SecureDrop

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
SecureDrop
SecureDrop Logo
Screenshot der SecureDrop Ansicht für Whistleblower.
Screenshot der Ansicht für Whistleblower.
Basisdaten
Maintainer Freedom of the Press Foundation
Erscheinungsjahr 2013
Aktuelle Version 0.2.1[1]
(9. Januar 2014[2])
Betriebssystem Linux, Tails
Programmier­sprache Shell, Python
Lizenz AGPL[1]
Deutschsprachig nein
pressfreedomfoundation.org/securedrop

SecureDrop (englisch ‚Sicherer Einwurf‘) ist eine freie Plattform zur sicheren Kommunikation zwischen Journalisten und Whistleblowern. Die Webanwendung wurde ursprünglich unter dem Namen DeadDrop von Aaron Swartz und Kevin Poulsen entwickelt.[3]

Die erste Instanz der Plattform wurde am 14. Mai 2013 unter dem Namen Strongbox von The New Yorker eingeführt.[4] Nach dem Tod von Aaron Swartz, wurde das Projekt im Oktober 2013 von der Freedom of the Press Foundation übernommen und unter dem Namen SecureDrop fortgeführt.[1] Inzwischen gibt es Installationen von verschiedenen Organisationen,[5] darunter sind auch The Guardian[6], The Washington Post[7] und The Intercept[8].

Sicherheit[Bearbeiten]

SecureDrop verwendet das Tor-Netzwerk zur Anonymisierung; es soll eine sichere Kommunikation zwischen Whistleblowern und Journalisten ermöglicht werden.[3] Installationen von SecureDrop sind deswegen nur als versteckte Dienste des Tor Netzwerkes mit einer .onion-Adresse erreichbar. Beim Upload der sensiblen Dokumente, wird dem Whistleblower ein zufällig generierter Code-Name zugewiesen. Mit diesem können die Journalisten Nachrichten an den Whistleblower hinterlassen. Die Nachrichten können nur durch SecureDrop und mit dem richtigen Code-Namen abgerufen werden.[4]

Audits[Bearbeiten]

Im August 2013 wurde der erste Sicherheitsaudit von einem Team der University of Washington, unter anderem bestehend aus Bruce Schneier und Jacob Appelbaum, durchgeführt. Sie empfanden SecureDrop als ein technisch anständiges System, bemängelten aber die technische Kompetenz, die von Journalisten vorausgesetzt wird. Fehler in der Anwendung von Journalisten könnten die Anonymität der Quellen gefährden.[9]

Der Quelltext der Version 0.2.1 wurde vor der Veröffentlichung von der deutschen Sicherheitsfirma Cure53 überprüft.[2] In der Zusammenfassung des Penetrationstest-Reports wurde angegeben, dass keine kritischen Fehler gefunden wurden. Zudem wird SecureDrop als gut gesicherte Anwendung mit geringen Angriffsmöglichkeiten beschrieben.[10]

Funktionsweise[Bearbeiten]

Die bereitgestellten Dokumente werden mit OpenPGP verschlüsselt und zu einem abgetrennten Spiegelserver übertragen. Journalisten greifen mit einer Verbindung durch das Tor-Netzwerk auf den Server zu und speichern die verschlüsselten Dokumente auf einem USB-Stick. Ein vom Internet getrennter Computer wird mit einer Live-CD gestartet; vor jeder Benutzung werden alle Daten komplett von diesem Computer gelöscht. Die zur Entschlüsselung benötigten Schlüssel sind auf einem weiteren USB-Stick gespeichert. Die Dokumente können jetzt entschlüsselt und für die Veröffentlichung vorbereitet werden.[1][3][4]

Weblinks[Bearbeiten]

Quellen[Bearbeiten]

  1. a b c d Freedom of the Press Foundation: SecureDrop. Abgerufen am 31. Juli 2014 (englisch).
  2. a b Garrett Robinson: 0.2.1 Released! Abgerufen am 31. Juli 2014 (englisch).
  3. a b c Michael Kassner: Aaron Swartz legacy lives on with New Yorker’s Strongbox: How it works. TechRepublic, 20. Mai 2013, abgerufen am 31. Juli 2014 (englisch).
  4. a b c Amy Davidson: Introducing Strongbox. The New Yorker, 14. Mai 2013, abgerufen am 31. Juli 2014 (englisch).
  5. Freedom of the Press Foundation: The Official SecureDrop Directory. Abgerufen am 31. Juli 2014 (englisch).
  6. James Ball: Guardian launches SecureDrop system for whistleblowers to share files. The Guardian, 5. Juni 2014, abgerufen am 31. Juli 2014 (englisch).
  7. Washington Post: Q&A about SecureDrop on The Washington Post. Washington Post, 5. Juni 2014, abgerufen am 12. September 2014 (englisch).
  8. Micah Lee: How to Securely Contact The Intercept. The Intercept, 3. Februar 2014, abgerufen am 31. Juli 2014 (englisch).
  9. Alexei Czeskis, David Mah, Omar Sandoval, Ian Smith, Karl Koscher, Jacob Appelbaum, Tadayoshi Kohno, Bruce Schneier: DeadDrop/StrongBox Security Assessment. University of Washington, 11. August 2013, S. 20, abgerufen am 4. August 2014 (PDF, englisch).
  10. Dr.-Ing. Mario Heiderich, Nikolai K., Fabian Fäßler: Pentest-Report SecureDrop 12.2013. Cure53, Dezember 2013, S. 14, abgerufen am 4. August 2014 (PDF, englisch).