Jornt van der Wiel ist der Top Ransomware-Experte von GreAT — Global Research and Analysis Team. Er hat jedoch auch tiefe Kenntnisse, wenn es um Verschlüsselung geht. Wir baten unseren Lesern die Möglichkeit, Jornt Fragen zu diesen zwei Themen zu stellen, und es gab so viele von ihnen, dass wir die F&A in zwei separate Posts aufteilen mussten.
Im ersten Teil antwortete Jornt auf Fragen zum Thema Ransomware. Jetzt ist es Zeit, um über Verschlüsselung und andere verwandte Themen zu sprechen.
Ich habe mich gefragt, was der Zweck von IT-Sicherheit ist. Freiheit? Datenschutz? Oder nationale Sicherheit? Es ist einfach, Fragen darauf zu finden, aber mich würden die Gedanken eines Experten dazu interessieren.
Meiner Meinung nach geht es bei der IT-Sicherheit darum, das Alltagsleben der Menschen zu schützen. Denken Sie daran, dass Automation und später IT grundsätzlich dazu entwickelt wurden, um das Leben einfacher zu gestalten, um etwas zu automatisieren, wenn es normalerweise von Hand gemacht werden musste. Leider wurden viele IT-Systeme entworfen, ohne an die Sicherheit zu denken — daher befinden wir uns jetzt in dieser Situation. Wenn die IT nicht geschützt wird, würde das Alltagsleben im Chaos enden.
Jornt van der Wiel beantwortet Fragen zu Verschlüsselung: wie sie funktioniert, wofür sie verwendet wird
Tweet
Stellen Sie sich vor, Sie kommen in die Notaufnahme, und stellen dann fest, dass man Ihnen nicht helfen kann, da sie einen Hacking-Angriff erlitten hat. Oder dass Sie unter dem Meeresspiegel leben und Ihr Haus überflutet wird, da die Sicherung an einem Staudamm gehackt wurde. Das sind nur ein paar Szenarien, die sich möglicherweise ereignen könnten.
Aber es sind nicht nur diese großen Szenarien; im Alltagsleben geht es auch um die kleinen Dinge, die Menschen wichtig sind. Stellen Sie sich vor, dass Sie die Fotos Ihres kürzlich verstorbenen Vaters verlieren, weil Ihr Computer mit Ransomware infiziert wurde. Diese Art von Verlust hat eine große Auswirkung auf das Leben der Menschen – und darum geht es bei der IT-Sicherheit: das zu beschützen, das den Menschen am meisten wert ist.
Ask the expert: #GReAT @jorntvdw talks #ransomware https://t.co/xXL1yyHq1h #IT #infosec pic.twitter.com/v9MUl3a6fy
— Kaspersky (@kaspersky) July 20, 2016
Wie würden Sie einer normalen Person, ohne großes Wissen zu Computern, helfen, damit sie versteht, wie wichtig die Verschlüsselung für das Alltagsleben ist?
Ich denke, am besten ist es, wenn ich Beispiele dazu gebe, was passiert, wenn es keine Verschlüsselung gäbe. Eine Sache, die recht häufig passiert, ist, dass Laptops oder USB-Sticks mit vertraulichen Daten verloren gehen oder gestohlen werden. Wären die Daten nicht verschlüsselt, könnten persönliche Dateien und Daten von jedem eingesehen werden, der Zugriff auf den Laptop oder USB-Stick hat. Denken Sie auch an Onlinezahlungen und wie die Abwicklung manipuliert weden könnte, wenn es keine Verschlüsselung gäbe. Und so weiter. Beispiele aus dem wahren Leben sind die beste Erklärung.
Ist es einfach, Verschlüsselungsalgorithmen zu erstellen? Wie lange braucht man dazu?
Einen verlässlichen Verschlüsselungsalgorithmus, der mathematisch sicher ist, zu erstellen, benötigt jahrelange Forschung, um nicht die mathematische Ausbildung zu erwähnen. Wenn Sie jedoch etwas Einfaches erstellen möchten, das innerhalb von wenigen Sekunden geknackt werden kann, müssen Sie nicht viel Zeit aufwenden.
Wie funktioniert Entschlüsselung eigentlich?
Wir müssen zwischen verschiedenen Verschlüsselungen unterscheiden: Stromverschlüsselung, symmetrische Verschlüsselung und asymmetrische Verschlüsselung (letztere ist auch als asymmetrisches Kryptosystem bekannt).
Für Stromverschlüsselung ist es recht einfach. Es wird, basierend auf Ihrem Schlüssel, ein endloser Strom von Zufallsdaten generiert, und es wird eine Kontravalenz auf Ihren Cybertext angewendet (wenn Sie beide Datensätze drucken, können Sie einen über den anderen legen). Das Ergebnis ist der originale plain text.
Für symmetrische Verschlüsselung müssen Sie genau das Gegenteil vom Verschlüsselungsprozess ausführen. Wenn Sie zur Datenverschlüsselung z. B. erst A, dann B, dann C durchführten, müssen Sie zur Entschlüsselung erst C, dann B und dann A ausführen.
Und für asymmetrische Verschlüsselung ist es „wahre Magie“. Es hängt auch sehr vom Typ der asymmetrischen Verschlüsselung ab (ECC und RSA werden komplett unterschiedlich ausgeführt). Aber ich spreche von „Magie“ wegen den involvierten mathematischen Eigenschaften. Zu wissen, wie man entschlüsselt, ist vollkommen unterschiedlich dazu, die Mathematik, die hinter dem Entschlüsselungsprozess steht, zu verstehen.
Would a golden key actually solve encryption issues? https://t.co/2JUAypdDf3 #apple #FBiOS pic.twitter.com/O8btU4j7Xy
— Kaspersky (@kaspersky) February 19, 2016
Welcher Kryptographiealgorithmus ist der sicherste?
Es gibt viele Kryptographiealgorithmen, die für verschiedene Zwecke verwendet werden können. Generell würde ich zu dem tendieren, der den NIST-Wettbewerb gewann (AES/Rijndael und SHA-3/KECCAK). Es hängt auch sehr davon ab, wie der Algorithmus verwendet wird und in welcher Systemart. Wenn Sie eingeschränkten Speicherplatz haben, dann können Sie z. B. auch auf ECC setzen, die einen kürzeren Schlüssel als RSA verwendet.
Welche Verschlüsselungsmethoden sind gegen rohe Gewalt von einem Quanten-Computer resistent?
Wow, ich musste viel lesen, um auf diese Frage zu antworten (lacht). Hier ist, was ich gefunden habe. Zunächst ist der Unterschied zwischen einem Quantum-Computer und einem gewöhnlichen Computer, dass der Quantum-Computer mit so genannten „Qubits“ statt normalen Bits funktioniert. Ein Qubit kann zwei Bits enthalten. Um auf den Punkt zu kommen: die Verdoppelung der Schlüssellänge würde für symmetrische Verschlüsselung die Vorteile dafür reduzieren, einen Quantum-Computer für Entschlüsselungszwecke mit roher Gewalt zu besitzen.
Quantum computers: what does it mean for you today? https://t.co/E3Fwee3j2W #futuretech pic.twitter.com/mBSnlpoVtV
— Kaspersky (@kaspersky) December 8, 2015
Für asymmetrische Verschlüsselung ist die Geschichte etwas anders. Peter Shor, ein bekannter Mathematiker, erfand den Shor-Algorythmus, der für Integerfaktorisierung in polynomischer Zeit verwendet werden kann. Im Klartext bedeutet dies, dass das Integerfaktorisierungsproblem eines der Probleme ist, von dem viele öffentliche Schlüsselalgorithmen im hohen Maße abhängig sind. Integer in polynomischer Zeit zu faktorisieren (in diesem Fall log n) reduziert effektiv die Sicherheit dieser Algorithmen auf null.
Wie implementiert man einen Entschlüsselungsalgorithmus in seinem Programm?
Nur durch das Downloaden einer Verschlüsselungsbibliothek für Ihre Programmierungssprache und Verwenden der API. Sie können dann die Verschlüsselungsfunktionen von dieser Bibliothek aufrufen und sie in Ihrem Quelltext verwenden.
Verwenden alle Organisationen „starke“ Verschlüsselungsalgorithmen oder bevorzugen sie es, Quelltext von öffentlichen Quellen zu verwenden und ihn nur ein wenig zu optimieren?
Ich gehe davon aus, dass Sie sich auf Softwareentwicklungsfirmen beziehen. Ich hoffe sehr, dass sie keinen Quelltext von öffentlichen Quellen optimieren. Wie haben in der Vergangenheit gesehen, dass dies fürchterlich schief gehen kann. Sie können z. B. einen Blick auf den Bug des Zufallszahlengenerators von Debian Linux, werfen. Im Wesentlichen modifizierten sie den Quelltext und schwächten ihn, anstatt ihn zu stärken. Was wir in der Praxis sehen können, ist, dass SDKs verwendet werden, die mit dem Package kommen (z. B. ein POS-Terminal), oder solche, die öffentlich erhältlich sind. Auch darum bereiten Bugs in OpenSSL so vielen Anbietern so viele Probleme.
Wird Verschlüsselung zukünftig überholt oder weniger gefährlich sein, da Behörden (wie GCHQ) versuchen werden, Hintertüren in Erntedaten zu implementieren, was bedeutet, dass Verschlüsselung veraltet sein könnte?
Ich denke nicht, dass Verschlüsselung überholt sein wird – und natürlich hoffe ich das nicht. So wurde z. B. DES vor langer Zeit erfunden, und wir finden noch immer DES auf Geräten. Also können Sie sich vorstellen, dass es lange dauern wird, bis diese Geräte und die neueren Geräte, die mit AES ausgestattet sind, nicht mehr verwendet werden. Es gibt auch einige Länder, wie das, in dem ich lebe, das sich kürzlich gegen Hintertüren in Software stark machte und bestätigte, dass Verschlüsselung positiv ist. Es wurde selbst Geld für die OpenSSL-Entwicklung gespendet (wenn ich mich recht erinnere). Also denke ich nicht, dass sie überholt sein wird.
#Dutch Government Embraces Encryption, Denounces Backdoors #nederlands https://t.co/RVSzhJID6m pic.twitter.com/XyApf3xrRl
— Kaspersky (@kaspersky) January 5, 2016
Ist es möglich, die Sicherheit eines Systems, wie TrueCrypt zu kennen? Gibt es Alternativen, die verwendet werden können – vielleicht die Cloud, wie Dropbox?
TrueCrypt wurde auf Hintertüren und Implementierungsfehler geprüft. Es wurde nichts gefunden. Ein wenig später wurde der Quelltext von TrueCrypt veröffentlicht, wodurch er von den Usern selbst überprüft werden konnte. Einige Schwachstellen wurden gefunden, aber nichts, das einer Hintertür ähneln würde. Später wurde der Quelltext von Abspaltungen, die auf dem TrueCrypt-Quelltext basieren, veröffentlicht, wodurch dieser ebenfalls geprüft werden konnte. Zusammengefasst: Ja, die Sicherheit ist bekannt, da sie geprüft wurde. Der Vorteil einer Lösung, die TrueCrypt ähnelt, ist gegenüber Dropbox, dass Sie selbst die Schlüssel besitzen. Obwohl Dropbox Ihre Dateien verschlüsselt, wenn sie auf ihrem Server gespeichert werden, haben Sie immer noch den Schlüssel; d. h., dass Sie noch immer auf Ihre Daten zugreifen können. Auf der anderen Seite ist der Vorteil von Dropbox gegenüber TrueCrypt, dass sie für die Backups verantwortlich sind. Mein Tipp? Verschlüsseln Sie Ihre Dateien lokal und dann können Sie sie speichern, wo sie möchten, solange Sie den Schlüssel besitzen.
Verschlüsseln Spiele ihre Übertragung von einem Client zu einem Server und andersherum? Wenn nicht, kann ein User etwas tun, um die übertragenen Daten vor Cyberdieben zu schützen?
Ich hoffe, dass Spiele mit dem Server über eine verschlüsselte Verbindung kommunizieren. Wenn das nicht so wäre, würde das einen Weg für einen Betrug öffnen. Wenn sie nicht verschlüsselt ist, dann gibt es für Sie als Spieler nichts, was Sie tun könnten. Einfach eine SSL-Verbindung zum Server zu verwenden, würde nicht funktionieren, da der Server keine SSL verstehen würde. Ich habe dennoch eine kleine Anmerkung: Wenn die Verbindung zwischen Server und Client unverschlüsselt ist, und Sie zufällig den Server und den Client hosten, können Sie einfach SSL-Tunnel zwischen dem Client und dem Server erstellen und somit eine verschlüsselte Kommunikation erhalten.
Wie kann man verlässlichen Schutz für Computerspiele erstellen?
Wenn Sie wirklich einen verlässlichen Schutz möchten, müssten Sie auf eine Hardware-Lösung ohne Hintertüren umstellen. Hier finden Sie ein interessantes Video dazu:
Wenn Sie dies nur für Software möchten, schauen Sie sich an, wie Denuvo seine Computerspiele schützt (obwohl selbst diese geknackt wurden). Sie können hier ein paar nette Ideen dazu gewinnen, wie dies funktioniert, und was getan werden kann.
Damit endet die Session „Fragen Sie den Experten“ mit Jornt van der Wiel, unserem Topexperten für Ransomware und Verschlüsselung. Wir hoffen, dass Sie Antworten auf Ihre Fragen finden konnten. Danke an alle, dass Sie an der Session teilgenommen haben!