Tarnen und Täuschen

Seit sich der amerikanische Geheimdienst NSA mit der Hand in der Keksdose erwischen lassen hat, kann man davon ausgehen, dass Kommunikationsüberwachung im großen Stil keineswegs der Albtraum einzelner Paranoiker ist, sondern traurige Realität. Außerdem dürfte klar werden, dass Datenschutz sich nicht allein durch Gesetze und Verordnungen gewährleisten lässt, sondern aktives Handeln aller Beteiligten erfordert.

Wer etwa vertrauliche Informationen durchs Internet schickt – sei es per E-Mail oder auf anderen Wegen –, sollte sie grundsätzlich verschlüsseln. Allerdings kann Verschlüsselung nicht die Tatsache verschleiern, dass zwei Parteien miteinander kommunizieren. Solange die große Mehrheit aller Datentransfers im Klartext stattfindet, weisen verschlüsselte Nachrichten Lauscher obendrein darauf hin, dass die Kommunikationspartner etwas verbergen wollen.

Schreiben mit digitaler Geheimtinte

Verschleiern lässt sich das durch den Einsatz von Steganografie. Das Verfahren bettet eine geheime Nachricht – die wiederum verschlüsselt sein darf – in eine vorhandene Datei („cover“ oder „carrier“) ein. Besonders gut eignen sich dafür Bild- und Audiodateien: Versteckt man die geheime Nachricht in den niederwertigsten Bits der Farb- beziehungsweise Toninformationen (least significant bit steganography), ist sie mit bloßem Auge respektive Ohr nicht erkennbar. Man kann jedoch auch andere Daten als Trägermaterial verwenden, etwa Textdateien. Die Möglichkeiten dabei reichen vom Einstreuen redundanter Leerzeichen oder Rechtschreibfehler bis zum gezielten Ersetzen einzelner Wörter durch Synonyme.

Mit Bild- und Audiodateien arbeitet zum Beispiel steghide. Das Programm kann die geheime Nachricht mit dem von gzip bekannten Deflate-Algorithmus komprimieren, anschließend verschlüsseln – in der Voreinstellung mit AES-128 – und in eine JPEG-, BMP-, WAV- oder AU-Datei einbetten. Das Kommando steghide extract fördert sie wieder zutage, sofern der Nutzer das beim Verschlüsseln verwendete Passwort kennt. Da die geheime Nachricht nur einen Bruchteil der vorhandenen Bits in Anspruch nehmen kann, ist ihre Länge begrenzt. Wie viel Platz zur Verfügung steht, verrät steghide info.

Erheblich vielseitiger ist das Windows-Tool OpenPuff. Es verwendet Bild-, Audio-, Video- oder Flash-Dateien als Trägermedium und kann eine Nachricht auf mehrere Carrier-Dateien verteilen. Außerdem bietet es die Möglichkeit, die eingebetteten Daten nicht nur zu verschlüsseln, sondern sie anschließend so zu transformieren, dass sie einem Rauschsignal ähneln (sogenanntes Whitening). Letzteres macht es noch schwieriger, sie zu erkennen.

Zum Experimentieren mit Steganografie bietet sich das Digital Invisible Ink Toolkit (DIIT) an. Das in Java geschriebene Programm kann Bilder im JPEG-, PNG- oder BMP-Format als Carrier verwenden und unterstützt ein halbes Dutzend Einbettungs-Algorithmen, die der Nutzer um seine eigenen erweitern kann. Ein Simulationsmodus zeigt, wo im Bild der gewählte Algorithmus die geheime Nachricht versteckt.

Vollständig unsichtbar machen lässt sich eine Nachricht auch mit Steganografie nicht. Zwar kann man nicht mit hundertprozentiger Sicherheit feststellen, ob eine Datei eine versteckte Mitteilung enthält, doch eine sogenannte Steganalyse kann zumindest Anhaltspunkte liefern, vor allem, wenn einfache Algorithmen wie die LSB-Methode zum Einsatz kommen. Modernere Algorithmen erschweren das Erkennen von Steganografie, doch die Steganalyse macht ebenfalls Fortschritte, was zu einem Wettstreit ähnlich dem zwischen Kryptografie und Kryptanalyse geführt hat.

Wer sich intensiver mit Steganografie und Steganalyse befassen möchte, sollte sich das Virtual Steganographic Laboratory for Digital Images (VSL) ansehen. Das virtuelle Labor enthält vorgefertigte Module für verschiedene Einbettungsalgorithmen, Analyseverfahren und das Bearbeiten von Bilddateien, die sich auf der grafischen Oberfläche per Drag & Drop nahezu beliebig kombinieren lassen. Es erlaubt es außerdem, die Auswirkungen nachträglicher Veränderungen – etwa Filterung des Bildes – auf die eingebettete Nachricht zu untersuchen. Anwender können das in Java geschriebene Programm um eigene Module ergänzen.

Alle Links: www.ix.de/ix1308145 (mr)