Steganografie - wirklich zu umständlich?
Sensible Daten gehören verschlüsselt, klar. Aber verschlüsselte Daten sind per se verdächtig. Warum machen wir sie nicht zusätzlich unsichtbar?
Bei einem Workshop im Sommer 2013 sammelten wir Anforderungen und Entwürfe, wie eine alltagstaugliche Lösung aussehen könnte. Inzwischen ist daraus das Add-On für Firefox „Simple Steganography“ entstanden.
Gemeinsam mit interessierten Leuten verschiedener Fachrichtungen und Erfahrungsstufen werden die Funktionen in unregelmäßigen Treffen geprüft, neue Anforderungen und Verbesserungen gesammelt. So soll schrittweise eine Steganografie-Anwendung für den praktischen Alltag entstehen.
Firefox-Plugin
Das Add-On gibt es dort:
https://addons.mozilla.org/de/firefox/addon/simple-steganography/
https://gitlab.com/simple-steganography/simple-steganography
Beispiele gibts auf der Stegano-Spielwiese.
Ab Version 0.1.5.4:
- Es gibt eine zweite Methode, um Nachrichten in Texten zu codieren. Neben dem bekannten Umsortieren der Zeilen, können jetzt auch nicht-druckbare Zeichen an die Zeilenenden angehängt werden.
Ab Version 0.1.5:
- Texte werden komprimiert, bevor sie ins Bild eingebettet werden. Das spart (meistens) Pixel und macht Steganalyse etwas komplizierter.
Ab Version 0.1.4.4:
- Textkonstanten wurden in die locale-Dateien ausgelagert. Erste Übersetzungen kamen über Babelzilla bereits zusammen. http://www.babelzilla.org/forum/index.php?showtopic=7511
Ab Version 0.1.4.1:
- Das Add-on kann sowohl in Firefox, als auch in Thunderbird installiert werden.
- Das (De-)Codieren in Textlisten funktioniert bei Firefox und Thunderbird ähnlich.
- Bilder mit versteckter Botschaft können mit Thunderbird nur erzeugt und verschickt werden. Zum Entziffern der Nachricht muss das Bild wiederum in Firefox geöffnet werden. (Grund ist die merkwürdig eingeschränkte Canvas-Unterstützung in Thunderbird.)
Ab Version 0.1.2:
- Listen von Textabsätzen können als Träger verwendet werden. Die Nachricht wird in einer Permutation der Texte kodiert, als Referez-Alphabet dient die Passphrase.
Ab Version 0.1.1:
- Die Passphrase der Empfängergruppe kann (vorerst unverschlüsselt) in den Browser-Einstellungen hinterlegt werden. Standardmäßig wird „hello world“ verwendet.
- Nachricht verstecken: Rechtsklick auf ein Bild, „Embed stego message in image“ auswählen, Text eintippen, Bild (*.png) lokal speichern.
- Nachricht lesen: Rechtsklick auf ein Bild, „Check image for stego“ auswählen, Text oder Fehler angezeigt bekommen.
Wunschzettel für kommende Versionen
- Bereiche mit ausreichender Entropie im Bild erkennen
- Passwort-Hash mit Salt
- Bilder aus Zwischenablage übernehmen
- Automatischer Upload der Bilder – wohin?
- Verschlüsselung der Nutzlast