Patent verschlĂĽsselt
PGP-Erfinder Phil Zimmermann stellt im Gespräch mit c't sein neues Projekt für verschlüsselte Internettelefonie vor und räsoniert darüber, wie man vom Krypto-Pionier zum Patent-Hacker wird.
- Christiane RĂĽtten
Als Phil Zimmermann vor mehr als 15 Jahren mit dem VerschlĂĽsselungs- und Signaturstandard Pretty Good Privacy (PGP) eine kleine Revolution ins Rollen brachte, war das Internet noch eine andere Welt: Ein Kommunikationsmedium fĂĽr Wissenschaftler, experimentierfreudige Hacker und einige wenige FrĂĽheinsteiger - kaum eine Spur vom Massenmedium, das es zu ĂĽberwachen und kontrollieren lohnt.
Heute ist es um die Privatsphäre bei der Internetkommunikation grundlegend anders bestellt: „Die Gesellschaft hegt ein gewisses Misstrauen gegenüber US-Telekommunikationsunternehmen - aus gutem Grund“, gibt Zimmermann zu bedenken. Doch nicht nur in seiner Heimat USA, auch in Europa sind Vorratsdatenspeicherung und gesetzlich vorgeschriebene Abhörschnittstellen auf dem Weg oder bereits Realität. Und im Internet lässt sich ohnehin nicht immer einschätzen, wer die übertragenen Daten in die Finger bekommen kann.
Schöne neue Welt
Verschlüsselung ist daher zur Wahrung der Privatsphäre wünschenswert, und da hat Zimmermann im E-Mail-Bereich bereits Pionierarbeit geleistet. Der Schritt zu verschlüsselter Internettelefonie ist naheliegend und sein neuestes Projekt nennt sich ZRTP. Sein erster Versuch in dieser Richtung mit PGPfone verlief aufgrund fehlender Telefoniestandards und Breitbandversorgung Mitte der Neunziger kläglich im Sande. Zimmermann kommentiert trocken: „Das Internet war vor zehn Jahren einfach noch nicht soweit. Doch heute sind die Bedingungen für einen Nachfolger ideal.“
Mit idealen Bedingungen meint er in erster Linie die nach dem VoIP-Boom der vergangenen Jahre in der Telefonie etablierten Protokolle SIP und RTP. Zwei Internettelefone treten über die Server der VoIP-Provider mit SIP in Kontakt. Der Austausch der Gesprächsdaten hingegen erfolgt mit RTP direkt zwischen den beiden Telefonen. Auch einen Verschlüsselungsstandard gibt es schon: Secure RTP, kurz SRTP.
Wozu also noch ein Krypto-Protokoll? „Das Problem ist die Schlüsselverwaltung“, erklärt Zimmermann: „Alle bisherigen Implementierungen wickeln die Aushandlung der Sitzungsschlüssel über die SIP-Server der VoIP-Provider ab.“ Das ZRTP-Protokoll hingegen nutzt die RTP-Verbindung für die Aushandlung des Schlüssels, mit dem es anschließend auf eine sichere SRTP-Sitzung umsattelt. Da Sitzungsschlüssel am Gesprächsende gelöscht werden, ist nachträgliches Entschlüsseln beispielsweise von Cache- oder Vorratsdaten praktisch unmöglich.
ZRTP nutzt zur Aushandlung das sogenannte Diffie-Hellmann-Verfahren. Deshalb geht der eigentliche Sitzungsschlüssel niemals über die Leitung. Wenn beide Gesprächspartner am Telefon den angezeigten Fingerabdruck des Sitzungsschlüssels vergleichen, lässt sich ein Abhörversuch sofort erkennen beziehungsweise ausschließen. Ein ZRTP-Fingerabdruck besteht lediglich aus vier Buchstaben, doch schon das senkt die Wahrscheinlichkeit eines unerkannt bleibenden Lauschangriffes auf unter eins zu einer Million. „Niemand würde bei solch miserablen Erfolgsaussicht einen Abhörversuch wagen“, so Zimmermann.
Allerdings weiß auch er: „Die meiste Zeit unterhält man sich eh über unwichtige Dinge und ist zu faul, die Fingerabdrücke zu vergleichen.“ Doch selbst dann warnt ZRTP durch einen Kniff zumindest im Nachhinein: Die Fingerabdrücke der Sitzungsschlüssel aller vorangegangenen Telefonate zwischen den beiden Gesprächspartnern fließen ebenfalls in die Ableitung des Sitzungsschlüssels ein. Sobald die Liste der Fingerabdrücke beider Seiten nicht übereinstimmt, führt das zu unterschiedlichen Sitzungsschlüsseln, mit denen keine SRTP-Verbindung zustande kommt.
Patent-Hacking
Der wesentliche Angriffspunkt sind damit die Telefone selbst, da sie Sitzungsschlüssel preisgeben oder Gespräche mitschneiden könnten. Doch wie verhindert man, dass Hersteller solche Hintertüren einbauen? Zimmermann hat den unpopulären Weg über Softwarepatente gewählt und die Kernteile von ZRTP zum Patent angemeldet. Dazu Zimmermann: „Ich hasse Softwarepatente. Wie die RSA-Patente die Kryptographie der Neunzigerjahre behinderten, will ich nicht noch einmal erleben.“ Trotzdem hat er diesen Weg gewählt und nennt dafür zwei Gründe: zum Selbstschutz und zur Durchsetzung der ZRTP-Compliance im freien Markt. Eine ZRTP-Lizenz ist zwar kostenlos, sie erlischt jedoch, sobald sich ein Produkt nicht an den Standard hält.
Wichtiger Bestandteil des Standards ist das sogenannte Disclosure-Flag, das mit jedem ZRTP-Paket übertragen wird. Es muss laut Spezifikation gesetzt sein, wenn ein Produkt eine Hintertür zur Gesprächsüberwachung enthält. Will sich ein Produkt „ZRTP-Compliant“ nennen, ist es daher zur Offenbarung einer vorhandenen Überwachungsschnittstelle verpflichtet.
So zumindest Zimmermanns Plan, mit dem er auch die relevanten gesetzlichen Vorschriften umschiffen will: „Wenn ein Anruf abgehört wird, dürfen es Provider den Gesprächsteilnehmern nicht mitteilen. Sie sollen nur den Kunden offenbaren müssen, dass sie überwachungsfreundliche Produkte einsetzen“, so Zimmermann. „Und wer sich nicht daran hält, bekommt keine Lizenz. So überlassen wir dem freien Markt die Entscheidung.“
Seiner Kenntnis zufolge benötigen Geheimdienste für ihre Arbeit ohnehin nur die Kommunikationsmuster und keine Gesprächsinhalte: „So finden sie heraus, wie kriminelle Gruppen arbeiten.“ Insofern sehe er in ZRTP auch keine Behinderung etwa bei der Aufdeckung von Terrornetzwerken.
Die erste ZRTP-Implementierung war Zimmermanns kostenloses Zfone. Es klinkt sich unter Windows, OS X und Linux auf Netzwerkebene in den RTP-Verkehr ein und funktioniert daher im Prinzip mit jeder RTP-Telefoniesoftware. Es befindet sich jedoch noch im Betastadium, und die Versionen sind untereinander nicht immer kompatibel. Für Unternehmen gibt es aber schon eine erste Hardwareanwendung: das SIP-Gateway SIPassure der Firma Borderware. Es arbeitet auch als ZRTP-Endpunkt und kann die Fingerabdrücke per Rufnummernanzeige an die Endgeräte übermitteln.
Die Zukunft sieht Zimmermann optimistisch: „Ich stehe in Verhandlungen mit Herstellern von VoIP-Telefonen und Mobiltelefonen mit VoIP-Clients, und viele sind daran interessiert. Ich denke, dass ZRTP ein viel größeres Potenzial für eine weite Verbreitung hat als PGP.“ In der Tat entfällt bei ZRTP der komplexe Verwaltungsaufwand, der für PGP-Schlüssel nötig ist.
Am Erfolg von PGP hatten auch Open-Source-Projekte wie GnuPG einen erheblichen Anteil. Ob dies bei ZRTP nötig sein wird und ob Open-Source-Entwickler einem zwar durch GPL-Lizenz quelloffenen und kostenlosen aber dennoch patentierten Protokoll ähnlich aufgeschlossen gegenüberstehen, wird sich erst noch zeigen müssen. (cr)