SSH, SSL, IPsec -- alles kaputt, kann das weg?
In seiner Analyse der letzten NSA-Leaks kommt Krypto-Professor Damian Weber zu einer anderen Einschätzung als die dramatisierenden Spiegel-Artikel: Er sieht durchaus Anlass zu Hoffnung.
- Prof. Dr.-Ing. Damian Weber
Wir befinden uns im Jahre 2015 n.Chr. Das ganze Internet wird von der NSA kontrolliert... Das ganze Internet? Nein! Eine von unbeugsamen Kryptographen und Entwicklern bevölkerte Open Source Welt hört nicht auf, dem Eindringling Widerstand zu leisten. Und das Leben ist nicht leicht für die Legionäre, die als Besatzung in den befestigten Lagern NSA, GCHQ, CSEC, GCSB und ASIS liegen ..
Der letzte Asterix-Comic bezog sich noch auf die römischen Eroberer und das kleine unbeugsame Dorf in Gallien. Der nächste könnte durchaus in der Welt der Five Eyes spielen. Der Zaubertrank von heute besteht aus Kryptographie und offenen Systemen, die geheimen Zutaten sind die geheimen Schlüssel von PGP, OTR, SSH und SSL, während die Römer schon Teile des Geheimrezepts in Händen halten.
Im Sommer 2013 enthüllte Edward Snowden, dass die Dienste der Five Eyes (USA, GB, AUS, NZ, CA) unsere privaten Nachrichten an praktisch allen zentralen Kommunikationsknoten mitlesen. Verschlüsselung hilft dagegen, erklärte Snowden in seinen ersten Interviews. Welche Verschlüsselung hilft und welche nicht, das versucht der zur Jahreswende erschienene Spiegel-Artikel aufzuzeigen, an dem die Tor-Entwickler Appelbaum und Gibson, Dokumentarfilmerin Poitras, Ex-CCC-Sprecher Müller-Maguhn, GNUNet-Maintainer Grothoff, Reporter Michael Sontheimer und der Spiegel-Ressortleiter der Netzwelt Stöcker mitgewirkt haben.
"They claim potential"
Zusammen mit 44 redaktionell bearbeiteten Originaldokumenten haben diese die kryptographischen Fähigkeiten der NSA interpretiert. Offenbar war sich das Team nicht immer ganz einig in der Bewertung der Dokumente, da es einigen Aussagen von Appelbaum auf dem Chaos-Computer-Club-Kongress am 29.12. widerspricht. So behauptet der Spiegel-Artikel noch dramatisierend: "Die NSA kann mit einem Programm sogar das Protokoll SSH (Secure Shell d.Red.) knacken." Appelbaum konkretisierte dies auf Nachfragen zu: "they didn't claim anything ... they claim potential" – es gibt also keineswegs ein verlässliches Verfahren SSH-Verkehr zu dechiffrieren, sondern lediglich vage Möglichkeiten, unter bestimmten Umständen irgendwie an Klartext-Informationen zu gelangen.
Das passt zu den Aussagen aus dem Dokument media-35515 von 2010, wo die Rede davon ist, an Benutzernamen und Passwörter zu gelangen ("potentially recover user names and passwords"). Wie das geschehen soll, bleibt nach wie vor offen. Als Optionen gibt es die permanenten Brute-Force-Angriffe auf SSH-Zugänge, die einfach durchprobieren, es gibt veraltete, zum Teil nicht ohne weiteres ersetzbare SSH-Implementierungen etwa in Routern mit bekannten Sicherheitsproblemen, es gibt Keylogger auf kompromittierten Admin-Desktops und vieles mehr.
Doch anders als es die Spiegel-Veröffentlichung nahelegen, gibt es derzeit keine Hinweise darauf, dass die Geheimdienste besondere, bislang unbekannte Fähigkeiten entwickelt hätten, SSH-Verbindungen zu dechiffrieren. Vielmehr deutet alles darauf hin, dass sie die altbekannten Angriffe – also insbesondere das Klauen von Passwörtern und Schlüsseln – perfektioniert haben und exzessiv einsetzen. Die neuen Veröffentlichungen zeigen also vor allem, dass die bereits bekannten Sicherherungsmaßnahmen, wie das Vermeiden von Passwort-Logins durch eine Beschränkung auf Public-Key-Login und eventuell auch ein regelmäßiger Wechsel der Schlüssel, noch wichtiger sind, als bisher angenommen. Analoges gilt übrigens bei IPsec bezüglich der Vermeidung von Pre-Shared-Keys.
Vorsprung kleiner als befĂĽrchtet
Und es gibt durchaus auch gute Nachrichten. Die Kryptoforscher rätseln schon seit Jahren: Welchen Vorsprung haben die Geheimdienste dadurch, dass sie Ergebnisse der zivilen Forschung nutzen können, aber selbst nur untereinander publizieren? Sind Verfahren, die die zivile Forschung für sicher hält – also RSA, AES, SHA-256 – vor den Angriffen eigener oder fremder Geheimdienste sicher? Angesichts von Milliarden-Budgets, riesiger Rechenzentren und scheinbar unbegrenzter Man-Power befürchtete mancher das Schlimmste.
Doch die gute Nachricht der Snowden-Leaks ist: Dieser befürchtete Vorsprung der Agencies gegenüber der zivilen Forschung auf dem Gebiet von IT-Sicherheit und Kryptographie stellt sich dort als recht klein dar. Der riesige finanzielle Einsatz, der Steuergelder der amerikanischen Bevölkerung aufbraucht, wird anscheinend hauptsächlich von der Organisation des strukturierten Einsammelns von Daten verbraucht und nicht von der Fähigkeit, verschlüsselte Kommunikation zu knacken. Den Eindruck, der sich aus der Lektüre der 44 Dokumente ergibt, fasst Jakob Appelbaum sehr prägnant in einem Satz zusammen: "They don't have superpowers, they have backdoors."
Sicher kommunizieren
Und selbst die haben die Geheimdienste längst nicht überall. Zwei der NSA-Dokumente von Anfang 2012 zeigen, dass die NSA weder mit OTR Nachrichten noch PGP-Nachrichten etwas Sinnvolles anfangen kann. Das bedeutet in der Praxis: Die nicht entschlüsselbaren Nachrichten werden gespeichert, um diese zu einem späteren Zeitpunkt, für den sie sich einen Durchbruch in der Kryptoanalyse oder Quantencomputer erhoffen, lesen zu können.
OTR und PGP beruhen auf den in den zivilen Forschung als sicher angesehenen Verfahren AES in Counter-Mode, Diffie-Hellman mit 1536 Bit (OTR), CAST5 und RSA mit 2048 (GnuPG 2.0, Default-Einstellung). Die NSA-Dokumente erwähnen keine Schwachpunkte bezüglich schlechter Konfiguration von GnuPG, so ist davon auszugehen, dass es auch für die in GnuPG verwendeten sonstigen symmetrischen Verfahren BLOWFISH, CAMELLIA, CAST5, IDEA, TWOFISH, 3DES weltweit keine automatisierte Entschlüsselung gibt, außer man ist der rechtmäßige Empfänger. Bestätigt wird dies durch das NSA-Dokument media-35511 vom August 2008, wo es heißt: "symmetric algorithms: can offer near perfect secrecy".
Dies bedeutet, das Grundrecht des Briefgeheimnisses ist auch im Zeitalter der NSA-Überwachung mit Hilfe von GnuPG noch durchsetzbar – dank des Amerikaners Phil Zimmermann (PGP-Erfinder) und des Deutschen Werner Koch (GnuPG-Erfinder und Hauptentwickler). Das bestätigen im Übrigen auch die im undatierten media-35532 enthaltenen BULLRUN-Details, in denen notiert wird, "cryptanalytic capabilities difficult and costly to acquire, very fragile, if lost may never be regained".
Auch beim Zugriff auf Daten, die durch das Anonymisierungsnetzwerk Tor, die FestplattenverschlĂĽsselung Truecrypt und das Linux-basierte Betriebssystem TAILS gesichert wurden, haben die Geheimdienste massive Probleme. Weitere Software, die Angreifern Kopfzerbrechen bereitet, ist im auf Juni 2012 datierten Dokument media-35535 aufgefĂĽhrt.
"They have powers"
Problematisch sind offenbar Virtual Private Networks (VPN). Doch wie es aussieht, sind hier sowohl die zivile Krypto- und IT-Sicherheitsforschung als auch die Open Source Community auf Ballhöhe. Neue Erkenntnisse zu besonderen Fähigkeiten der NSA lassen sich den Veröffentlichungen nicht entnehmen. Das von Microsoft erfundene PPTP gilt schon seit vielen Jahren als unsicher. Den letzten Beweis lieferte 2012 das von Moxie Marlinspike veröffentlichte chapcrack, mit dem selbst heise Security im Selbstversuch einen VPN-Zugang knacken konnte. Wer heute noch PPTP beziehungsweise MSCHAPv2 einsetzt und sich dabei sicher wähnt, hat die letzten Jahre verschlafen.
IPSec hat mit Pre-Shared-Keys (PSK) seine seit Jahren bekannte Achillesferse. Wenn ein manipulierter oder überlisteter Router diese auch noch freiwillig heraus gibt, dann ist die Kommunikationssicherheit gleich Null. Da kann dann auch der Einsatz eigentlich sicherer Algorithmen wie RSA-2048 und AES nichts ändern. Auf genau solche Szenarien scheint sich die NSA zu kaprizieren.
Das kann man sich dann so vorstellen, dass die NSA gezielt Hintertüren in die Verschlüsselungs-Funktionen kommerzieller Hard- und Software einbaut, wie in in media-35546 (Sep 2005) beschrieben: "the fact that NSA/CSS makes cryptographic modifications to commercial or indigenous cryptographic information security devices or systems in order to make them exploitable" und "the fact that NSA/CSS obtains cryptographic details of commercial cryptographic information security systems through industry relationships". Und damit ergeben dann Aussagen wie die aus media-35516 (undatiert) plötzlich Sinn: "on free router links/layers, information is copied" und "real-time decryption is performed if CES database can provide a key in time".
VerschlĂĽsselung im Web
In der Verschlüsselung via SSL/TLS/HTTPS wurden bereits in den letzten Jahren Sicherheitsprobleme auf allen Ebenen bekannt. Deren Ausnutzung ist laut NSA-Dokumenten sehr weit fortgeschritten und es ist anzunehmen, dass es dort einige Techniken gibt, die nicht in der zivilen Welt bekannt sind. Insbesondere sollte man davon ausgehen, dass sich die NSA wegen der erzwungenen Zusammenarbeit amerikanischer Firmen mit der NSA bei Bedarf Zertifikate ausstellen kann, die etwa Browser als gültig akzeptieren. Allerdings scheint die NSA dabei Daten aus dem Bereich E-Commerce komplett zu ignorieren. Wenn ich mir im Netz neue Schuhe kaufe, ist das für sie schlichtweg Spam, der die Kapazitäten verstopft: "WARNING! e-commerce = tons of uninteresting SSL traffic" (in media-35520 von Jan. 2007).
Somit bietet reines TLS/SSL kaum Schutz vor gezielten Angriffen der NSA. Trotzdem sollte man daraus keineswegs den Schluss ziehen, dass TLS/SSL beziehungsweise HTTPS damit hinfällig wären. Auch wenn es funktionierende Angriffe gibt, erfordern diese immer noch einen gewissen Aufwand, der sich nicht in beliebigen Maßstab nach oben skalieren lässt. Und bei aktiven Angriffen ist dies auch mit einem gewissen Entdeckungsrisiko verbunden. So entziehen etwa SSL-verschlüsselte Verbindungen zu Mail-Servern einer globalen Massen-Überwachung den Zugang zu Meta-Informationen, wer wann mit wem kommuniziert.
Fazit
Das Grundgesetz garantiert das Briefgeheimnis – und das schließt jede schriftliche Mitteilung zwischen einem Absender und einem individuellem Empfänger ein. Dieses Briefgeheimnis torpedieren NSA und GCHQ, die offenbar jeden als verdächtig ansehen, dessen Unschuld sie nicht beweisen können, ganz massiv. Um es trotzdem durchzusetzen, benötigen wir Algorithmen, Protokolle und Systeme, denen wir vertrauen können.
Der Autor dieses Artikels vertraut der Mathematik hinter RSA-2048, DH-1536, AES-128, SHA-3 und empfiehlt alle Finalteilnehmer des AES- und des SHA-3-Wettbewerbs. Des weiteren ist er der Auffassung, dass sich Vertrauen in Software nur mit der Offenlegung des Quellcodes, also letztlich durch Open Source Software erreichen lässt. Das ist letztlich eine Ausweitung des bewährten Kerckhoffschen Prinzips, das alle etablierten Krypto-Verfahren beachten: Das System darf durchaus in die Hände des Feindes fallen. Denn das Geheimnis besteht nicht in der Verschlüsselungsmethode sondern im geheimen Schlüssel.
Häufig wird eingewandt, dass bei offener Software zwar viele Augen die Schwachstellen sehen könnten, aber im Zweifelsfall nur wenige hinschauen. Daher sollten die Open-Source-Projekte gut organisiert und Mitarbeit aus verschiedenen Staaten der Erde zulassen. Beim vom Autor favorisierten System FreeBSD besteht das für Releases verantwortliche Team aus Softwareentwicklern der Staaten USA, Russland, Ukraine, Schweden, Niederlande, Deutschland und Japan. Ähnlich über viele Staaten verteilt sind auch die Entwickler des Linux-Betriebssystems. Amerikanische, europäische, asiatische Entwickler verifizieren gegenseitig die gutartige Weiterentwicklung eines Systems, das gleichzeitig offen für alle Beobachter ist. Open-Source-Software wie OpenSSH ist ein weiteres gutes Beispiel für diese Praxis.
Doch letztlich ist die Verteidigung des Briefgeheimnisses und die Abwehr einer allgegenwärtigen Massenüberwachung nicht nur ein technisches sondern vor allem ein politisches Problem. Das haben längst auch die Kryptologen erkannt und in einem offenen Brief formuliert. Es gibt, wie in Gallien, durchaus vertrauenswürdige Druiden, die in der Lage sind, Zauberkräfte gegen flächendeckende Abhörmaßnahmen bereitzustellen. Aber es braucht auch Stammeshäuptlinge und Dorfbewohner, die das Grundrecht verteidigen.
(ju)