Schlüssel per Smartphone aushorchen

Als erschreckend, aber durchaus realistisch und ausbaufähig schätzen Heiniger, Lange und Bernstein den akustischen Angriff GnuPG ein. Über das Mikrofon eines etwa in einem Radius von 30 Zentimetern entfernt liegenden Smartphones ließ sich ein bis zu 4.096 Bit langer RSA-Schlüssel abfangen. Für den Angriff zeichneten israelische Forscher das unvermeidbare Vibrieren der Elektronik auf, die für Menschen nicht vernehmbar sind.

Stellenmarkt
  1. (Senior) IT Business Consultant (m/w/d) Telekommunikation
    AUSY Technologies Germany AG, München, Hamburg, Düsseldorf
  2. Senior Technical Consultant (w/m/d) ServiceNow
    HanseVision GmbH, Bielefeld, Hamburg, Karlsruhe, Neckarsulm
Detailsuche

Den Zeitpunkt, an dem die Forscher in den Aufnahmen nach Mustern suchten, bestimmten sie selbst, indem sie an den Rechner des Opfers regelmäßig die gleiche verschlüsselte E-Mail verschickten. Damit ist RSA aber nicht geknackt. Entwickler der dabei verwendeten Software GnuPG haben bereits reagiert und die Verschlüsselungssoftware so umgeschrieben, dass sie mit sich ständig verändernden Algorithmen arbeitet und so ein wiederkehrendes Vibrieren der Hardware verhindern soll. Die Entwickler von GnuPG haben das in der neuen Version 1.4.16 bereits berücksichtigt. GnuPG 2.x und Gpg4win sind laut den Programmierern durch Verwendung einer anderen RSA-Bibliothek ohnehin nicht von dem Problem betroffen.

Schwache Dementis

Zum Schluss zerlegten Heiniger, Lange und Bernstein das Schlusswort zum Thema Verschlüsselung in dem von US-Präsident Barack Obama in Auftrag gegebenen Bericht zum NSA-Skandal. Die Kommission, heißt es da, habe keine Hinweise, dass die US-Regierung Schwachstellen in kommerzielle Software habe einbauen lassen, die ausländischen Regierungen und kriminellen Hackern den Zugriff auf verschlüsselte Nutzerdaten ermögliche. Im Umkehrschluss, so die drei Experten, schließe das jedoch nicht aus, dass die US-Regierung Nutzerdaten entschlüsseln könne. "Ferner scheint es so, dass in der meisten weitverbreiteten Verschlüsselungssoftware keine Schwachstelle oder Backdoor ist, über die sich die US-Regierung oder jemand anders unberechtigten Zugang zu Nutzerdaten verschaffen kann", heißt es weiter in dem Bericht. Ein eindeutiges Dementi sehe anders aus, sagten Heiniger, Lange und Bernstein.

Zuvor war schon aufgefallen, dass es in dem Anhang über Verschlüsselung keinerlei Hinweise auf Dual_EC_DRBG gibt. Heiniger, Lange und Bernstein weisen auf einen Patentantrag vom August 2007 zu dem umstrittenen Zufallszahlengenerator hin. Dort wird die Schwachstelle sogar explizit erwähnt. Die Hinweise seien von Anfang an dagewesen, sagten die drei Kryptoexperten. Es habe nur niemand hingesehen.

Golem Akademie
  1. Cloud Transformation Roadmap: Strategien, Roadmap, Governance: virtueller Zwei-Tage-Workshop
    7.–8. März 2022, Virtuell
  2. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2022, Virtuell
Weitere IT-Trainings

Heiniger, Lange und Bernstein kommen trotz der zahlreichen schlechten Nachrichten 2013 zu dem Schluss, dass Verschlüsselung noch weitgehend sicher ist. Einen Überblick, welche Kryptographie noch funktioniert, bietet ein ausführlicher Artikel von Hanno Böck auf Golem.de.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Die elektronischen Hintertüren der NSA
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


Aktuell auf der Startseite von Golem.de
Framework Laptop im Hardware-Test
Schrauber aller Länder, vereinigt euch!

Der modulare Framework Laptop ist ein wahrgewordener Basteltraum. Und unsere Begeisterung für das, was damit alles möglich ist, lässt sich nur schwer bändigen.
Ein Test von Oliver Nickel und Sebastian Grüner

Framework Laptop im Hardware-Test: Schrauber aller Länder, vereinigt euch!
Artikel
  1. FTTH: Liberty Network startet noch mal in Deutschland
    FTTH
    Liberty Network startet noch mal in Deutschland

    Das erste FTTH-Projekt ist gescheitert. Jetzt wandert Liberty von Brandenburg nach Bayern an den Starnberger See.

  2. 5.000 Dollar Belohnung: Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen
    5.000 Dollar Belohnung
    Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen

    Tesla-Chef Elon Musk bot einem US-Teenager jüngst angeblich 5.000 US-Dollar, damit der seinen auf Twitter betriebenen Flight-Tracker einstellt.

  3. Let's Encrypt: Was Admins heute tun müssen
    Let's Encrypt
    Was Admins heute tun müssen

    Heute um 17 Uhr werden bei Let's Encrypt Zertifikate zurückgezogen. Wir beschreiben, wie Admins prüfen können, ob sie betroffen sind.
    Eine Anleitung von Hanno Böck

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 12GB 1.499€ • iPhone 13 Pro 512GB 1.349€ • DXRacer Gaming-Stuhl 159€ • LG OLED 55 Zoll 1.149€ • PS5 Digital mit o2-Vertrag bestellbar • Prime-Filme für je 0,99€ leihen • One Plus Nord 2 335€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Sennheiser Gaming-Headset 169,90€ [Werbung]
    •  /