28.06.2013, 16:15 Uhr | 2 |

Unendlicher Datenhunger NSA hat Speicherbedarf im Yottabyte-Bereich

Zwar ist die NSA sehr verschwiegen, wenn es darum geht, wie ihr Abhörprogramm Prism und andere Programme funktionieren, doch eine Vielzahl an Funktionen und Abläufen ist inzwischen durchgesickert und gibt einen Einblick in die unvorstellbaren Ausmaße der Bespitzelung durch die US-Regierung und ihre Behörden.

Zentrale der National Security Administration (NSA) in Fort Meade, Maryland (USA).
Á

Die Zentrale der National Security Administration (NSA) in Fort Meade, Maryland (USA). Amerikanische und britische Geheimdienste sollen auch das Datenkabel zwischen Norden in Ostfriesland und den USA angezapft haben.

Foto: dpa/Jim Lo Scalzo

Im Zusammenhang mit den Enthüllungen von Edward Snowden über das amerikanische Abhörprogramm Prism werden vor allem die rechtlichen Aspekte diskutiert. Doch parallel dazu ist auch die technische Realisierung dieser immensen Abhöranlage von Interesse. Obwohl die NSA selbst nur wenige Informationen herausrückt, lässt sich mit umfangreicher Internetrecherche ein Mosaik konstruieren, bei dem die wesentlichen Funktionsmerkmale ersichtlich werden.

Prism ist zunächst einmal nur ein umfangreiches grafisches User-Interface (GUI), mit dem die Analysten der NSA komplexe Abfragen und Korrelationen ausführen können. Diese laufen auf eigenen Servern ab, das heißt, die Abfragen können nur auf solche Daten angewendet werden, die zuvor in den Servern abgelegt wurden. Allgemein gesprochen, funktionieren Prism und die anderen NSA-Programme ähnlich wie das, was man von Google, Amazon und Ebay gewohnt ist: Die Nutzerdaten werden ausgewertet und einer ausgiebigen Analyse unterzogen, um dem potenziellen Kunden dann spezielle Werbeeinblendungen, Büchertipps oder andere Kaufempfehlungen zu präsentieren. Bei der NSA sind diese "Tipps" dann natürlich Verknüpfungen zu anderen Personen, Orten, Gegenständen, Aktionen oder Objekten.

Keine "direkte" Hintertür zu den Servern der beteiligten Unternehmen

Da das alles nur mit den eigenen Daten möglich ist, können Anfragen auch ins Leere gehen. In so einem Fall generiert das System automatisch eine Datenanforderung an alle am Prism-Programm beteiligten Unternehmen wie Google oder Amazon. Das heißt aber auch: Entgegen ersten Berichten gibt es keine direkte "Hintertür" zu den Servern der beteiligten Unternehmen.

Diese Datenanforderungen werden automatisch generiert und berufen sich rechtlich auf sehr vage formulierte weitreichende Allgemein-
anforderungen durch den Generalstaatsanwalt. Die Anforderungsflut ist hoch. Jeweils 200 solcher Anforderungen gehen pro Woche bei jedem der große Provider ein. Diese beziehen sich jeweils auf rund 400 bis 1000 Nutzerkonten.

Bei derart immensen Datenanforderungen haben mehrere Datenprovider das Verfahren vereinfacht und eine elektronische Zwischenablage geschaffen, in der die NSA ihre Datenwünsche ablegt und wo sie dann später die entsprechenden Daten abholen kann. Einem Bericht der New York Times zufolge soll u. a. Facebook einen solchen Datenaustausch ermöglichen. Anders ist es dagegen bei Google. Laut deren Sprecher Chris Gaither stellt Google seine Daten per sicherem FTP-Transfer der NSA zur Verfügung.

NSA speichert alle Daten in einem riesigen Rechenzentrum

Alle Daten werden bei der NSA in einem riesigen Rechenzentrum gespeichert, das im Laufe der Zeit zu klein geworden ist. Deshalb werden ab Herbst 2013 alle Daten in einem neuen Rechenzentrum in Bluffdale im US-Staat Utah gesammelt und aufbereitet. Das 1,7 Mrd. $ teure Zentrum soll als interne Cloud sowohl die eigenen Analysten am Hauptsitz in Maryland, als auch die anderen Agenturen wie FBI und CIA bedienen.

James Bamford, Autor vieler Bücher über die NSA, meint, dass das neue Rechenzentrum einen Anschlusswert von 65 MW haben wird und es 1 Yottabyte (1 YByte: 1024 Byte) an Daten aufnehmen kann. Zum Vergleich: Würde man 1 YByte auf 64-GByte-micro-SD-Karten speichern wollen, würde das Volumen etwa dem der Großen Pyramide von Gizeh entsprechen.

Ein echtes Big-Data-Problem also, das mit eigens entwickelten Werkzeugen angegangen wird. Hauptkomponente ist die Open-Source-Software Accumulo, deren Entwicklung 2008 bei der Nasa begann und die 2011 der Open-Source-Gemeinde überstellt wurde. Accumulo hat eine sogenannte "schemalose Datenbankstruktur" und kann Daten in unterschiedlichen Formaten aufnehmen. Mit weiteren Echtzeitanalysefunktionen ausgestattet, kann Accumulo dann Berichte über bestimmte Korrelationsmuster in nahezu Echtzeit generieren.

NSA kann inzwischen alle handelsüblichen Kodierungen knacken

Eines der Probleme dieser Art des Internetabhörens ist z. B. bei Onlinebankgeschäften die häufig verwendete SSL-Kodierung, die praktisch nicht geknackt werden kann, ohne dass es auffällt. Doch hierzu hat sich die NSA eine ganz raffinierte Methode einfallen lassen.

Es begann im Jahr 2007, als Microsoft anfing, der NSA den direkten Zugang zu seinen Cloud-Servern zu gewähren. Damit entfiel die SSL-Dekodierung, denn man hatte ab sofort den direkten Zugang zu den unverschlüsselten Daten auf den Cloud-Servern der Provider.

Wer andere kommerzielle Verschlüsselungen wie TOR nutzt, macht sich natürlich sofort hochverdächtig und es nützt (fast) nichts, denn die NSA kann inzwischen nahezu alle handelsüblichen Kodierungen knacken. Außerdem heben verschlüsselte Information die Löschvorgabe auf, die normalerweise auf fünf Jahre beschränkt ist. "Kodierte E-Mails dürfen so lange aufbewahrt werden, bis sie dekodiert werden können", heißt es in den Vorgaben des Fisa-Court (Fisa: Foreign Intelligence Surveillance Act, zu Deutsch: Gesetz zum Abhören in der Auslandsaufklärung).

Doch kein System ist perfekt. Zwar betont die NSA immer wieder, dass ihre Bespitzelungen keine US-Bürger betreffen. Doch eine FBI-Auswertung der verschlüsselten Kommunikation des früheren CIA-Chefs David Patraeus enthüllte seine Sexaffäre mit seiner Biografin Paula Broadwell und lieferte den Beweis, dass auch hochrangige US-Bürger auf dem Radarschirm der NSA zu finden sind.  

Anzeige
Von Harald Weiss | Präsentiert von VDI Logo
Zur StartseiteZur Startseite
schlagworte: 
kommentare
31.07.2013, 12:12 Uhr Omniscience
? „NSA kann inzwischen alle handelsüblichen Kodierungen knacken!“ ?
Schon beim Lesen der Printausgabe ist mir diese Behauptung negativ aufgefallen und irritiert mich sehr.
1) Was ist genau mit "allen handelsüblichen Kodierungen" gemeint?
Sollen damit harte kryptografische Kodierungen gemeint sein, dann ist diese Behauptung –m.V. UNSINN bzw. schlicht falsch. Und das sollte in den VDI-Nachrichten – so – nicht, ohne Beweise, stehen!
Echte, harte kryptografische Kodierungen, wie z.B. 3DES, AES, Blowfish, Twofish, RC4, Serpent, TDES, CAST (alles im FREIEM Tool: Blowfish Advanced CS verfügbar)… IDEA (wird u.a. im FREIEM Pretty Good Privacy E-Mail-Verschlüsselungs-Tool verwendet) etc. etc. sind nach Stand des Wissens – auch mit den größten Rechnerfarmen/Cluster –nicht zu knacken. Voraussetzung ist allerdings eine in sich geschlossene Kette der Geheimhaltung des Passworts und dessen Länge von mind. 14 beliebigen Zeichen. Hierzu sollte z.B. ein Passwortgenerator benutzt werden, aber auch folgender leicht auszudenkender Satz ist ein sehr, sehr gutes Password mit 30 Zeichen(!): „Die3KleinenFliegenHaben.zs9Beine
123456789012345678901234567890

Der uralte 3DES ist mit seinen 116 Bit schon etwas schwächer, als z.B. AES 128, aber noch sicher. RSA hat auch Systemschwächen, ein 1024-4096 Bit ist heute (2013/4) schon nötig.
Wenn Mann/Frau paranoid ängstlich ist, dann nimmt man z.B. AES 256Bit.
Siehe Wikipedia.org oder sucht nach z.B.“ Kryptographie Grundlagen – GBS“ .
2) Woher weiß der Autor Herr weiß das?
Man sieht keine Beweise, Quellen, oder?

3) Selbstwidersprechende Aussage
"Kodierte E-Mails dürfen so lange aufbewahrt werden, bis sie dekodiert werden können"
Es gibt also offiziell doch unknackbares.

4) NSA allmächtig?
Egal wie viele Rechnercluster die haben, mit der richtigen Güte des Passworts und der passenden „Blockgröße“ des Kodier-Algorithmus, z.B. AES mit 256 Bit, sind Daten sicher nicht zu entschlüsseln und der Kodier-Algorithmus nicht zu knacken.
Beweis/Quellen: z.B. googeln nach „ Die Physikalische Komplexität“, Louis K. Scheffer.

Noch jeder der Algorithmen unter 1) ist gut genug.
Einzig wichtig sind die GÜTE des Passworts und das Geheimhalten desselben.
Wir betrachten einmal die Komplexität/Suchraums eines 14 Zeichen = 112 Bit Schlüssels mit 2 112 ≈ 5x1033 Kombinationen. Aber Sicherheitshalber nehmen wir nur 1x1033.
Die NSA habe einen um den Faktor 1 Milliarde= 1x1009 schnelleren Rechner als der offiziell schnellste Rechner der Welt der ca. 30 Billarden 30x1012 Rechenoperationen gebaut. Weiter sei dieser so effizient gebaut, das er damit sogar 100x1012+9+1=1x1024 Kombinationen pro Sekunde ausprobieren kann.
Dann braucht man/die NSA für 1 langes Password (!)mit gut gewählten 14 Zeichen im Mittel beim ca. 33-24=9, also mehr ca. 1x109 Sekunden ≈ mind. 30 Jahre.
Wohlgemerkt immer noch 30 Jahre pro Password mi t „nur“ 14 Zeichen !
Und das bei der absolut utopischen Annahme, dass die NSA einen 1 Milliarde schnelleren Rechner, als den schnellsten Rechner der Welt bauen könnte.
Kein weiterer Kommentar.
5) Ich hätte mir in einer renommierten Ingenieurzeitung die Auflistung der Verschlüsselungsverfahren, das Problem der Password-Güte und eine Liste der frei verfügbaren Tools erwartet (siehe 1), die den Nichtfachmann bzgl. der Datenverschlüsselung hilfreich wäre.
Mit freundlichen Grüßen
TS

07.08.2013, 17:28 Uhr rboensch
Hallo TS,
danke für das ausführliche Feedback.
Natürlich sind wir bei den VDI nachrichten stets darum bemüht, so präzise und zuverlässig wie möglich zu informieren. Allerdings hat das seine Grenzen, wenn es um die Berichterstattung über Geheimdienst-Tätigkeiten geht, wo die Quellen naturgemäß nicht öffentlich sind.

Wie in der Einleitung des Artikels geschrieben, handelt es sich in diesem Fall um das, was allgemein über die NSA gesagt und geschrieben wird - nichts davon ist seitens der NSA offiziell bestätigt. Trotzdem erschien es uns sinnvoll und notwendig, unsere Leser in kompakter und aufbereitete Form darüber zu informieren.

Was die NSA-Möglichkeiten zum Knacken von Verschlüsselungen angeht, so gibt es hier weitere Informationen:

http://news.yahoo.com/want-hide-nsa-guide-nearly-impossible-150644605.html

http://www.bloomberg.com/news/2013-06-23/u-s-surveillance-is-not-aimed-at-terrorists.html

http://www.globalresearch.ca/leaked-top-secret-documents-nsa-monitoring-us-communications-without-a-warrant/5339938

Seit Fertigstellung des Artikels sind übrigens weitere Details zu diesem Thema bekannt geworden. Beispielsweise, dass sich die NSA die Verschlüsselungskeys von den Betreibern direkt beschafft.

Siehe auch:

http://www.digitaljournal.com/article/355146

Die Problematik ist von Ihnen aber richtig erkannt: Alle durchgesickerten Informationen dürfen nicht als niet- und nagelfest angesehen werden. Man muss sich mit dem eigenen Sachverstand und weiteren Quellen sein eigenes Urteil bilden - so wie Sie es richtigerweise getan haben.

Nochmals Danke für das Feedback und viele Grüße

Regine Bönsch, VDI nachrichten, Ressortleiterin Elektronik


Loggen Sie ich ein oder melden Sie sich neu an, wenn Sie noch keine Zugangsdaten haben
> Zum Login     > Neu anmelden