Wie sicher sind Ihre gestohlenen verschlüsselten Daten?
Die Wahrscheinlichkeit ist groß, dass einige Ihrer Daten gestohlen wurden. Haben Sie jemals Yahoo genutzt? 3 Milliarden Yahoo-Konten wurden 2013 entwendet. Haben Sie in einem Marriott-Hotel übernachtet? 500 Millionen Marriott-Konten wurden über vier Jahre, 2014 bis 2018, gestohlen. Haben Sie es irgendwie geschafft, Ihre alte Hotmail-Adresse und Ihren rebellischen Teenagergeist beizubehalten? 360 Millionen MySpace-Konten wurden gehackt. Benutzen Sie MyFitnessPal? 150 Millionen Konten.
Was genau haben die Hacker also erhalten? Jeder Hack ist anders, aber sie haben fast definitiv Ihre E-Mail-Adresse, Benutzerinformationen, Protokolle Ihrer Aktivitäten auf der Seite und möglicherweise viel schädlichere Dinge bekommen. Gute Nachrichten: Ein großer Teil der sensiblen Daten war wahrscheinlich verschlüsselt. Es besteht jedoch auch eine gute Chance, dass es nicht verschlüsselt war. Lassen Sie uns das beste Szenario eines Datendiebstahls betrachten: Ihre Informationen wurden gestohlen, aber die sensiblen Daten waren mit AES-256 verschlüsselt. Wie sicher ist das?
Was bedeutet es, wenn Daten verschlüsselt sind?
„Verschlüsselung“ in der modernen Datensicherheit bezieht sich im Allgemeinen auf schlüsselbasierte Kryptographie. Kurz gesagt, Sie geben die Daten, die Sie verschlüsseln möchten, und den Schlüssel (eine Zeichenfolge aus Buchstaben, Zahlen und/oder Symbolen) ein, den Sie zur Verschlüsselung verwenden möchten. Die Kombination dieser beiden Dinge erstellt ein wirres Durcheinander, das nur entschlüsselt werden kann, wenn der geeignete Schlüssel verwendet wird. Das sollte nicht verwechselt werden mit:
- Kodierung: Verwendet denselben Algorithmus, um Daten zu kodieren und zu dekodieren, kein Schlüssel erforderlich. Das ist wie ASCII oder Unicode – vollkommen unsicher.
- Hashing: Ein einseitiger Verschlüsselungsprozess, der für identische Eingaben dasselbe Ergebnis produziert, aber sehr unterschiedliche Ergebnisse liefert, wenn sich die Eingaben auch nur ein wenig ändern. Dies wird typischerweise für das Passwortmanagement mit einem Algorithmus wie SHA-256 oder bcrypt verwendet.
Zum Beispiel:
| Methode | Text |
|---|---|
| Kodierung (ASCII, dezimal) | Halten Sie es geheim. Halten Sie es sicher. |
| Verschlüsselung (AES 256-Bit) | Halten Sie es geheim. Halten Sie es sicher. |
| Hashing (bcrypt) | Halten Sie es geheim. Halten Sie es sicher. |
| Methode | Mit angewandter Methode |
|---|---|
| Kodierung (ASCII, dezimal) | 75 101 101 112 32 105 116 32 115 101 99 114 101 116 46 32 75 101 101 112 32 105 116 32 115 97 102 101 46 |
| Verschlüsselung (AES 256-Bit, Schlüssel: Mellon) | ddg18josC+1ouYRjv5CfPoo
jKJV+y3OLtxjIeCUsL+A= | | Hashing (bcrypt, zwölf Runden) | $2y$12$3O1EiCPdVrqZFllHJ/
.q9eZzsyzqdmLMluqlQKO1A
NtlYMva94.nS |
| Methode | Entschlüsselt |
|---|---|
| Kodierung (ASCII, dezimal) | Halten Sie es geheim. Halten Sie es sicher. |
| Verschlüsselung (AES 256-Bit) | Halten Sie es geheim. Halten Sie es sicher. |
| Hashing (bcrypt) | Kann nicht entschlüsselt werden |
Die beiden Haupttypen der Verschlüsselung sind symmetrisch und asymmetrisch. Symmetrische Verschlüsselung kann mit demselben Schlüssel entschlüsselt werden, der zur Verschlüsselung verwendet wurde, während asymmetrische Verschlüsselung einen Schlüssel (den öffentlichen Schlüssel) zur Verschlüsselung und einen anderen Schlüssel (den privaten Schlüssel) zur Entschlüsselung erfordert. Die meisten modernen Verschlüsselungen sind asymmetrisch, da ein einzelner Schlüssel für eine gesamte Datenbank von Informationen sehr unsicher ist.
Wie sicher ist die Verschlüsselung? Kann sie geknackt werden?
Die kurze Antwort ist ja: Verschlüsselung kann geknackt werden. Ein Brute-Force-Ansatz, der im Wesentlichen bedeutet, viele, viele Vermutungen anzustellen, bis eine sich als korrekt erweist, würde sicherlich die richtige Antwort finden, gegebenenfalls genügend Zeit und Rechenleistung. Bei unseren aktuellen Fähigkeiten könnte das Brute-Forcing von AES-256 bis zu 3 Sexdecillionen (3×10^51) Jahre dauern, und ähnliche Zahlen könnten vielen weit verbreiteten Verschlüsselungsalgorithmen zugeordnet werden. In Zukunft könnten Quantencomputer und andere Fortschritte die Sicherheit von Verschlüsselung erheblich verringern, aber in der Zwischenzeit ist sie effektiv undurchdringlich.
Das macht die Verschlüsselung jedoch nicht narrensicher. Angreifer wissen, dass verschlüsselte Daten ohne Schlüssel nutzlos sind. Also, was gehen sie an? Die Schlüssel. Der katastrophalste mögliche Datenverlust ist einer, bei dem die verschlüsselten Daten und die Entschlüsselungsschlüssel gestohlen werden. Wenn die Datensicherheit korrekt implementiert wird, werden die Schlüssel (mehrere Schlüssel für unterschiedliche Daten, wahrscheinlich pro Benutzer) sicher an einem separaten Ort von den Daten gespeichert und sollten wahrscheinlich selbst verschlüsselt sein. Darüber hinaus müssen die Schlüssel jedes Mal sicher entschlüsselt und abgerufen werden, wenn Daten entschlüsselt werden müssen, damit Angreifer sie nicht abfangen können. Darüber hinaus sollten die Schlüssel wahrscheinlich regelmäßig geändert werden.
Wenn die Seite, von der Ihre Informationen gestohlen wurden, all das getan hat, haben die Angreifer wahrscheinlich die Schlüssel nicht erlangt, und Ihre Daten sind sicher, bis die Sonne erlischt oder wir viel leistungsfähigere Computer erfinden. Aber wie hoch sind die Chancen, dass Seiten dies tatsächlich tun, und wie viel Ihrer Daten ist selbst im besten Fall verschlüsselt?
Wer verschlüsselt und was wird verschlüsselt?
Erinnern Sie sich an die Liste von Datenverletzungen zu Beginn dieses Artikels? Lassen Sie uns diese noch einmal überprüfen.
| Verletzung | Jahr | Betroffene Datensätze | Verschlüsselt | Nicht verschlüsselt |
|---|
| Yahoo | 2013/2014 | 3 Milliarden | – Gehashte Passwörter (meist bcrypt, einige MD5)
– Einige Sicherheitsfragen | – Namen
– E-Mail-Adressen
– Telefonnummern
– Geburtsdaten | | Marriott | 2014-2018 | 3-500 Millionen | – 8,6 Millionen Kreditkartennummern
– 20,3 Millionen Reisepassnummern | – Namen
– Adressen
– Geburtsdaten
– Geschlecht
– Treueprogrammdaten
– Reservierungsinformationen
– 5,25 Millionen Reisepassnummern | | MySpace | 2016 | 400 Millionen | Passwörter (SHA-1, ohne Salt) | – E-Mail-Adressen
– Benutzernamen | | MyFitnessPal | 2018 | 150 Millionen | Passwörter (bcrypt, gesalzen, und SHA-1) | – Benutzernamen
– E-Mail-Adressen
– Passwörter |
Diese Liste könnte sehr, sehr lang werden, aber Sie verstehen die Idee: Im Grunde wird auf den meisten Seiten nur Ihr Passwort (das tatsächlich gehasht wird) und Zahlungsinformationen verschlüsselt. Es sei denn, es handelt sich um eine Seite, die mit vielen sensiblen Informationen umgeht oder hohe Sicherheitsanforderungen hat, Ihr Datenverlust hat wahrscheinlich einen fairen Anteil Ihrer PII (personenbezogene Daten) offengelegt. Das liegt hauptsächlich daran, dass das Verschlüsseln und Entschlüsseln von Dingen deutlich mehr Rechenleistung, Zeit, Aufwand und Geld erfordert, als sie einfach im Klartext zu speichern und Ihnen direkt bereitzustellen.
Selbst die verschlüsselten Daten in diesen Hacks waren jedoch nicht immer sicher. Yahoo und MyFitnessPal verwendeten bcrypt für ihre Passwörter, was ein starker Verschlüsselungsstandard ist, aber sie verwendeten auch jeweils MD-5 und SHA-1, hauptsächlich für ältere Konten. Diese sind deutlich schwächere Hashing-Algorithmen. MySpace verwendete einfach ungesalzenes SHA-1 für alles, was Sinn macht, aber auch bedeutet, dass Ihr Passwort fast definitiv geleakt wurde. Yahoo war sich ebenfalls nicht sicher, ob sie ihre Passwörter 2013 gesalzen haben (sie haben es wahrscheinlich nicht), was sie ziemlich anfällig für Angriffe macht.
Marriott verlor sogar 5,25 Millionen Klartext-Reisepassnummern, was nicht gut ist. Sie wussten offensichtlich, dass sie sie verschlüsseln sollten (20 Millionen andere waren es schließlich), aber ließen bei 20 Prozent ihrer Kunden nach. Sie verschlüsselten auch die Kreditkartennummern: sind sich aber nicht sicher, ob die Hacker den Schlüssel erlangt haben oder nicht.
Die Moral der Geschichte: Die meisten Ihrer Daten sind nicht verschlüsselt, selbst die, von denen Sie denken würden, dass sie wirklich verschlüsselt sein sollten.
Aber meine Daten waren verschlüsselt
Richtig, Sie haben eine Website mit hervorragender Sicherheit genutzt, die jedes letzte Detail Ihrer Informationen verschlüsselte. Solche gibt es – viele Dateispeicherseiten (Dropbox, Google Drive) verschlüsseln beispielsweise Ihre Dateien in ihrer Datenbank. Wenn das der Fall ist, dann ist die Wahrscheinlichkeit hoch, dass Ihre Daten unberührt bleiben, bis zum Hitze-Tod des Universums.
Das wahrscheinlichere Szenario ist jedoch, dass viele Ihrer Informationen unverschlüsselt waren und selbst die sensiblen Informationen möglicherweise schlecht gehasht oder mit dem Schlüssel irgendwo in der Datenbank oder im Dateisystem verschlüsselt wurden. Viel können Sie nicht dagegen tun, da Sie den Unternehmen Ihre Daten zur Verfügung stellen müssen, um ihre Dienste nutzen zu können. Sie können jedoch versuchen, es auf ein Minimum zu beschränken – und verwenden Sie keine wiederverwendeten Passwörter!
Und vergessen Sie nicht, HaveIBeenPwned zu überprüfen, um zu sehen, ob Ihre Daten in irgendeiner Datenverletzung aufgetaucht sind.
Bildnachweise: Öffentliche Schlüsselverschlüsselung, Datensicherheit, Orange-blaue öffentliche Schlüssel-Kryptographie
