Hacker gegen Schnüffler

Abhörsicher Telefonieren auf dem Linux-Kongress in Erlangen

Die Secure Telefony Group ist ein loser Zusammenschluß von Leuten aus dem Umfeld der Uni Erlangen, die sich für "Datenschutz durch Technik" interessieren.

Im September fand an der Uni Erlangen der 7. internationale Linux Kongress statt (www.linux-kongress.de). Wir von der "Secure Telefony Group" nutzten die Gelegenheit, an einem Stand zum Thema "Abhören", und wie man sich dagegen schützen kann, zu informieren.

Selber mal Abhören - am Modell

Wie Abhören tatsächlich funktioniert, kann sich kaum Jemand vorstellen. Unsere Idee war, es an einem Modell mit Telefonen und Telefonleitung einfach vorzuführen. Deshalb durfte jeder selber mal probieren und Geheimdienst spielen.

Als zweiter Schritt zeigten wir, wie ein Computer mit Modem und Soundkarte als abhörsicheres Telefon zweckentfremdet wird: Die freie Software "nautilus" machts möglich. Dabei war sehr anschaulich, daß während des Telefonats mit "nautilus" die Abhörschaltung nur noch Rauschen von sich gab. Auch wenn das Rauschen vom Modem erzeugt wurde, und allein noch nichts über Sicherheit beweist, vermittelt es doch eine Vorstellung davon, was die Lauscher der Geheimdienste zu hören bekommen. Eindeutiger Höhepunkt war ein Telefonat mit einem Erlanger Informatikstudenten, der zur Zeit in Texas studiert. Auf einer Wandzeitung informierten wir über Hintergründe.

Hintergrundinformationen
zum Thema

Die USA betreiben zusammen mit England, Kanada, Australien und Neuseeland des weltweite Abhörsystem Echelon (siehe http://www.heise.de/tp/deutsch/special/ech/, Was Lefft 180).

Dieses System erlaubt weltweit massenhaft Telefonate, Faxe und E-Mails aufzunehmen, und per Computer nach "Interessantem" zu suchen, das dann von Angestellten der beteiligten Geheimdienste ausgewertet wird. Vieles spricht dafür, daß die Analysecomputer nicht nur Faxe und E-Mails, sondern auch aufgezeichnete Telefongespräche nach Schlüsselwörtern durchsuchen können, Erkennung von Sprechern ist heute schon möglich.

Ein Patent mit der Nummer 5.937.422, das die NSA am 10. August 2000 anmeldete, zeigt, daß die NSA schon vor zwei Jahren (zum Zeitpunkt der Antragstellung) in der Lage war, Inhalte von Telefongesprächen in allen Sprachen computergesteuert auszuwerten. Neu ist der in dem Patent enthaltene Hinweis, dass die aufgezeichneten Gespräche vollautomatisch, in nach vorgegebenen Themen angelegte Dateien eingeordnet werden können, selbst wenn in dem abgefangenen Gespräch so genannte Schlüsselwörter nicht fallen.

Bislang hatten Fachleute die Auffassung vertreten, ein Teil der rund 27.000 NSA-Mitarbeiter sei damit beschäftigt, aufgezeichnete Gespräche abzuhören und erst nach der Auswertung manuell in Dateiablagen einzuordnen. (FAZ, 9. 12. 1999)

Ein Geheimdienstler kann so am Tag Zehntausende potentiell interessante Verbindungen überwachen. Die Geheimdienste des Echelon Verbundes haben Zehntausende von Angestellten, so daß täglich viele Millionen Gespräche überwacht werden können.

Wegen dieser massenweisen Abhöraktivitäten hat die Europaabgeordnete Ilka Schröder (Grüne) nun Strafanzeige gegen "Unbekannt, möglicherweise auch die Bundesregierung" gestellt. Siehe dazu auch das Interview. Wir drucken die Strafanzeige mit ab, bitte überlegt euch, ob ihr euch anschließen wollt. ( Wortlaut der Anzeige (www.ilka.org/presse/pms18.html), Pressemitteilung: /www.ilka.org/themen/infotech5.html

Wer heute Vertrauliches am Telefon besprechen will, kann also nicht auf den Rechtstaat vertrauen, sondern sollte sich nach dem Motto: "Datenschutz durch Technik" nach abhörsicheren Telefonen umsehen.

Abhörsicher Telefonieren:
Welche Möglichkeiten gibt es ?

Von Siemens gibt es zum Beispiel für mehrere Tausend Mark Geräte, die man zwischen Telefondose und Telefon klemmt. Nach unseren Informationen meldet Siemens jeden Käufer an das "Bundesamt für die Sicherheit im Informationswesen" (die frühere Zentralstelle für das Chiffrierwesen des Bundesnachrichtendienstes). Warum Siemens das tut, ist unklar, vielleicht, weil der BND Großkunde ist? Eigentlich sollte man das mal unter dem Gesichtspunkt der illegalen Weitergabe persönlicher Daten untersuchen.

Auch eine Gruppe, die dem Chaos Computer Club nahesteht, entwickelt ein solches Gerät, aber dort wird alles offengelegt: Schaltbilder, Baupläne, Programmquellen sind schon jetzt im Internet abrufbar. Das Gerät soll einmal um die 300 DM kosten. Und gemeldet wird natürlich nichts, wer ganz sicher gehen will, kann das Gerät selber bauen.
( http://www.mms.de/~hakko/hlb)

Statt ein solches Gerät zu kaufen, kann man zwischen verschiedenen Programmen auswählen, die den Computer zum Verschlüsselungsgerät machen.

Von Phil Zimmermann, dem Autor des Verschlüsselungsprogrammes "pgp" gibt es ein "pgpfone" für Windows PCs und Mac. Der Quellcode ist inzwischen veröffentlicht, es handelt sich aber nicht um freie Software. Pgpfone kann über Internet und Modem arbeiten, und benötigt keine vorher ausgemachten Passworte. Wer auf Linux oder kommerziellen Einsatz verzichten kann, ist mit diesem Programm vermutlich am Besten beraten.

Die freie Software "speak freely" ist ein reines Internet-Telefon für Unix/Linux und Windows. Zur Verschlüsselung muß entweder ein Paßwort eingegeben werden, oder beide Seiten müssen kompatible PGP-Versionen installiert haben. Dadurch ist das Gerät vor Allem in geschlossenen Benutzergruppen sinnvoll einsetzbar. Speak freely ermöglicht auch gesicherte Telefonkonferenzen.

Auf dem Linux-Kongress führten wir die freie Software "nautilus" vor. Das Programm arbeitet unter Unix/Linux und unter Windows, leider kann zur selben Zeit immer nur eine Seite sprechen, das ist etwas spartanisch. Nautilus kann sowohl über das Internet als auch (unter Linux) über Modem und Telefonleitung arbeiten.

Nautilus wurde von einer Gruppe engagierter Programmierer in den USA geschaffen, die die Weiterentwicklung jetzt an unsere Gruppe übergeben haben. (Projekt-Hompage: www.franken.de/crypt/nautilus).

Zur Sicherheit von Krypto-Telefonie

Da wir uns nur das Programm Nautilus genauer angesehen haben, sind unsere Aussagen zur Sicherheit der anderen Programme mit etwas Vorsicht zu betrachten.

Die Verschlüsselung von Telefoniedaten funktioniert grundsätzlich ähnlich wie die Verschlüsselung von emails mit "PGP" und ist auch vergleichbar sicher. Wem diese Auskunft reicht, kann den Rest dieses Kaptitels überspringen.

Von allen Programmen liegen auch Programmquellen vor, so daß eine "Hintertüre" irgendwann entdeckt werden würde. Die Programme verwenden bewährte "symmetrische Verschlüsselungsverfahren" wie "IDEA", "blowfish" oder "Triple DES".

Diese Verfahren sind offengelegt und seit Jahren versuchen Wissenschaftler diese Verschlüsselungen zu "brechen" - ohne Erfolg. Diese Verfahren dürfen deshalb als sehr sicher gelten.

Einfach Abhören und nach Schlüsselworten suchen sollte daher für die Geheimdienste nicht mehr möglich sein.

Die Sicherheit einer verschlüsselten Verbindung basiert auf einer langen und geheimen Zahl, dem sogenannten "Schlüssel". Je länger, desto sicherer, 128 bit sollten es schon sein.

Da der Schlüssel geheim bleiben muß, kann man ihn sich natürlich nicht per Telefon durchsagen. Um dieses Problem zu lösen, bieten "PGPfone" und "nautilus" die Möglichkeit, mit einem trickreichen mathematischen Verfahren namens "Diffie-Hellmann key exchange" automatisch einen geheimen Schlüssel zu vereinbaren, der nach dem Telefonat weggeworfen wird.

PGP user, die sich jetzt an öffentliche Schlüssel erinnern, haben recht: Das Prinzip ist dasselbe. Und genauso, wie man öffentliche PGP Schlüssel gefahrlos veröffentlichen kann, ist es ungefährlich, wenn dieser Austauch abgehört wird.

Wenn es allerdings gelingt, die Verbindung zu unterbrechen, und sich in die Mitte zu setzen (sog. "man in the middle attack"), dann kann man theoretisch mithören.

Um eine solche "man in the middle attack" zu entdecken, zeigen nautilus und PGPfone am Anfang des Gesprächs eine Prüfsumme an. Die sollte man sich gegenseitig vorlesen: Wenn beide Seiten die gleiche Prüfsumme haben, und die Stimme des Gegenübers echt klingt, ist Alles in Ordnung. Das ist ziemlich sicher, denn um unentdeckt zu bleiben, müßte der Mithörer bzw. sein Supercomputer die Stimmen nachahmen können und merken, wann die Prüfsummen vorgelesen werden, damit er im richtigen Moment jeweils dem anderen die falsche Nummer vorlesen kann. Er müßte mit anderen Worten schon verdammt gut sein. Wer sich im Fadenkreuz der Geheimdienste befindet, sollte sich also eher über Abhörwanzen in seiner Wohnung oder Viren auf seinem PC Gedanken machen, als über mögliche Sicherheitslöcher der hier besprochen Programme.

Weitere Infos, und die Programme zum Download finden sich auf der Homepage der Secure Telephony Group an der Uni Erlangen:

www1.informatik.uni-erlangen.de/secfone/