Sorry, you need to enable JavaScript to visit this website.

Passwörter her ... oder was?

Submitted on Mon, 12/16/2019 - 17:20

Der jüngste Entwurf der Regelung zur Bekämpfung der Haßkriminalität aus dem Bundesjustizministerium will Unternehmen wie Google oder Facebook  dazu zwingen, Kundendaten wie zum Beispiel Paßwörter herauszugeben(1).

Da spricht (wenn das wirklich so gefordert wird) nicht unbedingt der reine Sachverstand: Google, Facebook oder E-Mail-Anbieter können die Passwörter nicht einfach „herausgeben“.

Die Passwörter werden nicht als solches gespeichert, sondern über kryptografische Verfahren in einen Hash umgewandelt, eine scheinbar zufällige Zeichenkette definierter Länge. Das ist eine Einweg-Funktion - eine Funktion also, die nach dem aktuellen Stand der Dinge nicht umkehrbar ist.

Von einem Hash String kann man daher nicht ohne weiteres auf das Passwort schliessen. Dem Passwort werden vor der Berechnung des Hashes zudem standardmässig einige Zufallszeichen hinzugefügt, der sogenannte Salt, der unverschlüsselt, lediglich codiert im Base 64 Format,  zusammen mit dem Hash gespeichert wird.

Meldet sich jemand erneut an, so wird die gleiche Funktion unter Verwendung des gleichen Salt auf das eingegebene Passwort erneut angewendet und das Ergebnis verglichen. Stimmt das Ergebnis nicht überein, so war das Passwort falsch.

Wenn Google & Co. trotzdem in der Lage sein sollen, auf Anforderung die „Passwörter herauszugeben“, so müssen die Passwörter mit Benutzernamen mitgeschnitten und im Klartext gespeichert werden. Alternativ könnte man sie zukünftig „ungesalzen“ (bzw. mit immer dem gleichen Salt) in Hashcodes umrechnen, sodass das zugehörige Passwort mit einer Rainbow-Table – vorermittelte Hashes für Milliarden von Passwörtern -  verglichen werden kann.

Alternativ dazu könnte man auch eine Funktion implementieren, um in Ausnahmefällen die Passwortabfrage zu umgehen - natürlich nur für die Justiz! 

Mit allen drei Optionen würde man sich nicht nur krasse Sicherheitsrisiken einhandeln;  es widerspräche vermutlich auch den Forderungen der gerade erst verabschiedeten DSGVO und würde zudem die Konformität mit Normen wie PCI oder SOX in Frage stellen, denen viele der betroffenen Unternehmen unterliegen dürften.

Aber was soll’s, nach meinen letzen Erlebnissen mit der Justiz wundert mich nichts mehr. Falls der Gesetzentwurf scheitert, ist vielleicht folgendes Zitat ein kleiner Trost für die Bundesjustizministerin:

"Nur in der Diktatur ist die Arbeit von Polizei und Justizbehörden einfach." - Alexander Shulgin in einer Vorlesung über den War on Drugs

Ausserdem bleibt immer noch die Hoffnung, einmal mehr einer Zeitungsente aufgesessen zu sein. Vielleicht kommt ja schon bald die Entwarnung...21...22...23...

 

Nachtrag:


Mon, 16.12.19: "Das Ministerium betonte am Montag, künftig müsse ein Richter entscheiden, ob ein Passwort angefordert werden dürfe..."

Di, 17.12.19: "Eine solche Pflicht für die Provider, Passwörter zu entschlüsseln, wenn Staatsanwaltschaften sie dazu auffordern, gibt es nicht und wird es auch künftig nicht geben."

Di, 25.2.20: Das Gesetz steht nun doch vor der Verabschiedung durch den Deutschen Bundestag - inklusiver der Pflicht, ggf. "Passwörter herauszugeben" - und die Oppositionsparteien lassen es wohl lieber geschehen als wenigstens in dieser Sache einmal zusammenzufinden. 

Eine interessante Überlegung liefert die DWN : "Möglicherweise vertrauen die Autoren des Gesetzes darauf, dass sich die Unternehmen nicht an geltendes Recht halten oder die Behörden verfügen bereits über Techniken, um verschlüsselte Passwörter zu entschlüsseln."  

Dass die Verschlüsselungsalgorithmen Open Source sind und eingebaute Hintertürchen daher schnell erkannt würden, wäre wohl belanglos, falls irgendein schlauer Kopf das Problem der Primfaktorzerlegung für die Geheimdienste längst gelöst hat - sehen wir einen neuen Skandal wie um die schweizerische Crypto AG?

 

Quellen:


(1) Lt. Berichten z.B. auf Heise.de