Auch wenn man prinzipiell nichts zu verheimlichen hat, ist es nicht grade lustig, wenn andere - und schon gar nicht die Regierung - in privaten Mails, Konten und eigenen Dokumenten herumpfuschen. Das Programm Pretty Good Privacy fing schon Anfang der 90er damit an, Heimcomputer gegen derartige Übergriffe zu schützen und fiese Gesetzesentwürfe abzuwehren. Debug erklärt die Krypto-Prinzipien vom Netzgrund auf und schaut nach, ob das Vertrauen in unsere Geldautomaten eigentlich noch gesichert sein sollte.
Text: Martin Sachwitz aus De:Bug 82

Verschlüsselung

Kryptographie oder wie sicher ist das Netz? / Die Hintergründe

In der S-Bahn nach Grünau verklickert mein Gegenüber lautstark per Handy seinem Kumpel detailliert die letzten Erlebnisse mit seiner Freundin Mandy; die Mutti im Gang säuselt etwas leiser die weltbewegende Mitteilung durchs Äther: “Bin gerade Adlershof durch, hol mich 36 vom Bahnhof ab.” Seit es Internet-Kochrezepte wie “Homepages für Dummies” gibt, kann man Erstaunliches über mehr oder weniger bekannte Mitmenschen erfahren. Mit ein paar Clicks durchwandert man Hobbies, erfährt Privates, ja kann sogar bis hin zum Lebenslauf so ziemlich alles ausfindig machen. Für den Gewinn einer Mallorcareise werden bereitwillig mehrseitige Fragebögen mit Intimitäten ausgefüllt. Anschrei-Shows im TV inklusive Tätlichkeiten – all das machen diese Leute ganz freiwillig. Kein Schutz der Privatsphäre. Alle können, ja sollen alles über mich wissen; ich habe ja nichts zu verbergen. Da kann doch so ein Quatsch wie Verschlüsselung von Daten und Informationen nur von Leuten kommen, die mindestens etwas zu verbergen haben, wenn nicht gar kriminell sind.

PGP – Pretty Good Privacy – für unsere PC’s

Das Internet hat sich in den letzten 10 Jahren zum wichtigsten Kommunikationsmedium gemausert. Grundsätzlich werden alle Daten in Klartext übermittelt – es sei denn, man unternimmt etwas dagegen. Und dafür wurde es irgendwann auch Zeit. Phil R. Zimmermann‚ “Internet folk hero”, liest am 17. April 1991 in der New York Times, dass der US Senat mit einem Gesetzesvorschlag (1991 Senate Bill 266) Zugang zu allen Sicherheits- und Verschlüsselungstechniken erlangen will. Hintertüren (Trap Doors) sollten es der Regierung gestatten, alle Gespräche, Daten und Kommunikationen in Klartext mitzubekommen. Big brother is watching you. Der Kryptologe Zimmermann wird sauer und handelt – er verschickt an einige Freunde im Netz die 1.0 Version seines Kryptoprogramms, das er Pretty Good Privacy – prg1.0 – nennt. Bisher waren es Militär und Geheimdienste, die chiffrierten. Jetzt sollte es jeder können! Aber die US-Regierung schlug zurück: Sie leitete eine Untersuchung wegen Verstoßes gegen das Waffenlieferungsgesetz ein. Kryptosysteme sind Waffen, immer noch! Freunde starteten daraufhin im Netz eine Hilfsaktion, um Geld für die Verteidigung zu sammeln. Die rasche Verbreitung des Programms über die gesamte Welt und vielfacher Protest führten schließlich dazu, dass nicht nur eine Strafverfolgung von Phil R. Zimmermann aufgegeben wird – auch das Gesetz wird nicht verabschiedet. PGP wird daraufhin das wichtigste Krypto-Programm für den Heimcomputer, und das hat gute Gründe. Es verbindet zwei Richtungen in der Verschlüsselungstechnik – das schnelle symmetrische Verfahren, bei dem ein geheimer, vorher vereinbarter Schlüssel zur Ver– und Entschlüsselung genommen wird und weiterhin das langsame, asymmetrische Verfahren, bei dem ein öffentlicher Schlüssel (Public Key) über einen möglicherweise unsicheren Kanal verschickt wird. Die Hybridversion PGP verbindet die Vorteile beider Klassen. Für eine Transaktion wird ein Session Key zufallsmäßig generiert, der asymmetrisch verschlüsselt ausgetauscht wird, um dann mit dem symmetrischen Verfahren schnell Daten zu verschicken. Nichts weiter ist PGP. Sieht erst einmal sehr vertrauenswürdig aus. Aber das System ist nur so gut wie die einzelnen Komponenten. Hacker haben es deshalb einfacher – sie müssen nur eine einzige schwache Stelle finden und schon cracken sie den Code nicht in Millionen von CPU-Stunden, sondern innerhalb von Tagen. Die Firma Netscape hatte beispielsweise einen Zufallsgenerator in ihrem berühmten Browser, der mit der Systemzeit gekoppelt war – also eigentlich alles andere als zufällig. Schon reduzierte sich die Zahl der Schlüssel drastisch und die Chiffrierung war für die Katz. Die Übertragung des Schlüssels erfolgt bei PGP mit dem RSA-Algorithmus.

RSA und der Public Key

RSA steht hier für die Erfinder Ron Rivest, Adi Shamir und Len Adleman vom MIT, die 1977 das Public Key Verfahren entwickelten. Prompt schaltete sich der US Geheimdienst National Security Agency NSA ein, der eine Veröffentlichung unterdrücken wollte. Zu dieser Zeit gab es offiziell die NSA überhaupt nicht – deshalb auch spöttisch “No Such Agency” genannt. Aus dem Schattenreich herausgetreten, mutiert der Name zu “Never Say Anything”, denn jede Stellungnahme dieser Behörde hat nur eine Phrase: “No comment”. Die MIT Forscher waren nicht bereit, auf ihren Ruhm in der Fachwelt zu verzichten. Forscher sind da sehr eitel. Im Juli 1977 veröffentlichen sie im Scientific American den Artikel “New Directions in Cryptography”. Die Tür ist aufgestoßen. Es gibt kein zurück. Kryptographische Verfahren werden öffentlich gemacht, weltweit diskutiert und auf Schwachstellen untersucht. Nur dies macht unser Vertrauen in diese Algorithmen aus. Bei RSA gibt es zwei verschiedene, aber voneinander abhängige öffentliche bzw. geheime Schlüssel zum Kodieren und Dekodieren. Der ganze Trick besteht darin, dass diese Abhängigkeit in der Multiplikation zweier sehr großer (mindestens 100 Stellen) Primzahlen besteht. Das Produkt ist öffentlich, die Faktoren jedoch können unsere Zahlentheoretiker nicht “erraten”. Bis jetzt. Noch ein wenig angewandte Mathematik in Form des “Kleinen Fermat”, des erweiterten Euklidischen Algorithmus, der Eulerschen f-Funktion und des Chinesischen Restsatzes und schon können wir ein Programm zusammenbasteln. Man sollte jedoch das eine oder andere Jahr Mathematik studiert haben, um es wasserdicht hinzubekommen.

Nicht umsonst ist unsere geheime NSA der weltweit größte Arbeitgeber für Mathematiker. Ein Problem ist die Verwaltung der vielen “Public Keys”. Hier ist eine Stelle gefordert, die, von allen Beteiligten als vertrauenswürdig betrachtet, öffentliche Schlüssel zur Verfügung stellt. Im deutschen Sprachraum hat sich dafür das schöne deutsche Wort Trust Center etabliert, auf Englisch heißt das dann Certification Authority. Da bekommt man so etwas wie einen Krypto-Personalausweis, den man immer vorweisen muss. Unsere Pretty Good Privacy hat nun einen mit RSA übertragenen geheimen “Session Key” – der Rest ist symmetrisch, unsere Privatsphäre gesichert. PGP nimmt das Data Encryption System DES, entwickelt in den 1970ern von IBM gemeinsam mit der, na wem schon, NSA. Die soll auch den sehr kurzen (56 bit) Schlüssel durchgedrückt haben, die wohl größte Schwachstelle des Algorithmus. Und wirklich ist es im Januar 1999 weltweit vernetzten Computerfreaks gelungen, innerhalb von 24 Stunden eine DES-Verschlüsselung zu knacken. DES wird an jedem Geldautomaten in diesem Lande verwendet. Es ist eher unwahrscheinlich, dass jemand 24 Stunden mit dem Geldautomaten spielt und gleichzeitig tausende Hacker im Netz gezielt seinen Code knacken. Trotzdem – Rettung ist in Sicht. TripelDES, RC4, IDEA oder AES sind da so Schlagwörter. In der ihnen gut zu Gesicht stehenden Borniertheit versichern uns die berufsmäßigen Verschlüsseler, dass sie immer mindestens einen Schritt vor den Hackern sind – ja der Abstand sogar größer wird, sagen sie. Nur, einen weltweiten Standard zu ändern, trotzdem es Besseres gibt, ist sehr aufwendig und teuer – würden wir sonst noch Windows benutzen?

Was bleibt?

Wenn ein Hacker, wie 1997 geschehen, die Homepage des CIA von Central Intelligence Agency in Central Stupidity Agency umwandelt, zwei 16-jährige Kalifornier im Februar 98 ins Computersystem der US Luftwaffe und Marine eindringen oder im Oktober des gleichen Jahres die Internetseite der chinesischen Regierung mit Links auf Menschenrechtsorganisationen bepflastert wird, dann ist das vielleicht lustig – Schluss damit ist aber, wenn es unsere eigenen Konten, Bewerbungsunterlagen oder E-Mails betrifft. Sicherheit im Computernetz wird immer ein Kartenhaus sein. Abhängig vom aktuellen Wissen der Kryptogurus und der mehr oder weniger freundlichen Hacker ist es, ob eine Balance zwischen dem Möglichen und dem Akzeptierbaren bzw. Realisierbaren gehalten werden kann. Ent- und Verschlüsselungsmechanismen sind schon lange nicht mehr allein in den Händen von Geheimniskrämern. Wird jedoch der Code eines Banksystems geknackt, ist Stillschweigen angesagt. Der Kunde soll doch bitte schön nicht das Vertrauen in ein Banksystem verlieren, das eigentlich kein Vertrauen verdient. Wie bei einem Flugzeugabsturz oder einer Challengerkatastophe muss gefragt, analysiert, alles aufgedeckt und weltweit im Netz diskutiert werden. Nur so können wir aus den Fehlern lernen. Wenn dann alles perfekt ist, dann kommt der Handytyp aus der S-Bahn und gibt einen Dreck auf Sicherheit im Netz. Es ist unmöglich, ein supersicheres System zu kreieren, wenn sein Passwort der Name seiner Freundin Mandy ist.

About The Author

Elektronische Lebensaspekte.