Cryptokalypse: Nein!

Wie lang ist es mittlerweile her, das Tag für Tag neue schlechte Nachrichten über uns hereinbrechen, in denen uns vor Augen geführt wird, wie wenig Privatsphäre uns die US-Regierung eigentlich in Zukunft lassen will, und wie hilflos sich unsere Regierung dem gegenüber verhält.
Vier Wochen? Oder sechs?

Gut, ich hatte immer schon ein Auge darauf, was technisch in der Theorie machbar ist, und in meinen Kreisen wurde immer mal wieder darüber diskutiert, wie wahrscheinlich es ist, das entsprechende Technologien von Regierungen gegen die eigene Bevölkerung eingesetzt werden. Uns war schon immer klar, das viel mehr machbar ist, als in der Breite der Masse bekannt war, aber welche der Wege für einen Geheimdienst auch finanziell realistisch sind ist natürlich schwer abzuschätzen. Von daher geht der Pessimist zunächst mal vom Schlimmsten aus – was machbar ist wird auch gemacht.

Mittlerweile ist wohl bis auf Herrn Pofalla jedem klar, das diese Annahme einen wohl am nächsten an die Realität bringt. Die NSA in seinem Realitätsverzerrungsfeld hat ja mittlerweile aufgehört deutsche Gesetze zu brechen.

Ist Verschlüsselung geknackt?

Ist die Verschlüsselung nun also tot, weil die Geheimdienste sowieso jede Cryptographie brechen können? Wir haben ja schließlich oft genug gelesen, das https:// als Protokoll nicht mehr sicher ist.

Zu diesem Thema sage ich ganz klar nein.

Natürlich bin ich dabei wie fast immer im Umgang mit Geheimdiensten auf Spekulationen angewiesen. Aber einige gute Hinweise darauf, dass Cryptografie immer noch ein ernstzunehmendes Hindernis für die Dienste darstellt liefern sie uns dankenswerter Weise selbst. Sie betreiben einen erheblichen Aufwand um Kommunikation in die Hände zu bekommen bevor sie ver- bzw. nachdem sie wieder entschlüsselt wurde. Wenn das entschlüsseln so leicht wäre, könnten sie sich die Millionen, die sie dort einsetzen sicherlich sparen. Auch das Edward Snowden bei seiner Kommunikation mit Greenwald auf Verschlüsselung bestand spricht dafür, das er sich in Kenntnis der Vorgänge innerhalb der NSA sicher war ungestört kommunizieren zu können.

Damit wir alle aber Produkte in die Hand bekommen, mit deren Hilfe wir sicher kommunizieren können müssen einige Bereiche der Cryptologie zusammenarbeiten. Ich unterteile das in drei Bereiche:

  • Wissenschaftler
  • Ingenieure
  • Entscheider

Die Wissenschaftler sind dabei die eigentlichen Cryptologen sie entwerfen die Algorithmen, die unsere Daten einmal schützen sollen. Ihr Augenmerk liegt dabei auf dem Stand der aktuellen Wissenschaft. Sie versuchen die Algorithmen so zu entwickeln, dass sie über einen möglichst langen Zeitraum (mehrere Jahre) den bekannten Angriffen standhalten. Sie entwickeln neue Angriffe auf ihre eigenen Verschlüsselungsverfahren, und arbeiten dabei möglichst offen und transparent. Ein Verschlüsselungsverfahren, das nur sein Erfinder nicht knacken kann nützt schließlich niemandem.
Diesen Bereich der Cryptologie halte ich nach wie vor für nicht geknackt. Was aber nicht bedeutet, dass die NSA es nicht versuchen würde, indem sie z.B. versucht eigene Wissenschaftler in diesem Bereich zu platzieren, oder diesen Wissenschaftlern ihre Grundlagen in Form von z.B. sicheren Zufallsquellen zu entziehen.

Die Ingenieure nehmen diese Algorithmen, die für sich oft nur in der Lage sind einen kurzen Block von Zeichen zu verschlüsseln und bauen aus ihnen Software die Texte, Bilder, ganze Festplatten, oder die Kommunikation zwischen zwei Rechnern im Internet verschlüsseln kann.
Leider kann bei dieser Arbeit eine ganze Menge schiefgehen. Oft genug verlassen sich Programmierer darauf, dass die gesamte Sicherheit ihrer Software auf der Sicherheit des zu Grunde liegenden Verschlüsselungsalgorithmus beruht. Das nützt aber zum Beispiel überhaupt nichts, wenn man von dem 20 Zeichen langen Passwort immer nur die ersten 8 Zeichen als Schlüssel übergibt.
Um hier Schwachstellen zu finden und auszunutzen muß man schon eine entsprechende Ausbildung und einiges an Geld investieren, aber es ist machbar, passiert immer wieder und dürfte für die NSA kein wirkliches Hindernis darstellen.

Wirklich einfach wird es allerdings auf der Ebene der Entscheider. Hier gibt es schließlich auch Menschen ohne Entsprechendes Know-How, die aber trotzdem im passenden Gremium sitzen um zu entscheiden, welche Verschlüsselung demnächst der neue Standard wird die Kommunikation zwischen Geräten oder Menschen wird. Denen muß man ja nicht erzählen, das man den extrem seltenen theoretisch Fall in dem man das Verschlüsselungsverfahren angreifen kann, auch mit einem kleinen Kniff künstlich auftreten lassen kann.
Und nach ein bis zwei Jahren haben die dann auch vergessen, das ein eingeführtes Sicherheitsprotokoll komplett von der Vertrauenswürdigkeit einer einzigen Signaturstelle abhängt, und “zur Effizienzsteigerung” noch ein paar weitere Signaturstellen einführen, von denen eine in der eigenen Hand liegt.

SSL und dadurch vor allem das https:// Protokoll wurden in meinen Augen im wesentlichen auf der letzten Ebene verbockt.

Dank Snowden sind aber vor allem die Wissenschaftler derzeit verstärkt damit beschäftigt, ihre Algorithmen, und auch das Umfeld in dem sie arbeiten auf die bekannt gewordenen Bedrohungen hin abzuklopfen. Die meisten Algorithmen werden also noch eine Weile als sicher gelten können. Von den anderen müssen wir uns halt trennen, wie es sowieso im Verlauf der Cryptologie immer mal wieder passiert ist.

Was wir nun selbst tun können, wird aber Thema eines eigenen Blogeintrags werden.