Ubuntu Privacy Remix 12.04: Verschlüsselung auf kompromittierten Systemen ist sinnlos
Das Team Ubuntu-Privacy-Remix (UPR) hat den Release Candidate von Ubuntu Privacy Remix 12.04 veröffentlicht(öffnet im neuen Fenster) . Angesichts der Ausmaße der aufgedeckten weltweiten Massenüberwachung werde immer mehr Menschen deutlich, dass sie über das Internet übertragene sensible Informationen verschlüsseln müssen, heißt es in der Ankündigung. "UPR bringt wie fast jedes Linux-System alle dafür notwendigen Werkzeuge mit, geht aber noch einen Schritt weiter" , erklären die Entwickler.
Denn NSA und andere Geheimdienste überwachten und speicherten nicht nur den weltweiten Internetverkehr. In den vergangenen Monaten wurde auch bekannt, dass die NSA weltweit aktiv in Computersysteme einbricht, von Microsoft Exklusiv-Zugriff auf noch nicht veröffentlichte Schwachstellen in Windows-Systemen bekommt und die eng mit der NSA kooperierenden deutschen Behörden sich die Trojaner-Software Finfisher/Finspy beschafft haben, um in Rechner von Nutzern einzudringen.
"Daraus ergibt sich die Frage" , so Mark Zorko vom UPR-Projekt, "was das Verschlüsseln der Daten vor dem Verschicken über das Internet wert ist, wenn das System, auf dem ich verschlüssele, schon vom Angreifer beherrscht wird." Die sensiblen Daten könnten leicht vor dem Verschlüsseln im Klartext abgegriffen und mitgelesen werden. Auch eine Manipulation des Verschlüsselungsprogramms sei dann möglich, um eine für den Benutzer unsichtbare zusätzliche Verschlüsselung jeder Nachricht mit einem Drittschlüssel der Behörden einzurichten. Eine weitere Möglichkeit für den Trojaner sei, per Keylogger die Eingabe des Passwortes für den privaten GnuPG-Schlüssel mitzulesen und dieses dann samt dem Schlüssel an den Angreifer zu schicken. Damit könnten die Angreifer alle E-Mails entschlüsseln, die sie in die Hände bekommen oder schon seit Jahren gespeichert haben. In diesem Fall würde die Verschlüsselung praktisch wertlos, ja sogar die Vertraulichkeit von schon lange zurückliegenden verschlüsselten Nachrichten nachträglich aufgehoben.
Radikaler Ansatz
Um das zu verhindern, verfolgt Ubuntu Privacy Remix einen radikalen Ansatz: Es stellt eine abgeschottete Arbeitsumgebung bereit, in der vertrauliche Daten auf verschlüsselten Datenträgern sicher bearbeitet, ver- und entschlüsselt werden könnten. In der Umgebung verschlüsselte Dateien können dann über einen mit dem Internet verbundenen Computer versendet werden. Das könnte auch dasselbe Gerät nach einem Reboot sein.
"Diese physische Trennung der Bearbeitung vertraulicher Daten von ihrer verschlüsselten Übertragung durch das Internet ist für viele erst mal gewöhnungsbedürftig" , sagte Zorko, "aber es ist der einzige Weg zu wirklich sicher verschlüsselten Daten. Nur wenn die Endpunkte der Kommunikation, an denen ver- und entschlüsselt wird, sicher sind, kann man sich auf die Verschlüsselung verlassen" . Das UPR-System sei auf diese heute noch ungewöhnliche Art zu arbeiten ausgerichtet. So befinde sich zum Beispiel innerhalb der vollverschlüsselten Wechseldatenträger für die Nutzerdaten auch ein individuell konfigurierbares Home-Verzeichnis.
Dass UPR nur als Live-System existiere, gehöre zum Konzept. So habe Trojaner-Software keine Chance, sich im System einzunisten. Zur Abschottung gehört auch, dass der Betriebssystemkern sowohl Netzwerk-Hardware als auch die internen Festplatten des Computers ignoriert. Nutzerdaten werden ausschließlich auf Wechseldatenträgern und ausschließlich verschlüsselt gespeichert: zur Bearbeitung und Ablage in Truecrypt-Volumes, zur Weitergabe an andere über das Internet als GnuPG-verschlüsselte Datei. Für zukünftige Versionen planen die UPR-Entwickler, auch LUKS alternativ zu Truecrypt als Crypto-Software anzubieten. Beide Programme habe das UPR-Team einer gründlichen Code-Review unterzogen.
Zum Schutz von Whistleblowern, Menschenrechtlern, Aktivisten
"Das System wurde auch entwickelt, um Whistleblowern, Menschenrechtlern, Gewerkschaftern oder anderen politischen Aktivisten die Möglichkeit zu geben, sich auf hohem Niveau zu schützen" , sagte Zorko. Werkzeuge wie Finfisher würden schließlich vor allem gegen sie eingesetzt, zum Beispiel von Husni Mubarak vor seinem Sturz als ägyptischer Präsident. "Aber wegen der inzwischen bekanntgewordenen weltweiten Massenüberwachung sehen vielleicht noch viel mehr Menschen einen Bedarf daran."
Zu den Überwachungsprogrammen sagte er: "XKeyscore, Tempora und Prism sollen die Stimmung unter den Menschen beobachten und ihr Verhalten vorhersagen, um rechtzeitig darauf reagieren zu können. Und sie sollen Strukturen, Organisationen und Meinungsführer des Widerstands gegen die herrschende Politik identifizieren, um gegen sie vorgehen zu können. Allerdings haben Honecker und Mubarak das auch versucht - mit bekanntem Ausgang."
Die neuen Features sind ein aktualisiertes Basissystem, Ubuntu 12.04.2 LTS mit Kernel 3.5 und X.Org 7.7, damit UPR auf aktueller Hardware läuft. Dazu kommen neuere Versionen von Libreoffice (4.0) und Scribus (1.4.2). Das System startet auch auf UEFI-Rechnern mit Secure Boot. Die neue Version verwendet Gnome Classic für bessere Kompatibilität mit älteren Rechnern. Neu sind auch Fehlerkorrekturen in den Frontends für Truecrypt und GnuPG sowie kleinere neue Funktionen.
Für die finale Version geplant sind Ubuntu 12.04.3 mit Kernel 3.8 als Basissystem, Aktualisierung auf Libreoffice Version 4.1 und Gimp Version 2.8, Übernahme des RAM-Wiping aus dem Tails-Projekt und ein Ersatz für die nicht mehr weiterentwickelte Beagle-Volltextsuche.