News FBI über Smartphone-Verschlüsselung „sehr beunruhigt“

[user4base]

...

Manchmal beschleicht mich echtes Unwohlsein, wenn ich diese vielen bedeutungsschwanger vorgetragenen "kritischen" und "verantwortungsgetriebenen" Statements lese, die sich für mich, mit Verlaub, so anhören, wie Kindergeplapper.

In Demokratien gibt es eine Verfassung, gibt es Grundrechte, gibt es … die den Bürgern Rechte zu gestehen, die essentiell für eine funktionierende Demokratie sind. Oder vereinfacht gesagt, die Menschen die für diese Rechte gekämpft haben und diese dann niedergeschrieben haben, haben dies nicht grundlos gemacht, weil ihnen gerade langweilig war. Diese "besonderen" Rechte dürfen nur in wenigen und genau definierten Ausnahmefällen von staatlichen Behörden/Organisationen gebrochen werden.

Beispiel:
Unverletzlichkeit der Wohnung Art. 13 Grundgesetz
Die "Polizei" kann und darf nicht einach mal so grundlos die Unverletzlichkeit deiner Wohnung brechen, nach dem Motto was interessiert uns dieses Grundgesetzt, das gehört sowieso abgeschafft. Braucht kein Mensch, hindert uns doch nur bei unseren Ermittlungen.

„Niemand darf willkürlichen Eingriffen in sein Privatleben, seine Familie, seine Wohnung und seinen Schriftverkehr oder Beeinträchtigungen seiner Ehre und seines Rufes ausgesetzt werden. Jeder hat Anspruch auf rechtlichen Schutz gegen solche Eingriffe oder Beeinträchtigungen.“
– Allgemeine Erklärung der Menschenrechte Art. 12

Art. 8 Abs. 1 der Europäischen Menschenrechtskonvention lautet:
„Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz.“

und Art. 7 der Charta der Grundrechte der Europäischen Union:
„Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation.“

Wenn nun eine (staatliche) Organisation/Behörde/.., ob die nun CIA, FBI, BND … , daherkommt und sagt: wir scheißen jetzt mal da drauf, dann gibt es durchaus Leute die das toll finden und sagen das muss so sein. Es gibt aber eben auch Leute die das nicht ganz so toll finden und aus der Vergangenheit wissen, dass sowas zu immensen Schäden führen kann.



Um nur ein Beispiel aus der Vergangenheit im Zusammenhang mit dem FBI zu nennen

COINTELPRO
Es steht für ein ehemals geheimes Programm der US-Bundespolizei FBI, das die systematische Überwachung, Unterwanderung und Störung von politischen Organisationen und politisch aktiven Privatpersonen innerhalb der USA umfasste.
Es umfasste zahlreiche illegale Aktivitäten, darunter die Strafverfolgung von Menschen aufgrund durch das FBI gefälschter Beweismittel, und willkürliche Gewaltanwendung bis hin zu politischen Morden an missliebigen Personen.


Die Operationen fanden zwischen 1956 und 1971 statt und sollten als politisch gefährlich eingestufte Gruppen und Individuen diskreditieren, überwachen und zermürben.

Das FBI verwandte vor allem vier Methoden:

1. Unterwanderung: Informanten und Agenten spionierten nicht nur Aktivisten und Organisationen aus, sondern störten sie aktiv.​

2. Psychoterror von Außen: Mittels falscher Anschuldigungen in den Medien, gefälschter Briefe, anonymer Denunziationen etc. wurde versucht, Arbeitsverhältnisse und persönliche Beziehungen von bestimmten Personen zu zerstören.​

3. Verfolgung: Das FBI und lokale Polizeibehörden stellten Dissidenten als Kriminelle dar. Um Verhaftungen und Verurteilungen zu erreichen, wurden Beweise gefälscht und falsche Aussagen vor Gericht gegeben.​

4. Gewaltanwendung: Auch durch Gewalt sollten Aktivisten eingeschüchtert oder sogar ausgeschaltet werden. Dies ging von der bloßen Androhung von Gewalt über Einbrüche und illegale Durchsuchungen bis hin zu Vandalismus, Schlägertrupps und sogar Mord. So wurde Fred Hampton, ein Anführer der Black Panther, von Polizisten im Schlaf erschossen​

.

Zu den prominentesten Opfern solcher Methoden zählten Martin Luther King und die indianischen Aktivisten Dennis Banks und Leonard Peltier. Die Aktivitäten des FBI wurden später Gegenstand der Untersuchungen des Church Committees.
[Als „Church Committee“ wird der Sonderausschuss des US-Senats zur Untersuchung des Regierungshandelns mit Bezug zu Aktivitäten der Nachrichtendienste ]

Staatliche Organisationen liefen immer wieder mal aus dem Ruder, besonders dann wenn diese unbeaufsichtigt im Geheimen operieren konnten.
http://de.wikipedia.org/wiki/Iran-Contra-Affäre 1980er Jahre

 

[der Unzensierte]

Boah, die tun mir sooo leid. Da werden ja jetzt ganze Heerscharen von Kriminellen und Terroristen auf die neuen Geräte ausweichen - weil die neuen Betriebssysteme nur auf neuen Geräten laufen. Apple und Google verdienen sich dann schnell eine goldenen Nase - und die backdoor ist in hardware schon eingebaut. Wieso denken die eigentlich immer noch, das sie die ganze Welt verarschen können?

 

[psYcho-edgE]

Traurig, einfach traurig. Der amerikanische Staat ist noch paranoider als ein 16 jähriger, der in seinem Elternhaus Gras raucht...

Wenn die US Regierung mal so gläsern wäre, wie sie ihre Bürger wollen, wäre das ein Spaß

 

[Autokiller677]

Der teuerste und dickste Tresor der Welt ist nutzlos, wenn die Bankräuber den Code kennen. Glaubt jemand wirklich, dass Google und Apple den amerikanischen Behörden im "Extremfall" (natürlich nicht näher definiert, vermutlich wird aber die "nationale Sicherheit" involviert sein) den Schlüssel nicht aushändigen würden?
CIA, NSA und FBI haben absolut keine Probleme damit Konzerne mit heftigen Strafen zu belegen oder Mitarbeiter in Beugehaft zu nehmen. Wer nicht spurt, der wird mit mafiaähnlichen Methoden gefügig gemacht.

Ja, so ist es bisher. Hier geht es ja gerade darum, dass Apple und Google die Schlüssel eben nicht mehr haben. Ist jetzt auch nicht so schwer umzusetzen. Die Verschlüsselung wird dann eben nicht mit dem Google Passwort durchgeführt, sondern mit einem seperaten Gerätepasswort. Das noch mit einem zufällig auf dem Gerät generierten Salt verlängern, gut hashen, den Hash als Verschlüsselungskey nehmen. Da kann Google dann wirklich nichts rausgeben.

@Topic: Auch wenn das FBI hier übertreibt - die Gegenreaktionen hier sind genauso durch die Decke, oder wollt ihr auch Hausdurchsuchungen verbieten? Natürlich soll nicht ohne richterlichen Beschluss spioniert werden, das ist klar. Das ist bei PCs leider Gottes schwerer umzusetzen als bei der Hausdurchsuchung, weil es eben auch aus der Ferne geht. Aber grundsätzlich finde ich es für die Strafverfolgung angemessen, wenn sie sich - mit entsprechendem Beschluss - Zugriff auf Geräte verschaffen kann und dann auch Hersteller verpflichtet sind, auf Anfrage Keys rauszugeben. Wie eine Hausdurchsuchung halt.

 

[TNM]

Das FBI beschwert sich aber nicht weil sie den Code nicht knacken können, was ja in nem Fall eines richterlichen Beschlusses gegeben wäre, sondern weil es VERDAMMT TEUER ist ALLE CODES zu knacken, so rein pauschal präventiv.

Wer glaubt das FBI würde nicht an Handydaten kommen wenns absolut nötig ist gibt sich etwas naiv.

Das selbe Spiel in Deutschland. Wäre es ABSOLUT NÖTIG ein Handy/HDD für einen Fall zu knacken würde man es an entsprechende Experten schicken (notfalls im Ausland) um es zu entschüsseln. Das lohnt sich aber in den meisten kleinkriminalistischen Fällen nicht, und die Landespolizei XY hat natürlich die Möglichkeit nicht die Codes zu knacken.

Das Problem ist also keines, Behörden beschweren sich nur weil sie jetzt Rechte nicht mehr so einfach "umgehen" können wenn sies für nötig halten, und Daten waren bisher Freiwild, kein Durchsuchungsbefehl nötig.

 

[SeBi1896]

Moin,
find ich ja mal sehr gut diese Reaktion weiter so.

Denke Schluss aus vorbei mit solchen eigenmächtigen Handlungen.

Autokiller677 schon sagte mit Richterlichen beschluss können sie gerne vorgehen.

Aber auf weiteres will ich es nicht mehr, um die Internationale Privatsphäre.

Schönes Wochenende noch.

 

[Nemo_G]

"... James Comey ... behaart ...". Ist das in diesem Kontext wirklich so wichtig, wieviele Haare der auf dem Kopf oder sonstwo hat?

 

[Eggcake]

Die Leute in falsche Sicherheit bringen. Android benutzt einen 4 PIN Code oder einen unnutzbaren Lock Screen (Sicheres Passwort). Damit kann jede Behörde in Sekunden die Verschlüsselung brechen.

Welches Sicherheitsfeature jemand benutzt ist Ja jedem selbst überlassen, aber wie willst du ein sicheres Passwort genau im Sekunden knacken? Und das wenn möglich in 10 Versuchen.

 

[Autokiller677]

Das FBI beschwert sich aber nicht weil sie den Code nicht knacken können, was ja in nem Fall eines richterlichen Beschlusses gegeben wäre, sondern weil es VERDAMMT TEUER ist ALLE CODES zu knacken, so rein pauschal präventiv.

Wer glaubt das FBI würde nicht an Handydaten kommen wenns absolut nötig ist gibt sich etwas naiv.

Und wie knackst du ne gute Verschlüsselung in annehmbarer Zeit? Und hier gehts nicht um alle Codes, selbst für einen braucht man bei einer guten Verschlüsselung einige Monate bis Jahre. JA, auch mit Supercomputern.

 

[Applied]

Ja, das wäre wirklich schlimm, wenn die US-Behörden in einem Extremfall der Bedrohung der nationalen Sicherheit Apple dazu zwingen könnten, den Key zur Entschlüsselung Deines Smartphones herauszurücken, welches vermutlich bedeutende Informationen enthält, mit deren Hilfe das Überleben der USA gesichert werden kann.

Mit- und weiterdenken!

Was hält die US-Behörden eigentlich davon ab, dass nur für die “nationale Sicherheit” zu nutzen? Warum sollte man das nicht auch für andere nationale Interessen nutzen? Was hält sie davon ab, das nicht nur mit beschlagnahmten physischen Telefonen zu machen? Was hält sie davon ab, dass nicht auch mit dem Handys von gewählten ausländischen Regierungsmitgliedern zu machen, deren Arbeit vielleicht amerikanischen Interessen zuwiderläuft?

Natürlich soll nicht ohne richterlichen Beschluss spioniert werden, das ist klar.

Und wenn die richterlichen Beschlüsse einfach gedankenlos durchgewunken werden?
Haben wir doch in Deutschland vom Landgericht Köln erst in hunderten Fällen bestätigt bekommen.

Und von einem bin ich fest überzeugt:
Die Hemmschwelle eines Richters wird bei einem blossen “Telefon” noch geringer sein, als bei einer echten Wohnung.

Aber grundsätzlich finde ich es für die Strafverfolgung angemessen, wenn sie sich - mit entsprechendem Beschluss - Zugriff auf Geräte verschaffen kann und dann auch Hersteller verpflichtet sind, auf Anfrage Keys rauszugeben. Wie eine Hausdurchsuchung halt.

Hier geht’s ja allerdings genau darum gar nicht.
Denn die Hersteller haben keinen Key.

Hier geht’s darum, dass die Hersteller “präventiv” Lücken einbauen sollen, in die die Polizei eindringen kann.
Aber was die Polizei kann, das können auch andere Bösewichte.

 

[[F]L4SH]

versteh ich nicht, was hat die verschlüsselung mit der cpu zu tun? hast du hierzu evtl. einen artikel?

In modernen Prozessoren sind dedizierte Schaltkreise AES Instruktionen verbaut. Als Befehlserweiterung wie AVX oder SSE. Diese Einheiten machen es möglich extrem viel schneller (bis zu mehrere 1000%) zu ver- und entschlüsseln. Das macht Verschlüsselung ökonomischer und einfacher. Im Moment maximal AES256 und der nächste Xeon Phi -und auch nur bei wenigen- soll AES512 erhalten. Der Xeon hingegen auf lange Sicht nicht.

 

[zorrkvonhui]

spätestens jetzt sollte uns klar werden, dass die "werksverschlüsselungen" reiner unfug sind...
jaja das FBI macht sich sorgen blabla xD
:facepalm
werbung und propaganda nach dem motto: "fühlt euch ruhig wieder sicher ihr schafe"
so ein quatsch!

 

[Valerus]

Mit- und weiterdenken! Was hält die US-Behörden eigentlich davon ab, dass nur für die “nationale Sicherheit” zu nutzen? Warum sollte man das nicht auch für andere nationale Interessen nutzen? Was hält sie davon ab, das nicht nur mit beschlagnahmten physischen Telefonen zu machen? Was hält sie davon ab, dass nicht auch mit dem Handys von gewählten ausländischen Regierungsmitgliedern zu machen, deren Arbeit vielleicht amerikanischen Interessen zuwiderläuft?

Danke für die Anregung zum Denken

Nur leider kommt nicht immer das Gleiche dabei heraus, wenn zwei Leute über das gleiche Thema nachdenken. Eine intellektuelle Niveaudifferenz muss dabei nicht zwangsläufig die Ursache sein. Es gibt viel mehr andere Gründe. Aber nun zu Deiner Erwiderung. "Was hält sie davon ab ..." Einfache Antwort: Nichts. Im Gegenteil. Sie machen es ständig. Beispiel NSA. Dieser Behörde stehen jährlich (waren es zehn?) Milliarden Dollar zur Verfügung um unter Anwendung elektronischer Aufklärungsmethoden Handlungsoptionen für die US-Regierung zu erschließen. Das ist ihr Auftrag und den führen sie seit 62 Jahren durch. In früheren Zeiten wurden sie dabei kaum erwischt. Aber wie so viele Organisationen hat auch die NSA Probleme mit ihrem jungen Personal. Diese Leute taugen einfach nichts mehr. Lassen sich ständig erwischen oder geben sogar Pressekonferenzen. Und Merkel abzuhören lohnt sich wirklich nicht. Die Frau ist so vorhersagbar wie der Sonnenaufgang.

Ergänzung (27. September 2014)

In Demokratien gibt es eine Verfassung, gibt es Grundrechte, ... Unverletzlichkeit der Wohnung Art. 13 Grundgesetz ... Die "Polizei" kann und darf nicht einach mal so grundlos ...

Mag alles so sein. Jedoch hat deutsches oder europäisches Recht keine Bedeutung in den USA. Der BND macht sich in Deutschland nicht strafbar, wenn er in den USA spioniert und umgekehrt.

Beispiel aus der Vergangenheit im Zusammenhang mit dem FBI zu nennen ... Die Operationen fanden zwischen 1956 und 1971 statt und sollten als politisch gefährlich eingestufte Gruppen und Individuen diskreditieren, überwachen und zermürben.

Ist leider auch am Thema vorbei. Das FBI ist kein Auslandsgeheimdienst und daher dem Legalitätsprinzip in den USA unterworfen. Verstoßen FBI-Mitarbeiter gegen geltendes Recht, so verletzen sie ihren Diensteid und machen sich gegebenenfalls strafbar.

 

[Tappy]

Genau und den Weihnachtsmann gibts auch noch. Irgendwie klingt es nach "ohh Snowden hat zu viel Preis gegeben wir müssen die Schafe wieder beruhigen"

Wetten es klappt
Wird viele Leute geben, die denken jetzt: "oh die verschlüsseln doch und bin jetzt sicher!"...

 

[zorrkvonhui]

achja.... die verschlüsselungen basieren dann vermutlich auf 4 stelligen pinnummern bei der hälfte der user....
sind <10.000 versuche wirklich zeitaufwändig?

oder hab ich die verschlüsselung falsch verstanden, zumindest bei dem android hab ich es so aufgefasst, dass immer beim entsperren des gerätes der PIN zum entschlüsseln abgefragt wird???

den in diesem Fall werden die wenigsten ein "sicheres Passwort" zwischen 8-16 Zeichen mit Sonderzeichen und Ziffern anlegen^^
welches bei jedem Entsperren neu eingetippt werden muss^^

...so gesehen wird ein praktikant schon reichen um mal eben in ner Schicht den "Code zu knacken" den sich YuppiXY zum verschlüßeln ausgetüftelt hat, bruteforcen wäre da überflüssig^^

 

[Autokiller677]

Automatisches Löschen nach 10 Eingaben o.ä. und schon sind deine 10k Versuche stark gesunken.

Und um zu verhindern, dass jemand die Daten auf ein anderes Gerät kopiert und über ein anderes Interface entschlüsselt, kann man den Salt ja in einem TPM speichern (hat Apple ja angeblich eh, um die Fingerabdrücke zu speichern). Es ist nicht sooo schwer, es auch für Behörden sehr aufwendig bis unmöglich zu gestalten.

 

[zorrkvonhui]

das mit dem autodelete soll das denn kommen mit AndroidL?
bei meinem 4.4.2 droid gibts nur ne Wartezeit, was dann alle 3 Versuche 10 Sekunden mehr Arbeitszeit kostet^^ eine Option fürs automatisierte Löschen habe ich bisher nicht feststellen können?

noch so nebenbei, wenn ich auf meinem root-spiel-Gerät, auf welchem alles was möglich war per Link2SD ausgelagert wurde, die Verschlüsselung anwenden will, aber nur das Gerät und nicht die SD worauf von jeder APP ein kleiner Prozentsatz an Daten ausgelagert ist verschlüssle (weil wenn device putt dann daten futsch) bekomme ich dann probleme, bzw nutzt eine solche Verschlüsselung dann noch etwas?

 

[Autokiller677]

Wenn du Daten bewusst auf unverschlüsselte Bereiche auslagerst, sind sie natürlich nicht geschützt. Nützen tut die Verschlüsselung natürlich noch, ein großer Teil der Daten ist ja noch geschützt. Je nachdem was da auf der SD landet, ist das natürlich trotzdem doof.

Das Android nicht automatisch löschen kann, wundert mich gerade ziemlich. Das konnte selbst mein iPod Touch 1G Anno 2007 schon. Und da wundert sich Google noch, dass Apple weiterhin in Firmen oft bevorzugt wird...

 

[Turrican101]

Entschlüsseln kann aber nur er mit dem zweiten Schlüssel, welcher sich in seinem Besitz befindet.

Und wie bekommt dieser Jemand diesen 2. Schlüssel? Irgendwo muss ja mal ein Austausch stattfinden, damit der eine ja weiss, dass der 2. Schlüssel auch der Richtige ist. Und wo ein Austausch ist kann man auch was abfangen.

 

[Autokiller677]

Und wie bekommt dieser Jemand diesen 2. Schlüssel? Irgendwo muss ja mal ein Austausch stattfinden, damit der eine ja weiss, dass der 2. Schlüssel auch der Richtige ist. Und wo ein Austausch ist kann man auch was abfangen.

Nein, das ist ja das tolle an asymetrischer Verschlüsselung. Jeder Kommunikationspartner erstellt ein Schlüsselpaar, einen privaten und eine öffentlichen Schlüssel. Der Öffentliche ist für Angreifer völlig wertlos, mit ihm kann nur verschlüsselt werden, deshalb kann er per Mail verschickt werden oder an der Autobahn auf einem Schild stehen. Entschlüsseln kann man nur mit dem privaten Schlüssel, den behält man daher unter strikter Kontrolle.

Somit muss dir nur jemand auf egal welchem Weg seinen öffentlichen Schlüssel zukommen lassen und du kannst für ihn etwas verschlüsseln. Da könnt ihr an entgegengesetzten Enden der Welt sein. Und um sicherzugehen, dass das auch der öffentliche Schlüssel von Franz ist und nicht Hans dir eine gefälschte E-Mail geschickt hat, kann man z.B. übers Telefon den Fingerabdruck des Schlüssels vergleichen. Das ist eine kryptographisch sichere Prüfsumme passend zum Schlüssel.