News Hasskriminalität-Gesetz: Lambrecht rudert bei Passwort-Abfrage zurück

[Andy]

Die massive Kritik zeigte offenbar Wirkung: Bundesjustizministerin Lambrecht rudert bei der Passwort-Abfrage im Hasskriminalität-Gesetzespaket zurück. Wie das ZDF berichtet, will sie das Gesetz mit „Klarstellungen“ überarbeiten. Das Kernproblem bleibt aber bestehen.

Zur News: Hasskriminalität-Gesetz: Lambrecht rudert bei Passwort-Abfrage zurück

 

[Kalsarikännit]

Lustige Geschichten aus #Neuland. Gute Nacht.

 

[Aurumvorax]

"Hasskriminalität" ist Neusprech!

 

[DKK007]

Mir ist immer noch nicht klar, was das mit dem Entschlüsseln der Passwörter soll.
Will man die Passwörter dann woanders ausprobieren? Also z.B. verschlüsselten lokalen Daten.

Weil sonst reicht es doch, wenn einem erstens der Plattformbetreiber die gespeicherten Daten rausgibt.
Alternativ könnte zweitens der Betreiber auch einfach den Passwort Rücksetzungslink an eine Mailadresse der Ermittler schicken.
Drittens könnte der Anbieter dem Ermittlern einen Clone-Account einrichten, mit dem diese das gleiche sehen (aus Sicht von Programmieren also die gleiche View bzw. Rolle), wie der Tatverdächtige.
Viertens, könnten die Ermittler einen Moderations- oder Admin-Account bekommen.

Vielleicht kann das mal jemand (er)klären.

 

[Ishtmi]

Sicherheitsbehörden sollten Passwörter stattdessen in „wenigen Fällen“ mit „sehr hohem technischen Aufwand“ entschlüsseln.

Also sollte es kein problem sein, wenn ich bei meiner wiki-installation ein verschlüsseltes Passwort nochmals mit AES-2048 verschlüssele und diesen dann rausgebe. Damit entspreche ich dann ja beiden Gesetzen.

 

[ascer]

@DKK007 Lambert ist ja nicht einmal klar, dass "Passwörter herausgeben" und gleichzeitig kein Gesetzesverstoß "Passwörter nur verschlüsselt speichern" technisch gar nicht möglich ist.

Entweder das Passwort ist vom Dienstanbieter nicht rekonstruierbar und landet nur als Hash in der DB - oder es existieren "Sicherheitskopien" oder "Masterschlüssel", sodass man sie doch in Klartext abrufen kann.

Bzgl. deiner Frage denke ich einfach, dass Leute mit ausreichend Wissen bei einigen Behörden nicht nur an "langweilige" Daten aus deinem Facebook-Profil wollen (die Facebook dann ja, wie du schon sagtest, einfach so an Behörden rausgeben könnten), sondern mit "Passwörter" natürlich auch private keys bei end2end-Verschlüsselung meinen, um endlich sämtliche verschlüsselten Inhalte aller Dienste entschlüsseln und abrufen zu können.

Der gläserne Bürger dürfte da das Endziel sein. Und Lambert als Pfosten/Marionette, die dafür nutzbar ist.

 

[Schaby]

Passwort-Abfrage nur bei „schwerster Kriminalität“

Was ist denn nun Hasskriminalität genau? Mord, Massenmord, Terrorrismus, Vergewaltiger usw. Oder einfach alle Kriminalität. Und man hat das Wort Kriminalität einfach um das unötige Wort Hass erweitert.

 

[Justuz]

Bleibt die Frage wie hasskriminalität definiert wird... Wenn es genauso schwammig wie das fachkräfte einwanderungsgesetz ist, seh ich schwarz...

 

[D0m1n4t0r]

Hasskriminalität ist wenn du im Internet schreibst, dass du die CDU doof findest und, dass du deren konservativ-reaktionär-verblödete herangehensweise an internetsachen, die sie nicht verstehen, hasst. Schon bist du ein Hassverbrecher und wirst überwacht.

Im übrigen, wie soll das funktionieren ?
"Passwörter mit sehr hohem technischen Aufwand entschlüssen"
Entweder sind die Passwörter vernünftig verschlüsselt und der Forum/Email/Shopanbieter hat nur die Hashwerte, da bringt dann auch der hohe technische Aufwand wenig, oder aber die die Passwörter sind schlecht verschlüsselt, nicht als hashes oder sogar im Klartext gespeichert.
Dann sind die auch mit geringem Aufwand zu knacken.

Und wenn der Anbieter es richtig gut implementiert hat, dann hat er selber gar keinen Masterkey und auch sonst gar keine Möglichkeit auf Passwörter im Klartext zuzugreifen weil er nämlich nur die verschlüsselten Passwörter als Hashwerte hat. Und daraus das urpsüngliche Passwort zu rekonstruieren ist aktuell praktisch unmöglich wenn die Verschlküsselung nur stark genug ist.

Falls die Regierung jedoch auf die glorreiche Idee kommen sollte die Anbieter dazu zu zwingen Passwörter in einfach zu entschlüsselnder Form zu speichern, ist es nur eine Frage der Zeit bis irgendeinem großen Anbieter so eine Passwortdatenbank geklaut wird. Und wenn dann Cyberkriminelle hingehen und sich etwas Rechenzeit z.b. bei Amazon kaufen um diese Datenbank zu entschlüsseln wird das sehr lustig, da viele Personen nur ein Passwort überall verwenden.
Und falls dann plötzlich Justizministerin Lamprecht's Bankkonto leer ist weil sie im Neulandforum als Passwort "Dusch-Lampe" hatte und das nicht gescheit verschlüsselt war, dann aber bitte nicht rumweinen. Und bitte den ganzen älteren Mitbürgern dann auch erklären wie sowas passieren kann wenn plötzlich deren Konto leer ist oder sie keinen Zugriff mehr auf ihre Mails haben oder Amazon oder eBay plötzlich Massenweise Sachen in deren Namen einkaufen und nach Bulgarien versenden.

 

[DKK007]

@DKK007 Lambert ist ja nicht einmal klar, dass "Passwörter herausgeben" und gleichzeitig kein Gesetzesverstoß "Passwörter nur verschlüsselt speichern" technisch gar nicht möglich ist.

Entweder das Passwort ist vom Dienstanbieter nicht rekonstruierbar und landet nur als Hash in der DB - oder es existieren "Sicherheitskopien" oder "Masterschlüssel", sodass man sie doch in Klartext abrufen kann.

Wobei doch im Artikel drin steht, dass mit dem Passwort natürlich der Hash gemeint ist.

[...] sondern mit "Passwörter" natürlich auch private keys bei end2end-Verschlüsselung meinen, um endlich sämtliche verschlüsselten Inhalte aller Dienste entschlüsseln und abrufen zu können.

Bloß liegen z.B. bei GnuPG die privaten Keys für die E2E-Mailverschlüsselung auf dem Client.

 

[bart1983]

Man kommt ins Grübeln, wenn man sieht in welche Richtung es sich alles entwickelt.

Im Namen der "Bekämpfung der Hasskriminalität" wird Klarnamenpflicht gefordert, Verlangen Politiker gar das Unternehmen Passworte einfach so weitergeben und es soziale Medien werden dazu verdonnert die Redefreiheit auf ihren Portalen nach Gusto zu zensieren. Und was zensiert werden soll, definiert dabei eine Regierung.

Eine Bundesbehörde erstellt Internetportale, mit denen man andere Mitmenschen "melden" kann, sollten sie auffällig werden.
Bestimmte Nachrichten und Neuigkeiten werden zurückgehalten oder ideologisch gefärbt wiedergegeben (erkennt man gut, wenn deutsche und auslädnische Medien gegenüberstellt)

Das alles erscheint in schlechter Tradition zum dritten Reich und der DDR.
In CHina gibt es gar ein "Social-scoring", indem Kritiker des dortigen totalitären Systems nicht mehr Ausreisen dürfen oder ihnen die Konten gesperrt werden.

Aus Angst das die Menschen die ihnen angelegten Fesseln und die Unzulänglichkeiten des Systems erkennen, muss man die Fesseln eben immer enger schnallen.

Besser kann man diese wachsende Unfreiheit in der Fiskalpolitik erkennen.
DIe Bargeld-Obergrenze wird peu-a-peu zusammengestrichen und die Möglichkeit des anonymen Edelmetall-Kaufes ebenso (2016: noch 14.999€, heute 2000€ und es ist die Rede es auf 1000€ zu senken). Ebenso wird der Erwerb von Aktien als Privatperson durch neu erlassene Vorschriften immer unattraktiver.
Man soll gefälligst sein Geld sichtbar (und reglemtierbar) im Euroraum auf dem Konto lassen.

Erst die Tage sprach "Berateraffären von der Leyen" von der Abschaffung der 1+2cent Münzen.
EIne Bargeldabschaffung wäre für Banken (endlich Negativzinsen für die Kunden, ohne einfache Fluchtmöglichkeit) und Politik (Überwachung und Bestrafung) ein Segen.


Als ich vor einigen Jahren Georg Orwells 1984 & Animal Farm las, dachte ich mir: "Also so dumm kann doch keine Gemeinschaft sein, das Sie sich solche offensichtliche Freiheitsbeschränkungen gefallen lässt". Heute weiß ich es besser. Wir erleben gerade die Abschaffung der Freiheit und die Gründung einer totalitären Konformitätsgesellschaft.

Und wie zu Zeiten des Bolschewismus (unter Lenin und erst recht des Stalinismus), des Nationalsozialismus und der DDR, lassen sich 95% der Menschen von 5% ihre Freiheit mehr und mehr nehmen.
Wie der sprichwörtliche Frosch, der nicht merkt wie das Wasser im Topf immer heißer wird.

Desto kaputter ein System, desto restriktiver müssen die Maßnahmen sein, damit es noch funktioniert. Ist man sich dessen bewusst, weiß man wie es in den nächsten Jahren weitergeht.
In diesem Sinne ganz nach Orwell: Krieg ist Frieden! Freiheit ist Sklaverei! Unwissenheit ist Stärke!

 

[DKK007]

Bleibt die Frage wie hasskriminalität definiert wird...

Definition laut der Bundesregierung Wikipedia:

Die Bundesregierung definiert Hasskriminalität als politisch motivierte Straftaten, deren zu vermutendes Motiv beim Täter in der
„politischen Einstellung, Nationalität, Volkszugehörigkeit, Rasse, Hautfarbe, Religion, Weltanschauung, Herkunft, sexuellen Orientierung, Behinderung, [im] äußeren Erscheinungsbil[d] oder [im] gesellschaftlichen Status“[11]
des Opfers begründet ist.

Also Straftaten, wie Volksverhetzung oder Beleidigung, welche, die von Art 1 Abs. 1 GG geschützte Menschenwürde, von anderen angreifen und dabei halt eine rassistische, rechtsextreme, schwulenfeindliche oder antisemitische (nicht abschließend) Motivation haben.

 

[Mickey Cohen]

allein der name des netzdg sagt doch schon alles...was soll das denn überhaupt bedeuten?
internetdurchsetzungsgesetz? soll da ein netzwerk durchgesetzt werden? falls ja, welches netzwerk? wo soll es durchgesetzt werden? oder ist da ein netzwerk durchsetzt? durchsetzt von was? oder soll ein netzwerk durchsetzt werden?

 

[DKK007]

Und daraus das urpsüngliche Passwort zu rekonstruieren ist aktuell praktisch unmöglich wenn die Verschlküsselung nur stark genug ist.

Hängt vor allem von der Länge des Passwortes ab.
Mit Bruteforce kann man jedes Passwort knacken. Einfach eine Frage von Zeit und Rechenleistung.

Schnellere Methoden, die oft zum Erfolg führen, sind einfache Wörterbuchattacken.
Wenn man den Hash hat, kann man auch diesen auch mit vorgerechneten Rainbow-Tables abgleichen.
Das geht in Sekunden, wenn das Passwort dabei ist.

Ergänzung (28. Januar 2020)

Hassposts und Beleidigungen lese ich auf facebook zu 95% von Linken. Die meisten davon sicher auch im strafrechtlich relevanten Bereich.

Beispiele / Zitate / Quellen ???

So wie erst heute, 22-Jährige mutmaßlich durch 4 Migranten vergewaltigt.

Seriöse Quelle oder Fakenews ???

 

[ascer]

Wobei doch im Artikel drin steht, dass mit dem Passwort natürlich der Hash gemeint ist.

Das ist doch gerade, was ich meine: Lambrecht ist da einfach der Clown vom Dienst. Da fehlt vollkommen das Sachverständnis.

Wenn existierende Gesetze umgesetzt werden, dann muss ein sicherer Hash sein, d.h. z.B. per SHA-Algorithmus und spätestens nach Salting bekommt man den auch mit noch so viel Rechenaufwand niemals in adäquater Zeit geknackt. Schon gar nicht, wenn das verhältnismäßig sein soll: um z.B. für jeden Triebträter die Hashes zu knacken, hat Deutschland gar nicht die Hardwareressourcen (und die Dimension selbiger ist Lambrecht garantiert auch gänzlich unbekannt).

Es kann also einzig die Absicht bestehen, die Passwörter entweder in MD5 ohne Salting zu speichern oder gleich eine "Sicherungskopie" (Klartext) zu speichern und dann mit einem Master-Key zu verschlüsseln, sodass bei Bedarf jeder Zugriff auf die Klartextvariante hat.

Anders ist das technisch nicht umsetzbar.

Bloß liegen z.B. bei GnuPG die privaten Keys für die E2E-Mailverschlüsselung auf dem Client.

Dafür gibt es ja den Staatstrojaner.

Anyways: denen wird es um Dienste wie WhatsApp, Telegram, Threema, Cloud-Services, iOS-Daten usw. gehen.

Bei Threema, iOS, ... soll der private key ja auch nur auf dem Client liegen, bei Dingen wie WhatsApp gibt es garantiert eine Kopie auf dem Server.

 

[DKK007]

Auch SHA1 ist gebrochen.
https://www.heise.de/security/meldu...Angriffe-auf-SHA-1-in-der-Praxis-4630862.html

Wobei Hashfunktionen natürlich "nicht injektiv" sind. Es passen also mehrere Passwörter auf einen Hash und es lässt sich nicht sagen, welches das originale PW war.

 

[ascer]

@DKK007 und? Genau deshalb muss man Nutzerdaten ja auch sicher abspeichern. Das dann ein Algorithmus Anno 1993 bzw. 1995 nicht zieht, ist doch klar.

Und es kostet nur wenige lines of code, um auf SHA-3, SHA-256/512 oder oder umzusteigen. Was sehr viele seriöse Anbieter auch ganz sicher gemacht haben. Spätestens seit der Angst vor der DSGVO. Vor allem größere Schuppen.

 

[DKK007]

Bei den ganzen Messengern muss der Key auf dem Server liegen. Sonst würden keine Gruppenchats funktionieren.

Aber die Keys braucht man meistens auch nicht.
Wenn man das Handy einkassiert und ausgelesen hat, lässt sich auch die Whatsapp-Datenbank mit allen Chats und Anhängen auslesen. Die Aufbereitung machen Programme wie UFED PA automatisch. Sogar mit schöner Chat-Darstellung.
Das Einzige, was im UFED PA schlecht dargestellt wird, sind Weiterleitungen, also das eine Message nur weitergeleitet/geteilt wurde und nicht vom User selbst geschrieben wurde.
Da wundert man sich dann über den Inhalt, der so überhaupt nicht passt. Bis man dann den gleichen Inhalt noch in einer eingehenden Nachricht findet.

Ist schon krass, wie viele irgendwelche hanebüchenen Hoaxes und Fakenews teilen.

Quelle zu UFED Physical Analyzer: https://cf-media.cellebrite.com/wp-content/uploads/2019/10/ReleaseNotes_UFED_v7.24.pdf

 

[ascer]

Bei den ganzen Messengern muss der Key auf dem Server liegen. Sonst würden keine Gruppenchats funktionieren.

Nein, nur bei unsicheren. Du kannst die Message ja wunderbar in AES verschlüsseln und das Passwort mit dem pub key einzeln für jeden in der Gruppe. Das machen auch sichere Messenger. Deshalb musst du z.B. bei Threema ja auch mit Smartphone und Tablet eine Gruppe joinen und kannst deine Nachrichten zwischen den Devices nicht automatisiert syncen, weil sie unterschiedliche private keys haben.

Und genauso Handy einkassieren geht ja auch nur, wenn die App die Daten ungesichert auf dem Device speichert. Die App kann ja durchaus, z.B. per Face-ID, den private key nur dann entschlüsseln, wenn die App auch gerade aktiv vom Nutzer verwendet wird und die Daten ansonsten immer verschlüsselt speichern. Z.B. bei Threema liegen Texte, Bilder, ... nicht unverschlüsselt auf deinem Gerät.

Da muss man schon gezwungen werden, den Zugriff manuell zu erlauben. Mal abgesehen davon, dass dort eben dann niemand Kopien der Daten hat. D.h. einfaches Löschen deines Verlaufs vor Kontrolle reicht aus und keine Behörde kann jemals an deine Daten kommen.

Wenn aber auch die Anbieter sicherer Dienste solche Herausgaben realisieren müssten, dann und nur dann könnten die Behörden auch solche end2end Messages automatisiert mitlesen.

 

[Gnarfoz]

Bei den ganzen Messengern muss der Key auf dem Server liegen. Sonst würden keine Gruppenchats funktionieren.

Nö: https://www.reddit.com/r/signal/comments/a2ogk2/this_is_how_signal_protocol_encrypts_group/

e:f,b