Angesichts der gestrigen schockierenden Nachricht, dass die NSA bewusst Schwachstellen in Computersicherheitsprodukte eingebaut hat, hat der Entwickler des beliebten Passwort- und Sicherheits-App für Mac und iOS, 1Password, hat einen ziemlich vielsagenden Blog-Beitrag über ihre Anfälligkeit für diese Art von NSA geschrieben Intervention.
Das sagt AgileBits:
Wurde 1Password absichtlich geschwächt?
Nein.
Wurden wir, AgileBits, jemals von einer Instanz gebeten/gezwungen/unter Druck gesetzt/kontaktiert, die uns aufforderte, 1Password zu schwächen?
Nein.
Das ist der einfache Teil; das könnte jeder sagen. Schauen wir etwas tiefer.
AgileBits verbringt viel Zeit damit, zu erklären, warum das oben Gesagte wahr ist. Das macht Sinn, denn sein gesamtes Geschäftsmodell basiert darauf, dass seine Verschlüsselung – und damit die Daten seiner Kunden – auch vor der NSA sicher sind.
Der Blogbeitrag erklärt, dass AgileBits Entwickler in Kanada, den USA, Großbritannien und den Niederlanden hat. Selbst wenn die NSA AgileBits, ein kanadisches Unternehmen, mit einem Knebelbefehl gebunden hätte, könnte sie Nicht-US-Bürger, die außerhalb des Landes leben, binden. Auch Bestellungen aus anderen Ländern würden hier lebende US-Bürger nicht binden. Die einzige Möglichkeit, das Schweigen des Unternehmens zu wahren, wäre also, mindestens vier separate NSA-ähnliche Agenturen in allen vier Ländern zu koordinieren. Möglich, aber nicht wahrscheinlich.
Zweitens liegt das System, in dem 1Password arbeitet, vollständig in den Händen des Kunden. „Out of the box“, schreibt das Unternehmen, „1Password erstellt eine lokale Datendatei (Ihren „Tresor“) und die Synchronisierung ist deaktiviert. Wir haben nie die Möglichkeit, Ihr Master-Passwort oder sogar Ihre verschlüsselten 1Password-Daten zu sehen.“
Das Unternehmen sieht nie, wie Sie 1Password verwenden. Keine Ihrer privaten Browserdaten oder sensiblen Finanzdaten passieren die 1Password-Systeme. Sie wissen nicht einmal, ob Sie die Software verwenden oder nicht, nachdem Sie sie gekauft haben. Sie bieten zwar eine gewisse Datensynchronisierung, aber selbst dies erfolgt laut Website lokal. „Wenn 1Password 4 für Mac bald auf den Markt kommt“, heißt es im Blog, „mit der Wi-Fi-Synchronisierung (derzeit im Test) können Sie Ihre Daten lokal synchronisieren muss Ihr lokales Netzwerk nie verlassen.“ Dies kann natürlich mit einem Programm wie LittleSnitch oder einer anderen Netzwerkanalyse überprüft werden Werkzeug.
Schließlich sagt das Unternehmen, dass auch ihr Datenformat überprüfbar ist. Sie haben Details zur Verschlüsselung bereitgestellt, die 1Password verwendet, sodass jeder, der sich über ihre relative Stärke oder absichtliche Schwäche Sorgen macht, sie selbst testen kann.
In der Post heißt es weiterhin, dass sie höchstwahrscheinlich dem Präzedenzfall von Lavabit folgen würden, einem Unternehmen, das mit seinen eigenen angeblichen Knebelbefehlen an die Börse gegangen ist, indem es sich selbst geschlossen hat. AgileBits (nicht verwandt) sagt: „… die sehr reale Möglichkeit, dass wir uns lieber selbst abschalten (was öffentlich wäre) als zu sabotieren, was wir tun und lieben, sollte als Abschreckung für diejenigen dienen, die uns zwingen möchten, eine Hintertür."
In dem Blogbeitrag heißt es schließlich, dass nach Kenntnis von AgileBits nur Kommunikationstools ins Visier genommen wurden und keine Tools, die Verbraucherpasswörter und -daten lokal schützen, wie 1Password.
Dies sind ziemlich robuste Gründe, warum AgileBits die Verschlüsselung unserer Daten anvertraut werden könnte. Außerdem mussten sie nicht vortreten und es ausrufen; Auch wenn dies ein Zeichen für eine Verschwörung sein kann, ist es nicht wahrscheinlich. Letztendlich verzichten wir alle ein wenig auf unsere Sicherheit durch den Einsatz digitaler Tools und möglicherweise mehr, wenn wir solche Produkte verwenden.
Andere Unternehmen, die ähnliche Produkte herstellen, haben unseres Wissens keine diesbezüglichen Aussagen gemacht, und eines, LastPass, möglicherweise bereits verletzt.
Der AgileBits-Blogpost fasst alles zusammen, indem er sagt:
Auch wenn Sie keinen der oben aufgeführten Einzelgründe überzeugend finden, wirken sie doch kraftvoll zusammen. In Kombination machen sie es viel schwieriger, eine Schwachstelle in 1Password zu finden, ohne große Risiken einzugehen, erwischt zu werden und zu scheitern. Jeder Angreifer, einschließlich der NSA, wird Angriffe mit hohem Risiko und hohen Kosten vermeiden, wenn es sicherere und einfachere Alternativen gibt. Ich bin daher zuversichtlich, dass die NSA lieber um 1Password herumgehen würde, als es zu durchlaufen.
Was denken Sie, Mac-Benutzer?
