Verschlüsselte Daten werden oftmals geleakt und Kriminelle haben bereits in der Vergangenheit bewiesen, dass sie auch in der Lage sind verschlüsselte Daten zu dechiffrieren.

Ein ehemaliger Wissenschaftler des IT-Sicherheitsunternehmens RSA kommt zu dem Schluß, dass entscheidende Elemente bei der Kryptographie fehlen, wenn es um den Schutz sensibler Daten geht. Eines dieser Elemente ist: Betrug, bzw. Täuschung eines potentiellen Angreifers.

“Mechanismen und Schutzvorkehrungen die auf Täuschungen potentieller Angreifer beruhen sind in der IT-Sicherheit nach wie vor unterentwickelt und weitestgehendst unerforscht" sagt Ariel Juels, ein ehemals leitender Wissenschaftler beim Kryptographie-Spezialisten RSA. Zusammen mit T. Ristenpart von der Universität in Wisconsin, hat Juels ein neues Verfahren zur Verschlüsselung entwickelt, welchem man eine gewissen "Hinterhältigkeit" nicht zwingend absprechen kann.

Das Verfahren fügt verschlüsselten Daten eine zusätzliche Schutzebene hinzu, indem es bei jeder fehlerhaften Eingabe eines Passwortes oder eines Schlüssels den potentiellen Angreifer mit gefälschten Inhalten versorgt. In Fällen in denen ein Angreifer ggf. das richtige Passwort eingibt, sollen die echten Daten innerhalb der Menge an gefälschten Daten verloren gehen.

Der neue Ansatz ist insofern interessant, da, wie häufig bei großen verschlüsselten sets von sensiblen Daten, diese in die Hände von Kriminellen fallen können. So wurden bspw. alleine von den Adobe Servern im Oktober 2013 150 Mio. Benutzernamen und Passwörter gestohlen.

Nach einem Datendiebstahl von verschlüsselten Daten, setzen Kriminelle oftmals software ein, die es Ihnen erlaubt das Passwort oder den kryptografischen Schlüssel mittels einer Brut-Force Attacke zu erraten. Das Design konventioneller kryptografischer Systeme macht das erraten eines Passwortes leicht, denn entweder erhält man hiernach einen Zugriff auf die verschlüsselten Daten oder halt nicht.

Jules und Ristenparts Ansatz, wird im Amerikanischen auch als "Honey Encryption" bezeichnet. Diese macht es potentiellen Angreifern wesentlich schwieriger zu erfahren, ob eine Brute-Force Attacke erfolgreich war oder nicht. In Fällen in denen der falsche Schlüssel eingegeben wird erzeugt die "Honey Encryption" ein generiertes Datenset, welches den tatsächlich verschlüsselten Daten ähnelt.

Sollte ein Angreifer bspw. 10000 Angriffsversuche auf die Entschlüsselung einer Kreditkarten Nummer durchführen, so würde er bei Einsatz des "Honey Encryption"-Verfahrens 10.000 unterschiedliche jedoch gefälschte Kreditkarten Nummern erhalten.

"Jede Verschlüsselung erweckt den Anschein von Plausiblität", sagt Juels. "Der Angreifer

“Each decryption is going to look plausible,” says Juels. “Ein Angreifer hat in diesem Fall keinerlei Möglichkeit eine Unterscheidung zwischen korrekten und gefälschten Daten zu treffen".

Juels hat zuvor bei RSA bereits an einem Projekt namens "Honey Words" mitgearbeitet, bei welchem ein ähnliches Prinzip angewandt wurde.

Auf der Eurocrypt Konferenz 2014 werden Juels and Ristenpart ihr Verfahren eingehender vorstellen. Juels arbeitet zudem an der Verbesserung der Sicherheit von Passwort-Management-Services wie LastPass oder Dashlane. Bei diesen Services werden alle Passwörter eines Anwenders in verschlüsselter Form gespeichert und durch ein einzelnes Master-Passwort geschützt.

Passwort Manager sind ein gefragtes Primärziel von kriminellen, sagt Juels. Er glaubt dass viele Menschen, die derlei Services und Dienste verwenden, unsichere Master-Passwörter verwenden. "Die Art und Weise

Password managers are a tasty target for criminals, says Juels. He believes that many people use an insecure master password to protect their collection. “Die Art und Weise wie Master-Passwörter eingegeben werden müssen, steht konträr zur Verwendung von langen und komplexen Master-Passwörtern, da der Anwender diese auf unterschiedlichen Geräten relativ häufig eintippen muss. Das ist oftmals grundsätzlich von Aufwand geprägt, insbesondere beim Einsatz auf Smartphones".





Geht es nach Juels, so erwartet dieser, dass Kriminelle ohne größere Probleme einfache Master-Passwärter solcher Passwort-Manager erraten können. Dies allein ist nur der Frage der Motivation, der Zeit, des Know-Hows sowie der technischen Ausstattung geschuldet. Würde jedoch, ein Schutz mittels Honey Encryption vorausgesetzt, jeder Eingabeversuch eines fehlerhaften Passworts mit einem positiven jedoch falschen Ergebnis quittiert. Allerdings sind nicht alle Authentifications- und Verschlüsselungs-Systeme für den Einsatz von Honey-Encryption gleichermaßen gut geeignet.

Juels selbst arbeitet momentan an einem "Falschen Passwort Generator", welcher seitens der Honey Encryption benötigt wird um falsche Passwörter an den Angreifer ausliefern zu können.