Abo
  • Services:
Anzeige
Für den Zugriff auf VPNs mit IPSec muss die NSA private Schlüssel ergattern.
Für den Zugriff auf VPNs mit IPSec muss die NSA private Schlüssel ergattern. (Bild: NSA)

Verschlüsselung: Die NSA-Attacke auf VPN

Für den Zugriff auf VPNs mit IPSec muss die NSA private Schlüssel ergattern.
Für den Zugriff auf VPNs mit IPSec muss die NSA private Schlüssel ergattern. (Bild: NSA)

Wie sehr sich die NSA für die Infiltrierung von VPNs interessiert, zeigen umfangreiche Dokumente, die jetzt veröffentlicht worden sind. Mit aktueller Verschlüsselung hat der Geheimdienst aber Probleme.

Anzeige

Die NSA interessiert sich brennend für Daten, die über virtuelle private Netzwerke (VPN) fließen. Solche VPNs galten bislang als sichere Kommunikationskanäle, über die sich Mitarbeiter ins Firmennetzwerk oder Dissidenten in repressiven Ländern ins freie Internet verbinden. Den eigenen Unterlagen nach hat sich der US-Nachrichtendienst bereits in viele solcher Netzwerke gehackt, obwohl sie eigentlich verschlüsselt sind. Eine eigene Abteilung kümmert sich darum, VPNs zu infiltrieren. das geht aus jetzt veröffentlichten Dokumenten hervor, die aus dem Fundus von Edward Snowden stammen.

Die Dokumente zeigen auch, woher die NSA die privaten Schlüssel bekommt und welche Ziele der Geheimdienst primär angreift.

Die Suche nach Schwachstellen und Schlüsseln

Die bei der NSA zuständige Abteilung für die Infiltrierung von VPNs nennt sich OTP VPN Exploitation Team, wie aus einem Dokument aus dem Jahr 2010 hervorgeht. Sie bieten nach eigenem Bekunden Unterstützung bei zahlreichen Verschlüsselungsprotokollen, die bei VPNs genutzt werden, etwa IPSec oder PPTP. Auch SSL und SSH stehen auf der Liste der Verschlüsselungsprotokolle, die der Geheimdienst nach Schwachstellen durchsucht.

Die Dokumente geben aber keine Hinweise darauf, dass die NSA aktuelle Verschlüsselungen geknackt hat. Vielmehr nutzt der Geheimdienst bestehende Schwächen oder sammelt so viele private Schlüssel wie möglich, egal ob sie für IPSec, SSL oder SSH-Verbindungen benötigt werden. Diese werden in einer Datenbank hinterlegt, auf die die zahlreichen Auswertungswerkzeuge wie Xkeyscore zugreifen können. Eine Quelle für private Schlüssel wird in den Dokumenten explizit erwähnt: Router mit Schwachstellen. Wenn für ein bestimmtes Ziel noch kein Schlüssel vorliegt, können NSA-Agenten die sogenannten TAOs beauftragen, gezielt Hardware zu infiltrieren.

Gehackte Airlines und Banken

Aus Dokumenten von 2008 geht hervor, dass die NSA sich zu zahlreichen VPNs Zugang verschafft hatte, die noch das bereits unsichere Point-to-Point Tunneling Protocol (PPTP) verwendeten. Dazu gehörten unter anderem die staatlichen iranischen und jordanischen Fluggesellschaften, Telekommunikationsunternehmen in Afghanistan, Netzwerke des pakistanischen Geheimdienstes oder des türkischen diplomatischen Corps. Auch das Netz des Finanzinstituts Zaad war ein Ziel der NSA, denn darüber würden "somalische Terroristen" ihre Finanzen abwickeln. PPTP gilt allerdings seit Herbst 2012 als unsicher. Damals gelang es dem Verschlüsselungsexperten Moxie Marlinspike, dessen zu schwache Verschlüsselung zu knacken.

Die massive Rechenleistung benötigt die NSA daher offenbar, um die enormen Datenmengen zu verarbeiten, die bei VPN und auch Voice-over-IP-Verbindungen für die Internettelefonie anfallen. Zum einen werden dabei Datenpakete geöffnet und zugeordnet. Zum anderen müssen die anfallenden Daten dekomprimiert werden. Und schließlich wandern die Daten in die einzelnen Datenbanken, von denen aus sie über XKeyscore durchsucht werden können.

Zunehmende Verschlüsselung ist für die NSA eine Katastrophe

In den Dokumenten gibt es konkrete Hinweise darauf, dass die NSA nur passiv abgehörte Daten ohne eingesetztes Forward Secrecy entschlüsseln kann. Chat-Programme, die die Erweiterung Off-The-Record (OTR) verwenden, bereiten dem Geheimdienst offensichtlich ebenfalls Probleme. Das von Phil Zimmermann entwickelte Protokoll ZRTP für verschlüsselte Telefonie sei eine "Katastrophe" und führe zu einem "fast vollkommenen Kontrollverlust über die Kommunikation eines Ziels".

Außer Frage steht, dass die NSA auch versucht, aktuelle Verschlüsselungsprotokolle zu knacken. Auch dafür braucht der US-Geheimdienst Rechenleistung und kooperiert dabei eng mit dem britischen GCHQ. In einer Folie der NSA heißt es, wenn etwas noch nicht ausgenutzt werden könne, heiße das nicht, dass es nicht später klappen werde.


eye home zur Startseite
AllAgainstAds 03. Jan 2015

das die Aussagen immer nur recht wage sind und niemals genau zeigen, das können...

FreiGeistler 30. Dez 2014

Blödsinn. Nutze mal die Suchfunktion. Von wegen Telekom und co.

derdiedas 30. Dez 2014

auch garantiert eine Backdoor in der VPN Lösung. Ich würde den großen Anbietern (vor...

Lemo 30. Dez 2014

Da sind teilweise schaurige Präsentationen dabei (optisch gesehen) aber auch sehr...

tezmanian 30. Dez 2014

Ich sag ja schon die ganze Zeit, einfach mal das Netz gemeinsam mit ganz viel Random...



Anzeige

Stellenmarkt
  1. Zweckverband Kommunale Informationsverarbeitung Baden-Franke, Heilbronn, Heidelberg, Freiburg, Karlsruhe
  2. Robert Bosch GmbH, Stuttgart-Vaihingen
  3. Robert Bosch GmbH, Stuttgart-Feuerbach
  4. inovex GmbH, verschiedene Standorte


Anzeige
Hardware-Angebote
  1. 829,00€ + 5,99€ Versand

Folgen Sie uns
       


  1. Firmware

    PS 4 verbessert Verwaltung von Familien und Freunden

  2. Galaxy Note 4

    Samsung trägt keine Verantwortung für überhitzte Akkus

  3. Nach Anschlag in Charlottesville

    Nazis raus - aber nur aus PR-Gründen

  4. Hilton Digital Key im Kurztest

    Wenn das iPhone die Hoteltür öffnet

  5. Smartphone

    Essential Phone kommt mit zwei Monaten Verspätung

  6. Touch-ID deaktivieren

    iOS 11 bekommt Polizei-Taste

  7. Alternative Antriebe

    Hyundai baut Brennstoffzellen-SUV mit 580 km Reichweite

  8. Search Light

    Google testet schlanke Such-App

  9. 3D-Drucker

    Neues Verfahren erkennt Manipulationen beim 3D-Druck

  10. AVS Device SDK

    Amazon bringt Alexa auf Raspberry Pi und andere Boards



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starcraft Remastered: "Mit den Protoss kann man seinen Gegner richtig nerven!"
Starcraft Remastered
"Mit den Protoss kann man seinen Gegner richtig nerven!"
  1. Blizzard Der Name Battle.net bleibt
  2. Blizzard Overwatch bekommt Deathmatches
  3. E-Sport Blizzard nutzt Gamescom für europäische WoW-Finalspiele

Game of Thrones: Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
Game of Thrones
Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
  1. HBO Nächste Episode von Game of Thrones geleakt
  2. Hack Game-of-Thrones-Skript von HBO geleakt
  3. Game of Thrones "Der Winter ist da und hat leider unsere Server eingefroren"

Radeon RX Vega 64 im Test: Schnell und durstig mit Potenzial
Radeon RX Vega 64 im Test
Schnell und durstig mit Potenzial
  1. Radeon RX Vega 56 im Test AMD positioniert sich in der Mitte
  2. Grafikkarte Radeon RX Vega 64 kostet 500 US-Dollar
  3. Workstation AMD bringt Radeon Pro WX 9100

  1. Re: Eher ein Tweet

    alphaorb | 10:54

  2. Re: in ganz Ostdeutschland gibt es ganze 2 Orte...

    Xiut | 10:54

  3. Re: Was habt ihr erwartet?

    nachgefragt | 10:53

  4. Re: Terroranschlag gegen linke Demonstranten

    der_wahre_hannes | 10:52

  5. Re: Linksradikales Portal "linksunten" schließen

    Dino13 | 10:52


  1. 10:44

  2. 10:00

  3. 09:57

  4. 09:01

  5. 08:36

  6. 07:30

  7. 07:16

  8. 17:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel