GnuPG-Verschlüsselung mit Steganographie verbergen
Was ist besser als eine PGP/GnuPG-verschlüsselte Nachricht? Antwort: Eine Nachricht, der man die PGP/GnuPG-Verschlüsselung nicht ansieht.
PGP/GnuPG-Verschlüsselungen haben einen kleinen Nachteil: Jemand, der eine so verschlüsselte Nachricht abfängt sieht ihr die Verschlüsselung sofort an. In nicht-demokratischen Ländern mit Kryptographieverbot, in denen z.B. Organisationen wie Greenpeace und Amnesty International arbeiten und die geheim mit der “Außenwelt” kommunizieren müssen, könnte der Gebrauch einer PGP/GnuPG-Verschlüsselung verhängnisvoll werden.
Einen möglichen Ausweg bietet hier die Steganographie:
Steganographie bzw. -grafie ist die Kunst und Wissenschaft der verborgenen Übermittlung von Informationen.
Seit Mitte der 90′er Jahre existieren diverse Tools, um Textinformationen in Bitmaps, Jpegs oder Wave-Dateien zu verstecken. Eine kleine Übersicht dieser Steganographie-Tools befindet sich auf den Heise-Seiten. Ein Steganographie-Tool für den Mac ist “Stego”, aufgeführt auf dieser Steganography Software-Site. Das – laut diverser Aussagen aus dem Netz – stärkste Steganographie-Tool soll OutGuess sein, was nur für diverse *nix-Plattformen zur Verfügung steht.
Allein das Verbergen von Daten mittels Steganographie scheint aber kein sicheres Verfahren zu sein. So liefern die Hersteller von OutGuess mit Stegdetect gleich ein Tool mit, welches steganografische Daten aufspürt. Im Jahre 2001 wurde das erste steganographische Bild in der freien (Netz-)Laufbahn gefunden. Dabei wurden u.a. Bildarchive von eBay und dem Usenet durchsucht.
Geschickter ist es, mit PGP/GnuPG verschlüsselte Daten in einem Bild zu verstecken. Dabei verschlüsselt man eine Textnachricht, verbirgt sie in einem Bild und schickt es dann offen per Email an den Empfänger. Eventuelle Mitlauscher fangen höchstens ein harmloses Urlaubsfoto ein. Dem Bild sieht man die versteckte Nachricht nicht an. Und wenn doch, ist die Nachricht verschlüsselt und nur vom Empfänger lesbar.
Da die Tools unterschiedliche Methoden der Steganographie verwenden, scheint ein plattformübergreifendes Vorgehen nicht möglich zu sein. Zumindest habe ich kein Tool gefunden, dass auf allen Betriebssystemen arbeitet (man möge mich korrigieren, falls jemand was anderes weiss). Auch muss das Passwort dem Empfänger bekannt sein, um eine versteckte Nachricht aus der Bilddatei wieder extrahieren zu können.
Tests unter Windows mit den Tools JPHS, welches Daten in JPEG-Dateien (hier beschrieben) und SteganoG 1.2, welches Daten in Bitmap-Dateien versteckt (hier beschrieben) zeigten die Einfachheit dieser Methode in der Praxis.
Mit den Windows Privacy Tools lassen sich Textdateien über den File Manager verschlüsseln und signieren.
Die so entstandene .gpg-Datei kann dann mit steganografischen Tools in einer Bild- oder Wave-Datei versteckt werden.