Wir brauchen mehr Abstreitbarkeit!

Smartphone-Kontrollen sind nicht hinnehmbar. Google und Apple könnten helfen.

Die Mitarbeiter wurden zu einem eilig anberaumten Meeting einbestellt. Keiner wusste, worum es geht – nur, dass es wichtig war. Kaum war die Tür geschlossen, ließ Sean Spicer, Pressesprecher des Weißen Hauses, die Katze aus dem Sack: Alle privaten und dienstlichen Smartphones sollten hier und jetzt kontrolliert werden. Es ging darum, eine undichte Stelle zu finden. Jeder wurde aufgefordert, das Gerät zu entsperren und herauszugeben. Selbstverständlich konnte man sich weigern, aber wer wollte schon zugeben, etwas zu verbergen zu haben?! Zähneknirschend willigten Mitarbeiter ein, dass jemand ihre privaten Nachrichten, Fotos und Notizen durchstöberte.

Was letzte Woche im Weißen Haus geschah, passiert in ähnlicher Form an Flughäfen, in Besprechungsräumen von Chefetagen und auch im privatem Bereich: Gerätebesitzer werden genötigt, Zugriff zu gewähren. Dabei geraten sie in eine Zwickmühle: Will ich meine Privatsphäre schützen oder sollte ich besser einen Verdacht vermeiden? Das Spiel ist nicht fair, und es ist nicht nur unangenehm für Whistleblower und ihre unbeteiligten Kollegen, es kann auch den privaten Menschen betreffen: Ein eifersüchtiger Ehemann kann den Zugriff verlangen wie auch eine überbesorgte Mutter, die Whatsapp-Nachrichten der Kinder kontrollieren will.

Was kann man tun? Glaubhaft abstreiten!

„Plausible Deniability“ steht seit den 1960er Jahren für eine fragwürdige Management-Taktik, bei der sich Führungskräfte gezielt über gewisse Sachverhalte nicht informieren lassen, um später glaubhaft abstreiten zu können, etwas gewusst zu haben. In der IT-Sicherheit wird der Begriff anders verwendet: Daten können auf eine Weise verschlüsselt abgelegt werden, dass ihre Existenz nicht sichtbar oder nachweisbar wird. Die verschlüsselten Daten sind nicht von ungenutzten Bereichen des Speichers unterscheidbar.

Warum funktioniert das?

Moderne Verschlüsselungsverfahren erzeugen Chiffrate, die nicht nur wie zufällig gezogene Bitfolgen aussehen. Sie sind auch algorithmisch nicht von zufällig gezogenen Werten oder pseudozufällig generierten Bits unterscheidbar. Lässt man beim Speichern verräterische Header-Informationen weg und besteht der Speicher sonst auch nur aus zufälligen Bitfolgen, ist das Chiffrat perfekt versteckt. Erst nach Anwendung des geheimen Schlüssels auf die Speicherinhalte werden die Dateien wieder in ihrer strukturierten Form sichtbar und auf die Inhalte kann Zugriff genommen werden.

Sicherheitstools beherrschen Glaubhafte Abstreitbarkeit

Bereits heute gibt es freie Tools wie Veracrypt (früher: Truecrypt), die ein Verstecken von Dateien erlauben. User können ein zweites Passwort anlegen, das die versteckten Bereiche ver- und entschlüsselt („Hidden Volume“). Wird Druck auf eine Person ausgeübt, Passwörter herauszugeben, kann sie glaubhaft abstreiten, ein solches zweites Passwort vergeben zu haben, und nur das erste Passwort herausgeben. Da der genutzte Speicherbereich des Tools insgesamt mit pseudozufälligen Bits gefüllt ist, hilft auch eine Untersuchung der Festplatte nicht weiter. Der Gegenspieler hat keine Möglichkeit, die Existenz weiterer Daten eines Hidden Volumes, die mit einem zweiten Passwort entschlüsselt werden können, nachzuweisen. Das Prinzip lässt sich grundsätzlich auch auf ein drittes, viertes, … Passwort ausweiten, so dass jede Person glaubhaft mehrere Passwörter präsentieren und das entscheidende Passwort geheim halten kann.

Aber machen Tools uns nicht erst recht verdächtig?

Problematisch ist, dass die Glaubhaftmachung tatsächlich leidet, wenn man bestimmte Tools nutzt. Während die Verwendung einer Festplattenverschlüsselung im Business-Umfeld schon guter Standard ist und daher das Tool selbst keinen Verdacht mehr erregt, wäre die Nutzung entsprechender Apps auf Smartphones aus Sicht von Grenzbeamten, paranoiden Arbeitgebern oder eifersüchtigen Partnern bereits verdächtig. Glaubhaft ist das Dementi nur dann, wenn die genutzte Software zur Grundausstattung gehört. Verbraucherfreundlichkeit und Schutz der Privatsphäre fangen beim Hersteller an.

Google, Apple und Co. können uns helfen!

Es wäre sehr wünschenswert, wenn die Hersteller von Smartphones und Betriebssystemen das Thema aufgreifen. Es geht um die Privatsphäre ihrer Kunden und vielleicht hin und wieder mal um den Schutz eines Whistleblowers, der sich eines mobilen Gerätes bedient. Wäre die Verwendung eines (oder mehrerer)  Hidden Volumes bereits als Standardfunktionalität in Android oder iOS integriert, könnten wir diese nutzen, ohne uns verdächtig zu machen. Zudem würden wackelige Drittpartei-Lösungen auf gerooteten Geräten, die beim nächsten Systemupdate ausfallen könnten, vermieden. Der Großteil der Besitzer würde wohl keinen Gebrauch von der Hidden-Volume-Funktion machen, aber das wäre dann auch gut so, denn dann können die anderen Besitzer umso glaubhafter abstreiten ein Hidden-Volume-Passwort zu besitzen, ohne dass sich ihr Smartphone von anderen unterscheidet.

Wie könnte das praktisch aussehen?

Vorschlag: Eine Integration könnte dabei in den Sperrbildschirm erfolgen. Wer plötzlich und unerwartet gezwungen wird, sein Handy zu entsperren, nutzt den „normalen“ Entsperrcode, der das Handy ein möglicherweise bereits eingegebenes zweites Passwort vergessen lässt. Sonst gibt es aber im Systemmenü stets eine Eingabemöglichkeit für ein zweites Passwort und nach Eingabe auf Wunsch einen weiteren Entsperrcode (damit das lange Passwort nicht so oft eingegeben werden muss). Im Hidden Volume können dann weitere Apps und die damit verwalteten Daten liegen. Bei „normaler“ Entsperrung wären also auch keine „verdächtigen“ Apps sichtbar.

Bedauerlich ist es natürlich, dass wir in Zeiten leben, in denen wir an der Grenze oder am Arbeitsplatz genötigt werden, Einblicke in die Privatsphäre zu geben. Aber wir können uns schützen! Und wenn verbraucherfreundliche Gerätehersteller mitzögen, würde unsere mobile Privatsphäre im Jahre 2017 vielleicht stärker geschützt sein als in den Jahren zuvor.

”The purpose of computing is insight, not numbers.” (Richard Hamming) Ulrich Greveler studierte in Gießen Mathematik und Informatik, arbeitete sechs Jahre in der Industrie im In- und Ausland, bevor er als Wissenschaftler an die Ruhr-Universität nach Bochum wechselte. Seit 2006 lehrt er Informatik mit dem Schwerpunkt IT-Sicherheit an der Fachhochschule Münster (bis 03/2012) und der Hochschule Rhein-Waal (seit 03/2012). Sein besonderes Interesse gilt datenschutzfördernden Technologien und dem Spannungsverhältnis zwischen Privatsphäre und digitaler Vernetzung.

11 Kommentare Schreibe einen Kommentar

  1. Perfekt geschützte Daten ständig mit sich herumtragen wäre also möglich – vorausgesetzt Apple/Google etc ziehen mit und der NSA erlaubt dies Apple/Google + Co. Ich denke der NSA wird dies nicht erlauben und Trump wird – wie jeder andere US-Präsident – den NSA in dieser Hinsicht unterstützen.
    Und in Grossbritannien? Dort haben die Geheimdienste noch weit mehr Zugriffsmöglichkeiten.

    • @ Herr Holzherr :

      Ich denke der NSA wird dies nicht erlauben und Trump wird – wie jeder andere US-Präsident – den NSA in dieser Hinsicht unterstützen.

      Vely schlau angemerkt.

      Was geht, vgl. mit diesem Jokus – ‘verbraucherfreundliche Gerätehersteller’ – ist die webbasierte Kommunikation (bspw. genannt als Fachwort: Stenografie), um idF erhaltene Daten an einem nicht ans Web gebundene, aber dafür geeignete Gerät zur Anschauung bringen sich so die Information extrahieren zu lassen, um in der Folge an diesem ungebundenen Gerät Antwort-Nachricht zu erstellen, die wiederum (einem anderen) an das Web gebundene Gerät zugeführt und versandt wird.

      Hier ständen dann den “Diensten” “nur” die Meta-Daten zur Verfügung, sie könnten dann nicht reinschauen.
      Würden womöglich nicht einmal Misstrauen entwickeln.


      Da wäre dann nichts zu machen, es sei denn, es sei denn, die “Dienste” gingen an jedes Gerät, das dafür geeignet wäre und säßen schon “vorab drin”, unabhängig von der Angebundenheit ans Web.

      Good luck!

      MFG
      Dr. Webbaer

  2. Zu Demonstrationszwecken wäre doch eine Integration von Hidden Volumes mit oben beschriebener Funktionalität in den quelloffene Android-Ableger LineageOS hilfreich.
    Wenn das gut funktioniert, könnte das u.U. sogar ein Killerfeature für das OS werden.
    Das wär m.E. doch gar kein schlechtes Uniprojekt.

  3. Wird Druck auf eine Person ausgeübt, Passwörter herauszugeben, kann sie glaubhaft abstreiten, ein solches zweites Passwort vergeben zu haben, und nur das erste Passwort herausgeben. Da der genutzte Speicherbereich des Tools insgesamt mit pseudozufälligen Bits gefüllt ist, hilft auch eine Untersuchung der Festplatte nicht weiter. [Artikeltext]

    In etwa so: Das erste Passwort (einen sog. “Sicherheitskontext” meinend) dient der Anmeldung an das System, das auf Zuruf herausgegeben werden darf, das zweite der Benachrichtigung (in einem anderen Kontext) im sozusagen konspirativen Sinne.


    Blöd halt, wenn Ermittler auf weitere Passwort-Eingabe-Dialoge stoßen.

    Ihre Anregung läuft darauf hinaus bestimmte sozusagen extra-versteckte Benachrichtigung oder Datenbasis eben extra zu verstecken, durch weitere (standardisierte und im OS angelegte) Passwort-Eingabe

    ‘Google & Apple’ ständen dann “ganz schön” unter Druck, Derartiges: ‘Und wenn verbraucherfreundliche Gerätehersteller mitzögen, würde unsere mobile Privatsphäre im Jahre 2017 vielleicht stärker geschützt sein als in den Jahren zuvor.’ – scheint Ihrem Kommentatorenfreund nicht denkbar; ansonsten dürfen es gerne (unzuverlässig) im Independend-Bereich welche versuchen, aber auch hier müssten “Die Dienste” bereits drinstecken. [1]

    Wenn sie schlau sind und sie sind schlau.

    Letztlich sicher kodierte Informationsübertragung hat “Handarbeit” zu bleiben, sie kann nicht komfortabel sein, im n-fachen Austausch.

    MFG
    Dr. Webbaer

    [1]
    “Dienste” stecken, wenn sie schlau sind, und sie sind schlau, bereits im Gerät.

  4. Wenn Sie heute einen Speicherstick mit 32 GB kaufen, sind etwas 28 GB verfügbar. Wo sind die restlichen 4 GB geblieben? Wenn ich mir überlege, dass für eine Textseite 1KB ohne Header gebraucht werden(bei 8bit Codierung), dann ist das Platz für 4 Millionen Seiten.
    Bei GPS werden die Satelliten ja auch doppelt genutzt. Für den öffentlichen Gebrauch und für den militärischen.
    Vielleicht ist diese Option schon mal bei den Smartphones vorgesehen.
    Für die Stauvorhersagen per GPS wird ja auch schon das Bewegungsprofil jedes KFZ benutzt, ohne, dass dies der Autobesitzer weiß.
    Theoretisch könnte man jede Bewegung eines Großteils der Bevölkerung analysieren , indem ein Bewegungsprofil der Smartphones erstellt wird.
    Wird wahrscheinlich schon gemacht.

    • @ Bote17 :

      Das Problem scheint weniger darin zu bestehen, dass staatlicherseits Kommunikation und (persönliche oder vermutete persönliche) Stati im Web “abgeschöpft” werden, von “Diensten”, sondern darin, dass dies nicht öffentlich breit diskutiert wird.
      Um hier politischer Maßgabe folgend, das Mandat ist gemeint, pol. Entscheidungsträger bleiben vom Wahlvolk bestellt, als Angestellte, der Souverän ist das Volk, politische Maßnahmen breit und offen gemeinsam zu erörtern.

      Diese wichtige politische Aufgabe, die zwar gut begründet werden könnte (“Terrorismus-Abwehr”), aber per se zweifelhaft bleibt; ‘Abstreitbarkeit’ scheint Ihrem Langzeit-Kommentatorenfreund nicht die Richtung zu sein, in die es gehen könnte für Privatpersonen: Wer heutzutage einen Rechner zeitgenössischer Bauart bemüht, betritt sozusagen einen öffentlichen Raum.

      MFG
      Dr. Webbaer

  5. Dr. webbaer,
    Orwells 1984 ist schon Wirklichkeit. Nur hat das keiner gemerkt.
    Das öffentliche Zurschaustellen des Privatlebens ist ja gerade hipp (was meinen Sie zu solchen Ausdrücken?)
    Das öffentliche Bewußtsein hat die Gefahr noch nicht erkannt. Wenn wir durch äußeren Druck den Überwachungsstaat einmal haben, kann ihn keine Macht der Welt wieder abschaffen.
    Gehen sie in London einmal durch die Untergrundbahn. Jede 10 m steht eine Überwachungskamera, die ihnen sogar folgt.
    Dieses Überwachungssystem wurde damals als Abwehr gegen die IRA installiert.
    Mittlerweile ist die IRA ins Rentenalter gekommen, aber das System funktioniert noch.

    • @ Bote17 :

      Wenn wir durch äußeren Druck den Überwachungsstaat einmal haben, kann ihn keine Macht der Welt wieder abschaffen.

      Sehen Sie’s viellllleicht einmal so :
      Der (aufklärerische) Staat hat als Möglichkeit die Überwachung Einzelner (im Web).
      Diese Möglichkeit soll ihm / oder nicht, zugestanden werden.
      Es bliebe hier auf jeden Fall demokratisch zu erörtern, ihm derart oder derart nicht zuzugestehen.

      ‘Abstreitbarkeit’ und derartig vergleichsweise beigeführte Streitführung / Argumentation bleibt nebensächlich oder unerheblich (ein jur. Fachwort).
      Das Staatsvolk soll dbzgl. entscheiden.


      Der Mops [1] besteht genau darin, dass das Web als entscheidendes Medium des hier gemeinten Primaten weitgehend demokratisch un-erläutert und un-debattiert bleibt.

      MFG
      Dr. Webbaer

      [1]
      Der Schreibär dieser Zeilen stellt mit Missvergnügen fest, dass bundesdeutsch minderbemittelte Kräfte der Art Sascha Lobo und Katharina Nocun emergieren, Johannes Ponader bleibt an dieser Stelle ungegrüßt.
      Marina Weisbrand, Dr. W hat eine vergleichbare Kraft vor vielen Jahren geheiratet, trotz oder wegen guten Aussehens auch keineswegs blöde, steht abär zurzeit nicht bereit dbzgl. und das Web meinend politisch offen aufzuklären.
      Das Web ist Das zentrale Argument im Bereich der Interesse, des Zusammenseins.

  6. Dr. webbaer,
    ……demokratisch zu erörtern welche Rechte der Staat haben soll.
    Das klingt vernünftig, aber die Zeiten, wo man per Gesetz eine Weichenstellung vornehmen konnte, sind vorbei.
    Das Internet macht eine “unsichtbare” Überwachung möglich. Und niemand (ganz wörtlich gemeint) , kann die gewonnen Daten löschen.
    Wer kann das Internet kontrollieren? wer kontrolliert die Kontrolleure?
    Selbst der US-Präsident weiß nicht , was die Geheimdienste machen!
    Wir haben da eine ganz neue Konstellation der Machtverteilung.

    • Die im dankenswerterweise bereit gestellte WebLog-Eintrag verbreitete Auffassung wird hier nicht geteilt.
      Opi W vertritt insofern, auch i.p. Webparameter treu, nicht den Ansatz der “Security through obscurity“, es liegen soziale Probleme vor, soziale Probleme zu bearbeiten obliegt nicht informationsverarbeitenden Systemen.

      Womöglich vertritt Herr Dr. Greveler schlicht einen wirtschaftlichen Standpunkt, wirtschaftlich betrachtet müsste er recht haben.

      An sich ist es aber so, dass derjenige, der ein zeitgenössisch verfügbares Gerät bedient. sozusagen einen öffentlichen Raum betritt, sog. Dienste meinend.
      Der (aufklärerische) Staat soll soz. alle Rechte haben.

      MFG
      Dr. Webbaer

      • *
        dass derjenige, der ein zeitgenössisch verfügbares Gerät bedient[,] sozusagen einen öffentlichen Raum betritt

Schreibe einen Kommentar




Bitte ausrechnen und die Zahl (Ziffern) eingeben