Crypto Wars 2.0: Let the Trolling Commence (and don’t trust your phone)

That was a nice bit of trolling. A rough timeline: (1) Apple and later, Google announce modest improvements to a security building block of their respective mobile device platforms, device encryption. (2) Government officials in the US publicly complain how this would obstruct law enforcement and request means to access encrypted device data. (3) The usual suspects are all up in arms and reiterate their arguments why crypto backdoors are a bad idea.

What is wrong with this debate, apart from it being a rerun? First, encryption is not as secure as claimed. Second, encryption is not as important as assumed.

Device encryption is just one small security building block. It protects data stored on the device against access without the encryption key if the adversary encounters the device in the turned-off state. Attacks against encryption typically go for the keys. As we were just reminded, police can compel suspects to hand over their fingerprints and unlock a device. Some countries have key disclosure laws.

Against running devices there are further attack options. If any key material is held in RAM, it can be extracted, at least in principle, with a cold boot attack. Whether Apple’s Secure Enclave design does anything to protect against such attacks remains unclear. As we’ve learned with Microsoft’s encryption scheme, Bitlocker, even hardware-supported encryption can leave a number of loopholes (Trust 2009 paper).

Encryption has its limitations. It protects data subject to several conditions. In particular, the adversary must be unable to obtain the key or subvert the execution environment. While plug-and-play forensics would be more convenient for law enforcement, there are ways around device encryption.

Mobile platforms extend beyond the individual device. Not only do devices communicate liberally with other devices and with Internet services, they also depend on the platform operator. Apple and Google run appstores and supply software updates. Whatever the software of a device can or cannot do may change at any time.

Encryption protects files against access bypassing the operating system, not against access from within. Protection against rogue users or applications is a matter of authentication and access control — software making decisions, software that can be modified. While this channel entails some tampering-with-evidence problems for law enforcement, it seems technically quite feasible to use it.

Encrypted equals secure only from a microscopic perspective. I have advocated before to pay more attention to systemic and macroscopic aspects, and the crypto wars 2.0 debate illustrates nicely how a too narrow focus on a single security mechanism skews our debate. Encryption matters, but not as much as we allow them to make us believe it would.

Hintertüren für den Staat

Smartphones und Tablets sind neben vielen anderen Funktionen auch persönliche mobile Datenträger. Für deren Inhalt – Kontakte, Termine, Fotos, Anrufprotokolle, Kurznachrichten und so weiter – interessieren sich naturgemäß auch Strafverfolger. Die Mobilplattformen iOS und Android können gespeicherte Daten verschlüsseln, wie es sich für ein verlust- und diebstahlgefährdetes Gerät gehört. Neuerdings verspricht Apple, selbst keine Daten aus verschlüsselten Geräten auslesen zu können. Google kündigt für die nächste Android-Version an, die Verschlüsselung standardmäßig zu aktivieren und gibt ebenfalls an, über keinen Zugriffsmöglichkeit zu verfügen. Daraufhin melden sich der FBI-Direktor, der US-Justizminister und andere und kochen die alte Diskussion um Hintertüren für die Strafverfolgung neu auf. Ein Aufschrei ist ihnen sicher.

An anderer Stelle sind Hintertüren für staatliche Organisationen üblich und niemanden juckt es: Viele Gebäude verfügen über ein Feuerwehrschlüsseldepot, das der Feuerwehr den Zugang ermöglicht. Technisch handelt es sich um dasselbe Problem und denselben Lösungsansatz mit denselben Risiken wie im Fall der Verschlüsselung. Warum ist die eine Hintertür im Sicherheitskonzept ein Aufreger, die andere hingegen nicht? Bei näherer Betrachtung fallen allerlei Unterschiede auf:

  • Feuerwehr, Gebäudebetreiber und Gebäudenutzer verfolgen gemeinsame Interessen und profitieren von der Lösung. Alle drei Parteien wollen Brände schnell gelöscht und Fehlalarme ohne unnötige Nebenschäden abgestellt sehen. Strafverfolger hingegen sind für die Verfolgten, ob schuldig oder unschuldig, stets ein Gegner und für Dienstanbieter mindestens lästig. Die Krypto-Hintertür schafft keine Win-Win-Situation.
  • Im Fall der Schlüsseldepots wirkt ein weiterer Player, der ein eigennütziges Interesse an optimaler Sicherheit hat: die Versicherer, die weder für Brandschäden noch für Einbrüche mehr als unbedingt nötig zahlen möchten. Sie setzen sich mit handfesten wirtschaftlichen Mitteln dafür ein, dass das Missbrauchsrisiko gering bleibt. Kryptohintertüren könnte man zwar prinzipiell der gerichtlichen Kontrolle unterwerfen, aber den Gerichten fehlt das ökonomische Optimierungsinteresse.
  • Es gibt ein sichtbares und plausibles Risikomanagement. Feuerwehrschlüsseldepots geben bei richtiger Implementierung der Feuerwehr Darmstadt Zugang zu ausgewählten Gebäuden in und um Darmstadt und der Feuerwehr Kassel Zugang zu ausgewählten Gebäuden in Kassel. Ein Secure Golden Key™, wie es in der Neuauflage der Kryptodiskussion heißt, gäbe vermutlich den Strafverfolgungsbehörden mehrerer Länder Zugriff auf alle Geräte der jeweiligen Plattform – man wäre sonst machtlos gegen kriminelle Touristen und im Ausland gekaufte Telefone.
  • Schlüsseldepots werden vorwiegend in öffentlichen und halböffentlichen Gebäuden (Kaufhäuser, Bürogebäude, Industrieanlagen usw.) eingesetzt. Das Reihenhaus von Tante Erna hat keins.
  • Die gewährten Zugangsrechte sind begrenzt. Der Generalschlüssel aus dem Depot öffnet eine definierte Menge von Zugängen; der Safe im Büro gehört nicht dazu. Demgegenüber ermöglicht ein Kryptogeneralschlüssel mit hoher Wahrscheinlichkeit eine Privilegieneskalation, wenn sich damit  Zugangsdaten (neben Passworten zum Beispiel Session-IDs) für weitere Dienste oder Geräte lesen lassen.
  • Die Betroffenen haben subjektiv und objektiv mehr Kontrolle über die Verwendung der deponierten Schlüssel: Das Feuerwehrschlüsseldepot ist gut sichtbar vor Ort installiert, was unbemerkte Zugriffe erschwert. Dass jemand meine Daten entschlüsselt, bekomme ich dagegen nie mit.
  • Der relative Sicherheitsverlust bei Missbrauch ist geringer. Sowohl die Feuerwehr als auch Einbrecher kommen sowieso rein, wenn sie das wirklich wollen und eine Weile Lärm machen dürfen. Ein Schlüssel macht es einfacher, aber selten überhaupt erst möglich. Das ist auch jedem klar. Von verschlüsselten Daten erwarten wir, dass sie ohne Schlüssel so gut wie gelöscht sind.

Hintertüren beziehungsweise Generalschlüssel für den Staat können akzeptabel sein – wenn der Kontext und die Implementierung stimmen. Ob man sie dann auch braucht und haben möchte, ist noch einmal eine andere Frage. Die Notwendigkeit, Beweise mit einem gewissen Ermittlungsaufwand beschaffen zu müssen, statt sie einfach irgendwo auszulesen, kann ein ganz brauchbarer Kontrollmechanismus sein.

Studentische Hilfskräfte gesucht

Wir suchen Studis, die für uns Sachen basteln. Wir arbeiten an Werkzeugen für die Entwicklung sicherer Software, z.B. zur Visualisierung von Testergebnissen und zur Bedrohungsmodellierung, und probieren sie an Entwicklern aus. Richtig ist bei uns, wer nur ungefähr spezifizierte Anforderungen in einen funktionierenden Prototypen umsetzen kann, dabei ggf. die richtigen Fragen stellt und nicht traurig ist, wenn sich die Anforderungen später ändern.

Arbeitsort: Darmstadt, nicht weit vom Hauptbahnhof

Details: https://www.sit.fraunhofer.de/de/jobs/stellen/details/job-offer/sit-2014-19/

Häufig

Diese Schlagzeile war wohl zu gut, um sie sich von Tatsachen kaputt machen zu lassen: »Straßenbahn-Unfälle mit Verletzten in Leipzig nehmen zu – Statistik: LVB-Fahrer häufig Schuld,« titelt die Leipziger Volkszeitung. Das kommt gewiss gut an bei der Zielgruppe, unterstellt der Leipziger seiner »Bimmel« doch traditionell, sie fahre nach dem UKB-Prinzip– Umfahren, Klingeln, Bremsen.

Im Text wird aus dem häufig erst einmal ein nichtssagendes regelmäßig. Mehr als dies geben die Daten einige Absätze weiter unten auch nicht her. Von 366 Unfällen mit Straßenbahnen verursachten deren Fahrer und Technik im vergangenen Jahr 44, das sind gerade mal 12% oder ungefär jeder achte Unfall. Die Statistik sagt das genaue Gegenteil der Schlagzeile: Die Straßenbahnfahrer sind selten schuld.

Komplette Durchleuchtung?

Der klassische Datenschutz europäischer und insbesondere deutscher Prägung geht von einem Vorurteil aus: Das Speichern und Verarbeiten personenbezogener Daten sei gefährlich und die Gefahr wachse proportional mit der Datenmenge pro Person. Folgerichtig bleiben diese gefährlichen Handlungen verboten, solange sie nicht eine Einwilligung des Betroffenen oder ein Gesetz erlaubt.

Max Schrems, Initiator von Europe vs. Facebook und derjenige, der von Facebook Auskunft über seine dort gespeicherten Daten erstritt, hat ein Buch geschrieben, Kämpf um deine Daten. Die zugehörige Rezension der FAZ illustriert die Datenschutz-Prämisse und wie sie unsere Wahrnehmung beeinflusst:

»Ein anderer Slogan der Digitalwirtschaft lautet: „Wir machen doch alles nur, um die Werbung auf den Nutzer zuzuschneiden.“ Dem hält Schrems entgegen, dass personalisierte Werbung längst nicht so effektiv ist, wie alle tun. Werbetreibende erzählten das hinter vorgehaltener Hand. Die komplette Durchleuchtung des Nutzers geschehe im Grunde bloß für ein paar lausige Klicks mehr, resümiert Schrems. Nur wegen Cent-Beträgen wird unser Grundrecht auf Datenschutz aufgelöst.«

Die komplette Durchleuchtung aus nichtigem Anlass, anders kann man es kaum sehen, wenn man die Grundannahme des Datenschutzes akzeptiert. Tut man dies nicht, so bietet sich eine alternative Interpretation an: Was die Datenkraken über uns wissen und vorhersagen können, genügt gerade mal, um die Werbeklickraten ein wenig zu erhöhen. Von Algorithmen, die uns besser kennen als wir selbst, kann keine Rede sein. Personalisierte Werbung ist weit davon entfernt, uns genau das vorzulegen, was wir sicher anklicken werden. Darüber liefert der Einzelne nämlich viel zu wenig Informationen. “Personalisierte” Werbung ist in Wirklichkeit statistisch optimierte Werbung, der die Zielgruppensegmentierung und -zuordnung ein wenig besser gelingt als den extrem groben klassischen Mechanismen. Mit herkömmlichen Methoden bekomme ich Autowerbung, wenn ich eine Autozeitschrift lese und Nerdwerbung auf Slashdot. Moderne Verfahren nutzen vielfältigere Merkmale und finden die optimale Auswahlstrategie zum Teil selbst.

Viel mehr als eine etwas genauere Zielgruppensegmentierung steckt nicht hinter der personalisierten Werbung, und die meisten Anzeigen werden nach wie vor ignoriert. Statt von der kompletten Durchleuchtung für ein paar Cent sollte man besser von Optimierungen am Rande der Aufmerksamkeit sprechen. Ist das gefährlich, schädlich, manipulativ? Eher nicht, jedenfalls nicht mehr als Werbung an sich schon ist. Lebe ich besser, wenn ich sorgfältig jede Datenspur vermeide? Nicht messbar. Diese pragmatische, risikoorientierte Sicht ist dem klassischen Datenschutz fremd.

P.S. (2014-06-14): Kristian Köhntopp erklärt passend dazu, warum verschiedene Formen der Durchleuchtung unterschiedlich nützlich sind.

Kosten und Nutzen

“Jede Sicherheitsmaßnahme lässt sich umgehen.” – Jochim Selzer argumentiert auf G+, dies sei keine gute Begründung für den  Verzicht auf Sicherheitsmaßnahmen. Damit hat er Recht, aber dies ist umgekehrt keine ausreichende Begründung für beliebige Sicherheitsmaßnahmen. Seiner Betrachtung fehlt ein Faktor: das Kosten-Nutzen-Verhältnis. Mehr Sicherheit oder auch überhaupt Sicherheit wird zum Verlustgeschäft, wenn dem Aufwand keine adäquate Risikoreduktion gegenübersteht. Das klingt trivial, macht die Sache in Wirklichkeit jedoch ziemlich kompliziert.

Die Kosten einer Sicherheitsmaßnahme sind nicht nur die Anschaffungs-, sondern auch die Betriebskosten. Nicht alle Kosten manifestieren sich in finanziellen Transaktionen, sondern zum Beispiel in Zeit- und Arbeitsaufwand. Auch sehr kleine Aufwände können zu erheblichen Kosten führen, wenn sie in Alltagssituationen immer wieder anfallen. Auch das Ändern von Gewohnheiten ist teuer. Ein häufig verwendetes Passwort zu ändern, kostet mich zum Beispiel jedesmal einige Tage voller Fehlversuche mit dem alten Passwort, bis ich mich an die Änderung gewöhnt habe — und eine andere Empfehlung legt mir nahe, meinen Rechner beim Verlassen immer zu sperren.

Der Nutzen einer Sicherheitsmaßnahme ergibt sich nicht aus ihrer lokal messbaren Wirkung, sondern aus ihrem Einfluss auf das gesamte Risikoprofil. Sicherheitsmaßnahmen können irrelevant sein, wenn das Risiko – bezogen auf die Konsequenzen – insgesamt sehr klein ist und von anderen Risiken dominiert wird. Wenn ich zum Beispiel ein Smartphone oder einen Laptop mit mir herumtrage und darauf keine ungewöhnlich wertvollen Daten gespeichert sind, dann liegt das dominante Risiko im Verlust der Hardware. Ob ich meine Daten verschlüsselt habe oder nicht, ist dann relativ belanglos. Ebenso brauche ich mich als Individuum, zumal im Mitteleuropa der Gegenwart, nicht vor der NSA zu fürchten, wenn ich bedenkenlos auf Haushaltsleitern steige und am Straßenverkehr teilnehme. Ich werde höchstwahrscheinlich an einem Unfall, an einer Krankheit oder an Altersschwäche sterben und nicht an einem Drohnenangriff wegen eines algorithmisch hergeleiteten Terrorverdachts.

Hinzu kommt, dass Sicherheitsmaßnahmen nicht notwendig Risiken verringern, sondern sie oft nur verlagern oder transformieren. Einbrecher durchwühlen die unverschlossene Gartenlaube und nehmen tragbare Wertsachen sowie Alkoholvorräte mit. Einbrecher durchwühlen die verschlossene Gartenlaube und nehmen tragbare Wertachen und Alkoholvorräte mit, nachdem sie die Tür oder das Fenster demoliert haben. Was habe ich nun vom guten Schloss? Die Einbrecher müssen ein Brecheisen mitbringen und werden vielleicht (aber unwahrscheinlich) gehört – und ich habe höhere Kosten pro Vorfall, selbst wenn nichts gestohlen wird. Ich fahre besser, wenn ich die Tür offen lasse und kein potenzielles Diebesgut lagere.  Das Problem der Risikoverlagerung und -transformation ist typisch für Security, wo wir es mit adaptiven Angreiferkollektiven zu tun haben. In geringerem Maße kann es aber auch bei Safety-Maßnahmen auftreten, wenn diese Maßnahmen unerwünschte Nebenwirkungen haben und man also eine Risikoausprägung gegen eine andere eintauscht. Im Klettergerüst getragen kann ein Fahrradhelm Kinder strangulieren.

Ökonomisch betrachtet sind deswegen viele Sicherheitsratschläge für die Katz. Kosten und Nutzen haben außerdem eine subjektive Komponente. Ökonomische Rationalität beschreibt ein (angenommenes) Optimierungsverhalten unter Berücksichtigung persönlicher Präferenzen. Jeder ist frei darin festzulegen, wie viel ihm ein bestimmter, quantifizierter Nutzen im Vergleich zu anderen Angeboten mit denselben Kosten wert ist oder wie sehr ihn eine bestimmte Unannehmlichkeit im Vergleich zu einer anderen belastet. Auch ein Selbstmörder, der sich vor seiner Rettung schützt, kann ökonomisch rational handeln, wenn ihm sein eigener Tod nur wichtiger ist als alles andere. In diesem Sinne ist nichts daran auszusetzen, dass sich jemand etwa gegen den Sicherheitsgurt, gegen den Fahrradhelm, gegen ein kompliziertes Password oder gegen die E-Mail-Verschlüsselung entscheidet. Präskriptive Overrides sind nur dort angebracht, wo aus solchen Präferenzen erhebliche gesellschaftliche Probleme resultieren.

Erfolgsgeschichte Sicherheitsgurt?

In Diskussionen über den Sinn und Unsinn von Styroporhauben für Radfahrer taucht regelmäßig der Hinweis auf, so ähnliche Debatten haben man damals zur Gurtpflicht im Auto auch geführt. Der Hinweis kommt von Befürwortern der Styroporhaube; aus ihm spricht neben der Hoffnung auf den Debattenendsieg die Annahme, SIcherheitsgurte seien eine Erfolgsgeschichte und hätten unzählige Leben gerettet. Diese Annahme ist vielleicht gar nicht so selbstverständlich, wie sie wirkt. In The Failure of Seat Belt Legislation (via) argumentiert John Adams, dass eine signifikante Wirkung der Gurtpflicht gar nicht auf der Hand liege. Wie haltbar seine Argumentation ist, kann ich noch nicht sagen; ich habe den Text nur überflogen

Quiz

Die Götter der Cybersicherheit zeigen sich zorning. Was tun Sie, um die Götter zu besänftigen?

  1. Ich opfere zwei Accounts und eine App.
  2. Ich twittere meine Sünden und bete ein Internet-Mem.
  3. Ich vollführe wie jede Woche das Passwortritual, natürlich mit Ziffern und Sonderzeichen.

Unter allen Teilnehmern verlose ich Sicherheitshinweise, Expertentipps und Zufallszahlen.