In diesem Beitrag soll es vor allem um Passworte, Ihre Bedeutung und Handhabung gehen. Wer sich die Einleitung sparen möchte, kann gerne gleich zur Sache kommen.

Das Thema der massenhaften Überwachung von Verbindungsdaten im Internet läßt in den Medien nicht nach. Dabei fällt sogar einem Halbwissenden wie mir auf, daß in der Berichterstattung selbst bei Sendern und Blättern, in denen richtige gelernte Journalisten noch für richtiges Geld arbeiten, solche Journalisten über Dinge reden und schreiben, von denen sie keinen Plan haben. Ich bin selbst kein Experte, aber wenn „SSL und VPN“ als „Codes“ oder „Kryptosysteme“ bezeichnet werden, die „geknackt“ wurden, rollen sich mir ob soviel simplifizierender Ungenauigkeit die Fußnägel auf. Gerade Journalisten sind eine Population, von der ich immer dachte, ihnen sollte das Grundrecht auf vertrauliche Kommunikation besonders wichtig sein. Das ist offenbar nicht der Fall. Wer nicht drauf kommt, was ich meine: Informantenschutz? Hallo? Bahnhof?

Ich habe mir vorgenommen, künftig öfter mal in meinen Worten und auf meinem Verständnisniveau drüber zu schreiben. Jede/r Einzelne, die/der es liest und sich für Signatur und Verschlüsselung entscheidet, ist ein Erfolg im Kampf um ein Grundrecht.

Die naive Methode, eine verschlüsselte Nachricht zu entschlüsseln, ist das Ausprobieren sämtlicher denkbarer Schlüssel, bis etwas Sinnvolles rauskommt. Längere Schlüssel machen diese Gewaltattacken im Allgemeinen schwerer, weil bei längeren Schlüsseln mehr Möglichkeiten existieren, die ausprobiert werden müssten. Es wird dann gerne ausgerechnet, wie lange das Ausprobieren eines Schlüssels auf einem zeitgemäßen Computer dauert und wie lange das Ausprobieren aller bei dem jeweiligen Verfahren möglichen Schlüssel dauern würde, wenn sich ganz viele Computer diese Arbeit untereinander teilen.

Was heißt eigentlich geknackt?

„Geknackt“ ist ein Verschlüsselungsverfahren dann, wenn eine im Verfahren angelegte Schwachstelle entdeckt wurde, die eine Abkürzung dieses riesigen Ausprobieraufwands ermöglicht. Eine im Rahmen wissenschaftlicher Veröffentlichungen aufgezeigte Schwäche in dem als kompromittiert geltende Verfahren DES beispielsweise verkleinert die Anzahl zu testender Schlüssel von 2^56 auf 2^39. Dazu muß aber ein Teil des unverschlüsselten Originaltexts bekannt sein. Statt 72 Billiarden also nur noch etwas mehr als eine halbe Billion. Ein genau hierauf spezialisierter „Spezialrechner“ aus allgemein zugänglichen Hardwarebausteinen hat das schon 2008 in weniger als einem Tag geschafft.  (Wurde übrigens zu wesentlichen Teilen gleich hier in der Nachbarschaft an der Ruhr-Uni-Bochum entwickelt und ist mittlerweile schlüsselfertig zu erwerben, aber ich schweife ab …)

Das mit der halben Billion haben die Geheimdienste also inzwischen drauf. Der Aufwand, alles, was jemals mit diesem Verfahren verschlüsselt wurde, zu entschlüsseln ist aber immer noch zu groß für die Jungs. Im Übrigen hatte jede/r, Interessierte, seit 1994 die Chance, sich über diese Schwäche zu informieren und auf ein anderes Verfahren umzustellen. Die Wahl des Verfahrens ist einen eigenen Text wert; daher hier nur soviel:

Open Source!

Beim Verfahren gilt das Gegenteil wie beim Schlüssel: Je offener und transparenter die Funktionsweise und die konkrete Umsetzung in Software offengelegt ist, desto besser für mich. Klingt paradox, ist aber so. Wenn bei einem Verschlüsselungsverfahren beschrieben ist, wie es funktioniert und warum es keine „Abkürzung“ gibt, wird die weltweite Szene der Kryptologen sich drauf stürzen und versuchen, zu beweisen, daß es doch eine gibt. Damit kann man so reich und berühmt werden, daß jede/r, Normale die/der soetwas schafft, es zuerst der Fachöffentlichkeit und irgendwann den simplifizierenden Massen- und Boulevardmedien erzählen wird. Der Begriff, der dahintersteht ist „Peer Review“: Damit eine wissenschaftliche Arbeit in den Augen der Fachöffentlichkeit Bestand haben kann, muß sie sich der Begutachtung durch (Fach-)Leute stellen, die auf gleichem Niveau arbeiten.

Kann natürlich sein, daß die NSA irgendwelche nerdigen Superkids mit Asperger, die AES, Blowfish, CAST und all die anderen Blockchiffren schon vor dem Verlust der Milchzähne erledigt haben, in unterirdischen Geheimanlagen von der Außenwelt abschottet und deren Klone an die Kollegen vom Verfassungsschutz verbimmelt. Aber im Allgemeinen schützt es, wenn sich die wissenschaftlich orientierte Kryptoszene mit einem Verfahren auseinandersetzt. Was für das Verfahren an sich gilt, gilt insbesondere auch für die konkrete Umsetzung in ein lauffähiges Programm. Selbst ein perfektes Verfahren kann durch schlechte Programmierung kompromittiert werden, wenn zum Beispiel während des oder nach dem Verschlüsselungsvorgang/s noch Teile oder Reste von Zwischenschritten oder gar die Passphrase in ungeschützten Bereichen des Arbeitsspeichers existieren, wo sie von bösen Trojanern gelesen werden können. Auch hier helfen OpenSource und eine weite Verbreitung. Wer als Fachmann in der Implementierung einer sicheren Chiffre durch eine verbreitete Software eine Schwachstelle erkennt, wird dies bekannt machen. Entweder für den Ruhm oder für Geld oder für beides.

Zur Sache

Wer meine Kommunikation ausspähen will, hat viele einfachere und schneller zum Ziel führende Möglichkeiten, als meine verschlüsselten Nachrichten mit massivem Ausprobieren anzugreifen. Eine davon ist der Angriff auf die Passphrase, mit der ich im Verschlüsselungsprogramm meinen eigentlichen Schlüssel schütze. Ich und die meisten anderen, die schonmal etwas länger über IT-Sicherheit nachgedacht haben, trauen beliebigen Geheimdiensten und fortgeschrittenen Kriminellen den unberechtigten und unbemerkten Zugriff auf einen mit dem Internet verbundenen Rechner zu. Das können die. Wenn gar nichts geht, stehlen oder beschlagnahmen sie ihn. Dann haben sie auch meinen geheimen Schlüssel. Das Einzige, was dann noch zwischen meiner vertraulichen Kommunikation und „denen“ steht, ist die Passphrase.

Ken sent me oder Menschen sind menschlich

Ich habe im Job regelmäßig mit Menschen zu tun, die ihr Passwort vergessen haben und häufig muß ich dieses Passwort zurückzusetzen, damit diese Menschen weiterarbeiten können. Diese Menschen klagen — vermutlich, gerade weil sie Menschen sind, daß sie sich keine Passworte merken können. Viele verwenden daher Passworte, unter denen sie sich etwas bildlich, gestaltlich vorstellen können. Menschen haben diesen Hang, die Welt in Form von Gestalten wahrzunemhen und zu begreifen. Damit Passworte nicht allzu leicht durch Unbefugte erraten werden können (Sonne, Urlaub, Caroline, …) werden von IT-Verantwortlichen Passwortrichtlinien vorgegeben. Gefordert werden Mindestlänge, ein oder mehrere Großbuchstaben, Zahlen, Sonderzeichen. Das Ziel solcher Richtlinien sind „starke“ Paßworte, die sich nicht erraten lassen. Immer, wenn es Hackern irgendwo auf der Welt gelingt, eine größere Anzahl Klartextpassworte von Websites, per Phishing oder aus anderen Quellen zu „erbeuten“, werden diese analysiert und bestenfalls veröffentlicht. Dabei zeigt sich, daß der weitaus größte Teil dieser „real world“ Passworte eine irgendwie gestaltliche Ausprägung hat.

Bei einer groß angelegten Phishingaktion mithilfe einer gefälschten Login-Seite, die vermeintlich zu MySpace gehören sollte, wurden beispielsweise 34.000 Passworte abgefischt, die sich echte Menschen ausgedacht hatten. Die häufigsten Passworte, die bei dieser Aktion bekannt wurden, waren password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1 und monkey.

Passwort-Policies

Hier wird deutlich, daß manche Menschen glauben, sie könnten auf Nummer Sicher gehen, indem sie an ein offensichtlich unsicheres Passwort eine Zahl anhängen. Die Analyse hat gezeigt, Zahlen werden lieber hinten als vorne angehängt. Angehängte Zahlen bieten im Übrigen eine 1a Möglichkeit, lästigen Passwortrichtlinien, die auf einem regelmäßigen Wechsel des Passworts beharren, ein Schnippchen zu schlagen. Wenn der Monat rum ist, und Windows nervt, daß das Passwort gewechselt werden soll, nimmt man statt Passwort1  halt Passwort2 und so weiter. Es wird mittlerweile kritisch diskutiert, daß der Zwang zum Wechsel einen Fehlanreiz zur Wahl einfacherer und leichter zu erratender Passworte darstellt. Leute, die gerne das Große Ganze im Blick behalten, weisen auch gerne darauf hin, daß zu strenge Passwortpolicies zu einer massiven Umsatzsteigerung von PostIt™-Zettelchen beitragen.

Die nächste Stufe vermeintlicher Pfiffigkeit bringt eine Zahl statt am Ende irgendwo in der Mitte unter (wie in CUl8er) oder verwendet die eine oder andere Ausprägung von 1337 5P34K = LEET SPEAK.  Eine andere Studie, die Passworte einer großen Gruppe von Büroangestellten ausgewertet hat [Øyvind Fredstie], legt im Vergleich zu der MySpace-Liste nahe, daß ältere Nutzer tendeziell bei der Passwortauswahl noch weniger einfallsreich und oder weniger sicherheitsbewußt sind als jüngere.

Häufigkeitsanalysen, mit denen sich Kryptoleute naturgemäß gut auskennen, haben ergeben, daß nicht nur die Buchstaben von A bis Z häufiger in echten Passworten vorkommen als andere Zeichen sondern auch, daß aufeinanderfolgende Zahlen oder Buchstabenkombinationen, die auf der Tastatur direkt nebeneinander liegen, gleichfalls gerne genommen werden. Vermutlich in der Annahme, daß dieses vermeintliche Kauderwelsch ja nicht in einem Wörterbuch vorkommt.
Das mag für den Duden und Grimms Wörterbuch zutreffen, die „Wortlisten“ verbreiteter Programme wie Hashcat, John oder LC6, die zum massenhaften Durchprobieren von Passworten geschrieben wurden, berücksichtigen diese Erkenntnisse mittlerweile sehr wohl.

Long & Strong

Eine generelle Regel ist: Je länger die Passphrase (Suchraumlänge) und je größer die Anzahl der Zeichenklassen (Klein- & Großbuchstaben, Zahlen, Satz- & Sonderzeichen — Suchraumtiefe), die in ihr vertreten sind, desto größer der Suchraum, desto schwieriger einzuprägen und zu erinnern. Wenn ein potenzieller Angreifer weiß, daß ich aus Gewohnheit keine Sonderzeichen verwende, kann er den Suchraum verkleinern. Da ein pragmatisch denkender potenzieller Angreifer erstmal mit kurzen Passworten anfangen wird, kann man weiterhin sagen LONG is STRONG (klingt englisch irgenwie markiger). Rein kalkulatorisch und aus Sicht des „Brute Force Angriffs“ ist das Passwort D0g………………… sicherer als PrXyc.N(n4k77#L!eVdAfp9 , auch wenn das auf den ersten Blick und aus menschlicher Perspektive erstmal anders scheint: Es sind ein Kleinbuchstabe, ein Großbuchstabe, eine Zahl (das ist eine Null, kein O) und ein Satzzeichen enthalten und es ist um ein Zeichen länger. Der Suchraum für D0g………………… beträgt 2.95 x 10^47, der für PrXyc.N(n4k77#L!eVdAfp9 hingegen nur 3.11 x 10^45, das ist ein Unterscheid um Faktor 95. Die Technik des Auffüllens eines kürzeren Passworts mit einem mehrfach wiederholten Zeichen auf eine bestimmte Länge nennt man auf Englisch „Padding“, was cooler klingt, aber auch nur „Auffüllen“ oder „Auspolstern“ bedeutet. Für einen Potenziellen Angreifer, der in Erfahrung gebracht hat, daß ich schonmal bei anderer Gelegenheit diese Technik verwendet habe und womöglich sogar, welches Zeichen ich zum Auffüllen verwendet habe, stellt sich die Sache schon ganz anders dar. Er kann sein „Ausprobierprogramm“ mit diesen Angaben füttern und damit innerhalb des großen Suchraums einen regelbasierten Raum eingrenzen, innerhalb dessen mein Paßwort mit höherer Wahrscheinlichkeit liegt als außerhalb. Statt Padding nur mit einem einzigen Zeichen zu praktizieren, sollte ich also zum Auffüllen etwas verwenden, das vielleicht einem kurzen Muster entspricht, das ich mir aber mit meinem Menschenhirn bildlich einprägen kann. Etwas wie ollo_ollo_Geh-he1m_ollo_ollo_ol sollte sich mit etwas Übung noch behalten lassen. Der Suchraum umfaßt schon mal 2,06×10^61 mögliche Kombinationen.

Die beiden verglichenen Beispielpassworte stammen von Steve Gibson, der auch ein Onlineformular zur Berechnung der Suchraumgröße bereitstellt.
BEVOR ich den Link zu diesem Kalkulator aufschreibe: kurze Wiederholungsübung für werdende Paranoiker: Was ist die Gefahr eines solchen Tools?

Geee-naaau! Steve Gibson könnte daran gelegen sein, „Real-Word-Passworte“ zu sammeln und zu analysieren. Auch wenn er ein netter Kerl ist: Gib‘ kein Passwort in seinen Kalkulator ein, das Du im echten Leben gebrauchst. Schließlich kennt er als Seitenbetreiber schon Deine IP, sofern Du nicht über TOR oder Proxy dagegen geschützt bist.
Kurze Anekdote am Rande: Steve Gibson hat mein Leben verändert. Anfang Oktober 1998 hat er in einem Newsletter, den ich seinerzeit abonniert hatte, auf eine neue Suchmaschine mit einem ganz neuen, innovativen Algorithmus zur Bewertung der Suchtreffer hingewiesen. Da war Google unter diesem Namen gerade mal eine gute Woche am Start und seitdem komme ich nicht um die Benutzung herum. So jetzt der Link zur Gibson Research Corporation.

Ausprobier- oder Hashcrackingprogramme Wie Hashcat laufen übrigens am Schnellsten, auf mehr oder weniger spezialisierter Hardware. Ein Rechner mit mehreren eingebauten Grafikkarten eignet sich für solche Aufgaben gut, weil die Chips moderner Grafikkarten auf das Abarbeiten massiv paralleler Teilaufgaben optimiert sind. Noch speziellere Rechenwerke lassen sich mit CPLD- oder FPGA-Bausteinen aufbauen, die nur zum Abgleich und zur Koordination mit einem „konventionellen PC“ verbunden sind. Dabei spielt für den, der soetwas plant und baut, neben den Bauteilkosten und dem Entwurfs- und Fertigungsaufwand auch der spätere Energieverbrauch und die Abwärmeproduktion eine Rolle. Wie für fast alles gibt es auch hier entsprechende Wettbewerbe. Sehr nerdige Auszeichnung so etwas zu gewinnen.

Phrasen dreschen bilden

Eine der besseren Empfehlungen zur Passwortbildung besteht darin, sich einen ganzen Satz auszudenken und dessen Anfangsbuchstaben und Satzzeichen zu einem Passwort aneinander zu reihen. Aus „Die Würde des Menschen ist unantastbar.“ wird dann DWdMiu. Da diese Empfehlung aber auch den Leuten bekannt ist, die sich am wettbewerbsmäßigen Hashcracking beteiligen, ist davon auszugehen, daß dieses Passwort auch schon Eingang in die Wortlisten der einschlägigen Cracker gefunden hat. Und weil alles, was eine höhere Wahrscheinlichkeit hat, als eine reine Zufallszeichenfolge, wird DWdMiu. Sz8enuzsiVasG.  dort vermutlich auch bereits enthalten sein. Eine sinnvolle Ergänzung dieser Empfehlung muß lauten, dabei bekannte oder gängige Zitate zu vermeiden. Hashcracksoftware erlaubt mittlerweile auch die Kombination fester Bestandteile mit kurzen variablen Zufallsfragmenten.
Auf ein Passwort wie DMmMiX. oder DNmsKiX. mit X ∈ [A-Z] würde ich keinen höheren Betrag mehr wetten. Wer hat’s erraten? (Der Mädchenname meiner Mutter ist X. und Der Name meiner süßen Katze ist X.) Hinzu kommt, daß bei dieser Methode in der Passphrase Satzzeichen mit höherer Wahrscheinlichkeit auftreten, als Sonderzeichen. Wenn ich davon ausgehe, daß ein potenzieller Angreifer meine Vorliebe für diese Technik kennt, kombiniere ich weiter mit Substitutionen à la 1337 5P34K oder Einstreuen von Sonderzeichen an Stellen, die ich mir einigermaßen merken kann.

Gefährliche Mehrfachnutzung

Wer glaubt, ein einigermaßen sicheres Passwort gefunden zu haben, kommt in die Versuchung, dieses Passwort für mehrere Zwecke zu verwenden. Schlechter Plan, selbst mit eingebauten Variationen. Ein Nutzer, von dem mittels krimineller Handlungen schon herausgefunden wurde, daß ihm für MySpace ein Passwort NdHkidG.-M recht ist, ist ohne weiteres zuzutrauen, daß ihm für Facebook NdHkidG.-F billig sein wird. (Ach ja, Nur die Harten kommen in den Garten.) Mit einem Einheitspasswort für viele Gelegenheiten lande ich auf dem Bauch, sobald eine der Stellen, bei denen ich es verwende, kompromittiert wird. Dieses Kompromittieren kann auf vielerlei Weise geschehen: Der Server eines Internetforums wird gehackt, und ein Dump der zugrundeliegenden Datenbank wird gestohlen, schlimmer noch: das Anmeldeformular wird modifiziert und sendet unverschlüsselte Passworte direkt nach Moskau (nicht immer nur auf den Amis rumhacken. In USA gibt’s neben den lupenreinen auch ganz normale Demokraten wie Dich und mich. Da leben in der Mehrzahl ganz wunderbare Menschen.) Oder der Betreiber einer Seite oder sein Hostingprovider wird zur Herausgabe gezwungen oder beim Hoster arbeitet jemand, der sich bestechen oder erpressen läßt, … Kriminelle Phantasie hat jeder, aber die wenigsten machen etwas draus.

Sozialarbeit

An einigen Stellen ist schon angeklungen, daß es jemandem, der im Prinzip eine Brute-Force- also Durchprobierattacke auf meine Passphrase im Sinn hat, helfen kann, sich ein Bild von meinen Gewohnheiten zu verschaffen. Da Menschen, wenn sie eine Gewohnheit erstmal ausgebildet haben, im Allgemeinen daran festhalten, lohnt es sich für jemanden, der meine Passphrase cracken will, mich kennenzulernen. Das läuft nicht immer so glatt und simpel wie im Film, wo zur Rettung der Welt ein Passwort des bösen Schurken eingegeben werden muß, nur drei Eingabeversuche zur Verfügung stehen und in letzter Sekunde der schönen Heldin einfällt, daß der Schuft ja als Kind mal einen Zwilling hatte, dem Übles widerfuhr, was dem Publikum nebenbei erklärt, warum er überhaupt böse wurde …

Aber ein Angreifer, der weiß, daß ich an anderer Stelle Passworte verwendet habe, die durch durchschnittliche Länge oder den Ein- oder Ausschluß bestimmter Zeichenklassen oder eine bestimmte Technik wie Padding oder irgendetwas, das sich in Worte fassen läßt, charakterisiert sind, kann aus diesem Wissen Regeln aufstellen. Wo beispielsweise die Namen von Angehörigen Freunden oder Tieren in Frage kommen, wandern diese in eine Wortliste. Wenn eine Neigung zum Anhängen von Zahlen bekannt ist, werden alle Begriffe der Wortliste mit allen Zahlen von n bis m kombiniert. Wenn die Neigung bekannt ist, Buchstaben durch ähnlich aussehende Zahlen oder Sonderzeichen zu ersetzen, gibt es dafür 1337-Regeln, die genau dann einbezogen werden können, wenn sie Erfolg versprechen. Insbesondere, wenn jemand schonmal die Möglichkeit hatte, mich bei der Eingabe von Passworten zu beobachten, konnte er ohne das eigentliche Passwort zu sehen, aus der Zahl der Tastenklicks Aufschluß über die Länge oder durch den Rhythmus der Tastenklicks einen Eindruck über die Häufigkeit des Gebrauchs der Shift-Taste gewinnen. Es bleiben dann immer noch sehr viele Möglichkeiten, die durchprobiert werden müssen. Aber der priorisierte Suchraum, mit dem aufgrund meiner bekannten Verhaltensmuster erstmal erfolgversprechend begonnen werden kann, ist gegenüber der Gesamtzahl der Möglichkeiten um so viele Größenordnungen kleiner, daß es sich allemal lohnt, Zeit auf Ausforschung zu verwenden.

Das nach meinem Kenntnisstand verbreitetste und potenteste Hashcracking-Tool Hashcat wird zudem von einer regen und kreativen Community weiterentwickelt, die ihre Regelwerke  untereinander austauscht, solange man nicht gerade in einem laufenden Wettbewerb steht. Ich habe keinen Dunst, womit Geheimdienste arbeiten, oder ob sie allgemein verfügbare Tools nur auf teurerer, effizienterer Hardware laufen lassen. Aber es ist trotzdem gut, daß solche Tools nicht nur unter der Hand gekungelt werden, sondern jedermensch die Chance hat, ihre Flexibilität und Leistungsfähigkeit abzuschätzen um die eigenen Sicherheitsgewohnheiten der Realität anzupassen. Auch wenn’s schwerfällt. Gelle? (Ich hab‘ mir gerade mal an die eigene Nase gefaßt, lasse sie aber jetzt wieder los.)

Salzen

Eine gute Idee ist auch, ein an sich schon gutes Passwort, das sich so gerade noch erinnern läßt, noch besser zu machen, in dem man es „salzt“. Das kann durch das Hinzufügen einer Zahlen oder Zeichenfolge geschehen, die man als „Token“ mit sich herumträgt. Solch ein Token kann die Sereinnummer einer Banknote sein, die man in der Börse mit sich herumträgt.
Die mit diesem Vorschlag verbundenen Risiken sind Verlust des Geldscheins und Entdeckung der Bedeutung des Tokens durch Dritte, die daraufhin den Zugang zu der Information des Tokens anstreben werden. Grundsätzlich sagen Fachleute: Obscurity ≠ Security (klingt schon wieder auf Englisch einprägsamer), aber als einzelnes Element in einem Gesamtkonzept, das nicht alleine auf dem Verbergen eines bestimmten Geldscheins basiert, ist das durchaus vertretbar. Zudem hat ein Token den Vorteil, eine Ziffern- oder Zeichenfolge in die Passphrase einzubringen, die nicht durch meine Gewohnheiten und Vorlieben geprägt ist. Ein „Sozialarbeiter“ müßte sich zum Ausspähen schon Zugang zu meiner Brieftasche verschaffen.

Die Vielzahl der Stellen und Gelegenheiten, bei denen sich Internetnutzer identifizieren müssen, macht das Einprägen und Erinnern einer genügenden Anzahl wirklich guter Passworte fast unmöglich.

Passwortverwalter

Daher zeichnet sich mehr und mehr ab: ohne Hilfsmittel geht heute kaum noch etwas. Es gibt zahlreiche Programme, die anbieten, auf unsere Passworte aufzupassen. Der Vorteil ist, sich nur ein einziges, richtig gutes Passwort merken zu müssen. Alle durch das Programm verwalteten Passworte können beliebig lang und komplex und zufällig sein, weil mir die Mühe des Erinnerns abgenommen wird.

Eine schlechte, oder auch nur schlecht implementierte Software für diesen Zweck stellt allerdings eine zentrales Risiko dar. Der Volksmund weiß redensartlich schon seit es Eier gibt, daß man sie nicht alle in einen Korb legen soll, weil, wenn der runter fällt, gleich 100% meiner Eier in Gefahr sind.

Bei Google Play führt die Suche nach „passwort manager“ zu einer regelrechten Flut von Ergebnissen. Hier das sicherste Eierkörbchen zu finden, ist keine leichte Übung. Ob die Bewertungen bei Google ein adäquater Indikator für die Auswahl sind, lasse ich dahingestellt.

Bei der Auswahl eines geeigneten Werkzeugs sollten ähnlich strenge Kriterien angewendet werden, wie an eine Verschlüsselungssoftware selbst:

• Offengelegter Quelltext mit der Möglichkeit zum Peer Review
• Verschlüsselung der gespeicherten Passworte und der zusätzlichen Angaben mit einem offengelegten Verfahren, von dem eine selbst durchgeführte gründliche Recherche ergibt, daß es nach gegenwärtigem Stand der publizierten Wissenschaft frei von bekannten Schwachstellen ist. Idealerweise Wahlmöglichkeit zwischen mehreren anerkannt sicheren Verfahren.
• Möglichkeit zur Überprüfung der Integrität und Authentizität der Software (z.B. durch Veröffentlichung einer Signatur des Programms/Quelltexts)
  Nebenbei bemerkt: (Wenn ich ein Kryptoprogramm aus seinem Quelltext selbst kompilieren will, sollte ich mir Gedanken über die Integrität des verwendeten Compilers machen.)
• Verfügbarkeit auf ggfls. mehreren von mir verwendeten Betriebssystemplattformen (Computer, Telefon, …)
• Funktion zur Generierung echter Zufallspassworte unter Berücksichtigung auf Ebene des Einzelpassworts einstellbarer Richtlinien (Was nützt mir ein noch so zufälliges Passwort, wenn das dann von der Stelle, an der es verwendet werden soll, nicht akzeptiert wird?)
• Möglichkeit des verschlüsselten und wahlweise unverschlüsselten Backups und der Synchronisierung zwischen verschiedenen Plattformen
• Virtuelle Tastatur um ein Belauschen der Eingabe mit Keyloggern zu vermeiden
• Eine ausreichend lange Zeit der aktiven Weiterentwicklung unter Einbezug einer ausreichend zahlreichen, offen und kritisch diskutierenden Community steht einer sicherheitsrelevanten Software generell gut zu Gesicht und verschafft mir einen Eindruck, wie die Entwickler mit erkannten Schwachstellen umgehen.
• Eine Funktion zur unwiederbringlichen Selbstzerstörung der gespeicherten Information kann ein besonderes Auswahlkriterium für eine Software zur Geheimnisaufbewahrung sein. Das will aber wohl abgewogen sein. Ein krimineller oder von persönlichen Motiven geleiteter Angreifer, der nicht vor physischer Bedrohung meiner oder einer mir nahestehenden Person (umgangssprachlich erpresserischer Menschenraub) zurückschreckt, wird möglicherweise unbeherrscht reagieren, wenn ihm klar wird, daß er das Verlangte auf dem geplanten Wege nicht mehr erlangen kann. Ob ein Backup in einer auch gegen Gewaltanwendung geschützten, kontrollierten Umgebung gegen solche Rachegelüste schützen und die Verhandlungspositionen zu eigenen Gunsten verändern kann, muß jeder für sich entscheiden.

Mit der Entscheidung für völlig zufällige Passworte wächst meine Abhängigkeit von dem verwendeten Speicher- und Verwaltungsverfahren, weil ich mir zufällige Zeichenketten größerer Länge in größerer Anzahl einfach nicht mehr merken kann. Daher steigt die Wichtigkeit eines Backups, an das ich unter allen Umständen wieder herankommen muß, auf 100%. Man stelle sich eine Passwortverwaltungssoftware vor, die nach einer Probezeit von einem Jahr sagt: „Wir haben unser Lizenzmodell geändert. Bitte überweisen Sie uns  …“ und die dann bis zum Zahlungseingang meine Passworte auch vor mir schützt. Wenn die Identitätsdaten mit einem offengelegten Verfahren gesichert sind, wird dieses Geschäftsmodell nicht funktionieren. Zumindest nicht, wenn ich vor der Verwendung eine solchen Programms erstmal Testeingaben verschlüsseln lasse und das Backup mit einem anderen Programm, das das gleiche Verschlüsselungsverfahren beherrscht, wieder entschlüsseln lasse. Um sicher zu sein, muß ich immer noch Backups der Passwortdatei außerhalb der Reichweite potenzieller Schadsoftware redundant aufbewahren. Was mir sonst das Genick bricht, kann auch ein „BKA-Trojaner“ sein, der gleich meine gesamte Platte verschlüsselt.

Um den Archiv- und Backupdateien einer solchen Software auf den Zahn zu fühlen, empfehle ich das Cryptool, je nach Geschmack in Version 1 oder 2. Das ist ein Programmpaket, das zahlreiche klassische und moderne Verschlüsselungsverfahren zu Bildungs- und Sensibilisierungszwecken implementiert.

Vielleicht möchte ich aber doch lieber auch einen nicht verschlüsselten Ausdruck in einem gegen Zugriff gesicherten Versteck/Tresor liegen haben. Bei der Handhabung von Klartextpassworten ist zu bedenken, daß jede Datei, die einmal auf meiner Festplatte gespeichert war, sich möglicherweise rekonstruieren läßt. Entsprechende Tools zum sicheren Löschen, die den von der Datei beanspruchten Speicherplatz mehrfach überschreiben, können hier abhelfen.

Wenn ich zwar eine Software zur Schlüsselverwaltung verwenden möchte, dieser aber nicht vollständig vertraue, bin ich wiederum beim Anhängen. Den gespeicherten Teil meiner Passphrase kombiniere ich mit einer kürzeren Zeichenfolge, die ich zuverlässig memorieren kann und/oder mit einer Zeichenfolge von einem Token.
Preisfrage: Warum sollte ich die Zeichenfolge eines Tokens in einem Programm speichern und dann noch das Token aufbewahren.
Wenn ich von dieser Sorte Anhänge mehrere verwenden will und fürchte, diese durcheinander zu bringen, kann mir die Kommentarfunktion des Passwortverwalters helfen, in die ich ausreichend obskure Assozitationen zu meinen Appendizes als Gedächtnisstütze hinterlegen kann. Deshalb sollte der Passwortverwalter auch die Kommentare und sonstigen mit jedem Passwort aufbewahrten Daten verschlüsseln.

Kombination mit einem Token

Wenn wir das Sicherheitsniveau eines gut aufbewahrten, gut verwalteten und bei Bedarf sofort verfügbaren Passworts noch weiter steigern wollen, müssen wir noch einmal den etwas hinkenden Vergleich mit dem Schlüssel und dem Schloß bemühen: Was ist das Wesen eines Schlüssels? In erster Linie ist ein Schlüssel ein Gegenstand, den man bei sich haben muß, um das Schloß schließen zu können. Der Mechanismus des Schlosses ist in seinem Wesen ein Prüfapparat, der feststellt, ob der Schlüssel, mit dem ich zu schließen versuche, das Original ist. Bei rein mechanischen Schlössern sind heutzutage die Karten gelegt. Will sagen, wenn es jemandem gelingt, den Originalschlüssel vorübergehend an sich zu bringen und genügend Information über seine genaue Beschaffenheit zu gewinnen, kann er mit verfügbarer Technik eine hinreichend genaue Kopie herstellen. Deshalb soll man seinen Schlüsselbund nicht achtlos rumliegen lassen.

Das nächsthöhere Sicherheitsniveau erreiche ich jedenfalls erst durch die Kombination von etwas, was nur ich weiß (Passwort) mit etwas, das nur ich besitze (Schlüssel). Der mechanische Vergleich wäre ein Zahlenschloß mit zusätzlichem Schlüsselloch, bei dem der richtige Schlüssel und die richtige Zahlenkombination gleichzeitig vorliegen müssen, damit die Tür aufgeht.
Ähnlich wie bei dem Trick mit dem Geldschein reden wir hier wieder über ein „Token“ dessen Besitz in Verbindung mit der Passworteingabe etwas freigibt. Dieses Etwas könnten die von einer Schlüsselverwaltungssoftware verwahrten Passphrasen zum Schutz diverser digitaler Identitäten sein. Ein „gutes“ Token ersetzt nicht einfach eine Tastatureingabe. Wenn es nur darum ginge, eine weitere Zeichenkette auf dem Token zu speichern, die bei Bedarf an das Programm übergeben wird, könnte ich mir diese zur Not auch einprägen. Es geht um Passworte, die sich verändern und jeweils nur für einen einzigen (Schließ-)vorgang gültig sein dürfen. „Einmalpassworte“ oder „One Time Passwords“ sind gefragt. Von der sequentiellen TAN-Liste früher Homebankingzeiten wissen wir, daß sie nicht sicher ist. Die Kommunikation zwischen der Software und dem Token kann verschiedene Arten von Prüfungen beinhalten, aber die zeitgesteuerte und die ereignisgesteuerte Passworterzeugung will ich gerne ignorieren. Sicher und zweckmässig erscheint vor allem das Challenge-Response gesteuerte Verfahren. Das Token soll also auf eine „Herausforderung“ der Software in richtiger Weise antworten. Wenn die Software dieselbe Challenge selber löst und die selbst errechnete Antwort, mit der des Tokens vergleicht, gilt die Aufgabe als gelöst. Dazu müssen beide Seiten über einen gemeinsamen geheimen Schlüssel verfügen. Der „Herausforderer“ erzeugt letztlich eine Zeichenfolge, die weder für das Token noch für eventuelle Angreifer, die die Kommunikation zwischen beiden belauschen, vorhersehbar ist. In diese Challenge kann durchaus ein Zeitstempel eingebaut sein, solange andere Teile nicht vorhersehbar sind. Beide führen mit der „Herausforderung“ eine Reihe von Operationen durch, die mathematische Funktionen enthalten, die nicht umkehrbar sind und bei denen der gemeinsame geheime Schlüssel mit der Challenge verbunden wird. Da bei jeder Challenge eine andere Zeichenfolge verwendet wird, fällt auch die Antwort jedes Mal anders aus. Das Verfahren ist also gegen plumpe Wiederholungsversuche geschützt, nicht jedoch gegen einen Angriff durch den „Man-in-the-middle“. Das spielt bei diesem Einsatzgebiet aber nur bedingt eine Rolle, da die geschützte Information nach Freigabe nicht an das Token übermittelt wird. Der Man-in-the-middle könnte lediglich die richtige Antwort unterdrücken und gegen eine falsche austauschen, was zur Folge hätte, daß das Programm die geschützte Information nicht freigibt. Er wäre dank der Verwendung nicht umkehrbarer Funktionen immer noch nicht in der Lage, aus dem Vergleich von Challenge und Response auf den gemeinsamen geheimen Schlüssel zu schließen und sich irgendwann selber für das Token auszugeben.

Wenn die geschützten Informationen im Falle meiner Verhinderung anderen zur Verfügung stehen sollen/müssen, macht ein Passphrasenelement, das sich ausschließlich in meinem Gedächtnis befindet, keinen Sinn. Sehr wohl kann ich aber entsprechend lange Passphrasen in mehrere Teile aufteilen und diese Teile an mehrere Vertrauenspersonen weitergeben, die gemeinsam Zugriff auf eine Information bekommen können, indem sie die Teile meiner Passphrase zusammenführen.

Keine eindeutige Empfehlung

Wenn ich nach einer Schlüsselverwaltung gefragt werde, die alle der oben aufgeführten Kriterien erfüllt, muß ich passen. Trotzdem könnte man sich Password Safe anschauen, das die gespeicherten Passworte mit dem Twofish-Algorithmus verschlüsselt. Es wurde portiert auf verschiedene Plattformen, ist Open Source, wird kontinuierlich weiterentwickelt seit 2002 und es existiert eine Version, die mit einem Token zusammenarbeitet, das ein Challenge-Response Verfahren auf Basis der SHA-1 abbildet. SHA-1 gilt allerdings inzwischen als Ablösekandidat, weil Wege zur Verringerung des Aufwands zur Kollisionsberechnung und damit systemische Schwächen aufgezeigt wurden.

Biometrie etc.

Die nächste Stufe zur Steigerung der Sicherheit will ich nur noch streifen, weil ich sie für unpraktikabel halte. Sie würde die Prüfung auf biometrische Merkmale meiner Person umfassen, wobei Kontrollen an einzelnen Körperteilen mit „etwas, das ich besitze“ teilweise gleichgesetzt werden können. Erst die gleichzeitige Prüfung, ob sich mein Fingerabdruck tatsächlich noch an mir selbst befindet und ob in dem Finger noch Leben drin steckt, rundet die Sache ab. Das sieht man am Beispiel des kopierten Fingerabdrucks des heutigen Finanz- und früheren Aussenministers, der vom CCC zusammen mit einer Bastelanleitung für eine Fingerabdruckprothese veröffentlicht wurde, mit der sich angeblich zumindest 2008 gebräuchliche Fingerabdruckscanner noch überlisten ließen. Auch eine Stimmprobe böte die Möglichkeit der Manipulation durch Abspielen einer Aufzeichnung, sofern nicht Teil der Aufgabe wäre, einen nicht vorhersehbaren Text nachzusprechen. Das Risiko der „false negatives“, also der fälschlichen Zurückweisung der tatsächlich richtigen Person möchte ich nicht beherrschen müssen. Auch die Zuverlässigkeit von Gesichts- und Mimikerkennung kann ich nicht ausreichend beurteilen.

Update:

Vorletzte Woche hat John Oliver Edward Snowden in Moskau interviewt. Gegen Ende ging es auch um Passwortsicherheit. Hier der entsprechende Ausschnitt — auch wenn ich ausdrücklich das gesamte Interview sehens- und hörenswert finde. Wer es noch nicht kennt. wird auf dem Youtube-Kanal von „LastWeek Tonight mit John Oliver“ fündig. Es ist die Folge „Gouvernment Surveillance“ vom 5.4.2015.

 

 

Fortsetzung folgt bei entsprechender Resonanz.

Nachtrag zur Motivation der Kategorie „Krypto & Co“:

Ich habe mir vorgenommen, einem Aufruf von Anne Roth im Rahmen ihrer Rede „Der Kaiser ist nackt“ zu folgen, in dem sie aufzählt, was der Einzelne gegen die kontinuierliche Aushöhlung des Grundrechts auf vertrauliche Kommunikation tun kann:

„Es gibt viel was wir tun können und was wir jetzt tun müssen:

• Wir brauchen bessere Software, die vor Überwachung schützt. Was wir allerdings nicht brauchen, sind 20 neue Apps, die das versprechen.

• Wir brauchen sichere Software, die einfach zu benutzen ist.

• Wir brauchen Software und Plattformen, für die Datenschutz zum Standard gehört.

• Wir brauchen viel mehr und bessere Erklärungen:

• Macht kurze Video-Clips, die erklären, Nehmt Euch vor, mindestens einmal pro Woche jemandem Mailverschlüsselung beizubringen.

  • wie das Internet funktioniert,
  • wie SSL funktioniert,
  • warum WhatsApp alle Daten Eurer Freundinnen und Freunde klaut

• Akzeptiert nicht mehr, dass Eure Freund_innen G-Mail benutzen.“

Die vollständige Rede im Rahmen der Kundgebung „Freiheit statt Angst“ steht in deutscher und englischer Sprache als Text und Video in ihrem Blog Annalist

Wer mit mir über Sinn, Vorteil und vermeintliche Nachteile starker Kryptosysteme in der Hand von Privatleuten, Terrorismusgefahr und Strafverfolgung diskutieren möchte, kann das gerne beim Bier tun. Aber dann reden wir in erster Linie über Grund-und Menschenrechte.