Hintertüren in der Verschlüsselung: mehr als nur eine Privatsphäre-Entscheidung
„Sollen sie mich überwachen, ich habe nichts zu verbergen“ – ein Satz, der Datenschützern die Nackenhaare zu Berge stehen lässt, den man jedoch noch sehr häufig zum Thema Verschlüsselung hört. Wir tragen Kleidung, weil wir etwas zu verbergen haben. Wir versenden unsere Briefe in Umschlägen, weil wir etwas zu verbergen haben. Und wir flüstern uns Geheimnisse zu – weil wir etwas zu verbergen haben. Nichts Schlimmes, wir sind nicht kriminell. Wir haben jedoch unsere Privatsphäre – und die möchte gewahrt werden.
In der elektronischen Kommunikation gelingt dieses Verbergen intimer Details durch Verschlüsselung. Und Hintertüren in der Verschlüsselung sollen das Verbergen unmöglich machen – zum eigenen Schutz, heißt es, denn nur so fände man Terroristen und andere Kriminelle. Hintertüren bewirken jedoch noch weit mehr als nur aufgeweichte Privatsphäre. Warum Hintertüren in der Verschlüsselung eine denkbar schlechte Idee sind, erfahren Sie heute.
Hintertüren in der Verschlüsselung vergrößern die Angriffsfläche für Cyberattacken
Wir gehen zurück in die 90er Jahre. Die Netscape Corporation hatte SSL gerade erst vorgestellt und die USA gingen nach einem strengen System vor, um Ausfuhrkontrollen für Verschlüsselungssysteme ins Ausland zu schaffen. Um die ausländischen Systeme nicht genauso stark zu machen wie die eigenen, waren Unternehmen aufgefordert, die Verschlüsselung zu schwächen. Für die RSA-Verschlüsselung erlaubte der Staat eine maximale Schlüssellänge von 512 Bit. Die NSA wollte weiterhin Zugang zu der Kommunikation haben und man stellte eine Verschlüsselungstechnik zur Verfügung, die für den normal gewerblichen Gebrauch noch eben gut genug war. Ein fauler Kompromiss also: mit durchaus vertretbarem Aufwand blieb die exportierte Verschlüsselungstechnologie knackbar.
Sie sehen: seinerzeit diskutierte man nicht lang über etwaige Hintertüren, sondern ordnete sie per Gesetz an. Das Gesetz existiert seit Ende der 90er Jahre nicht mehr. Die Auswirkungen dieser unsicheren Verschlüsselung jedoch schon. Denn: nach wie vor wird diese Export-Version von aktueller Software unterstützt. Im März 2015, also mehr als 15 Jahre nach Verschwinden dieses Gesetzes, gab „Freak“ die Antwort auf die Frage, ob geschwächte Verschlüsselung gefährlich werden könne.
Freak greift auf veraltete Verschlüsselung zurück
„Factoring attack on RSA-Export Keys“ – kurz: Freak – wütete im März vorigen Jahres. Diese Schwachstelle geht zurück auf die oben beschriebene politische Entscheidung, Verschlüsselungstechnologien abzuschwächen, also mit Hintertüren in der Verschlüsselung zu arbeiten. Millionen Websites waren betroffen, auch das FBI oder die NASA wurden nicht verschont. Binnen weniger Stunden schafften es Angreifer mithilfe eines Computers mit aktueller Ausstattung, eine Man-in-the-Middle-Attacke durchzuführen und präparierte Datenpakete so einzuschleusen, dass Server via Fallback auf veraltete Verschlüsselungsverfahren zurückgriffen. Internetverbindungen abzuhören gehörte noch zu den kleineren Folgen von Freak. Im schlimmsten Fall ließen sich sensible Daten, beispielsweise Passwörter, abgreifen.
Weitere gute Gründe gegen Hintertüren in der Verschlüsselung
Abgesehen davon, dass das Grundrecht der Privatsphäre jedes einzelnen geschwächt und die Wahrscheinlichkeit von Cyberattacken gestärkt werden würde, welche Auswirkungen hätten Hintertüren noch?
- Magische Anziehungskraft: bei einer bestehenden Hintertür müssen die Schlüssel, die diese Türe öffnen, gesichert werden. Man stelle sich nur vor, wie groß das Interesse von Hackern, Geheimdiensten und anderen an diesem Schlüssel-Safe wäre!
- Irgendeiner macht es schon: Würde US-Firmen auferlegt, sie dürften ihre Produkte nur noch mit Hintertüren vertreiben, würden wir einfach andere Produkte nutzen. Genau hier erklärt sich auch die harte, Privatsphäre vermeintlich schützende Haltung von Google, Apple & Co.: diese Großkonzerne haben natürlich erkannt, dass Anwender auch woanders kaufen können.
- Weltweite Verpflichtungen: Würde US-Firmen verboten werden, Produkte ohne Hintertür zu vertreiben, wäre es eine Frage der Zeit, bis es hierzulande ebenfalls so ist – wie in vielen weiteren Staaten. Auch in solchen, in denen weder Menschenrechte noch richterliche Genehmigungen so eng gesehen werden wie in Europa.
- Vertrauensverluste: Die weltweite Industrie, besonders Hersteller von Verschlüsselungstechnik, würde einen riesigen Vertrauensverlust erfahren. Blicken wir auf Rechtsanwälte, Ärzte oder andere Berufe, die täglich mit sensiblen Daten umgehen, hätten diese ein riesiges Problem, das Vertrauen ihrer Kunden, Patienten und Klienten zu behalten.
- Hintertüren schützen nicht vor Terror: Das gerne verwendete Pro-Hintertüren-Argument, man könne Terror verhindern, ist schwach. Schließlich sind Verschlüsselungstechnologien kein Hexenwerk, keine geheime Wissenschaft. Zahlreiche Open Source-Lösungen bieten Ausweichmöglichkeiten – für den Anwalt genauso wie für die Terrororganisation.
Verschlüsselung lässt sich nicht verbieten!
Eine Studie zeigt, dass es ein Ding der Unmöglichkeit ist, Verschlüsselung zu verbieten oder durch die Hintertüren-Pflicht zu hoffen, man würde an Informationen gelangen: Forscherinnen und Forscher, darunter auch Kryptographie-Legende Bruce Schneier, überprüften weltweit Verschlüsselungsprodukte. Heraus kam eine gigantische Liste von mehr als 800 Verschlüsselungsprodukten aus 55 Ländern. Lediglich ein Drittel dieser Produkte stammen aus den USA, 112 Produkte aus Deutschland. Was also, wenn in diesen beiden Ländern Hintertüren-Pflicht bestünde? Dann gäbe es noch immer genügend Alternativen, die von Ermittlungsbehörden nicht angerührt werden könnten.
Schutz ist nur durch Verschlüsselung möglich – und nötig
Auch Sie haben etwas zu verbergen: Ihre Kreditkartendaten möchten Sie vielleicht dem Online-Shop Ihres Vertrauens mitteilen, jedoch nicht der Regierungsbehörde oder dem Hacker. Die E-Mail an Ihren guten Freund, in der Sie sich über Ihren launischen Chef beklagen und aufzählen, wo Sie sich bereits beworben haben, um dem zu entkommen, soll sicher auch nur dieser gute Freund lesen. Ihrem Grundrecht auf Privatsphäre stehen weltweit etliche Behörden und Cyberkriminelle gegenüber, die nur Ihr Bestes wollen: Ihre persönlichen Daten. Ein effizienter Schutz dieser ist nur dann möglich, wenn Verschlüsselung nicht durch Hintertüren geschwächt wird.
Diskutieren Sie mit uns: Sehen Sie Hintertüren genauso kritisch wie wir? Oder glauben Sie, Sie haben doch nichts zu verbergen? Oder ist diese Diskussion in Ihren Augen ohnehin hinfällig, da Geheimdienste und Hacker sich schon holen werden, was sie benötigen? Wir sind gespannt auf Ihre Meinung, die Sie gerne hier in den Kommentaren, bei Facebook, Google+ oder Twitter mitteilen können!
Schreibe einen Kommentar