Software & Infrastruktur

„PGP ist ein Freund der NSA“: Sicherheitsforscher kritisiert Verschlüsselungssoftware

01.02.2016, 10:43 Uhr

Die spätestens seit Edward Snowdens Enthüllungen beliebte Verschlüsselungssoftware PGP ist offenbar nicht so sicher, wie es scheint. Ein Sicherheitsforscher kritisiert, dass PGP zu viele Metadaten verrate und damit NSA und Co. in die Hände spiele.

Verschlüsselte E-Mail-Kommunikation: PGP verrät Metadaten

In dem Film „Citizen Four“ von Laura Poitras über Edward Snowden wurde das Verschlüsselungsprogramm Pretty Good Privacy (PGP) noch lobend erwähnt, und auch deutsche E-Mail-Anbieter wie GMX oder Web.de setzen auf die Ende-zu-Ende-Verschlüsselung per PGP. Nutzer sollten sich allerdings nicht allzu sehr auf diesen Schutz ihrer Privatsphäre verlassen, wie der Sicherheitsforscher Nicholas Weaver vom International Computer Science Institute warnt.

PGP verspricht Sicherheit bei der E-Mail-Kommunikation, ist aber wohl ziemlich geschwätzig. (Grafik: Shutterstock)

Weaver zufolge würde PGP zu viele Metadaten verraten, was vor allem die Geheimdienste wie die NSA freuen dürfte. Der verschlüsselte Inhalt der E-Mails sei demnach zwar nicht zu decodieren. Aber bei mit einem herkömmlichen PGP-Client verschlüsselten E-Mails könnten die KeyIDs herausgefiltert werden, was die Adressen aller Empfänger, in den meisten Fällen auch die des Senders umfasse. Letztgenannter könnte die eigene E-Mail nicht mehr entschlüsseln, wäre er nicht selbst auch Empfänger.

PGP-verschlüsselte E-Mails als Einfallstor für die NSA

Mithilfe der KeyIDs können E-Mail-Adressen und Namen herausgefunden werden. Mit entsprechenden Programmen, über die Geheimdienste verfügen dürften, könnte ein Kommunikationsnetz bestimmter Personen erstellt werden. Das biete eine Einstiegsmöglichkeit, um in Systeme einzudringen und Schlüssel zu stehlen, meint Weaver.

„PGP ist ein Freund der NSA“, zitiert die Website Motherboard den Sicherheitsforscher. Um sich bei der E-Mail-Kommunikation vor der Überwachung durch Geheimdienste zu schützen, müsste man laut Weaver neben PGP auch ein neues E-Mail-Konto sowie einen Anonymisierungsdienst wie Tor nutzen. Die KeyID des Senders könne zudem entfernt werden oder dieser lässt sich nicht als Empfänger aufnehmen, kann dann aber auch die Nachricht nicht mehr entschlüsseln.

via www.zdnet.de

Jörn Brien

News-Redakteur

Verwandte Themen

Edward Snowden

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

21 Kommentare

Kommentare einblenden

Thomas D.

01.02.2016, 11:02 Uhr

Freund ist jetzt etwas übertrieben. Für Alltagskommunikation ist PGP doch recht tauglich und wer wirklich Atomwaffen verkaufen will oder Anschläge plant, hat sicherlich das KnowHow da noch was drauf zu setzen.

Antworten

Heiko

01.02.2016, 11:21 Uhr

Man sollte auch nicht vergessen, das PGP zu einer Zeit entwickelt wurde, als die technischen Möglichkeiten der Nachrichtendienste noch weit von dem entfernt waren, was sie heute können.

Konstantin

01.02.2016, 16:55 Uhr

Gut, Sender+Empfänger+Betreff ist ja sowieso ersichtlich, da lässt sich nichts gegen machen. Das neue hier wird dann vermutlich sein, dass hier das auslesen der restlichen eventuell noch zusätzlich eingebundenen PGP-Key-Kennungen möglich ist…

Romano Kleinwächter

01.02.2016, 20:50 Uhr

Da PGP eh proprietär ist, empfiehlt sich sowie nur der Einsatz von GnuPG als OpenPGP Implementierung. Allerdings wird es da mit den Meta Daten ähnlich, denn in der Zeit wo PGP entwickelt wurde, waren Metadaten noch nicht so sehr relevant.

Allerdings ist die Behauptung das deutsche Mailprovider wie GMX und Co. auf eine PGP End-zu-End Verschlüsselung setzen falsch. Das was als „E-Mail made in Germany“ verkauft wird ist nichts anderes als SSL von Server zu Server, die E-Mails liegen demzufolge immer auf den beteiligten Servern im Klartext vor.

Eine richtige End-zu-Ende Verschlüsselung die etwas taugt bekommt man mit GnuPG, Thunderbird und dem Plugin Enigmail zustande. Es gibt auch irgendeine Windows Implementierung für GnuPG.

Jan

02.02.2016, 09:46 Uhr

GMX biete auch end-zu-end Verschlüsselung mit PGP und Browserplugin an.

02.02.2016, 10:04 Uhr

Kommt das offiziell von GMX? Soweit ich weiß nicht, die gängigen PGP kompatiblen Browser Plugins die mir bekannt sind arbeiten unabhängig vom jeweiligen Anbieter, sie können damit bei jedem Webmailer eingesetzt werden. Allerdings muss dafür der private Key im Browser liegen, ob man das mag ist dann eher Geschmackssache ;).

02.02.2016, 11:12 Uhr

Doch. Das ist offiziell! Sie bieten es kostenfrei mit Mailvelope an und haben es aktiv im GMX-Konto als Option. Siehe auch https://www.mailvelope.com/de/coop

Ob man seinen PGP im Browser nutzen möchte ist natürlich, wie du schon sagst, Geschmacksache.

grep

02.02.2016, 00:36 Uhr

Hallo …,

möglicherweise sind Regierungen und Geheimdienste zu weitaus mehr imstande als wir bislang zu vermuten wagen.

Es ist einfach schrecklich dass wirklich nix mehr privat / geheim zu bleiben scheint.
Und ‚IoT‘ macht diesen Umstand nicht besser … eher schlimmer.

Ciao, Sascha.

Twittelatoruser

05.02.2016, 19:00 Uhr

An alle:

Hört nicht auf @“grep“.

Wenn man sich die geleakten Folien von Snowden anschaut, dann ist das Beschriebene in bestimmten Situationen tatsächlich möglich (wenn man programmiertechnische Erfahrung hat). Dabei ist überraschend, dass gewisse Dinge tatsächlich scheinbar durchaus durchgeführt werden. Aber man sollte auch erkennen, wann dies möglich ist. Oft ist dies selten möglich und manche einfach realisierbaren Hacks müssten Milliarden Mal durchgeführt werden, was selbst für die unmöglich ist, weil sie längst nicht genug Ressourcen hätten. Nur wenn man meint, sollte man auf gewisse Sicherheiten achten, wodurch ein tailored Hack zur eigenen Person im Fokus sehr erschwert wird.

Warum räumt USA nicht alle Nobelpreise, Leibnizpreise ab, ist in Akkutechnologie ungeschlagen und hat uns in der Motorentechnik schon längst überholt? Warum konnte die USA die Explosion bei diesem Massenlauf nicht verhindern?

NSA wird als Übermacht hochstilisiert, damit wir in einem Panoptikum zu leben fühlen und uns demnach so verhalten. Das ist Schwachsinn!

Klaus

03.02.2016, 18:29 Uhr

Die Metadaten sind bei PGP ohnehin nicht verschlüsselt, das ist eigentlich klar. daher ist es auch klar, dass PGP geheime Inhalte zwischen offenen Kontaktpartnern ermöglicht, nicht aber geheime Kommunikation mit geheimen Kontaktpartnern. Aber auch das ist den Geheimdiensten schon zu viel und sie versuchen auf mehrere Weisen, den Einsatz von PGP zu schwächen. Anscheinend ist die reine PGP/GnuPG-Verschlüsselung aber schon noch ziemlich sicher.

05.02.2016, 20:03 Uhr

Hallo Twittelatoruser,

man sollte sein Gegenüber nie unterschätzen; ich erwarte das schlimmste Szenario und hoffe auf die beste Wendung.

Mir erschließt sich nicht weshalb Sie – wieder einmal – einen Affront gegen mich starten; was ist ihr Problem !

06.02.2016, 02:21 Uhr

Entschuldige, aber das ist Unsinn! Es ist kein Affront!

Ich bin lediglich altruistisch und möchte den Leser ziemlich objektiv mitteilen, da ich mehr technische (Software und Hardware), dass offenbar viel zu heiß gekocht wird, aber eher nur lauwarm gegessen wird. Deshalb entgegne ich explizit deiner Behauptung, dass dies nicht stimmt. Wie gesagt, wird dadurch nur ein Panoptikum erzeugt. Ich sage nicht, dass diese Leaks ignoriert werden können, was du offenbar meinen Text so verstehst. Entweder tust du mich missverstehen oder du liest meinen Text nicht genau durch. Das habe ich schon letztes Mal festgestellt. Nur deine Darstellung ist wie bei vielen vollkommen Unwissenden völlig übertrieben. Du hast nicht mitbekommen, dass Snowden nach ca. einem Jahr verärgert feststellte, dass die NSA noch immer nicht gemerkt habe, dass er ihr eigentlich helfe. Ich vermute, die NSA weiß dies längst, spielt aber weiterhin den Unwissenden, der den „Vaterlandsverräter“ möglichst in das Nirvana schicken möchte.

Zu den Leaks: Wenn man etwas mehr technische Kenntnisse hat (wie ich dich einschätze), sieht man, dass man eigentlich alle Leaks zu gegebenen Zeitpunkten umsetzen kann. Dann übertreibt man gerne. Wenn man sich damit etwas beschäftigt und evtl. noch mehr Kenntnisse hat, dann stellt man fest, dass diese möglichen Zeitpunkte begrenzt sind oder realistisch praktisch sehr begrenzt sind. Dies wirst auch du sicherlich erkennen, wenn du dich mit den Leaks beschäftigst, wann sie überhaupt genutzt werden können. Du wirst es aber nicht erkennen, wenn du meinen Kommentar schon wieder irrational auf die persönliche Ebene herunterziehst.
Gute Bacht und mehr sage ich nicht, da ich die anderen Keser nicht nerven möchte.

06.02.2016, 11:26 Uhr

nein, ich verstehe Sie nicht falsch; alles – auch Edward Snowden Leaks – könnte von den USA inszeniert sein … evtl. beabsichtigt(e) die NSA uns all‘ dies erfahren zu lassen.

Vielleicht soll es uns davon ablenken wozu die NSA, die USA (evtl.) tatsächlich imstande sind oder ihre vermeintliche (?) technische Überlegenheit demonstrieren ?!

Ich weiß es nicht, ich glaube garnichts, ich unterschätze niemanden und ich befürchtete immer das Schlimmste.

Man sollte in diesem Kontext absolut misstrauisch sein.
Ich gehe nicht von Wahrscheinlichkeiten sondern vielmehr von Möglichkeiten aus.

06.02.2016, 12:34 Uhr

nur kurz:
„Vielleicht soll es uns davon ablenken wozu die NSA, die USA (evtl.) tatsächlich imstande sind oder ihre vermeintliche (?) technische Überlegenheit demonstrieren ?!“
Technische Überlegenheit … so ein Mumpitz … wenn du dich mit Programierung auskennst, wirst du an den Leaks gesehen haben, dass dort nicht technisch überlegen ist. In Snowdens Tätigkeit kann ich sehr wohl Altruismus nachvollziehen. Ihn als Inszenierung zu nennen, ist nur ein Glaube. Und du weißt, wohin Religionen führen …

„Ich weiß es nicht, ich glaube garnichts,[…]“
Das ist eine Paradoxie. Du glaubst an nichts, aber gleichzeitig glaubst du an eine vermeintliche technische Überlegenheit der NSA?

„[…] ich unterschätze niemanden und ich befürchtete immer das Schlimmste.“
Das ist vermutlich mitunter ein Grund, weshalb wir noch keine künstlichen Lebewesen erschaffen können, wenn wir darauf beharren, dass ein künstliches Leben nur in Extremen kalkulieren können soll.

06.02.2016, 12:43 Uhr

Anscheinend kennst du dich mit dem Internet nicht so gut aus oder hast dich an die unwissenden Internetuser angepasst:
Dieser Blog nimmt eigentlich am Web 2.0 (Buzzword!) teil. Es ist vergleichbar mit den alten Foren, Usenet, IRC a.s.o.. D.h., es werden alle prinzipiell erst einmal als Freunde behandelt und man versucht nicht krampfhaft höflich zu sein.

06.02.2016, 13:42 Uhr

wieder relativieren resp. negieren Sie meine Ausführungen, bringen diese in einen surrealen Kontext, unterstellen mir Religiosität, usw. !

Ich befinde mich daher aktuell in der – vorstehend – begründeten Besorgnis dass es Ihnen einfach nicht gut geht wenn Sie nichts zu meckern haben.

Sie tun mir wirklich sehr leid … !
Woher möchten Sie wissen, dass die USA, NSA, etc., KEINE neuen (geheimen) Technologien entwickelt haben … !

Sie trauen Dritten zu wenig zu – dass dürfte ihr Fehler sein.
Sie sind schon ein bemerkenswertes Individuum.
Ihr ‚kurzes‘ Statement war mal wieder ziemlich lang !

06.02.2016, 14:48 Uhr

Du tust mir mit deinem mangelhaften Textverständnis leid. Ich habe nie etwas unterstellst. Ich habe nur dein Glauben betont. Dass du nicht weißt, dass Religion nur Glauben ist, wundert mich schon. Du kannst dich nicht verteidigen und meinst wohl, dass Angriff die beste Verteidigung sei. Also unterstellst du mir, dass ich angeblich irgendetwas unterstelle.

Mit so einer geistig sehr armen Person möchte ich nicht mehr Zeit verschwenden.

06.02.2016, 13:45 Uhr

nein; Sie versuchen „[sic!] (…) nicht krampfhaft höflich zu sein (…)“ – Sie sind niveaulos !

06.02.2016, 14:50 Uhr

Schon wieder beleidigen, nur weil du nicht weiter weißt … diese geistige Armut …

Du bist ein „digital native“! :)

06.02.2016, 15:04 Uhr

Sie reden so einen gequirlten, geistigen Dünnsch***, mir scheint Ihr Kopf ist eine riesige Toilet**nschü***l in welcher sich ‚von Zeit zu Zeit‘ immer mehr Sch***e ansammelt … weil Sie nicht spülen – bis Sie dann letztlich den (Seelen-)Klempner rufen müssen.

Und ich kann dazu auch (im Moment) nix mehr ’sagen‘ weil ich den Mund (gerade) voller K*tz* habe !

06.02.2016, 15:09 Uhr

welcher ‚Glauben‘ (???), woher möchten Sie denn bitteschön wissen woran ich ggf. evtl. glauben könnte (?!). – Möglicherweise glauben Sie daran dass die Geschlechtsteile nach dem Tod weiterleben ;) !

Gönnen Sie sich, mir und den Lesern eine Pause von Ihrer Person.

Kommentieren