Da kann die Firewall noch so gut eingerichtet sein: Sobald ein Angreifer direkten Zugriff auf den eigenen Computer hat, liegen (spätestens nach dem Ausbau der Festplatte) alle Daten offen. Schützen kann man sich nur mit Verschlüsselungs-Software, die wir hier vorstellen wollen.

Verschlüsseln

Gerade wenn es um eine größere Anzahl von Dateien geht, ist es sinnvoll, nicht alle Files mühsam einzeln zu chiffrieren, sondern gleich ein verschlüsseltes Dateisystem anzulegen. Glücklicherweise ist dafür keine eigene Partition nötig, denn über das Loopback-Device können auch normale Dateien als blockorientierte Geräte (wie z. B. Festplattenpartitionen) gemountet und während des “Durchschleifens” nebenbei noch verschlüsselt werden. Leider unterstützt der Standard-Loop-Treiber wegen der kryptographischen Exportbeschränkungen einiger Länder von Haus aus nur einen XOR-Algorithmus, der mit etwas Glück vor neugierigen Geschwistern schützt, nicht aber vor versierten Angreifern. Deshalb ist es nötig, den Treiber mit Patchesum weitere Chiffren zu erweitern.

Die beste Möglichkeit dazu bot lange Zeit das Projekt International Kernel Patch alias CryptoAPI [1], welches den Kernel um viele Algorithmen erweitert und somit u. a. verschlüsselte Dateisysteme ermöglicht. Allerdings ist die Entwicklung von CryptoAPI seit dem Erscheinen von Linux 2.4 nur sehr schleppend vorangegangen und die Installation vergleichsweise kompliziert. Die durch den Stillstand entstandene Lücke wurde allerdings schnell von Loop-AES [2] geschlossen, das sich – wie der Name schon sagt – auf AES als Chiffre beschränkt. AES (Advanced Encryption Standard) trug ursprünglich den schönen Namen Rinjdael und wurde nach monatelanger Untersuchung vom National Institute of Standards and Technology (NIST) und vielen anderen Kryptoanalytikern zum Nachfolger von DES bestimmt; der Algorithmus ist also relativ vertrauenswürdig.

Bevor Loop-AES installiert werden kann, muss der Kernel-Quellcode unter /usr/src/linux entpackt, konfiguriert und kompiliert werden, da Loop-AES Zugriff auf die ungepatchte Version von loop.c und einige Einstellungen des Kernels braucht. Bei der Konfiguration des Kernels ist zu beachten, dass Module an sich bzw. der Kernel Module Loader aktiviert und der Loopback device support unter Block Devices deaktiviert werden müssen. Nachdem der neue Kernel mitsamt seinen Modulen installiert ist, kann Loop-AES in einem eigenen Verzeichnis entpackt und mit make kompiliert werden. Der bestehende Kernel-Quelltext wird dabei nicht verändert, da Loop-AES nur eine lokale Kopie von loop.c patcht (bzw. auf eine bereits gepatchte Version zurückgreift) und diese dann als Modul installiert. Leider reicht die AES-Unterstützung im Kernel allein nicht aus – auch die Programme mount, losetup und swapon müssen angepasst werden. Letzteres Programm wird allerdings nur benötigt, falls eine verschlüsselte Swap-Partition eingesetzt werden soll. Die Programme sind allesamt Teil von Util-Linux, das sich unter [3] findet. Die heruntergeladene Version des Archivs muss dabei dem Patch von Loop-AES entsprechen, damit das Kompilieren funktioniert. Falls die Patches in einem anderen Verzeichnis liegen, muss der Pfad dementsprechend angepasst werden.

patch -p1 < ../util-linux-2.11y.diff
export CFLAGS=-O2
./configure
make SUBDIRS="lib mount"

Danach befinden sich die benötigten Programme im Unterverzeichnis mount. Es ist davon abzuraten, die Programme tatsächlich unter /bin bzw. /sbin zu installieren, also die ursprünglichen Versionen zu überschreiben, da dadurch Konflikte mit dem Rest des Systems entstehen können. Sicherer ist es, die Programme unter alternativen Namen zu installieren:

install -m 4755 -o root mount /bin/aes-mount
install -m 4755 -o root umount /bin/aes-umount
install -m 755 losetup /sbin/aes-losetup

Diese Vorgehensweise hat auch den Vorteil, dass die Programme nicht bei jedem System-Upgrade überschrieben werden. Einziger Nachteil ist, dass die Test-Routine make tests im Loop-AES Verzeichnis nichts von den alternativen Namen weiß und somit immer eine Fehlermeldung ausgibt.

Jetzt ist es endlich soweit, und das verschlüsselte Dateisystem kann angelegt werden. Dazu erstellt man zuerst eine neue Datei, die später das verschlüsselte Dateisystem enthalten soll. Alternativ kann auch eine Festplattenpartition benutzt werden; dann entfällt der folgende Schritt. Da sich die Datei nicht nachträglich vergrößern lässt, darf sie ruhig etwas umfangreicher ausfallen:

dd if=/dev/urandom of=./geheim bs=1024k count=20

Mit diesem Befehl werden Zufallsdaten aus /dev/urandom in die Datei ./geheim geleitet, wobei sich die Größe aus dem Produkt von bs und count ergibt – in unserem Beispiel sind das 20 MB. /dev/urandom nutzt genau wie /dev/random diverse systeminterne Ereignisse, um Zufallsdaten zu generieren. Während /dev/random aber blockiert, sobald nicht mehr genug Ausgangsdaten vorhanden sind, wird die Ausgabe von /dev/urandom über einen Pseudozufahlszahlengenerator (PRNG) weiter gefüttert, was für unsere Zwecke mehr als ausreicht. Im nächsten Schritt wird das Loopback-Device /dev/loop1 eingerichtet. Falls eine Partition verschlüsselt werden soll, muss statt der Datei das entsprechende Device (z. B. /dev/hdb7) angegeben werden. Dabei gehen natürlich alle auf dieser Partition gespeicherten Daten verloren.

aes-losetup -e AES128 -T /dev/loop1 ./geheim

losetup sollte jetzt nach einem Passwort aus mindestens 20 Zeichen fragen. Benutzt man statt AES128 die Variante mit 192- oder 256-Bit-Schlüsseln, steigt die Mindestlänge der Passphrase auf 32 bzw. 43 Zeichen. Sobald das Passwort akzeptiert wurde, kann auf dem eingerichteten Device ein Dateisystem erstellt und das Gerät danach wieder abgemeldet werden:

mkfs -t ext2 /dev/loop1
aes-losetup -d /dev/loop1

Andere Dateisysteme sind natürlich auch möglich, aber ext2 ist in diesem Kontext die beste Wahl. Zum Schluss muss noch ein Eintrag in die Datei /etc/fstab hinzugefügt werden, um in Zukunft das Mounten zu erleichtern – der angegebene Mountpointist natürlich frei wählbar:

/verzeichnis/geheim /mountpoint ext2 defaults,noauto,loop=/dev/loop1,encryption=AES128 0 0

Mit dem entsprechenden Passwort sollten Sie auf das Dateisystem jetzt via aes-mount /mountpoint zugreifen können.

Vernichten

Bevor jetzt aber alle geheimen Daten auf das verschlüsselte Dateisystem verschoben werden, sollte man sich Gedanken darüber machen, wie man die unverschlüsselten Dateien wirkungsvoll vernichtet. Es reicht nämlich bei weitem nicht aus, sie zu löschen, da eine gelöschte Datei nur zum Überschreiben freigegeben ist. Auch wenn sie nicht mehr im Dateisystem angezeigt wird, befinden sich die Daten noch auf der Festplatte und lassen sich mit geringem Aufwand wiederherstellen. Etwas schwieriger wird es, wenn die Daten überschrieben wurden, doch mit Hilfe von hochauflösenden Mikroskopen lassen sich selbst noch nach mehrmaligem Überschreiben Daten extrahieren, da die Genauigkeit der Leseköpfe nur bis zu einem gewissen Grad reicht und so an den Rändern der magnetisch kodierten Bits Spuren ihrer Vorgänger zurückbleiben. Deshalb ist es nötig, die ursprünglichen Daten wiederholt mit zufälligem Rauschen und speziell auf die verschiedenen Datenkodierungsverfahren zugeschnittenen Mustern zu überschreiben, bevor sie wirklich unwiederbringlich gelöscht sind.

Für diesen Zweck sind besonders Wipe [4] und Secure Delete [5] zu empfehlen, wobei sich dieser Artikel auf die Wipe-Version von Berke Durak und nicht auf das gleichnamige Programm von Tom Vier [6] bezieht.

srm, Secure Deletes Pendant zu rm, überschreibt jede Datei standardmäßig 38 mal, während Wipe sich mit 34 Durchläufen begnügt; ob die vier Extradurchläufe einen großen Unterschied machen, ist zu bezweifeln. Beide Programme ändern weiterhin den Namen der Datei, um auch den Dateinamen zu vernichten, und sind in der Lage, Verzeichnisse rekursiv abzuarbeiten. Es ist auch jeweils ein schneller (aber unsicherer) Modus vorhanden, der bei Wipe mit dem Parameter -q und bei srm mit -f aktiviert wird.

Der größte Unterschied zwischen den beiden Lösungen sind die Programme, die Secure Delete neben srm mitbringt. So lässt sich mit sfill der gesamte freie Platz einer Partition sicher leeren, und swap löscht auch den Swap-Inhalt, der sonst leicht aus dem Hauptspeicher ausgelagerte Informationen preisgeben könnte. Für extrem paranoide Nutzer bietet smem zusätzlich die Möglichkeit, den Hauptspeicher selbst zu überschreiben.

Verstecken

Auch wenn mit Hilfe von kryptographischen Programmen der Inhalt einer Nachricht inzwischen recht gut vor Außenstehenden geschützt werden kann, hat eine verschlüsselte Datei oder E-Mail immer noch den Nachteil, dass sie in der Flut von Klartextnachrichten auffällt und womöglich erst das Interesse eines Lauschers weckt. Hilfe bietet da die Steganographie (die Kunst des verdeckten Schreibens), welche Informationen in einem unauffälligen Trägermedium wie z. B. einem Bild versteckt, ohne dass dadurch erkennbare Änderungen entstehen würden.

Besonders beliebte Verstecke sind JPEGs und andere Bildformate, weil sie gleichzeitig unauffällig und groß genug sind, um geheime Daten zu transportieren. Das einfachste, und wahrscheinlich deshalb auch am meisten verbreitete Verfahren, um Daten in unkomprimierten Bildformaten wie BMP einzubetten, ist dabei, die niederwertigsten Bits der RGB-Werte (siehe Kasten 1) zu verändern, was immerhin drei Bit pro Bildpunkt Speicherplatz ermöglicht. Es werden ausschließlich die niederwertigsten Bits verändert, da diese den kleinsten Einfluss auf den eigentlichen Farbwert haben und das Bild daher nur um nahezu unsichtbare Farbnuancen verändert wird. Bei JPEGs ist das Ganze etwas komplizierter, weil das Bild nicht einfach Pixel für Pixel gespeichert, sondern mittels der sogenannten diskreten Cosinus-Transformationin Frequenzkoeffizienten zerlegt wird. Diese werden wiederum quantisiert, wobei die hochfrequenten Koeffizienten (vom Auge kaum wahrgenommene Details) auf Null gerundet werden. Hierbei fällt ein Teil der Bildinformationen weg, weshalb man JPEG auch als verlustbehaftete Komprimierungsmethode bezeichnet. Da das Bild anschließend noch (verlustfrei) komprimiert wird, ist es nicht so einfach wie z. B. bei BMPs, unbemerkt an den Bytes etwas zu ändern. Stattdessen werden die niederwertigsten Bits der einzelnen Koeffizienten vor der verlustfreien Komprimierung des Bildes überschrieben.

Nicht nur in der Kryptographie, auch in der Steganographie findet ein ständiger Wettlauf zwischen neuen Algorithmen und neuen Analyseverfahren statt. So wurde neben einer visuellen Attacke auch ein statistischer Weg gefunden, die oben beschriebene Methode zu brechen. Ausgenutzt wird dabei die Tatsache, dass es zu einer untypischen Verteilung der Farbwerte in den Bildern kommt.

Eine mögliche Antwort auf diese Entwicklung ist das Programm OutGuess [7], das die statistische Verteilung der Frequenzkoeffizienten nicht ändert und somit resistent ist. Praktisch bedeutet diese Strategie, dass für jeden im Wert veränderten Frequenzkoeffizienten ein anderer in umgekehrter Weise ersetzt wird. Wenn also an einer Stelle aus einer 2 eine 3 wird, macht OutGuess an einer anderen eine 3 zu einer 2. Ebenfalls unbetroffen sind das in Java geschriebene F5 [8], bei dem nicht einfach Bits überschrieben, sondern die Beträge der Koeffizienten dekrementiert werden, und das Tool JPHS [9], auf das wir hier nicht näher eingehen wollen.

Auch wenn sich die mathematischen Methoden unterscheiden, ist die Bedienung der oben genannten Programme sehr ähnlich: Es werden jeweils ein Trägerbild, die Datei mit den zu versteckenden Daten und und ein Passwort angegeben, mit dem die Daten noch zusätzlich verschlüsselt werden. Die zusätzliche Verschlüsselung ist nötig, da sich die versteckte Datei sonst unabhängig von der Stärke des Algorithmus’ einfach durch Aufruf des Programms enttarnen lassen würde.

Zu beachten ist weiterhin, dass keine Grafik mehrmals verwendet werden darf und dass zu dem Bild kein Original im Internet oder an einer anderen öffentlich zugänglichen Stelle existieren sollte, da die steganographische Nachricht sonst durch bloßes Vergleichen mit dem Original extrahiert werden könnte. Hat man also ein passendes Bild gefunden, kann man die Informationen mit den folgenden Befehlen einbetten:

outguess -k "Bigger is Better" -d geheim.txt mein.jpg mein2.jpg

Um das Programm F5 einsetzen zu können, muss ein Java Runtime Environment installiert sein. Der Aufruf sieht dann folgendermaßen aus:

java -mx40M -classpath $CLASSPATH:/usr/local/f5 Embed -e geheim.txt -p "Bigger is Better" mein.jpg mein2.jpg

Die Umgebungsvariable $CLASSPATH enthält den Pfad zu den Klassen des Java Runtime Environments, und /usr/local/f5 ist das Verzeichnis, in dem das Programm F5 liegt. Falls Suns bzw. Blackdowns JRE 1.4 installiert ist, sollte der Aufruf auch ohne $CLASSPATH: funktionieren. Die Extraktion der geheimen Nachricht funktioniert analog zur Einbettung:

outguess -k "Bigger is Better" -r mein2.jpg geheim2.txt

Oder mit dem Tool F5:

java -mx40M -classpath $CLASSPATH:/usr/local/f5 Extract -e geheim2.txt -p "Bigger is Better" mein2.jpg

Leider existieren auch für F5, OutGuess und JPHS schon wieder frische mathematische Ansätze, mit denen sich die Algorithmen knacken lassen. Die Autoren der jeweiligen Programme werden sicherlich darauf reagieren – fast sicher ist, dass die prozentuale Einbettungskapazität in der nächsten Software-Generation weiter sinken wird. Deshalb bietet sich als alternatives Trägermedium eine MP3-Datei an, die auch bei Einbettungskapazitäten von weit unter einem Prozent noch genügend Platz bietet. Diesen Vorteil nutzt das Programm MP3Stego, das Nachrichten während des Kodierens im MP3 versteckt [10]. Eingebettet bzw. extrahiert wird mit den folgenden Kommandos, wobei darauf zu achten ist, dass die WAV-Datei in 16 Bit vorliegt:

encode_ix86 -E geheim.txt mein.wav mein.mp3
decode_ix86 -X mein.mp3 mein2.wav geheim2.txt

MP3Stego besteht darauf, neben den versteckten Daten auch die ursprüngliche WAV-Datei (bzw. das, was davon nach der Komprimierung noch übrig ist) auszugeben. Unterbinden lässt sich dieses “Feature”, indem man statt mein2.wav/dev/null angibt.

Ein überzeugendes Feature von MP3Stego ist übrigens, dass keine Passphrase als Parameter beim Programmaufruf gesetzt werden muss, sondern nach Programmstart abgefragt wird. Allen anderen Tools fehlt diese Option leider – das gesetzte Passwort landet damit in der Historyder eigenen Shell. Wer sein Passwort also geheimhalten will, sollte vorher die (Bash-) History mit unset HISTFILE für den Rest der Sitzung deaktivieren.

Abbildung 1: Für F5 existiert auch ein grafisches Frontend

Paranoia für Fortgeschrittene

Bei all der Verschlüsselung sollte man sich bewusst machen, dass weder AES noch irgend ein anderer kryptographischer Algorithmus (außer dem sehr unpraktischen One-Time-Pad) mathematisch beweisbar sicher ist, sondern diese nur den bisherigen Versuchen der internationalen Kryptoanalytiker-Gemeinde widerstehen konnten. Außerdem reicht es bei weitem nicht, den Algorithmus isoliert zu betrachten – das schwächste Glied befindet sich oft an einer völlig anderen Stelle im System. So kann ein im Computer versteckter Keylogger oder eine geschickt positionierte Kamera alle eingegebenen Daten inklusive des PGP/GPG-Mantras ausspähen und damit sämtliche Sicherheitsmaßnahmen umgehen.

Ein weiterer Schwachpunkt handelsüblicher Computer-Systeme ist die elektromagnetische Abstrahlung, die von praktisch allen Komponenten eines PCs (insbesondere vom Monitor) ausgeht. Wie gut sich diese Abstrahlungen selbst mit einfachsten Mitteln empfangen lassen, veranschaulicht das Programm Tempest for Eliza [11], das durch spezielle Muster auf dem Bildschirm Weltempfänger-taugliche Melodien im Kurzwellenbereich emittiert. Es ist zwar möglich, den Raum zu isolieren, in dem der Computer steht – allerdings breiten sich die Signale auch über jedes Kabel aus, was eine Isolierung extrem aufwendig macht. In dem isolierten Raum sollte also nach Möglichkeit nur ein Laptop stehen, auf dem am besten Tinfoil Hat Linux [12] läuft. Diese Distribution passt praktischerweise auf eine einzelne Diskette und bringt neben GPG auch (Tom Viers) Wipe mit. Gegen Keylogger schützt das enthaltene gpggrid, welches das Mantra buchstabenenweise aus einer zufällig erstellten Matrix wählen lässt. Außerdem aktiviert die “Paran0id”-Option im Tinfoil-Menü einen extrem kontrastarmen Farbmodus, der Beobachtern das Leben schwer (bzw. Optiker glücklich) macht, und sie lässt GPG im Hintergrund ständig Dateien verschlüsseln, um von der eigenen GPG-Instanz abzulenken.

Ebenfalls nützlich für Situationen, in denen selbst dem eigenen Bildschirm nicht mehr getraut werden kann, ist morseblink, mit dessen Hilfe sich Nachrichten über die LEDs des Keyboards morsen lassen. Im “Paran0id”-Modus wird morseblink genutzt, um Zufallsdaten zu morsen und somit die verräterische Abstrahlung der Tastatur zu überlagern. Eine Textdatei kann im Standard-Modus mit folgenden Kommando gemorst werden:

cat text | morseblink

Zu guter Letzt empfiehlt das Tinfoil Hat README noch eine Mütze aus Aluminiumfolie [13], um auch die eigenen Gedanken vor fremden Einflüssen zu schützen – die Ernsthaftigkeit der Distribution ist allerdings spätestens an diesem Punkt zu bezweifeln.

Abbildung 2: gpggrid schützt vor Keyloggern – wenn auch auf eine recht umständliche Art