Die IT Inkubator Ostbayern GmbH ist ein Unternehmen der Stadt Regensburg mit der Aufgabe, IT-Wirtschaft und IT-Gründungen in der Oberpfalz zu fördern. Die Projekte zur IT-Gründungsförderung werden von der Europäischen Union aus dem Europäischen Fonds für regionale Entwicklung kofinanziert.
Regensburger Forscher widerlegen Funktionalität des "digitalen Radiergummis"
Mit dem Browser-Plugin X-pire! wurde im Januar 2011 ein "digitaler Radiergummi für das Internet" vorgestellt, der es ermöglichen soll Bilder mit Verfallsdaten zu versehen. Forscher aus dem Bayer. IT-Sicherheitscluster haben nun nachgewiesen, dass dies nicht möglich ist.
Ein Radiergummi für das Internet - das verspicht das Browser-Plugin X-pire!. Forscher aus dem Bayerischen IT-Sicherheitscluster haben nun die Funktionalität von X-pire! widerlegt.
Nach dem Ablaufdatum des verschüsselen Bildes "radiert" X-pire! den Schlüssel
Mit dem Browser-Plugin X-pire! wurde im Januar 2011 ein "digitaler Radiergummi für das Internet" vorgestellt. Dieser - so die Entwickler - soll es ermöglichen, Bilder mit Verfallsdaten zu versehen, bevor sie ins Internet hochgeladen werden. Das Bild wird dabei verschlüsselt und der Schlüssel auf dem Server von X-pire! vorgehalten. Möchte man das Bild betrachten, wird der Schlüssel von dem Plugin abgeholt, das Bild entschlüsselt und dann angezeigt. Nach Erreichen des Ablaufdatums wird der Schlüssel vom Server gelöscht und folglich kann das Bild nun nicht mehr angezeigt werden. Schon im Vorfeld wurde das Konzept stark kritisiert. Einen ersten Angriff auf die verwendete Technik hat die scip AG vorgestellt.
Einsatz des Plugins kann Privatsphäre sogar zusätzlich gefährden
Ein neues, schwerwiegendes Problem wurde am 22.02.2011 auf der 56. Sitzung des Arbeitskreises "Technik" der Datenschutzbeauftragten des Bundes und der Länder thematisiert. Prof. Dr. Hannes Federrath erläuterte dort in einem Vortrag, dass von einem Einsatz des Plugins sogar eine zusätzliche Gefahr für die Privatsphäre von Nutzern ausgehen kann. Um dies zu demonstrieren, entwickelten die Regensburger Forscher ein Plugin, das zu X-pire! kompatibel ist. Dieses in Anlehnung an den Streisand-Effekt als Streusand bezeichnete Plugin bietet zunächst einmal denselben Funktionsumfang wie X-pire!.
"Streusand" entschlüsselt das mit X-pire! verschüsselte Bild
Anstatt jedoch mit dem X-pire!-Schlüsselserver Kontakt aufzunehmen, wird die Anfrage nach dem Schlüssel zunächst an den "Streusand-Server" geschickt. Kennt dieser den angeforderten Schlüssel, gibt er ihn direkt und unabhängig vom Verfallsdatum an das Streusand-Plugin weiter, wo der Schlüssel zur Entschlüsselung des scheinbar geschützten Bildes verwendet wird. Kennt der Streusand-Server den passenden Schlüssel hingegen nicht und ist das Verfallsdatum des Bildes noch nicht überschritten, bezieht das Streusand-Plug-in den Schlüssel über den X-pire!-Schlüsselserver entschlüsselt das Bild und lädt es zusammen mit dem Schlüssel auf den Streusand-Server hoch. Ab diesem Zeitpunkt ist das Bild in der öffentlich einsehbaren Streusand-Galerie frei verfügbar und der Schlüssel kann anderen Nutzern ohne jegliche zeitliche Restriktionen zur Verfügung gestellt werden.
"Nutzwert" von Streusand steigt direkt proportional mit seiner Verbreitung
Im Ergebnis können Bilder nur dann nicht mehr nach ihrem Verfallsdatum entschlüsselt werden, wenn sie vor dem Verfallsdatum von keinem einzigen Streusand-Nutzer abgerufen worden sind. Da beim Einsatz des Streusand-Plugins im Vergleich zu X-pire! die von vielen Nutzern als störend empfundenen CAPTCHAs viel seltener angezeigt werden - nämlich nur beim allerersten Betrachten durch irgendeinen Nutzer - entsteht zudem ein Anreiz zur Nutzung von Streusand anstelle des X-pire!-Plugins. Der "Nutzwert" von Streusand steigt also direkt proportional mit seiner Verbreitung.
Kontakt:
Universität Regensburg
Lehrstuhl Wirtschaftsinformatik 4
Prof. Dr. Hannes Federrath
Universitätsstraße 31
93053 Regensburg
Tel.: 0941/943-2870
Fax: 0941/943-812870
E-Mail: Hannes.Federrath@wiwi.uni-regensburg.de