c't 4/2016
S. 36
News
Sicherheit

Facebook integriert Tor in seine Android-App

Wer die App Orbot installiert hat, kommt in den Genuss einer neuen Tor-Option der Facebook-App.

Facebooks Android-App unterstützt nun offiziell das Anonymisierungs-Netzwerk Tor. Um Facebook mobil über Tor aufzurufen, muss der Anwender zusätzlich die Android-App Orbot installieren, welche die eigentliche Verbindung zum Tor-Netz herstellt. Dann kann man bei den Einstellungen der Facebook-App spezifizieren, dass sämtlicher Netzwerk-Traffic des sozialen Netzwerks über Tor laufen soll. Allerdings muss man dann auf die Facebook-Benachrichtigungen verzichten: Diese werden über Googles Server geroutet, weshalb die Facebook-App sie zur Sicherheit deaktiviert.

Facebook bietet bereits seit einiger Zeit einen Onion-Dienst an, über den sich Desktop-Anwender mit der Webseite verbinden können. Dabei profitieren sie auf dem ganzen Übertragungsweg von der Ende-zu-Ende-Verschlüsselung des Tor-Netzwerks und umgehen das Sicherheitsrisiko von Exit Nodes. Wer sich per Tor mit Facebook verbindet, bleibt natürlich gegenüber dem sozialen Netzwerk nicht unbedingt anonym, aber immerhin verschleiert dieser Weg die IP des genutzten Internetzugangs. Außerdem lassen sich so lokale Websperren umgehen, und die Ende-zu-Ende-Verschlüsselung des Tor-Netzes schützt gegen Angriffe durch Dritte.

Man sollte sich allerdings bewusst sein, dass Tor-Traffic Aufmerksamkeit erregt und gesteigerte Überwachung nach sich ziehen könnte. (fab@ct.de)

IETF standardisiert Bernstein- und Goldilocks-Kurven

Die beiden elliptischen Kurven Curve25519 von Dan J. Bernstein und Curve448, die „Goldilocks“-Kurve, sind von der Internet-Standardisierungsarbeitsgruppe der IETF als RFC 7748 verabschiedet worden. Damit werden diese Kurven und ihre Verwendung beim Diffie-Hellman-Schlüsselaustausch (ECDHE) standardisiert.

Der Veröffentlichung dieses RFCs war eine lange Diskussion über die beiden Kurven und die alternativen Vorschläge der US-Standardisierungsbehörde NIST vorausgegangen. Die NIST hatte eingestanden, dass ihre Kurven ursprünglich von der NSA entwickelt wurden. Mittlerweile glauben die meisten Kryptologen zwar nicht mehr an eine Hintertür der NIST-Kurven, aber es bleibt Kritik an deren Ressourcenbedarf und unnötiger Komplexität, die Fehler begünstigt.

Die Bernstein-Kurve 25519 wird bereits vielerorts eingesetzt, vor allem auf Apples iOS-Geräten und bei GnuPG und OpenSSH. Das Sicherheitsniveau der Kurve soll dem einer symmetrischen AES-Verschlüsselung mit 128 Bit entsprechen; der Goldilocks-Kurve wird ein Sicherheitsniveau von 224 Bit attestiert. Beides sollte ausreichen, bis Quanten-Computer neue Verfahren erforderlich machen. Als Nächstes muss die konkrete Nutzung der Kurven etwa im Rahmen von TLS spezifiziert werden; das soll demnächst in einer Erweiterung des RFC 4492 geschehen, die bereits als Draft vorliegt. (fab@ct.de)

Zehntausende Kreditkarten vorsorglich ausgetauscht

Mehrere große Banken haben wegen eines Datenlecks bei einem nicht näher genannten Kreditkarten-Dienstleister ihren Kunden neue Kreditkarten und PINs geschickt. Betroffen sind unter anderem die Commerzbank, Postbank, die Comdirect-Bank, die Hypo-Vereinsbank und die Volksbanken-Raiffeisenbanken. Bei dem Austausch handele es sich um eine „reine Vorsichtsmaßnahme“, teilte die Commerzbank gegenüber der c’t mit.

Den Banken zufolge ist nur „ein kleiner Teil der Karten“ betroffen, es scheint sich aber trotzdem um eine hohe fünfstellige Anzahl an Kreditkarten zu handeln. Berichten zufolge warnten Visa und Mastercard die Institute vor der Möglichkeit, dass Kriminelle Kartendaten im großen Stil abgegriffen haben. Wie das genau passiert ist, war bei Redaktionsschluss noch nicht bekannt.

Kreditkartenanbieter informieren Banken schon beim Verdacht auf mögliche Datenlecks. Manche Institute tauschen Karten dann zur Sicherheit sofort aus, andere Banken ignorieren die Warnungen wiederum. Kunden müssen sich normalerweise keine Sorgen machen: In der Regel übernimmt die Bank den Schaden, wenn Kriminelle geklaute Kartendaten missbräuchlich verwenden. Es lohnt sich allerdings immer, ein wachsames Auge auf die eigenen Kontobewegungen zu haben und verdächtige Vorkommnisse sofort der Bank zu melden. (fab@ct.de)

Geheimdienst-Hintertür im VoIP-Protokoll MIKEY-SAKKE

CESG, die Informationssicherheitsabteilung des britischen Geheimdienstes GCHQ, hat eine Technik für den sicheren Schlüsselaustausch bei der Voice-over-IP-Kommunikation entwickelt und diesen als Standard für vertrauliche Gespräche innerhalb der britischen Regierung etabliert. Allerdings erlaubt dieser MIKEY-SAKKE (Sakai-Kasahara Key Encryption in Multimedia Internet KEYing) genannte Algorithmus die passive Massenüberwachung aller Gespräche im großen Stil, wie Dr. Stephen Murdoch vom University College in London aufzeigte.

Bevor eine sichere Ende zu Ende verschlüsselte Verbindung aufgebaut wird, müssen erst einmal Schlüssel ausgetauscht werden – auch bei VoIP. Im Gegensatz zu vielen Chat-Programmen, die einen geheimen Schlüssel über die Methode Ephemeral Diffie-Hellman (EDH) untereinander ausmachen, erzeugt beim GCHQ-Algorithmus der Dienstbetreiber geheime Schlüssel für die Gesprächspartner und verteilt diese. Das führt jedoch dazu, dass der Betreiber alle geheimen Schlüssel unter seiner Kontrolle hat. So kann die Regierung Gespräche massenweise mitschneiden und dann den Betreiber zwingen, die geheimen Schlüssel der Gesprächspartner herauszugeben. Anschließend können die Spione die vorher gesammelten Gespräche massenhaft entschlüsseln. (fab@ct.de)

Kommentieren