Fragen? Antworten! Siehe auch: Alternativlos
Ich habe vor ein paar Jahren einen beeindruckenden Vortrag gesehen, wo eine Forschergruppe gezeigt hat, dass man bei einer SSH-Verbindung das Passwort rekonstruieren konnte. SSH ist verschlüsselt. Die Idee war, ein Modell der Tastatur und der Finger zu basteln, und dann kann man aus dem Timing der Pakete auf mögliche Tastenkombinationen schließen. Klingt unglaublich, aber das haben die Forscher probiert und haben damit tatsächlich Passphrases rekonstruieren können.
Heute weist mich jemand auf eine noch krassere Sache hin, nämlich dass man aus dem Beobachten von verschlüsselten VoIP-Paketen das gesprochene Wort rekonstruieren kann. Die Idee dabei ist, dass Voip-Sprachcodecs mit variabler Bitrate kodieren, je nach Komplexität des Signals. Wenn man also ein gutes Modell der Sprache hat, kann man mit einer gewissen Wahrscheinlichkeit Sätze rekonstruieren.
However, we show that when the audio is encoded using variable bit rate codecs, the lengths of encrypted VoIP packets can be used to identify the phrases spoken within a call. Our results indicate that a passive observer can identify phrases from a standard speech corpus within encrypted calls with an average accuracy of 50%, and with accuracy greater than 90% for some phrases.
Das sind ausgesprochen beunruhigende Ergebnisse und Wasser auf unsere Mühlen. Die offensichtliche Paranoia-Lektion ist, dass man aus lärmenden Umgebungen heraus telefoniert, und untypische Formulierungen verwendet :-)Update: Wenn man eine Voip-Umgebung hat, in der man einen fixed bitrate Codec einstellen kann, dann ist das natürlich die bessere Lösung. Mir flüstert gerade ein gewöhnlich wohl unterrichtetes Vögelchen, dass das bei den Diensten schon etablierte Technologie ist, seit Jahren im Einsatz. (Danke, Thomas)