Tag Archiv für Streusand

| 24. Februar 2011
Ein Kommentar

Datenschutz als Buzzword – Über Radiergummis und Sand im Getriebe


Der digitale Radiergummi sollte Datenschutz zum Produkt “Made in Germany” machen. Passend zum politischen Begleitfeuerwerk gibt es ein Produkt unter dem vielsagenden Namen “X-Pire”. An Kritik wurde bereits bei der Vorankündigung nicht gespart. Statt der deutschen Wertarbeit gab es Schlangenöl zu einem ordentlichen Preis.

Soviel zur Funktionsweise:

Weil man nicht kontrollieren kann/will, wo das Bild rumgereicht wird, hält man nicht das Bild unter Verschluss, sondern einen kryptographischen Schlüssel. Wenn man alle Kopien des Bildes wieder einsammeln will, reicht es, den Schlüssel einzukassieren und alle sehen nur noch Schrott.

Soweit die schöne Theorie. In der Praxis funktioniert das natürlich nicht, weil PC’s offene System sind. Ich kann also einfach eine Kopie des Bildes in entschlüsselter Form machen, oder einen Screenshot oder mit der Digitalkamera den Bildschirm fotografieren… Auf der sicheren Seite – bei einem nicht-kooperativen Nutzer – wäre man nur mit einem bereits in der Hardware abgesicherten DRM und einem PC in einer abgeschotteten Umgebung – nur wer will das schon???

Die konkrete Implementierung ist ausserdem handwerklich suboptimal. Die Sicherheit von X-pire basiert darauf, dass der Schlüssel in der Hand des Servers bleibt – damit dieser den wieder einkassieren kann. Dazu wird mittels eines CAPTCHAs getestet, ob der Schlüssel von einem Menschen oder einer Maschine abgerufen wird. Eine durchaus lästige Funktion. Was es bräuchte wäre eine vom Betriebssystem geschützte Funktion, die mit dem Server verschlüsselt kommuniziert.

Also hat ein findiger IT-Professor in nur ~8 Stunden eine Umgehungslösung entwickelt/entwickeln lassen: Man richtet einen Schlüssel-Cache ein. Das hat für den Nutzer den Vorteil, dass er, wenn der Schlüssel schon im Cache ist, kein CAPTCHA lösen muss. Der CACHE-Betreiber lässt bei einem unbekannten Bild den Nutzer das CAPTCHA lösen und kann alle Bilder dauerhaft entschlüsseln – und bekommt die Info,welche Bilder vielleicht “heiß” sein können auf dem Silbertablett serviert.

(k)eine Downloadmöglichkeit von “Steusand”

(Dank Prof. Federrath habe ich z.B. schon über die Untiefen des Patentrechts bei Abhörtechnik amüsiert)

 

Nachtrag: Die Bewertung von X-Pire bei heise “bitte vergessen“:

Zurück bleiben: Ein durchsichtiger Versuch eines Professors, mit der Verunsicherung der Internet-Nutzer Geld zu verdienen, ein durchsichtiger Versuch einer offensichtlich überforderten Ministerin, mal wieder positive Schlagzeilen zu produzieren – und ein Problem, das es verdient hätte, ernsthaft diskutiert zu werden.

Kategorie: IT-Sicherheit, JB, Recht | Tags:, ,