Post-Snowden-Krypto: Schnelle Hacks und große Konzepte
Die Krypto-Forscher der Technischen Universität Eindhoven luden zur Post-Snowden-Krypto-Konferenz nach Brüssel und versorgten dabei gleich auch noch das Europäische Parlament mit Know-how für mehr Sicherheit.
(Bild: c't)
- Monika Ermert
Neue Betriebssysteme oder gleich ein (fast) neues Internet – die Liste der Projekte für mehr Vertraulichkeit im Netz, die auf der Post-Snowden-Krypto-Konferenz der TU Eindhoven vorgestellt wurden, ist beachtlich. Die Implementierung der mehr oder weniger radikalen Veränderungen erfordert einen langen Atem. Sicherer ist es daher, das Netz, das wir haben, auch kurzfristig zu flicken, rieten die Experten in Brüssel. Die Konferenzorganisatoren hatten eine Reihe der Forscher auch an einen Workshop des Parlaments "ausgeliehen", der allerdings unter Ausschluss der Öffentlichkeit statt fand.
Bessere Standards schaffen
"Wir müssen alle Löcher stopfen", sagte der britische Krypto-Forscher Kenny Paterson, "bei der Sicherheit der Netze, bei Verschlüsselungsalgorithmen und auch in den Gesetzen". Schon bessere Standards könnten helfen, sagte er und rief seine Zunft auf dazu auf, sich wenigstens mehr in die Arbeiten der Internet Engineering Task Force und der Internet Research Task Force (IETF) einzumischen.
Anders als bei ISO oder dem European Telecommunication Standards Institute (ETSI) seien die Türen für Forscher dort offen. Mit konsequenten Angriffen auf bestehende schwache kryptografische Algorithmen – Paterson war an den RC4-Angriffen beteiligt – könnten die Akademiker auch etwas bewegen. Noch 2013 sei RC4 bei der Hälfte aller TLS-Verbindungen eingesetzt worden, heute seien es noch sieben Prozent.
"Schluss mit Patches"
Andere Vorschläge von Seiten der Sicherheitsforscher sind viel radikaler. Schluss mit den ewigen Patches, forderte Jon Solworth von der Universität Chicago. Snowdens Enthüllungen hätten nur durch das Ausmaß der Attacken überrascht: "Es geht um Software. Wenn Software angegriffen wird, versagt sie praktisch immer", sagte Solworth. Statt ewig nachzubessern, sollte man lieber neu anfangen.
Solworth gehört zu einer Gruppe, die das mit dem Betriebssystem Ethos versucht, das sich stärker auf Unix zurück besinnt. Um als Neuling einen Fuß in die Tür zu bekommen, braucht Ethos die Virtualisierung. Qubes, das Virtualisierung und Kompartimentalisierung als Grundprinzip hat, ist ein passender Partner, hieß es bei der Konferenz.
Noch radikaler sind die Entwürfe fürs GNUnet, das zwar auch auf vorhandene Transportprotokolle und Verbindungsprotokolle nicht verzichtet, den OSI-Stack aber kräftig aufmischt, um weg zu kommen vom Client-Server und stark zentralisierten Modellen wie dem Domain Name System.
"Polizeimarke für Malware"
Auch die Aussichten auf eine mögliche Neuausgabe eines "Crypto War" treibt die Sicherheitsforscher um. Ein Verbot von Kryptografie kann sich das Vereinigte Königreich eigentlich nicht leisten, meint Paterson. Denn dann müssten die Londoner Bankhäuser alle ihren Sitz wechseln. Eine wenig optimistischen Blick warf Jacob Appelbaum auf die bevorstehenden Auseinandersetzungen und empfahl mit beißendem Sarkasmus "eine Polizeimarke für Malware".
Wo verschlüsselte Gespräche abgehört, die lokale Polizei eine Man-in-the-Middle-Attacke gegen Gesprächspartner starten wolle, müsse sie sich durch einen eigenen Schlüssel authentifizieren. Der Vorteil: fehlt der Schlüssel, müsse es sich auf jeden Fall um eine illegale Abhöraktion handeln. Die müsse dann aber auch verfolgt werden, ätzte er. (des)
