Sonntag, 17. März 2013

Das Ding mit der Nachvollziehbarkeit

Eine Lüge muss nur oft genug wiederholt werden. Dann wird sie geglaubt.
Ich bin (bzw. war bis vor kurzem) Informatik-Student. Ich interessiere mich seit über 4 Jahren für Kryptografie. Ich habe beginnend mit dem Alter von 15 Jahren mit Computern viele Dinge getan die rückblickend nicht alle klug waren. Als andere Jugendliche sich mit Freunden getroffen haben hing ich am Rechner und habe meinen Vater geärgert der das lokale Netzwerk zu sichern versuchte wie Fort Knox. (Er hat übrigens versagt.) Computersicherheit ist eines meiner Steckenpferde. Penetration Testing ist für mich keine Sexualpraktik. Ich habe ein Faible für (aus den Augen des Normalsterblichen) etwas abgefahrene juristische Themen wie das Grundgesetz.

Man sollte meinen mit dieser Liste falle ich in den Bereich eines "Experten", zumindest im Bezug auf Dinge wie die Überprüfung von Ergebnissen elektronischer Datenverarbeitung. Doch ständig erklären mir irgendwelche Leute (die teilweise in ihrem Leben noch keine Konsole aus der Nähe gesehen haben), dass ich das Ganze eigentlich nicht verstanden habe...

Jedes System ist knackbar. Selbst eine physische Trennung ist manchmal kein ausreichender Schutz gegen Hackerangriffe, wie die Iraner - sehr zum Leidwesen ihrer Zentrifugen - vor gar nicht allzulanger Zeit feststellen mussten. Ein Server mit Internetanschluss, Standard Opensource-Software und durchschnittlich paranoiden Administratoren ist gegen gezielte Angriffe nach meinem Kenntnisstand so gut wie nicht zu schützen. Üblicherweise laufen solche Angriffe so ab, dass irgendwo Schadsoftware auf den Webseiten auftaucht, ein Admin bemerkt, dass was nicht stimmt und dann ein Backup einspielt. Selbst moderne IDS sind nicht jeder Herausforderung gewachsen.
Und jetzt kommen wir zum fiesesten Punkt: Während die Verteidigungsmaßnahmen an einem Server 24 Stunden an 7 Tagen die Woche und 365 Tagen im Jahr jedem Angriff standhalten müssen, reicht ein einziger erfolgreicher Angriff einem Hacker aus um vollen Zugriff auf das angegriffene System zu erhalten.

Backups sind nicht ausschließlich ein Schutz vor Hardwarefehlern. Backups schützen auch vor dem unvermeidbar möglichen Erfolg eines Hackerangriffs.
Backups helfen uns aber nicht wenn ein E-Voting System angegriffen wurde.

Alle E-Voting Schemata die von Experten (Diplominformatiker, Doktoren der Informatik, etc.) entwickelt wurden setzen auf ein der elektronischen Datenverarbeitung übergeordnetes abstraktes Informationsmodell um Manipulationen zu erkennen. Mal sind es sogenannte "pre shared secrets" (dt.: "vorher verteilte Geheimnisse") die meist riesige Zufallszahlen sind, mal sind es komplette Verschlüsselungsverfahren mit öffentlichen und geheimen Schlüsseln und mal beinhalten sie sogenannte "blinde Signaturen" (eine Stelle kann einen Inhalt digital signieren ohne den Inhalt lesen zu können). Alle haben sie eines gemeinsam: Der Experte kann anhand seiner Erfahrung und seines Fachwissens eine Manipulation mit an Sicherheit grenzender Wahrscheinlichkeit ausschließen.
Ganz ausschließen kann man Manipulation natürlich niemals, nur extrem unwahrscheinlich machen.

Die Manipulationswahrscheinlichkeit bei einem System das kein übergeordnetes Informationsmodell einsetzt ist im Vergleich dazu astronomisch hoch.

Klarnamen (oder eine beliebig harte Abstraktion davon) sind kein geeignetes übergeordnetes Informationsmodell. Transparenz funktioniert (wie die Entwickler dieses Konzepts inzwischen selbst zugaben) ausschließlich dann, wenn ein Identifikationsmerkmal verwendet wird das allen anderen Teilnehmern gegenüber eindeutig eine Person identifiziert. Ein bloßer Vor- und Nachname reicht da gar nicht aus... Und selbst die bloße Eindeutigkeit genügt nicht, die Person muss auch noch allen anderen Benutzern gegenüber bekannt sein!
Es mag sich jeder ausmalen wie gut dieses Konzept schon in einem Landesverband mit ein paar hundert Mitgliedern funktioniert, geschweige denn in einem Landesverband mit weit über 1000 Mitgliedern oder gar dem Bundesverband...

Ich hatte über die theoretischen Angriffsmöglichkeiten und die Mängel schon hier gebloggt: Warum Transparenz und Klarnamen als Sicherheitsmechanismus ungeeignet sind.

Selbst ich, als einigermaßen im Bereich der Computersicherheit erfahrene Person, bin nicht in der Lage diese Probleme zu lösen und eine eindeutige Antwort auf die Frage "Wurde meine Stimme manipuliert oder nicht?" zu finden...
Selbst wenn man mir unmittelbar nach der Beschwerde Vollzugriff auf den Server geben würde könnte ich diese Frage nicht beantworten außer mit der Formulierung: "Die Wahrscheinlichkeit, dass eine Manipulation stattgefunden hat liegt unter Berücksichtigung aller vorhandenen Daten und in Abhängigkeit von der Qualität des Gedächtnisses des Benutzers bei 33% oder höher."

Ich persönlich halte 33% nicht gerade für "verschwindend gering"...

Keine Kommentare:

Kommentar veröffentlichen