#1 30. März 2005 4000 Rechner und personenspezifische Passwortsuche Die Washington Post hat einen aufschlußreichen Artikel über die Strategie der US-Geheimdienste zum Knacken starker Verschlüsselung veröffentlicht. Während mit einer gewissen Selbstverständlichkeit davon ausgegangen wird, dasss starke Kryptographie vom Schlage PGP mit entsprechend langen Schlüsseln schlicht unknackbar ist, werden einige Schwächen - typischerweise im menschlichen Faktor begründet - vorgestellt. Gängigster Fehler ist ein zu schwaches Passwort. Das Brute-Forcen eines Passworts kann bei entsprechender Wahl zwar länger dauern als das Universum existiert, zumeist sind die Passwörter und -phrasen aber immer noch zu schlecht gewählt oder aus anderen Quelllen zu erschliessen. Der Kryptografieexperte Bruce Schneier attestiert auch den "bad guys", bei der Wahl ihrer Passwörter meist zu unvorsichtig vorzugehen - Begriffe aus dem Alltagsumfeld würden zu häufig verwendet. Die Geheimdienste kombinieren daher auf clevere Weise Rechenleistung und Strategie. Während distributed.net eine 64bit-RC5-Verschlüsselung nach 1757 Tagen und unter Einsatz der parallelen Rechenleistung von bis zu 45.000 2Ghz-Athlons knacken konnten, scheinen die 4000 Rechner, die der Geheimdienst zum Knacken auch durchaus stärkerer Algorithmen verwendet, auf den ersten Blick völlig chancenlos zu sein. Der Direktor des Distributet-Computing-Programms Al Lewis vermeldet aber anhaltend gute Erfolge - Verdächtige, die starke Kryptografie verwenden, seien in der Regel auch die größeren Fische - sie sind "wertvollere Ziele, weil sie mehr zu verbergen haben", so Lewis. Der Trick besteht in der Analyse der restlichen Daten des Rechners bzw. des Nutzers, dessen verschlüsselte Daten geknackt werden sollen. Dafür werden Passwortlisten erstellt, zu deren Generierung Dateien und Dokumente auf dem sichergestellten Rechner sowie Inhalte und Schlüsselworte aus häufig besuchten Webseiten, Browsercache usw. verwendet werden. Lewis führt als Beispiel an, dass bei einem Verdächtigen, der viel auf Motorradseiten unterwegs sei, leicht ein komplettes Wörterbuch mit entsprechenden Begriffen erstellt werden kann, mit welchem dann die Rechner gefüttert werden. Einer der Entwickler der Software wird mit der Aussage zitiert, auf diese Weise zwischen 40 und 50% der Verschlüsselungen knacken zu können. Die Technik, mit maßgeschneiderten Passwortlisten Verschlüsselungen zu knacken, wird aktuell weiter ausgebaut - Lizenzen für den Ausbau des Netzwerks von den aktuellen 4.000 auf bis zu 100.000 Rechner stehen zur Verfügung. Parallel dazu wird die Technik auch auf andere Sprachen und Alphabete angepasst. Geheimdienste müssen ihre Arbeit mit Erfolgsmeldungen legitimieren - entsprechend sind diese immer mit Vorsicht zu genießen. Es dürfte aber eine gute Anregung beim Wählen von Passwörtern sein, zu bedenken, dass sämtliche unverschlüsselte Daten auf dem Rechner als Grundlage für gezielte Passwortangriffe verwendet werden könnten. quelle: gulli untergrund news + Multi-Zitat Zitieren