am Besten gleich die Befehlstaste gedr\u00fcckt halten zum „Sicher entleeren“.<\/p>\n

          Auswahl an Alternativen:<\/strong><\/p>\n

            \n
          1. Apple Mail<\/strong> nutzen (Und hier warten wir mal besser ab bis Herr Snowden die n\u00e4chsten Folien auspackt die dann Apple betreffen)<\/li>\n
          2. Thunderbird<\/strong> nutzen\n<\/ol>\n

            Man sieht, eigentlich bleibt nur exakt ein<\/strong> Weg \u00fcbrig, bzw. man k\u00f6nnte auch sagen es ist ALTERNATIVLOS<\/strong>: Thunderbird<\/a> nutzen<\/strong>. (Bleibt zu hoffen, dass Herr Snowden keine Folie zur Mozilla Foundation hervorzaubert.)<\/p>\n

            Schritt 2: GPGTools installieren & Enigmail Add-On f\u00fcr Thunderbird installieren ODER eben doch was anderes<\/h4>\n

            Nachdem man seine gesamten E-Mail-Konten in Thunderbird umgezogen hat sollte man die GPGTools installieren. Auf die Generierung von irgendwelchen Schl\u00fcsseln kann man dabei verzichten. Das macht man sp\u00e4ter am besten aus Thunderbird heraus. <\/p>\n

            ODER man l\u00e4sst sich mal erkl\u00e4ren wie das Ganze mit S\/MIME f\u00fcr iOS\/OS X<\/a> geht und folgt diesem Pfad.<\/p>\n

            Apps f\u00fcr’s iPhone<\/h3>\n

            Die Apps im AppStore zum Thema sicher kommunizieren scheinen derzeit gute Gesch\u00e4fte zu machen. Unter den Produkten im Bereich „Wirtschaft“ sind unter den TOP 20 allein drei Apps zum sicheren E-Mail-Verkehr. Interessant ist die Preisspanne von 0,00 \u20ac bis 44,99 \u20ac<\/strong> die mir mit bei den beiden Kandidaten zu 44,99 \u20ac eher \u00fcbertrieben erscheint.
            \n

            <\/p>\n\n\n\n\n\n
            E-Mail Apps<\/tr>\n
            \"crypto_mail_1\"<\/a><\/td>\n\"crypto_mail_2\"<\/a><\/td>\n\"crypto_mail_3\"<\/a><\/td>\n<\/tr>\n
            Chat Apps<\/tr>\n
            \"crypto_chat_1\"<\/a><\/td>\n\"crypto_chat_2\"<\/a><\/td>\n\"crypto_chat_3\"<\/a><\/td>\n<\/tr>\n<\/table>\n

            Quelle:<\/strong> Apple AppStore<\/small><\/center><\/p>\n

            Eine klasse Liste aller m\u00f6glichen L\u00f6sungen rund um Desktop & Mobile bietet folgende Webseite namens https:\/\/prism-break.org\/#en<\/strong><\/a><\/p>\n

            <\/p>\n

            \"Sicherheitstools...\"<\/a>
            https:\/\/prism-break.org\/#en<\/a><\/strong><\/p>\n

            <\/center><\/p>\n

            Kleine Randnotiz: Sicherheit von elektronischen Autoschl\u00fcsseln<\/h3>\n

            \"autoschluessel_smart\"<\/a>Update 28.7.2013:<\/strong> Einigen im Sicherheitsbereich forschenden Menschen aus Holland<\/a> ist dann mal die sichere Verschl\u00fcsselung von elektronischen Autoschl\u00fcsseln interessant vorgekommen. Die fanden das so spannend, dass sich sich die Chips mal n\u00e4her angeguckt haben. Und dann haben sie halt festgestellt, das das ja soooo sicher gar nicht ist.<\/p>\n

            Gut das st\u00f6rt jetzt den die Nerds nicht, die wissen ja, Verschl\u00fcsselung ist die L\u00f6sung. Aber Porsche, Audi, Bentley, Lamborghini und den Volkswagenkonzern st\u00f6rt es halt ein wenig, dass die Forscher ihr Ergebnis dann auch noch mit anderen teilen wollten.<\/p>\n

            Zitat:<\/strong><\/p>\n

            The scientists wanted to publish their paper at the well-respected Usenix Security Symposium in Washington DC in August, but the court has imposed an interim injunction. Volkswagen had asked the scientists to publish a redacted version of their paper \u2013 Dismantling Megamos Crypto: Wirelessly Lockpicking a Vehicle Immobiliser \u2013 without the codes, but they declined.
            \n[\u2026]
            \nThe scientists said it had probably used a technique called \u201cchip slicing\u201d which involves analysing a chip under a microscope and taking it to pieces and inferring the algorithm from the arrangement of the microscopic transistors on the chip itself \u2013 a process that costs around \u00a350,000.\n<\/p><\/blockquote>\n

            Und da rollt er wieder den Berg herunter der Marmorblock…
            \n…auch wenn ich den Vergleich nicht mag, aber man f\u00fchlt sich an Aussagen wie „Kernkraft ist sicher!“ erinnert. Sch\u00fctzen tut die Verschl\u00fcsselung halt auch immer nur so lange, bis sie dann halt doch irgendwann geknackt ist. Die Schwachstelle scheint auch eher selten die Technik an sich zu sein, als vielmehr die unberechenbaren Ver\u00e4nderungen im Lauf der Zeit (z.B. schnellere Rechner, „Verlorengehen“ eines Masterkey f\u00fcr diverse Schl\u00fcssel, Leak der Konstruktionspl\u00e4ne,             Neugierige Milit\u00e4rforscher<\/a>, etc.).<\/p>\n

            \u00dcberwachungsstaat, Was ist das?<\/h3>\n

            Folgendes ziemlich umfangreiche Erkl\u00e4rvideo hat fefe in einem Blogpost<\/a> verlinkt.
            \n