In dem Moment, in dem Leigh nach Hause fährt, die ganze asymmetrische Verschlüsselung einrichtet und anschließend zu Assange zurückkommt, um ihm den öffentlichen Schlüssel zu bringen, wird das ganze absurd. Weil er dann gleich die Datei abholen und mitnehmen kann, ohne Verschlüsselung ohne alles.

Die Idee der Asymmetrie versucht das Problem – David Leigh ist ein DAU – dadurch zu lösen, dass mehr Komplexität eingesetzt wird – was aber logischerweise nur die Fehleranfälligkeit erhöht.

Der Fehler von Assange war das Masterpaßwort an Leigh weiterzugeben, anstatt ein nagelneues zu nehmen. z.gpg wäre dann sicher vor Leigh gewesen.

Aber auch in dem Fall hätte die Veröffentlichung des Paßworts durch Leigh eine Sicherheitslücke hervorgerufen – denn ob es herumschwirrende Kopien der einmalig ihm übertragenen Datei gibt – sei es beim Hoster des Server, in irgendeinem Backup oder mitgeschnitten bei der Übertragung läßt sich nunmal im Nachhinein nicht ausschließen.

Und:
Er hätte ja mit Leigh besprechen können, welche Schlüssellänge er wählt, wie seinen private key sichert usw.
Das geht symmetrisch viel einfacher: Gib dein Paßwort niemals nie nie irgendjemandem weiter und halte deinen Rechner mit der entschlüsselten Datei vom Internet und der Öffentlichkeit physikalisch getrennt.

Ihr habt beide leider nicht verstanden, zu welchen Zwecken symmetrische und asymmetrische Verschlüsselung eingesetzt werden.
Asymmetrische Verschlüsselung ist genau dafür da, damit 2 Kommunikationspartner den öffentlichen Schlüssel über das Internet austauschen können, deswegen heißt er auch öffentlich. Und um anschließend Nachrichten in beide Richtungen austauschen und dabei den Absender verifizieren zu können.

Hingegen war die zu schützende Kommunikation im vorliegenden Fall viel einfacher gestrickt: Eine einzige Datei musste ein einziges Mal vom Server zum Empfänger geschützt transferiert werden – und die normalerweise zu berücksichtigende Gefahr ist ein Angriff von dritter Seite, nicht die Preisgabe des Paßwortes durch den Empfänger, da dieser genausogut die entschlüsselte Datei veröffentlichen könnte.

Daher war die Verwendung der symmetrischen Verschlüsselung völlig logisch, ausreichend und konzeptionell sicherer (!), als ein asymmetrisches Vorgehen.

David Leigh hat bewiesen, dass er zur Kategorie Dümmster anzunehmender User gehört, der nicht einmal in der Lage ist, eine 7zippte Datei selbständig zu entpacken.

Und so jemandem wird hier zugetraut, die Funktionsweise und sichere Handhabung der asymmetrischen Verschlüsselung zu verstehen und sich auf dem eigenen Rechner einzurichten?

Sehr viel wahrscheinlicher erscheint mir das Risiko, dass Leigh z.B. den eigenen Secret Key irgendwann mit seinem Public Key verwechselt und den falschen in fremde Hände gegeben hätte. Und da es seine Aufgabe gewesen wäre, dass Passwort zu wählen, ist die Wahrscheinlichkeit hoch, dass es entweder strukturell einfach oder zumindest zu kurz ausgefallen wäre und leicht durch Ausprobieren (Bruteforce) hätte geknackt werden können.
Unter der Annahme, dass also die asymmetrisch verschlüsselte Datei genauso verbreitet worden wäre, wie die symmetrisch verschlüsselte, wäre sie in diesem Falle ebenso geknackt.

Und wenn man sich jetzt vorstellt, dass die noch nicht kompromittierten Dateien y.gpg, y-doc.gpg und x.gpg ebenfalls asymmetrisch mit Leighs Public Key verschlüsselt worden wären, dann wären im gerade geschilderten Fall alle Dateien entschlüsselbar, nicht nur die eine.

So aber hatte Assange mit der symmetrischen Verschlüsselung die volle Kontrolle über die Verschlüsselungsstärke (im asymmetrischen Fall bestimmt der Empfänger das bei der Schlüsselpaarerzeugung) und die Komplexität des Passworts. Warum lange Passwörterphrasen sicherer als kurze komplexe Passwörter sind, wird in diesem Comic anschaulich erklärt.

Der Fehler war also nicht die Anwendung der symmetrischen Verschlüsselung.

Was ist aber dann auf Seiten von Wikileaks falsch gelaufen?

Leigh hat das Masterpasswort (genauer die Masterpasswortphrase) von Assange für die Depeschen bekommen, anstatt eines nur für ihn geltenden Passworts.
D.h. Assange hat sich nicht die Mühe gemacht, die Depeschen auf dem eigenen Rechner mit einer von Leigh und Assange merkbaren neuen Paßwortphrase zu verschlüsseln und auf den Server hochzuladen. Ob dies absichtlich oder wegen vermeintlichem Zeitdruck, technischen Problemen oder Bequemlichkeit geschah, bleibt vorerst Julian Assanges Geheimnis.

Alternativ hätte die Datei anstatt über Server und Internet direkt und unverschlüsselt mit einem Datenträger an Leigh übergeben werden können. Leigh fuhr zu Assange um sich die entschlüsselte Datei z.7z entpacken zu lassen, genausogut hätte er die unverschlüsselten Depeschen bei Assange abholen können.

Eine längere Darstellung warum das kryptografische Problem bei Leigh lag, findet sich bei Matt Giuca

Kurz gesagt: Wenn dem Empfänger nicht vertraut werden kann, dass er den Zugangsweg zu den Daten geheim hält – dann gibt es kaum Möglichkeiten zum Schutz. Das Paßwort hat die Übertragung der Depeschen vom Wikileaksserver zu Leigh geschützt – selbst wenn Assange alles richtig gemacht hätte, gibt es keine Garantie oder Gewißheit, daß die Übertragung nicht irgendwo aufgezeichnet wurde und daher mit der Veröffentlichung des Paßworts dem Man-in-the-Middle alle Daten offenstehen.

David Leigh hätte also etwas bekommen müssen, dass nur er öffnen kann und das solange im Internet zirkulieren kann, bis die Algorithmen hinter GPG gebrochen sind. Hier liegt der Fehler ganz auf Seiten von Assange. Dass er der mastermind hinter Rubberhose sein soll, kann ich kaum glauben.

Andererseits hat Leigh auch einen Fehler gemacht: Egal wie gut sich das im Buch macht, ein Passwort darf Niemals Nie in einem Buch erscheinen, eben weil so etwas ausprobiert wird. Das Buch erschien Ende Februar. Im März hatte ich Kontakt mit einem niederländischen Journalist, der das Buch-Passwort mit allen BitTorrents von WL ausprobiert hatte….. einfach nur so, aus Spaß. Ich habe ihn für bekloppt erklärt und das nicht glauben können.

http://www.WebAppSecBlog.com/TrackingBySocialNetworks.html