Kategorie: Wissen

Passkey : alter Schuh in neuen zerlöcherten Schläuchen

Seit einiger Zeit wird ein neues „Passwortkonzept“ beworben, womit die alten Passwörter nicht mehr notwendig sind. Über dieses „neue“ Konzept wird viel gesprochen und viel Unsinn verzapft. Daher kurz zusammengefasst, ohne Bullshit und Buzzword Bingo

Passkey nutzt die Kombination aus

  1. Asymmetrischer Verschlüsselung wie GPG
  2. Biometrie, wie Gesicht, Fingerabdruck
  3. Synchronisation über mehrere Geräte

So gut, wie das jetzt werbetechnisch hier aussieht ist es gar nicht. So ganz gar nicht! Oder noch deutlicher

Das Konzept von Passkey ist sehr schlecht!

Ich erkläre und kommentiere diese drei Punkte in dieser Kritik, damit die massiven Probleme einfacher verstehbar werden.

Asymmetrische Verschlüsselung – GPG

Vorneweg: asymmetrische Verschlüsselung ist sehr gut!
Diese Verschlüsselung gibt es für Endverbraucher schon seit 25/30 Jahren z.B. für Email. GPG/GnuPG (GNU Privacy Guard) oder früher auch die kommerzielle Variante PGP eines Anbieters.

  1. Diese Verschlüsselung funktioniert so, dass mit Hilfe der Software ein Schlüsselpaar generiert wird (z.B. 2 Text-Dateien).
  2. Eine Datei enthält den Privaten/Geheimen Schlüssel und eine Datei enthält den Öffentlichen/Public Schlüssel. Zwei unterschiedliche Schlüssel, daher heißt diese Verschlüsselung asymmetrisch.
  3. Den geheimen Schlüssel muss ich beschützen und sicherstellen, dass niemand diesen Schlüssel in die Hände bekommt. Diesen Schlüssel brauche ich, um Daten, die mit dem öffentlichen Schlüssel verschlüsselt wurden, wieder zu entschlüsseln. Dieser geheime Schlüssel darf also niemals meine „Hände“ verlassen.
  4. Ganz im Gegenteil dazu der öffentliche/public Schlüssel. Mit diesem Schlüssel können Daten nur verschlüsselt werden. Nicht entschlüsselt, sondern nur VERschlüsselt werden. Daher kann dieser öffentlich Schlüssel offen verteilt werden, überall gepostet oder irgendwelchen wildfremden Menschen in die Hand gedrückt werden. Das Einzige, was diese machen können ist dann Daten zu verschlüsseln, die nur noch ich mit meinem privaten/geheimen Schlüssel wieder entschlüsseln kann.

Das ist das grundlegende Prinzip von GPG oder asymmetrischer Verschlüsselung.

Biometrie

Auch wenn Biometrie immer wieder in Zusammenhang mit Sicherheit gebracht wird, bleibt es weiterhin absolut falsch.
Folgende Definition ist richtig:

Biometrie = Bequemlichkeit = unsicher

Und auch wenn immer noch auf die Einzigartigkeit von Fingerabdrücken, Augen bzw Iris oder anderen Körpermerkmalen hingewiesen wird, so wird auch immer wieder vergessen, dass wir unsere Fingerabdrücke bei jeder Gelegenheit unzählige Male jeden Tag hinterlassen. Dass unsere Augen, alleine durch die Smartphones zigtausend Mal fotografiert wurden und alle anderen Merkmale, wie Stimme usw überall verfügbar und aufgezeichnet sind.
Biometrie ist Bequemlichkeit und damit das absolute Gegenteil von Sicherheit.

Synchronisation

Synchronisation ist mittlerweile ein allgegenwärtiger Begriff, weil wir viele Geräte besitzen und auf jedem Gerät immer alles auf dem selben Stand halten wollen. Und das möglichst automatisch. Also synchronisieren wir unsere Dokumente, Bookmarks, Bilder, Musik usw über irgendeinen Service. Meist ist es eine Cloud eines externen Anbieters (außerhalb unserer Wohnung, auf der anderen Seite des häuslichen Internetrouters). Das ist bequem. Und wie schon weiter oben geschrieben, ist Bequemlichkeit das Gegenteil von Sicherheit.

Wenn alles zusammen kommt

So, wie passt das jetzt alles zusammen?

GPG oder die asymmetrische Verschlüsselung ist eine super Sache. Sie funktioniert hervorragend und wird auch von vielen Geheimdiensten, Botschaften, JournalistInnen benutzt, um Geheimes erfolgreich geheim zu halten. Bei „geheim halten“ muss es sich dabei nicht um Staatsgeheimnisse handeln, es können auch einfach Dinge sein, die einfach Dritte nichts angehen.

Der geheime Schlüssel soll nun also z.B. auf dem Smartphone, auf einem extra Chip (Hardware) als eine Art Safe gespeichert werden, der mit Hilfe von Biometrie (Gesichtserkennung, Fingerabdruck, usw) aufgeschlossen werden kann. Das an sich ist nochmal eine Abhandlung über vorgetäuschte Sicherheit wert, die aber dieses Thema hier absolut sprengen würde.

Dieser „super extra“ Hardware Safe soll mit dieser Biometrie Technologie aufgeschlossen werden, die jegliche Sicherheit zugunsten von Bequemlichkeit eliminiert.

Das ist ungefähr so, als würden wir die weltbeste Tür gegen Einbrecher einbauen, sie aber dann aus Bequemlichkeit offen lassen, weil uns der Schlüssel zu schwer ist.

Aber es kommt noch schlimmer. Damit es für uns noch bequemer wird und wir auf allen unseren Geräten (Smartphone, Tablet, Computer, Kaffeeautomat) unsere z.B. Bankgeschäfte machen können, soll nun dieser private Schlüssel auf alle diese Geräte synchronisiert werden. Also auf verschiedene Geräte, die alle unterschiedliche Schwachstellen haben können.

UND: die Synchronisation wird über einen externen Anbieter und deren Cloud durchgeführt. Zwar verschlüsselt, aber der Geheime Schlüssel wird unter Umständen mehrfach quer durch die Welt verschickt, in der Cloud eines Anbieters „zwischengespeichert“ oder geBackupt, um dann auf eines unserer Geräte zu speichern. Das unter Umständen vielleicht auch gar nicht über diesen super extra Chip (Safe) verfügt. Der sowieso durch die Biometrie ausgehebelt wird.

Um in dem Bild der weltbesten Tür gegen Einbrecher zu bleiben: Zu unserer nicht mehr sicheren Tür, weil für uns und die Einbrecher bequem, bauen wir jetzt noch mehr solcher Türen in unsere Wohnung ein, die wir offen lassen, damit wir und die Einbrecher von noch mehr Seiten einfacher in die Wohnung kommen.

FAZIT

  1. GPG oder GnuPG bzw asymmetrischer Verschlüsselung ist eine super Sache und wirklich das Sicherste, was schon seit Jahrzehnten genutzt werden kann
  2. Biometrie ist nur Bequemlichkeit und absolut Unsicher
  3. Synchronisation auf mehrere Geräte verringert die Sicherheit zusätzlich und unter Umständen massiv
  4. Synchronisation über einen externen Anbieter oder gar über einen Cloud Anbieter ist das absolute Worst Case Szenario, da der Anbieter den geheimen Schlüssel dann besitzt.
  5. Externe Anbieter haben oft Abkommen mit Diensten, die Zugriff auf diese Daten haben.

So, was aber nun tun um die Passwörter sicher zu halten?
Da hilft leider nur die alte aber immer noch erste Regel der Sicherheit:

Der Grad an Sicherheit ist ausschließlich eine Frage der Höhe des Aufwandes.

Bequemlichkeit ist immer das Gegenteil von Sicherheit und daher ist es gut, sich Gedanken zu machen, wie mit solchen sensiblen Dingen wie z.B. Passwörtern umgegangen wird. Und wem Zugriff darauf gegeben wird.

Ein Anfang ist es sicherlich schon mal GPG zu nutzen und den geheimen Schlüssel selbst zu verwalten und zu sichern. Zum Beispiel in einer einfachen Textdatei. Die natürlich mit GPG verschlüsselt ist und ein komplexes Passwort hat, das wir uns merken und ab und an ändern.

Nützliches & informative Links
  1. Passkey https://de.wikipedia.org/wiki/FIDO2#Passkey
  2. GnuPG https://gnupg.org/
  3. Asymmetrische Verschlüsselung einfach erklärt https://youtu.be/yWrtCtQ7Wno
  4. Gpg4win – Sichere E-Mail- und Datei-Verschlüsselung https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Freie-Software/E-Mail-Verschluesselung/GPG4Win/gpg4win_node.html
  5. Das GNU-Handbuch zum Schutze der Privatsphäre https://www.gnupg.org/gph/de/manual/book1.html
  6. Biometrie wurde vom früheren SPD-Bundesinnenminister Otto Schily forciert und als „sicher verkauft“. Nach seinem Ausscheiden wurde er Aufsichtsratsmitglied in zwei Biometrie-Unternehmen. 1 2 3 4
  7. Synchronisation, Cloud und Serviceanbieter wie Google, Microsoft, Apple, Amazon usw haben regelmäßig (spätestens im Monatsrhytmus) Einbrüche bzw wurden gehackt, oder Totalausfälle bzw Absprachen mit irgendwelchen Diensten, die ihrerseits wieder gehackt werden. 1 2 3 4

United Colors Of Wasserstoff

Auch wenn es absolut durchgeknallt klingt, was es auch ist, gibt es Wasserstoff in allem möglichen „Farben“. Und so schön dieser Titel auch klingen mag, die meisten Herstellungsverfahren sind sehr hässlich.

Natürlich sind es nicht wirklich echte Farben, sondern die Farben beschreiben lediglich die Herstellung und den Verbleib der Abfallstoffe. Dabei wird auch viel Framing (vorsätzliche Täuschungen) mittels „Greenwashing“ von Firmen und Politik betrieben.
Also die vortäuschende Beschönigung einer schlechten Sache.

Fakten zu Wasserstoff

  • Wasserstoff ist ein chemisches Element mit dem Symbol H und der Ordnungszahl 1
  • lateinisch für Hydrogenium „Wasserbildner“
  • Der Großteil des Wasserstoffs auf der Erde ist im Wasser gebunden, der Verbindung mit Sauerstoff, deren Masse zu 11 % aus Wasserstoff besteht. In dieser Form bedeckt er über zwei Drittel der Erdoberfläche.
  • In der Erdatmosphäre liegt Wasserstoff hauptsächlich als gasförmiges Wasser (Wasserdampf) vor.
  • Unter Bedingungen, die normalerweise auf der Erde herrschen, liegt das gasförmige Element Wasserstoff nicht als atomarer Wasserstoff mit dem Symbol H vor, sondern als molekularer Wasserstoff mit dem Symbol H2, als ein farb- und geruchloses Gas.
  • Wasserstoffherstellung ist die Bereitstellung von molekularem Wasserstoff, Gas, (H2).
    • Als Rohstoffe können Wasser (H2O), Erdgas, das vor allem aus Methan (CH4) besteht, andere Kohlenwasserstoffe, Kohle, Biomasse sowie andere wasserstoffhaltige Verbindungen eingesetzt werden.
    • Als Energiequelle dient chemische Energie oder von außen zugeführte elektrische, thermische oder solare Energie.

Wirkungsgrad bei der Herstellung

Der Wirkungsgrad ist die sehr isolierte Betrachtung (unabhängig von der Art der Gewinnung) wieviel Prozent von 100% Energieeinsatz bei der Umwandlung oder Erzeugung von Wasserstoff, schließlich wieder in Energie, z.B. durch Verbrennung, zurück gewandelt werden kann.

Das sind nur die Werte, die ich bei meiner Recherche gefunden und als einigermaßen aussagekräftig erachtet habe.

  • Kværner-Verfahren (Pyrolyse) – Eine 1992 in Kanada erbaute Pilotanlage erreichte einen Wirkungsgrad von nahezu 100 % – allerdings nur unter der Voraussetzung, dass die dabei entstehende Abwärme vollständig genutzt wird. Der Energiegehalt der Reaktionsprodukte dieses Verfahrens verteilt sich etwa 48 % auf Wasserstoff, etwa 40 % auf Aktivkohle und etwa 10 % auf Heißdampf.
  • Elektrolyse mit fossilen Brennstoffen – 70% – 80% (wird CO2 freigesetzt)
  • Elektrolyse mit alternativen Energien – 34 und 44 % (es wird kein CO2 freigesetzt)
  • Thermochemisches Verfahren – bis zu 50% ABER! Den hohen thermischen Wirkungsgraden der thermochemischen Kreisprozesse (bis zu 50 %) müssen jedoch die heute noch weitgehend ungelösten material- und verfahrenstechnischen Schwierigkeiten gegenübergestellt werden

Wasserstoff Farben buzzwording

  • Grün =(alternative) mittels Elektrolyse durch Alternative Energien (Windenergie/Sonnenenergie)gewonnener Wasserstoff.
  • Orange = (alternative) Wasserstoffgewinnung aus Bioenergie, wie Biomasse, Biokraftstoff, Biogas oder Biomethan
  • Weiß = (Framing) natürliche Vorkommen werden mittels Fracking aus Gestein geholt. Ähnlich Erdgas.
  • Gelb = (Framing)
    • Bezeichnung von z.B. EnBW für Wasserstoff aus Atomstrom (rot pink, violett).
    • Bezeichnung von z.B. EWE für Wasserstoff aus fossilen Brennstoffen
    • Selten auch Wasserstoff aus Solarenergie. Meist eher aus einem Stromnetz Mix.
  • Grau = (fossile) Mittels Dampfreformierung aus Methan / Erdgas
  • Blau = (fossile) Wie „Grau“ Herstellung aus fossilen Energieträgern. Anfallendes Kohlendioxid wird aufgefangen und unterirdisch gelagert.
  • Türkis = (fossile) Wie „Grau“. Bei türkisem Wasserstoff wird Erdgas mittels thermischen Verfahren „Methanpyrolyse“ (Kværner-Verfahren) in Wasserstoff und festen Kohlenstoff gespalten.
  • Schwarz, Braun = (fossile) Basierend auf der Kohlevergasung von Steinkohle oder Braunkohle.
  • Rot, Pink, Violett = (Kernkraft) Elektrolyse mit Atomstrom

Diese Auflistung ist der Versuch einen Überblick über das sehr oft absichtlich verursachte Begriffs-Chaos zu bekommen, das ohne Probleme von Politik und Medien durch eine konsequente und einheitliche Kommunikation geordnet werden könnte.

Ich bin gespannt, wann die ersten Geschmacksrichtungen herauskommen. Es werden noch Wetten angenommen, welche Partei das als Erstes verkündet.

Quellen:
  1. https://de.wikipedia.org/wiki/Wasserstoff
  2. https://de.wikipedia.org/wiki/Wasserstoffherstellung
  3. https://de.wikipedia.org/wiki/Liste_der_Wasserstofftechnologien
  4. https://de.wikipedia.org/wiki/Kv%C3%A6rner-Verfahren
  5. https://de.wikipedia.org/wiki/Wasserstoffverbrennungsmotor