Zahlen, bitte! 42 Minuten Rechnen gegen die staatliche Crypto-HintertĂĽr

Die US-Regierung plante Mitte der 1990er-Jahre eine Telefonverschlüsselung, die sie selbst bei Bedarf hätte knacken können – der Beginn des ersten Crypto-Wars.

In Pocket speichern vorlesen Druckansicht 15 Kommentare lesen
Lesezeit: 7 Min.
Von
  • Detlef Borchers
Inhaltsverzeichnis

Vor 30 Jahren war die Welt noch in Ordnung. Die digitale Telefonie verbreitete sich rasch und erzeugte Begehrlichkeiten: Die junge Regierung Clinton startete dafür ein Technologie-Projekt, um einerseits das Telefonieren sicherer zu machen, aber andererseits mit der gleichen Technik Telefonate abhören zu können.

Die Initiative für einen Escrowed Encryption Standard (EES), die am 16. April 1993 der Öffentlichkeit vorgestellt wurde, sollte eine kryptografisch sichere und besonders leistungsfähige Übertragung von Daten und Sprache über digitale Kommunikationsnetze ermöglichen, allerdings mit einem Haken: Bei Bedarf (Terrorgefahr, Spurensuche nach Schwerverbrechen) sollten Ermittlungsbehörden Zugang zu den Verschlüsselungsdaten erhalten, die bei der Kommunikation genutzt wurden.

Zahlen, bitte!

In dieser Rubrik stellen wir immer dienstags verblĂĽffende, beeindruckende, informative und witzige Zahlen aus den Bereichen IT, Wissenschaft, Kunst, Wirtschaft, Politik und natĂĽrlich der Mathematik vor.

Als erste Zeitung berichtete die New York Times über den "Plan, den Regierungs-Zugriff auf elektronische Kommunikation mit der Privatsphäre in Ausgleich zu bringen." Die sogenannte Schlüsselhinterlegung (Key Escrow) sollte rechtlich durch hohe Hürden geschützt werden, indem das Schlüsselmaterial in zwei Teilen bei unterschiedlichen Behörden gespeichert wird. Erst wenn ein richterlicher Ermittlungsbeschluss vorliegt, sollten beide Teile des Schlüssels zusammengeführt werden.

"Die Clinton-Administration plant ein neues System, das die Fähigkeiten der Regierung aufrechterhält, bei Strafermittlungen und für nationale Sicherheitsfragen mitzuhorchen, während gleichzeitig die Privatsphäre von Bürgern und Unternehmen besser geschützt wird", schrieb der IT-Journalist John Markoff in der New York Times, die diese Meldung immerhin auf die Titelseite stellte.

Dieses amerikanische EES-System, vom Sicherheitsexperten Bruce Schneier giftig als "GAKS-HintertĂĽr" (Government Acces to Keys) bezeichnet, sollte mit zwei Chips realisiert werden, die beide Kommunikationspartner nutzen mĂĽssen. FĂĽr die Sprachtelefonie war dsa ein von Markoff entwickelter Clipper-Chip, fĂĽr die Datenkommunikation ein Capstone-Chip auf einer PCMCIA-Kryptokarte namens Fortezza.

Beide Chips sollten mit Verfahren arbeiten, die die fĂĽhrenden Kryptologen der National Security Agency (NSA) entwickelt hatten. Das wichtigste Verfahren war ein streng geheimer Algorithmus namens Skipjack, der in beiden Chips implementiert wurde. GegenĂĽber dem Clipper-Chip konnte Capstone mehr, etwa mit DSA digitale Unterschriften erzeugen und einen SchlĂĽsselaustausch einleiten oder Hashes aller SchlĂĽssel berechnen. All das sollte in der zukĂĽnftigen staatlich gelenkten Kryptographie eine Rolle spielen.

Chip-Design des MYK-78: Der Clipper-Chip, der fĂĽr die unsichere VerschlĂĽsselung verantwortlich ist.

(Bild: CC BY 2.0, Travis Goodspeed)

Doch genau gegen diese von Staats wegen oktroyierte "Sicherheit" opponierten in den USA eine ganze Reihe von Aktivisten, zu denen Philip Zimmermann gehörte. Sein Statement, warum er überhaupt mit PGP die Verschlüsselung für alle entwickeln wollte, ist ein zentrales Dokument der sich entwickelnden Crypto Wars.

Das vorzeitige Ende des überaus ambitionierten Projektes, staatliche Überwachung von Verschlüsselung installieren und womöglich auch exportieren zu können, verkündeten zwei Zeitungsartikel der New York Times. Der Journalist Steven Levy berichtete in der ersten Sonntagsausgabe vom Juni 1994, dass bislang nur 20.000 halbierte Schlüssel-Datensätze auf zwei Floppy-Disk existieren, die jeweils beim FBI und dem Schatzamt in Tresoren aufbewahrt wurden. Joh Markoff ergänzte mit der Nachricht, dass das gesamte System durch einen fatalen Fehler unbrauchbar war. "Jemand mit genügend Computerkenntnissen kann die Verschlüsselungstechnologie der Regierung brechen, indem er Nachrichten so verschlüsselt, dass selbst die Regierung sie nicht mehr öffnen kann", schrieb Markoff mit Verweis auf den Bell-Labs-Forscher Matt Blaze

Blaze hatte sich intensiv mit LEAF beschäftigt, dem "Law Enforcement Access Field". Dieses LEAF wird zu Beginn einer Kommunikation erzeugt und übertragen. Ein Clipper- oder Capstone-Chip beginnt erst dann zu arbeiten (codieren und decodieren), wenn das korrekte LEAF übertragen ist. Zum 128 Bit starken LEAF gehörte eine Prüfsumme, die nur 16 Bit lang ist. Blaze erkannte, dass es 2^16=65536 Möglichkeiten gibt, eine zweite gültige Prüfsumme für ein zufällig generiertes LEAF zu errechnen, die mit der des "staatlichen LEAF" übereinstimmt.

Nach durchschnittlich 32768 Versuchen stimmen die Prüfsummen und das zufällig gewählte LEAF kann in der nunmehr abhörsicheren Kommunikation genutzt werden. "Nur Vater Staat vernimmt beim heimlichen Mithören das perfekte Rauschen, denn sein 'Sitzungsschlüssel' ist eine Zufallszahl", schreibt der Kryptologe Reinhard Wobst in seinem Buch "Abenteuer Kryptologie". Weil die beiden Chips rund 34 ms zur Überprüfung eines LEAF brauchten, dauerte es im Mittel 42 Minuten, bis ein zufälliges, aber gültiges LEAF gefunden ist. Das war für ein Telefongespräch zu lange, für eine verschlüsselte Datenkommunikation, die Sicherheitsbehörden nicht mehr knacken können, jedoch eine ausreichend lange Zeit.

Synbolbild des US-Magazin Wired, welches sich klar gegen eine staatliche Ăśberwachung positionierte.

(Bild: Wired)

Als Forscher teilte Blaze nicht nur der Fachöffentlichkeit, sondern auch der NSA die Ergebnisse seiner Analyse mit. Diese hätte so die Möglichkeit gehabt, die Chips so umzuprogrammieren, dass sie nach jedem 50. fehlerhaften Versuch eine Minute lang passiert und dann neu startet, was ebenfalls eine Minute dauerte. Damit wäre selbst eine Brute-Force-Attacke sinnlos. Was unternahm die NSA? "Sie lässt den Chip nach jedem Fehlversuch zurücksetzen. Das verlängert die genannten 42 Minuten auf beachtliche 46 Minuten. Wenn sich dann Blaze in seinem Artikel auch noch für die umfangreiche Hilfe von Mitarbeitern der NSA bei seinen Untersuchungen bedankt, so fällt es ziemlich schwer, die Welt zu verstehen", urteilt Wobst.

Die Pläne, Clipper- und Capstone-Chips verpflichtend in der digitalen Kommunikation einzusetzen, verschwanden bald in den Schubladen der NSA. Von den entsprechend ausgerüsteten Telefonen wurden nur rund 100.000 Stück verkauft. Ihre Sicherheitseinstufung reichte nicht aus, um mit ihnen vertrauliche Gespräche führen zu dürfen. Auch war der Widerstand gegen die Überwachung sehr groß, die Kampagne der Electronic Frontier Foundation erfolgreich.

Nicht zuletzt entwickelte sich mit PGP eine alternative Verschlüsselung als Werkzeug mündiger Bürger gegen einen Überwachungsstaat. Damit war die Idee dieser Überwachung aber noch lange nicht gestorben. Auf dem 5. Sicherheitskongress des BSI in Bonn machte sich 1997 der damalige Bundesinnenminister Manfred Kanther (CDU) für einen Überwachungschip stark, mit der bis heute bekannten Argumentation: "Es geht nicht darum, neue Abhörmöglichkeiten zu schaffen, sondern die bisherigen Informationschancen der Sicherheitsbehörden zu erhalten."

Für das c't-Magazin war die Androhung staatlicher Überwachung Anlass, mit der c't-Kryptokampagne die PGP-Verschlüsselung durch Schlüsselzertifizierungen zu unterstützen. Zum 20. jährigen Jubiläum zur CeBIT 2017 zählte sie 48187 Signierungen.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Erst im Herbst 1998 gab Wirtschaftsminister GĂĽnther Rexrodt (FDP) Entwarnung und lobte die starke VerschlĂĽsselung als Technik, die der Wirtschaftsstandort Deutschland brauche, um gegen Wirtschaftsspionage geschĂĽtzt zu sein. Mit den Eckpunkten deutscher Kryptopolitik beendete das Bundesinnenministerium die damalige Debatte.

Rückblickend auf seine Forschungen zum Clipper-Chip zog Matthew Blaze zum Jubiläum auf Mastodon eine ernüchternde Bilanz: "Der Clipper-Chip war 1993 eine verkorkste Idee, aber die heute wiederbelebten Vorschläge für eine Hintertür in der Verschlüsselung sind noch dubioser und rücksichtsloser. Vor 30 Jahren wurde Kryptographie nicht weiträumig genutzt und war eine Nischentechnologie. Heute ist Kryptographie überall, ist tief in unseren Netzwerken und IT-Systemen integriert. Der Aufbau eines sicheren und robusten Systems der Schlüsselhinterlegung in einem zeitgenössischen Maßstab ist ungleich anspruchsvoller als 1993, mit viel gravierenden Konsequenzen, wenn dieses System kompromittiert wird."

(mawi)