31C3: Die Angriffe auf Verschlüsselung durch NSA und GCHQ
Die "Entschlüsselungsprojekte" Bullrun und Edgehill sind seit über einem Jahr bekannt. Die Snowden-Vertrauten Jacob Appelbaum und Laura Poitras haben nun verraten, welchen kryptographischen Anwendungen man wohl noch vertrauen kann.
Neben Protokollen wie SSL und PPTP stehen auch IPsec und SSH auf der Abschussliste westlicher Geheimdienste. Das geht aus neuen Dokumenten von Edward Snowden hervor, die unter anderem Jacob Appelbaum und Laura Poitras ("Citizenfour") in Kooperation mit dem Spiegel veröffentlicht haben. Darin geht es um Strategien der NSA und ihrer Partner zum Umgehen, Entschlüsseln, Unterwandern und Knacken von Datenverschlüsselung im Internet und auf PCs. Im Rahmen des 31. Chaos Communication Congress (31C3) in Hamburg zeigen die neue Einzelheiten zu den Projekten Bullrun und Edgehill.
Großangriff auf Verschlüsselung
Verschlüsselungsansätze, die etwa zahlreiche Webseitenbetreiber für den Datenschutz sowie Firmen für VPNs einsetzen, hätten die NSA und ihre Komplizen zwar nicht vollständig gebrochen, führte Appelbaum aus. Sie betrieben aber riesige Datenbanken, um derart geschützte Kommunikationsströme wie SSL-Handshakes vor der Übergabe von Login-Informationen oder verschlüsselte Seitenaufrufe teilweise oder komplett zu speichern und gegebenenfalls mit "Brute Force"-Attacken anzugehen. Die NSA nutze dafür unter dem Decknamen Longhaul zwei eigene Posten: das Tordella Supercomputer Building in ihrem Hauptquartier Fort Meade und das Oak Ridge Data Center in Tennessee. Entschlüsselte Daten fließen demnach von dort in Überwachungsprogramme wie Turmoil ein.
Einem Dokument zufolge beabsichtigte allein die NSA Ende 2012, rund zehn Millionen mit SSL/TLS verschlüsselte HTTPS-Verbindungen pro Tag zu knacken, erklärte Appelbaum. Das britische Pendant GCHQ sammle einschlägige Informationen in einer Datenbank mit dem Namen "Flying Pig". Sie produzierten wöchentliche Trendberichte, um Dienste zu katalogisieren, die am häufigsten SSL-Verbindungen nutzten. Dabei kämen sie auf mehrere Milliarden pro Woche. Anführen würden die Listen vielbesuchte Seiten wie Facebook, Twitter, Hotmail oder Yahoo sowie der Apple-Dienst iCloud.
Erfolge gegen SSH und AES
Die NSA betreibe ein weiteres Programm, in dessen Rahmen sie behaupte, in manchen Fällen auch das gern zur Systemfernwartung eingesetzte SSH-Protokoll entschlüsseln zu können. Eingesackte Informationen würden in allen Fällen mit zusätzlichen Daten verknüpft, um den Zugang zu besonders interessant erscheinenden Zielen zu erleichtern. Konzerne wie die Skype-Mutter Microsoft verpflichte die NSA zudem über rechtliche Vorgaben zur strategischen Fernmeldeaufklärung im Rahmen des PRISM-Programms, über VoIP abgewickelte verschlüsselte Internet-Telefonate im Klartext vorzulegen.
Zu den schlechten Nachrichten zählte Appelbaum außerdem Hinweise in einem Papier, wonach die NSA mit dem "Tundra-Programm" auch Angriffsflächen beim vielgenutzten Verschlüsselungsstandard AES ausfindig gemacht habe. Einzelheiten dazu seien zwar bislang nicht bekannt. Es sei aber offensichtlich, dass die Behörde damit in einen besonders tiefen Interessenkonflikt hineingerate, da es sich bei AES um eine wichtige, von der US-Regierung selbst empfohlene Norm handle.
Der in Berlin lebende Appelbaum hat nach eigenen Angaben den Ex-NSA-Direktor Keith Alexander jüngst bei einem Deutschlandbesuch auf diesen Aspekt der allgemein unterwanderten Datensicherheit angesprochen. Dieser habe nur arrogant geantwortet, dass nach der NSA niemand mehr komme und er letztlich nur Befehle befolgt habe. Den Programmierer mit jüdischen Wurzeln erinnert diese Rhetorik an die der Nazis rund um das "Tausendjährige Reich".
(Noch) Sicher vor der NSA?
Aus Dokumenten wie einem Auszug aus der PRISM-Akte eines früheren Sprechers des Chaos Computer Clubs (CCC), Andy Müller-Maguhn, ist laut Appelbaum zudem zu entnehmen, mit welchen Verschlüsselungsformen die NSA Schwierigkeiten hat. Dort werde etwa das Protokoll OTR ("Off the Record") angeführt, das zur Ende-zu-Ende-Verschlüsselung in Instant-Messaging-Anwendungen wie Jabberchat eingesetzt wird. Das gleiche gelte für ZRTP, ein auf den PGP-Erfinder Phil Zimmermann zurückgehendes VoIP-Protokoll, auf das Open-Source Apps wie RedPhone oder Signal setzen. Als "katastrophal" schätze die Spionagebehörde eine Kombination solcher Systeme mit dem Anonymisierungsdienst Tor ein. Mailverschlüsselung mit PGP oder der offenen Variante GnuPG bleibe ebenfalls außerhalb der Reichweite von NSA und Co. Auch die Krypto-Software Truecrypt sei als schier unüberwindbar eingestuft worden, bevor das Entwicklerteam die Arbeit daran überraschend aufgegeben habe.
Generell lässt sich Appelbaum zufolge im Sinne Snowdens festhalten, dass freie Software "ausgerüstet mit starker Mathematik" die besten Voraussetzungen biete, um sich vor unerwünschter Online-Ausspähung zu schützen. Bei Krypto-Hardware müsse man dagegen immer davon ausgehen, dass sie kompromittiert sei. Im Hinterkopf zu behalten sei, dass auch die NSA keine Superkräfte habe, dafür aber Backdoors und Abhörimplantate. Sie könne Plattformen, Standards und Zufallszahlengeneratoren unterwandern sowie die IT-Wirtschaft rechtlich "gleichschalten", Widerstand sei aber möglich und für die technisch versierte Hackergemeinde "Pflicht".
Auf Nachfrage aus dem Auditorium, warum die Details erst anderthalb Jahre nach dem Publikwerden von Bullrun veröffentlicht würden, erklärte Poitras, selbst nicht immer Zugang zu allen einschlägigen Dokumenten gehabt zu haben. Später habe ihr oft die Zeit gefehlt, diese unter die Lupe zu nehmen. (mho)