Steganographie (Stego)

Überblick

Verschlüsselungsverbot und staatliche Kontrolle des (privaten) Mailverkehrs sind aktuelle Reizworte. Die Steganographie umgeht diese Verbote, in dem sie beliebige Dateien als Träger verwendet, um darin unsichbar verschlüsselte Informationen zu verstecken. Solche Dateien können Bilder, Tondateien aber auch - entsprechend grosse - Textfiles sein. Die Steganographie ist damit eine Ergänzung zur Verschlüsselung (Kryptographie).

Beschreibung der Steganographie

Während unter der Kryptographie im allgemeinen die erkennbare Benutzung eines Kryptosystems zur Chiffrierung einer Nachricht verstanden wird, bezeichnet die Steganographie den verdeckten Gebrauch eines Verfahrens, mit dessen Hilfe eine Botschaft in einem scheinbaren Klartext versteckt wird, d.h. auch die Tatsache des Verschlüsselns selbst bleibt geheim. Steganographie - wörtlich übersetzt: "verdecktes Schreiben" - ist die Wissenschaft vom Verstecken von Daten.

Einfache Regel zum Verstecken von Nachrichten in Texten basieren darauf, Buchstaben an einer verabredeten Position eines jeden Wortes (Absatzes etc.) zu verstecken bzw. interpretieren oder auf der Zahl der Leerstellen beim Blocksatz einer Nichtproportionalschrift.

Drei Eigenschaften von steganographischen Verfahren werden hier deutlich:

Es ist eine riesige Vielfalt solcher Verfahren denkbar.
Selbst bei Verdacht auf eine versteckte Nachricht lassen sich unterschiedliche Botschaften herauslesen.
Die Menge der versteckten Daten ist sehr viel kleiner als die Nachricht, in die sie verpackt werden.

Geschichte der Steganographie

Die Steganographie ist wie die Kryptographie sehr viel älter als das Computerzeitalter. Seit tausenden von Jahren werden geheime Nachrichten versteckt übermittelt, insbesondere im militärischen Bereich. Schon der griechische Geschichtsschreiber Herodot (490-425 v. Chr.), berichtet von einem Adligen, der seine Geheimbotschaft auf den geschorenen Kopf eines Sklaven tätowieren ließ. Nachdem das Haar nachgewachsen war, machte sich der Sklave unbehelligt zu seinem Ziel auf, wo er zum Lesen der Nachricht wiederum kahlrasiert wurde.

In einem anderen Bericht von Herodot geht es um Wachstafeln, auf die man damals schrieb. Als eine sensible Nachricht überbracht werden sollte, entfernte der Absender das Wachs, gravierte den Text in das Holz darunter und füllte das Wachs wieder auf. Den kontrollierenden Wachen erschienen die Tafeln leer.

Der Gebrauch unsichtbarer Tinte war bereits zur Zeit des römischen Schriftstellers Plinius der Ältere (23-79 n. Chr.) bekannt.
Viele haben in ihrer Kindheit mit Zitronensaft auf Papier geschrieben und diese leeren Blätter an ihre Freunde und Klassenkameraden weitergegeben.
Der Empfänger mußte nur das Dokument über einer Kerzenflamme erhitzen - schon tauchte die Schrift wieder auf.
Im Zweiten Weltkrieg arbeiteten deutsche Spione nach demselben Prinzip: Mit einer Kupfersulfatlösung auf einen Handschuh gebrachte Nachrichten blieben unsichtbar, bis er mit Ammoniakdämpfen in Berührung kam.

Ebenfalls von den Nationalsozialisten entwickelt wurde der sogenannte Microdot, ein Stück Mikrofilm in der Größe eines I-Punktes, der in unverdächtigen Schreibmaschinenseiten als Satzzeichen oder oberhalb des Buchstabens "i" eingeklebt wurde. Solche Microdots konnten riesige Datenmengen einschließlich technischer Zeichnungen und Fotos enthalten.

Rechnergestützte Steganographie

Bei rechnergestützten, steganographischen Verfahren werden chiffrierte Nachrichten innerhalb anderer, harmlos wirkender Daten versteckt, ohne daß ein Außenstehender dies nachweisen könnte. Die Informationen können so in digitalen Bild- oder Tondateien verpackt oder auch über das Hintergrundrauschen beim Telefonieren übertragen werden.

Die Sicherheit eines guten steganographischen Systems sollte ebenso wie kryptographische Systeme nicht von der Kenntnis des Verfahrens abhängen, sondern nur von einem geheimen Schlüssel mit ausreichend großer Länge. Diese Anforderung wird von vielen existierenden Verfahren nicht erfüllt, da sie davon ausgehen, daß ein Verstecken von Daten gar nicht bemerkt wird und es folglich auch keine Angreifer gibt. Aber auch hier gilt - wie z.B. bei Paswords: Verstecken ist nur eine (zusätzliche) Hürde - aber kein alleiniger Schutz.

Programme

Eines der besten - vielleicht sogar das beste - Steganographie-Programm ist Steganos 95 für Windows '95 und Windows NT, das sie direkt bei mir downloaden können. Sie können aber auch über die offizielle Homepage des Herstellers gehen. Von der Nachfolgeversion (Steganos II) gibt's bei ZD-Net kostenlose Version).
Mit Steganos können sie ausprobieren, wie moderne Steganographie funktioniert.

Beispiel: Steganos '95

Steganos '95 für Windows bietet Ihnen verschiedene Funktionalitäten.
Neben dem Verschlüsseln und Verstecken von(Text-)Dateien in verschiedenen Formaten, gibt es auch die Option nur Verstecken, so daß Sie eine Datei mit dem Programm Ihres Vetrauens (z.B. PGP) verschlüsseln und dann in einem File verstecken können.
Anhand des Bewerbungsfotos des Webmasters (aus dem Jahre 1984) möchte ich Ihnen die Wirkungsweise verdeutlichen. Sie finden am Ende dieses Absatzes eine Gegenüberstellung dreier JPG-Dateien. Neben dem Orginalfoto sehen Sie eine Aufnahme in der der HTML-Code dieser Seite unverschlüsselt versteckt wurde und eine Abbildung in der sich der verschlüsselte (und versteckte) Code dieser Seite befindet. Sie können sich den Text also selbst wieder extrahieren (Password: versteckt). Achten Sie auf unterschiedliche Farbnuancen und sonstige Unregelmäßigkeiten im zweiten und dritten Bild.
Hinweis: Da Steganos '95 Dateien nur in *.BMP-Files verstecken kann, müssen sich Anwender älterer Netscape-Versionen - falls sie die Bilder online betrachten und nicht downloaden wollen - ggf. einen Plugin für BMP-Dateien downloaden und installieren!

Orginal Foto

Foto mit verstecktem, unverschlüsseltem HTML-Code

Foto mit verstecktem, verschlüsselten HTML-Code

Links

Krypto-Kampagne	der c't
Infos zu Steganographie	(in Englisch) und Stegano-Sourcen (für alle gängigen Betriebssystem)
Steganos Suite II	Kostenloser Download bei ZD-Net

Bei Fragen und Problemen posten Sie bitte in meinem Internet- und Security-Forum.
In besonderen Fällen erreichen Sie mich auch per E-Mail!
Und bitte vergessen Sie nicht, sich in meinem Gästebuch einzutragen?

[zurück zur Security-Seite]

(Diese Seite wurde erstellt am 20.06.1998,
der letzte Update fand statt am 24.02.2002)

Dieses Angebot ist erreichbar über http://www.tcp-ip-info.de, http://www.trojaner-und-sicherheit.de, http://www.internet-und-sicherheit.de und http://www.tcp-ip.de.gg