Security (1): SSL Decodierung

Klar – jede Verschlüsselung kann geknackt werden. Manche allerdings nur mit extrem viel Aufwand. Das war schon immer so und wird nach aktuellem Kenntnisstand auch so bleiben. Bayern möchte gerne bei Skype mitlauschen. Wenn man dieser Meldung auf Spreeblick glauben kann, wird das sogar schon kommerziell angeboten. Nun weiß ich nicht, mit welchen Verfahren Skype verschlüsselt und es interessierte mich bisher auch nicht. Eine Sache machte mich dann aber doch etwas stutzig:

In dem diesem Artikel zugrunde liegenden Dokument, das angeblich vom bayerischen Justizministerium stammt, steht der Posten “SSL Dekodierung”, der für einen durchaus bezahlbaren Preis angeboten wird. Falls das stimmen sollte und kein Fake ist (was durchaus möglich wäre), wäre das ein komplettes Desaster.

Ich bin bisher davon ausgegangen, daß die Schwachpunkte bei Computersicherheit vor allem in der Abschottung der Rechner und Router gegen Viren, Trojaner, Keylogger, und ähnlichem Unrat liegen – also bei den End- und Knotenpunkten, aber weniger in den verschlüsselten Daten selber.

Falls es wirklich ein recht günstiges Angebot für zeitnahe Entschlüsselung von SSL geben sollte, haben unter Garantie die richtig bösen Jungs Zugriff darauf. Das bedeutet, daß man jegliche sichere Datenübertragung per Browser (und noch so einiges andere) vergessen kann.

Nachtrag:
Halbe Entwarnung. Dieser Artikel bei Heise lässt vermuten, daß die Abhörsoftware für Skype auf dem Rechner des zu observierenden Person installiert werden muss – also die Verschlüsselung vermutlich einfach umgeht, statt sie zu knacken. Einfach ein Trojaner, der Audiodaten mitschneidet.