Was für Mudschahedingeheimnisse!?
Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
Vor zwei Wochen und gut einem Jahr später wurde die zweite Version der Verschlüsselungsanwendung Mojahdeen Secrets ("Asrar") durch ein Jihad-Webforum veröffentlicht.
Ich habe mir mal die beiden Versionen angeschaut, weil der Name der Software oft genug Anlass gibt, sie auch in der Presse als geheimnisvolles, gefährliches und mächtiges Tool der islamistischen Terroristen zu mystifizieren.
Von den Machern der Secrets wird das Programm so beworben, wie ansonsten immer Snake-Oil Kryptoprodukte beworben werden: Als ultrasicher, mit den stärksten Algorithmen die es gibt usw.
Eine der Grundregeln beim Einsatz von Verschlüsselungsanwendungen bricht das Programm bereits, wenn man das Softwarearchiv öffnet: Bei den Secrets handelt es sich nämlich um ein fertig kompiliertes Windows-Programm mit einer arabischsprachigen Windows-Hilfedatei, die das Programm ausführlich dokumentiert. Für den ambitionierten Cyber-Jihadisten gibt es also keine Möglichkeit, sich einen Quellcode anzuschauen oder selbst zu kompilieren. Setzt man merkwürdigerweise auf ein eigenes Verschlüsselungsprogramm, weil man vielleicht wie viele paranoide Verschwörungstheoretiker glaubt, bei PGP hätte der US-Geheimdienst NSA über Backdoors die Hände im Spiel oder westlichen Verschlüsselungsprodukten wie GnuPG wäre eh nicht zu trauen, scheinen die Cyber-Djihadisten kein Problem damit zu haben, Windows als Betriebssystem und ausschließlich ein nicht quelloffenes Windows-Programm einzusetzen. Das suggerieren jedenfalls die Secrets.
Neben dem Programm und der Hilfedatei findet sich noch ein öffentlicher Schlüssel, der anscheinend von den Produzenten der Secrets stammt, eine JPG-Datei, die offensichtlich zur Werbung benutzt werden soll und eine asrarkey.db Datei, in der die öffentlichen und privaten Schlüssel gespeichert werden.
Die Weiterentwicklung der Secrets sieht man sofort, wenn man sich das Hauptfenster der beiden Versionen anschaut. Beide Version kommen übrigens mit englischsprachiger Oberfläche, was ein Indiz dafür ist, dass die Secrets von Jihadisten international angewendet und verbreitet werden sollen. Ob jeder Cyber-Djihadist Englisch aus dem Effeff beherrscht ist eine andere Frage.
Boten die ersten Secrets die Grundfunktionen einer Verschlüsselungsanwendung – Verschlüsseln und Entschlüsseln neben einer Datei-Wiping Komponente, finden sich in den zweiten Secrets Fuktionen für das digitale Signieren und Verifizieren von Signaturen (und Message Digests) – und das in der Presse besonders bedachte "Messaging".
Bereits in der ersten Version gab es die Option "Stealthy Cipher". Das hört sich genauso übertrieben an wie die sogennannten "Stealthy Firewalls". Was sich dahinter verbirgt ist einfach eine zweifache Verschlüsselung: Es wird zuerst z. B. mit Twofish und dann der Ciphertext mit Serpent verschlüsselt, was natürlich Unfug ist, denn entweder ist ein symmetrischer Algorithmus stark oder nicht. Und wenn er schwach oder geschwächt ist, wird er erst gar nicht implementiert. Aber "Stealthy Cipher" hört sich beeindruckend an.
Hier sieht man die öffentlichen Schlüssel der "Kommunikationspartner" und die eigenen Schlüsselpaare aus der asrarkeys.db Datei. Für jede Anwendung muss der Benutzer seinen jeweiligen privaten Schlüssel und den öffentlichen Schlüssel des Empfängers über den roten und blauen Klick-Pfeil auswählen. Darunter sind die symmetrischen Algorithmen aufgeführt, die verwendet werden können. Anscheinend haben sich die Macher dabei an den Wettbewerb für den AES orientiert, denn das sind die fünf Algorithmen, die es in die Endrunde schafften.
Als "Optionen" kann der Anwender aus vier Kompressionsstufen zur Komprimierung von Dateien und Dokumenten auswählen und die Anzahl der Runden für das Überschreiben von Dateien festlegen. Welche Methoden dabei zum Einsatz kommen ist mir unbekannt und den Anwendern der Secrets wohl auch.
Über den Key Manager verwaltet man eigene und fremde Schlüssel. Für den asymmetrischen Algorithmus wird RSA verwendet, die Schlüssellänge ist auf 2048-bit fixiert. Zu jedem Schlüssel wird dessen Fingerprint angzeigt und über eine Eingabemaske kann man den Fingerprint kopieren, den man über einen anderen Weg mitgeteilt bekommt, um ihn zu verifizieren. Ob Cyber-Jihadisten sich auch gegenseitig anrufen, um sich die Fingerprints vozulesen, weiß ich nicht.
Kommen wir zum "Secure Messaging", das als vielzitierte neue Qualität hinzugekommen ist. Schwachsinn. Das "Secure Messaging" hat nichts mit dem per OpenPGP oder OTR verschlüsselten Instant Messaging zu tun oder mit dem automatischen Posten von verschlüsslten Texten in Weblogs und Webforen über entsprechende APIs, wie ich zuerst dachte, bevor ich das Programm kannte.
Beim "Secure Messaging" wird entweder ein Text eingetippt oder der Inhalt einer Datei in den Editor geladen. Über die zwei Buttons oben rechts kann man für arabische Texte die Schreibrichtung ändern.
Nach einem Klick auf den Verschlüsselungs-Button wird der Text mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. In der Presse wurde gemunkelt, die Secrets V. 2. wären auch für die verschlüsselte Kommunikation in Webforen gedacht. Das reduziert sich aber auf das Einfügen der Tags [LEFT]/[/LEFT], [PHP]/[/PHP] und [CODE]/[/CODE], damit die Jihadisten die Texte einfacher per Copy & Paste in Webforen verwenden können.
Genauso manuell geht auch der Entschlüsselungsvorgang ab. Zuerst muss der Ciphertext aus einem Webforum oder einer E-Mail kopiert und in den Editor eingefügt werden, dann folgt die Passphraseeingabe des eigenen privaten Schlüssels und danach wird der entschlüsselte Klartext angezeigt.
Die Verschlüsselung, Entschlüsselung und Signierung von vorliegenden Dateien wird dagegen über eine Leiste mit Dateiauswahlfeldern und dem Explorer erledigt. Dabei werden abgetrennte Signaturdateien verwendet, die man hier aber wiederum nicht überprüfen kann. Um verschlüsselte Dateien, die binär codiert werden, problemlos per E-Mail oder mit Instant Messaging zu versenden, kann die Datei auch ins Textformat konvertiert werden. Die muss bei Erhalt zuerst wieder ins binäre Format umgewandelt und dann entschlüsselt werden.
Wie bei diesem Vorgang müssen in den Secrets sehr viele Vorgänge manuell und über Zwichenschritte ausgeführt werden und das teilweise über die Leiste des Hauptfensters, dann aber wieder in den Fenstern, die man über die Meüleiste öffnet. Was die Secrets im Vergleich zu gängigen grafischen Verschlüsselungsanwendungen, Shells oder einem Thunderbird mit Enigmail Add-on nicht sind: Intuitiv und benutzerfreundlich. Ich bezweifle, dass trotz der Hilfedatei jeder Cyber-Jihadist in der Lage ist, das Programm richtig anzuwenden. Auch Terroristen und Jihad-Sympathisanten dürften oft zu faul sein, Handbücher zu lesen und nicht unbedingt nur aus Computer-Nerds und Krypto-Freaks bestehen.
Ähnlich wie bei der Verschlüsselung spielt sich der Vorgang zur Signierung einer Nachricht ab: Tippen oder Laden, Passphrase eingeben, Button klicken.
Das Fenster zur Signierung von Dateien bzw. Erstellung einer Signaturdatei und zur Überprüfung einer Datei über deren Signaturdatei.
Ein buntes Gimmick in den Secrets: Der Vergleich des Fingerprints einer erhaltenen Datei mit dem Fingerprint, der auf einer Webseite, in einer E-Mail oder einem Chat genannt wird.
Die Mojahdeen Secrets 2 sind wie die erste Version auf etlichen Jihad-Webseiten zu finden, aber nur, wenn man sie in arabischer Sprache sucht. Zur Verfügung gestellt werden sie vor allem über die lange Liste der One-Klick Instant-Filesharing Hoster a la Rapidshare – großartige Werbung benötigt das Programm also nicht.
Wie man oben sieht, ist an den Mojahdeen Secrets überhaupt nichts geheimnisvoll oder herausragend. Vielmehr erinnert das Programm an die zusammengestoppelten GUIs für PGP der 90er Jahre und die privaten Krypto-Frickelprogramme, die auch gerne mit "ultrasicher" und "unbrechbar" daherkommen.
Alle Funktionen und Algorithmen (naja Mars, RC6 eher weniger, aber wozu auch) bieten andere, frei verfügbare Programme und Anwendungen schon lange, besser und oft dazu quelloffen. Geheimnisvoll ist allenfalls, warum sich die "Cyber-Jihadisten" nicht einfach eines dieser Programme und Anwendungen vornehmen und dafür entweder eine arabischsprachige Dokumentation erstellen oder die grafischen Oberflächen ins Arabische Übersetzen. Aber zu dieser Frage habe ich ja bereits am Anfang mögliche Antworten geliefert.
Ein Coup wäre es dagegen, wenn das Programm gar nicht von überzeugten Jihadisten stammen würde, sondern von Geheimdiensten, die die Secrets bewußt in der islamistischen Szene verankern wollen, um dann umso besser mitlesen und mitverfolgen zu können, was dort kommuniziert und transferiert wird. Auf der anderen Seite demonstrieren die Secrets – wenn sie aus dem islamistischen Umfeld selbst stammen – das Interesse und den Willen der technisch versierten Teile des islamistischen Terrorimus, Verschlüsselung ebenfalls zu nutzen und dafür eigene unabhängige Lösungen zu finden, die man mit der Nutzung aller anderen Dienste und Plattformen im Internet kombiniert.
Aber auch das ist nichts, was besonders katastrophal und neuartig wäre, denn existierende Kommunikationsformen und -methoden wurden schon immer auch von Terroristen genutzt. Ihre Anwendung von Verschlüsselung als ein Mittel der Absicherung des konspirativen Austausches oder gar Vorbereitung terroristischer Aktionen ist ein unvermeidlicher Nebeneffekt der ungehinderten und freien Nutzung von Verschlüsselung, die alle anderen Anwender einsetzen können, um ihre privaten Geheimnisse und ihre Privatsphäre zu schützen.
Jedenfalls war es interessant, sich das Programm mit eigenen Augen anzuschauen und es mit seiner Würdigung in der Presse zu vergleichen. Wie es Sicherheitspolitiker und Geheimdienste gegen den allgemeinen Einsatz von Verschlüselung als "Privacy Enhancing Tool" auschlachten könnten, dazu habe ich ja bereits in dem Beitrag zu den Mojahdeen Screts 1 ein paar Worte verloren. Aus Sicht eines an Verschlüsselung interessierten Anwenders und Internetnutzers würde ich die Secrets jedenfalls nicht anwenden und schon gar nicht empfehlen.
Siehe auch:
Schneier on Security - Mujahideen Secrets 2
Dancho Danchev - Mujahideen Secrets 2 Encryption Tool Released
Jeff Bardin - A Gift from the Islamic Faithful Network – Mujahedeen Secrets 2 Program
Silicon - Cyber-Dschihad - Islamisten-Software ist unnütz
Silicon - Islamisten nutzen eigene Verschlüsselungssoftware
Gulli - Privacy-Tools für Islamisten
Ich habe mir mal die beiden Versionen angeschaut, weil der Name der Software oft genug Anlass gibt, sie auch in der Presse als geheimnisvolles, gefährliches und mächtiges Tool der islamistischen Terroristen zu mystifizieren.
Von den Machern der Secrets wird das Programm so beworben, wie ansonsten immer Snake-Oil Kryptoprodukte beworben werden: Als ultrasicher, mit den stärksten Algorithmen die es gibt usw.
Eine der Grundregeln beim Einsatz von Verschlüsselungsanwendungen bricht das Programm bereits, wenn man das Softwarearchiv öffnet: Bei den Secrets handelt es sich nämlich um ein fertig kompiliertes Windows-Programm mit einer arabischsprachigen Windows-Hilfedatei, die das Programm ausführlich dokumentiert. Für den ambitionierten Cyber-Jihadisten gibt es also keine Möglichkeit, sich einen Quellcode anzuschauen oder selbst zu kompilieren. Setzt man merkwürdigerweise auf ein eigenes Verschlüsselungsprogramm, weil man vielleicht wie viele paranoide Verschwörungstheoretiker glaubt, bei PGP hätte der US-Geheimdienst NSA über Backdoors die Hände im Spiel oder westlichen Verschlüsselungsprodukten wie GnuPG wäre eh nicht zu trauen, scheinen die Cyber-Djihadisten kein Problem damit zu haben, Windows als Betriebssystem und ausschließlich ein nicht quelloffenes Windows-Programm einzusetzen. Das suggerieren jedenfalls die Secrets.
Neben dem Programm und der Hilfedatei findet sich noch ein öffentlicher Schlüssel, der anscheinend von den Produzenten der Secrets stammt, eine JPG-Datei, die offensichtlich zur Werbung benutzt werden soll und eine asrarkey.db Datei, in der die öffentlichen und privaten Schlüssel gespeichert werden.
Die Weiterentwicklung der Secrets sieht man sofort, wenn man sich das Hauptfenster der beiden Versionen anschaut. Beide Version kommen übrigens mit englischsprachiger Oberfläche, was ein Indiz dafür ist, dass die Secrets von Jihadisten international angewendet und verbreitet werden sollen. Ob jeder Cyber-Djihadist Englisch aus dem Effeff beherrscht ist eine andere Frage.
Boten die ersten Secrets die Grundfunktionen einer Verschlüsselungsanwendung – Verschlüsseln und Entschlüsseln neben einer Datei-Wiping Komponente, finden sich in den zweiten Secrets Fuktionen für das digitale Signieren und Verifizieren von Signaturen (und Message Digests) – und das in der Presse besonders bedachte "Messaging".
Bereits in der ersten Version gab es die Option "Stealthy Cipher". Das hört sich genauso übertrieben an wie die sogennannten "Stealthy Firewalls". Was sich dahinter verbirgt ist einfach eine zweifache Verschlüsselung: Es wird zuerst z. B. mit Twofish und dann der Ciphertext mit Serpent verschlüsselt, was natürlich Unfug ist, denn entweder ist ein symmetrischer Algorithmus stark oder nicht. Und wenn er schwach oder geschwächt ist, wird er erst gar nicht implementiert. Aber "Stealthy Cipher" hört sich beeindruckend an.
Hier sieht man die öffentlichen Schlüssel der "Kommunikationspartner" und die eigenen Schlüsselpaare aus der asrarkeys.db Datei. Für jede Anwendung muss der Benutzer seinen jeweiligen privaten Schlüssel und den öffentlichen Schlüssel des Empfängers über den roten und blauen Klick-Pfeil auswählen. Darunter sind die symmetrischen Algorithmen aufgeführt, die verwendet werden können. Anscheinend haben sich die Macher dabei an den Wettbewerb für den AES orientiert, denn das sind die fünf Algorithmen, die es in die Endrunde schafften.
Als "Optionen" kann der Anwender aus vier Kompressionsstufen zur Komprimierung von Dateien und Dokumenten auswählen und die Anzahl der Runden für das Überschreiben von Dateien festlegen. Welche Methoden dabei zum Einsatz kommen ist mir unbekannt und den Anwendern der Secrets wohl auch.
Über den Key Manager verwaltet man eigene und fremde Schlüssel. Für den asymmetrischen Algorithmus wird RSA verwendet, die Schlüssellänge ist auf 2048-bit fixiert. Zu jedem Schlüssel wird dessen Fingerprint angzeigt und über eine Eingabemaske kann man den Fingerprint kopieren, den man über einen anderen Weg mitgeteilt bekommt, um ihn zu verifizieren. Ob Cyber-Jihadisten sich auch gegenseitig anrufen, um sich die Fingerprints vozulesen, weiß ich nicht.
Kommen wir zum "Secure Messaging", das als vielzitierte neue Qualität hinzugekommen ist. Schwachsinn. Das "Secure Messaging" hat nichts mit dem per OpenPGP oder OTR verschlüsselten Instant Messaging zu tun oder mit dem automatischen Posten von verschlüsslten Texten in Weblogs und Webforen über entsprechende APIs, wie ich zuerst dachte, bevor ich das Programm kannte.
Beim "Secure Messaging" wird entweder ein Text eingetippt oder der Inhalt einer Datei in den Editor geladen. Über die zwei Buttons oben rechts kann man für arabische Texte die Schreibrichtung ändern.
Nach einem Klick auf den Verschlüsselungs-Button wird der Text mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. In der Presse wurde gemunkelt, die Secrets V. 2. wären auch für die verschlüsselte Kommunikation in Webforen gedacht. Das reduziert sich aber auf das Einfügen der Tags [LEFT]/[/LEFT], [PHP]/[/PHP] und [CODE]/[/CODE], damit die Jihadisten die Texte einfacher per Copy & Paste in Webforen verwenden können.
Genauso manuell geht auch der Entschlüsselungsvorgang ab. Zuerst muss der Ciphertext aus einem Webforum oder einer E-Mail kopiert und in den Editor eingefügt werden, dann folgt die Passphraseeingabe des eigenen privaten Schlüssels und danach wird der entschlüsselte Klartext angezeigt.
Die Verschlüsselung, Entschlüsselung und Signierung von vorliegenden Dateien wird dagegen über eine Leiste mit Dateiauswahlfeldern und dem Explorer erledigt. Dabei werden abgetrennte Signaturdateien verwendet, die man hier aber wiederum nicht überprüfen kann. Um verschlüsselte Dateien, die binär codiert werden, problemlos per E-Mail oder mit Instant Messaging zu versenden, kann die Datei auch ins Textformat konvertiert werden. Die muss bei Erhalt zuerst wieder ins binäre Format umgewandelt und dann entschlüsselt werden.
Wie bei diesem Vorgang müssen in den Secrets sehr viele Vorgänge manuell und über Zwichenschritte ausgeführt werden und das teilweise über die Leiste des Hauptfensters, dann aber wieder in den Fenstern, die man über die Meüleiste öffnet. Was die Secrets im Vergleich zu gängigen grafischen Verschlüsselungsanwendungen, Shells oder einem Thunderbird mit Enigmail Add-on nicht sind: Intuitiv und benutzerfreundlich. Ich bezweifle, dass trotz der Hilfedatei jeder Cyber-Jihadist in der Lage ist, das Programm richtig anzuwenden. Auch Terroristen und Jihad-Sympathisanten dürften oft zu faul sein, Handbücher zu lesen und nicht unbedingt nur aus Computer-Nerds und Krypto-Freaks bestehen.
Ähnlich wie bei der Verschlüsselung spielt sich der Vorgang zur Signierung einer Nachricht ab: Tippen oder Laden, Passphrase eingeben, Button klicken.
Das Fenster zur Signierung von Dateien bzw. Erstellung einer Signaturdatei und zur Überprüfung einer Datei über deren Signaturdatei.
Ein buntes Gimmick in den Secrets: Der Vergleich des Fingerprints einer erhaltenen Datei mit dem Fingerprint, der auf einer Webseite, in einer E-Mail oder einem Chat genannt wird.
Die Mojahdeen Secrets 2 sind wie die erste Version auf etlichen Jihad-Webseiten zu finden, aber nur, wenn man sie in arabischer Sprache sucht. Zur Verfügung gestellt werden sie vor allem über die lange Liste der One-Klick Instant-Filesharing Hoster a la Rapidshare – großartige Werbung benötigt das Programm also nicht.
Wie man oben sieht, ist an den Mojahdeen Secrets überhaupt nichts geheimnisvoll oder herausragend. Vielmehr erinnert das Programm an die zusammengestoppelten GUIs für PGP der 90er Jahre und die privaten Krypto-Frickelprogramme, die auch gerne mit "ultrasicher" und "unbrechbar" daherkommen.
Alle Funktionen und Algorithmen (naja Mars, RC6 eher weniger, aber wozu auch) bieten andere, frei verfügbare Programme und Anwendungen schon lange, besser und oft dazu quelloffen. Geheimnisvoll ist allenfalls, warum sich die "Cyber-Jihadisten" nicht einfach eines dieser Programme und Anwendungen vornehmen und dafür entweder eine arabischsprachige Dokumentation erstellen oder die grafischen Oberflächen ins Arabische Übersetzen. Aber zu dieser Frage habe ich ja bereits am Anfang mögliche Antworten geliefert.
Ein Coup wäre es dagegen, wenn das Programm gar nicht von überzeugten Jihadisten stammen würde, sondern von Geheimdiensten, die die Secrets bewußt in der islamistischen Szene verankern wollen, um dann umso besser mitlesen und mitverfolgen zu können, was dort kommuniziert und transferiert wird. Auf der anderen Seite demonstrieren die Secrets – wenn sie aus dem islamistischen Umfeld selbst stammen – das Interesse und den Willen der technisch versierten Teile des islamistischen Terrorimus, Verschlüsselung ebenfalls zu nutzen und dafür eigene unabhängige Lösungen zu finden, die man mit der Nutzung aller anderen Dienste und Plattformen im Internet kombiniert.
Aber auch das ist nichts, was besonders katastrophal und neuartig wäre, denn existierende Kommunikationsformen und -methoden wurden schon immer auch von Terroristen genutzt. Ihre Anwendung von Verschlüsselung als ein Mittel der Absicherung des konspirativen Austausches oder gar Vorbereitung terroristischer Aktionen ist ein unvermeidlicher Nebeneffekt der ungehinderten und freien Nutzung von Verschlüsselung, die alle anderen Anwender einsetzen können, um ihre privaten Geheimnisse und ihre Privatsphäre zu schützen.
Jedenfalls war es interessant, sich das Programm mit eigenen Augen anzuschauen und es mit seiner Würdigung in der Presse zu vergleichen. Wie es Sicherheitspolitiker und Geheimdienste gegen den allgemeinen Einsatz von Verschlüselung als "Privacy Enhancing Tool" auschlachten könnten, dazu habe ich ja bereits in dem Beitrag zu den Mojahdeen Screts 1 ein paar Worte verloren. Aus Sicht eines an Verschlüsselung interessierten Anwenders und Internetnutzers würde ich die Secrets jedenfalls nicht anwenden und schon gar nicht empfehlen.
Siehe auch:
Schneier on Security - Mujahideen Secrets 2
Dancho Danchev - Mujahideen Secrets 2 Encryption Tool Released
Jeff Bardin - A Gift from the Islamic Faithful Network – Mujahedeen Secrets 2 Program
Silicon - Cyber-Dschihad - Islamisten-Software ist unnütz
Silicon - Islamisten nutzen eigene Verschlüsselungssoftware
Gulli - Privacy-Tools für Islamisten
von ravenhorst - Owl,
gepostet am Freitag, 8. Februar 2008 um 21:17
