724 Aufrufe
Gefragt in Plauderecke von Experte (3.2k Punkte)
Hi Leute!
Vorab: Das hier ist eine rein hypothetische Frage. Ich habe (zumindest in absehbarer Zeit) keinen Bedarf an einer praktischen Umsetzung.

Und zwar habe ich mir gestern Breaking Bad Staffel 5 Episode 1 angesehen. Folgendes beschäftigt mich (Vorsicht, kleiner Spoiler):




Gus Frings Laptop hält Überwachungsvideos gespeichert, die die Hauptfigur Walter White belasten. Dieser Laptop ist nun bei der DEA und Walter will verhindern, dass irgendwer diese Videos sieht.


Mir ist klar, dass das natürlich den ganzen Inhalt der Folge vernichten würde, aber ich würde hier auf alle Fälle mit Verschlüsselung arbeiten.

Ich gebe mal ein paar Rahmenbedingungen vor:
[*]Da der Laptop sicherlich nicht dauerhaft läuft, postuliere ich einen Server, der die Daten der Kameras sammelt, verschlüsselt und zwischenspeichert. Der Laptop würde sie dann nur verschlüsselt runterladen, wäre also für die DEA erstmal wertlos.
Alternativ könnten natürlich auch die Kameras selbst verschlüsseln, das ändert aber am Problem erst einmal nichts.
[*]Die live-Daten der Kameras sind erstmal uninteressant oder nicht vorhanden (da Kameras kaputt).
[*]Alle eventuell ausgedachten oder generierten Schlüssel sind stark genug, sodass sie nicht per BruteForce, Dictionary-Angriffen, Rainbowtables oder ähnlichen Versuchen geknackt werden können.
[*]Es wird mit dem geheimen Schlüssel sorgfältig umgegangen. Kein Aufschreiben, kein Verraten an Dritte.
[*]Machbar mit den finanziellen Mitteln, die jemandem wie Gus Fring (der ist immerhin Drogenbaron) zur Verfügung stehen.
[*]Rein technische Lösung. Also ein Ein-Euro-Jobber, der auf nen Knopf drückt, sobald jemand an den Server will, wäre für mich keine echte Lösung.

Ich habe mich jetzt gefragt:
Wäre es möglich, die Daten auf dem Server live so zu verschlüsseln, dass die DEA, auch wenn sie Zugriff auf den Laptop und den noch laufenden (!) Server hat, nicht an die Daten rankommt?

Folgende Ideen hatte ich:
1. Asymmetrische Verschlüsselung (z.B. RSA). Macht genau das, wonach ich frage, ist aber nicht für große Datenmengen gedacht. Wahrscheinlich zu langsam.

2. Symmetrische Verschlüsselung (z.B. AES). Der Schlüssel müsste aber irgendwo auf dem Server sein, selbst wenn man ihn bei jedem Start des Servers neu eingibt, liegt er im RAM, von wo er mit genug Aufwand und Wissen extrahiert werden kann. (Ich unterstelle den Behörden mal, dass sie das auf die Reihe bekommen würden)

3. Hybride Verschlüsselung. Der Server generiert jede Stunde einen neuen Schlüssel, mit dem er die Daten schnell und symmetrisch verschlüsselt. Er wird dazu nur im RAM gehalten. Außerdem wird dieser Schlüssel asymmetrisch verschlüsselt und so mit den Daten gespeichert.

4. Etwas abwegig: Erstmal wie 2. aber der Server ist nur sehr eingeschränkt über das Netzwerk zu bedienen, man kann nur den Schlüssel eingeben. (z.B. nach einem Neustart). Wird ein Eingabegerät angeschlossen, wird der Schlüssel im RAM überschrieben.
Außerdem wird ein Öffnen des Gehäuses oder per GPS eine Bewegung des Servers erkannt. In dem Fall wird (akkugestützt) vorsorglich der gesamte RAM gegrillt.


Möglichkeit 3 halte ich für soweit sicher, dass alles, was älter als maximal 1 Stunde ist, sicher ist. Das wäre für mich eine ausreichende Lösung, wenn der Server irgendwo schwieriger zu finden ist.

Möglichkeit 4 ist so lange ausreichend sicher, wie man nicht weiß, was gebastelt wurde. Weiß man das alles, könnte man sich beim laufenden Server so durchs Gehäuse schneiden und die Grillschaltung außer Kraft setzen, sodass man an den Ram rankommt.

Möglichkeit 2 ist so lange sicher, wie die Untersuchenden den Server vom Netz trennen um ihn ins Labor zu bringen. Darauf würde ich mich nicht verlassen.


Aus meinen Ideen wäre somit eine Kombination aus 3 und 4, also stündlich wechselnde Keys und Schutz des Servers vor physischem Zugriff zu schützen. (Sprengsatz? Ok, ich glaube jetzt übertreibe ich...)



Mich würde mal interessieren:
Wie macht man sowas und ähnliches in der Praxis? Habt ihr noch andere, vielleicht ebenso absurde Ideen, wie man sowas hinbekommen könnte?
Vielleicht auch ein anderer Ansatz als mein Konzept mit dem Server, der die Daten der Kameras sammelt?

Und nochmal: Wie man vielleicht auch an den etwas "kreativen" Ideen erkennt, geht es nicht darum, sowas wirklich umzusetzen, sondern es interessiert mich, wie man sowas rein theoretisch umsetzen würde.


Bin gespannt auf Antworten!

Ele

3 Antworten

0 Punkte
Beantwortet von Experte (3.2k Punkte)
Ok, es hat sich in s5e2 rausgestellt, dass der Laptop sehr wohl
verschlüsselt war.
Trotzdem interessiert mich der Prozess dahinter.

Ele
0 Punkte
Beantwortet von
Es gäbe noch die erweiterte Variante 3, um sich die Beschaltung zum Grillen des Ram etc. zu sparen:
Man nehme 2 Server; der erste steht in der Nähe der Kameras, sammelt die Daten, verschlüsselt sie und schickt sie dann an den 2. Server weiter. Dieser wiederum steht in einem anderen Land (vorzugsweise in einem, wo die DEA machtlos ist).
Sobald der 2.Server meldet, dass alle Daten inkl. Schlüssel übertragen wurden, löscht der 1.Server das Paket.

Möglicherweise lässt sich der 1.Server so einrichten, dass ein Admin-Zugriff nur alle x Stunden zugelassen wird; bei übermässigen Zugriffsversuchen wird das Sammel-, Verschlüsselungs- und Weiterleitungspropgramm gelöscht, RAM mit Müll geflutet, HD formatiert und der Server heruntergefahren. Sol liessen sich auch alle Spuren zu den eigentlichen Daten vernichten.
0 Punkte
Beantwortet von Experte (3.2k Punkte)
Das ganze System sowohl technisch als auch räumlich auszudehnen finde ich interessant. Darauf war ich noch nicht gekommen.

Ich bin mir aber nicht ganz sicher, ob ich den Zweck in diesem Einsatzfall richtig erfasst habe.
Es geht ja sicherlich erst einmal darum, die Daten aus dem Zugriffsbereich der Behörden zu schaffen, sodass sie möglichst garnicht erst drankommen, soweit klar. Also ein Server in einem Land, wo sich auch die Piracy-Seiten niedergelassen haben.
Andererseits soll irgendwie die Stunde überbrückt werden, wo die Behörden theoretisch an Schlüssel und Daten kommen. Seh ich das richtig, dass die Sicherheit darin besteht, dass sie den Server nicht in <1h finden werden und dieser somit Zeit hat, die Anomalie zu erkennen und alle Daten zu löschen?

Ele
...