Missing Link: Vertrackte Vertraulichkeit – Steven Bellovin über Crypto Wars und Privatsphäre

Inhaltsverzeichnis

Er ist NetBSD-Entwickler, hat das Usenet mit geschaffen und 1994 das erste Buch über Firewalls geschrieben. Fünf Jahre später riet er ab und empfahl, alles Monitoring direkt auf die Endpunkte zu verteilen. Damit war der mit zahlreichen Preisen ausgezeichnete Informatiker Steven Bellovin der Diskussion um Sicherheit im Internet fast 30 Jahre voraus. Heute lehrt und forscht er an der Columbia Universität und versucht Brücken zu schlagen zwischen Politik und Technik. 2015 sagte er auch im Verfahren Amnesty gegen die NSA zur Überwachung von US-Amerikanern durch FISA aus, als Kronzeuge der Bürgerrechtler. Im Interview am Rande der Internet Engineering Task Force in Montreal spricht er über die erneut aufflammende Verschlüsselungsdebatte und Vertraulichkeit im Netz.

Die englische Originalversion dieses Interviews ist ebenfalls auf heise online nachzulesen.

Wenn Regierungen über Nachschlüssel verfügen

"Missing Link"

Was fehlt: In der rapiden Technikwelt häufig die Zeit, die vielen News und Hintergründe neu zu sortieren. Am Wochenende wollen wir sie uns nehmen, die Seitenwege abseits des Aktuellen verfolgen, andere Blickwinkel probieren und Zwischentöne hörbar machen.

• Mehr zum Feuilleton "Missing Link"

heise online: US Justizminister William Barr hat auf einer Cyber-Security-Konferenz in New York gerade angedroht, dass Facebook und anderen Plattformen nicht mehr viel Zeit bleibt, um Hintertüren für die Strafverfolgung in ihrem Service zu bieten. Ist dies einfach nur eine weitere Welle in der bekannten Kryptodebatte, oder ist es dieses Mal anders?

Steven Bellovin: Teilweise ist es einfach eine neue Welle. In einem bemerkenswerten Detail greift Barr aber zugleich auch auf eine frühere Phase zurück. In den letzten paar Jahren ging es stets um verschlüsselte Geräte, aber Barr hat in seiner Rede auch über verschlüsselte Kommunikation gesprochen. Das ist ein ganz anderes Problem, ein Problem von ganz anderem Kaliber. Ich halte es letztlich für ein unlösbares Problem, wegen der diplomatischen Hürden. Wenn die Vereinigten Staaten über Nachschlüssel verfügen, wie kann man dann dem Vereinigten Königreich – unserem engsten Verbündeten – solche Schlüssel verwehren? Was ist mit den anderen Five-Eye-Partnerländern, was mit der NATO, China, Russland, Israel und so weiter und so weiter. Und wenn man das macht, welcher Regierungsschlüssel ist dann jeweils maßgeblich für eine Kommunikation?

Sagen wir mal, die chinesische Regierung kommt zur US-Regierung und sagt, hier ist eine verschlüsselte Kommunikation, bitte entschlüsselt das mal für uns. Ist das der Terrorist, gegen den die USA Ermittlungen selbst befürwortet? Ist es ein Uigure aus Chinas Nordwesten? Ist es ein Demonstrant für mehr Demokratie in Hongkong? Oder ist es ein amerikanischer Geschäftsreisender? Wie will man das diplomatisch geregelt bekommen? Ich halte das für unlösbar. Wenn wir zur Entschlüsselung der Kommunikationsströme zurückkehren, dann ist das ganz klar eine Eskalation.

heise online: Worin unterscheiden sich Barrs Aussagen sonst?

Steven Bellovin: Die andere interessante Aussage Barrs kann man so zusammenfassen: Also so sicher sind eure Systeme ja doch nicht, was macht da ein bisschen mehr Unsicherheit schon aus? Also, mit der Absicherung der Kommunikation haben wir einen der wenigen Security-Mechanismen, der wirklich funktioniert. Warum sollten wir den wieder schwächen? Vor allem, wenn es sehr ernst zu nehmende Bedrohungen durch Kriminelle gibt. Die meisten Kriminellen geben sich aktuell noch nicht damit ab, die Verschlüsselung von Kommunkation zu brechen. Aber das werden sie tun. Vor zwanzig Jahren oder so habe ich mit einer Ermittlerin aus dem Bereich Narkotika gesprochen. Sie hatte einen regelrechten Horror vor den damals unter Clipperchip bekannt gewordenen Plänen. Sie dachte an südamerikanischen Drogenbanden, die genug Geld und genug kriminelle Energie besaßen, um sich gewaltsam Zugang zu den entsprechenden Datenbanken zu verschaffen. Sie würden einfach Ermittler unter Druck setzen oder jemanden bestechen oder erpressen und sich so Zugang verschaffen. Damit hätten wir eine Riesenschwachstelle, die die Kartelle ausnutzen würden – genau die Leute, die man festnageln will, raffinierte Kriminelle der Oberklasse. Sie war entsetzt. Man kann sich kaum vorstellen, dass ein solcher Vorschlag aus dem Justizministerium kommt. Und da sind wir nun wieder angelangt. Natürlich gibt es Sicherheitsmechanismen für solche Systeme, klar, und die meisten Angreifer werden nicht versuchen, die verwendete Krypto zu brechen. Aber die cleveren schon und vielleicht schaffen sie es. Beispielsweise der Iran.

"Meine Bilanz als Prophet ist lausig"

heise online: Die Forderungen nach Hintertüren und Nachschlüsseln wurden bislang noch jedes Mal wieder abgeschmettert. Erwarten sie, dass es dieses Mal anders sein könnte?

Steven Bellovin: Meine Bilanz als Prophet ist lausig. Ich versuche deshalb erst gar nicht, Vorhersagen zu machen. Halte ich Barrs Ideen für falsch? Auf jeden Fall. Werde ich mich weiter dagegen aussprechen? Auf jeden Fall, ja. Wer wird gewinnen? Es ist kein Kampf, den man ein für alle Mal gewinnt oder verliert. Wir dachten im Jahr 2000, die Schlacht um Verschlüsselung sei gewonnen, nachdem die USA ihre Forderungen nach Exportkontrolle und Schlüsselhinterlegung hatten fallen lassen. 10 Jahre später stand das FBI da und jammerte über „going dark“ und wieder ein paar Jahre später waren es die verschlüsselten iPhones, die das ganze wieder aufs Tapet brachten, und jetzt ist es erneut ein heißes Eisen. Das hört nicht auf. Man kann den Kampf um die Verschlüsselung genau genommen bis in die 70er Jahre zurück verfolgen, als Diffie und Hellman rumgelaufen sind und über Verschlüsselung gesprochen haben. Damals schrieb ein NSA-Mitarbeiter, angeblich in seiner Freizeit und in eigener Regie einen Drohbrief, dass sie mit ihren Vorträgen gegen die Exportkontrollregeln verstoßen würden. Es gab damals ein Programm, sich freiwillig der Zensur zu unterwerfen. Man ermunterte Wissenschaftler, ihre Beiträge vorzuglegen. Aber es hat nicht so richtig funktioniert, nur wenige Leute haben das gemacht. Es gab Geheimhaltungsauflagen für Patente. Das war 1970. Also der Kampf ist nicht neu und man kann ihn nicht ein für alle Mal gewinnen.

Eine Hintertür löst die Probleme der NSA nicht

heise online: Die Frage nach dem Ausgang drängt sich wohl auch wegen der Unsicherheit über die gegenwärtige US-Regierung auf. Von außen betrachtet, agiert sie unberechenbar...

Steven Bellovin: Von innen betrachtet auch (lacht). Ich denke, die Eskapaden der gegenwärtigen Regierung machen die Debatte aktuell zu einer noch heikleren. Allerdings spielt Parteipolitik keine Rolle. Wie gesagt, das ganze reicht in die 70er Jahre zurück. Der Drohbrief, das war unter Präsident Gerald Ford, der Republikaner war. Die Geheimhaltungsanweisungen kamen unter Jimmy Carter.

heise online: Clipperchip war Clinton...

Steven Bellovin: Clipperchip war Clinton, allerdings wurde er schon 1993 entwickelt, das wären Bush oder Reagan. Dann hatten wir all die Beschwerden vom FBI während Obamas Amtszeit. Die Parteien unterscheiden sich da nicht.

heise online: War die Entwicklung von stärkeren Verschlüsselungsprotokollen, etwa TLS 1.3, ein Auslöser für die neuesten Debatten?

Steven Bellovin: Ich weiß nicht. Aber ich vermute nicht, dass TLS 1.3 der Anlass war. Die US-Regierung ist kein monolithischer Block. Vor ein paar Jahren sagte jemand in einer Anhörung, dass die NSA sich für die Kommunikationsströme interessiert, die lokale Polizei für die Geräte und das FBI für beides. Wenn Barr also die Kommuikation anspricht, spricht er einfach im Interesse des FBI. TLS 1.3 war nicht der Anlass, denke ich. Die NSA mag die Krypto natürlich nicht. Aber da ist meine Vermutung, dass die ohnehin nicht davon ausgehen, dass irgendeine Hintertür-Lösung ihre Probleme löst. Ganz einfach, weil die eigentlichen Ziele der NSA die entsprechenden Verschlüsselungslösungen nicht einsetzen wird. Sie versuchen, die Russen, die Chinesen, ISIS und was auch immer auszuspähen, und die sind alle zu clever, um eine von der US-Regierung abgesegnete Verschlüsselungslösung zu verwenden. Die NSA muss also ihren Job ohne die Segnungen solcher Hintertüren erledigen. Wenn es sie gibt und sie sie verwenden können, dann werden sie sie verwenden. Aber sie können sich für den größten Teil ihrer Arbeit darauf aktuell nicht verlassen.

Bei Cyber Security stehen Lücken auch dem Gegner offen

heise online: Was will Barr denn genau?

Steven Bellovin: Verschiedene Terrorgruppen und verschiedene Drogenhändler verschlüsseln ihre Kommunikation. Das FBI kann immer mal wieder solche Kommunikation abhören, gedeckt von gerichtlichen Abhöranordnungen. Er will diese Sachen lesen können. Rein rechtstechnisch kann er für die NSA andererseits nicht sprechen. Die NSA gehört zum Verteidigungsministerium. Das ist nicht sein Zuständigkeitsbereich. Natürlich tauscht man sich aus. Aber ich vermute – und zwar ganz ohne irgendwelche internen Informationen zu haben (lacht) –, dass die NSA sagt, ja, wäre hübsch, aber dass sie Technologie entwickeln, um um die Verschlüsselung herum zu kommen. Darum hacken sie sich so gerne direkt in Computer ein. Interessant ist in diesem Zusammenhang die aktuelle Meldung zur neuen Cyber-Security-Abteilung der NSA. Sie wissen vielleicht, dass es ursprünglich zwei Abteilungen gab bei der NSA...

heise online: Offensiv und defensiv...

Steven Bellovin: Signal Intelligence (Fernmeldeaufklärung) und Information Assurance (Informationssicherheit), das sind die zwei Aufträge der NSA. Informationssicherheit ist die defensive Seite und von ihr bekommen wir Dinge wie Security Enhanced Linux (SELinux) oder SHA256, das Beste, was man kriegen kann. Wirklich solides Zeug. Die Sigint-Leute wollen Leute ausspionieren, das ist ihr Job und das gibt es in jedem Land. Der Bereich ‚Cyber‘ ist anders, weil die Lücke, die man ausnutzt, steht auch den Gegnern offen, im Gegensatz zur Crypto. Eine Partei nutzt die Verschlüsselung, die andere versucht, das zu knacken. Die gegnerischen Seiten nutzen nicht denselben Algorithmus. In Cyber ist das stärker integriert und jetzt hat man also eine neue Abteilung geschaffen, in der Angriff und Verteidigung von Computern zusammengeführt werden. Es wird ziemlich spannend zu sehen, wie das funktionieren wird. Denn jetzt kommen deine Abwehrtechnologie aus der Abteilung Cyber Security und die hat eine „doppelte Mission“. Die entsprechende Technologie dürfte mit noch größeren Fragenzeichen behaftet sein als bisherige Mechanismen.

Die Methode der Geheimdienste: "Alles behalten"

heise online: Sind wir als Nutzer durch mehr Verschlüsselung der Protokolle, angefangen mit TLS 1.3, sicherer als – sagen wir mal – vor 20 Jahren?

Steven Bellovin: Über Sicherheit kann man nicht reden ohne zu sagen, wer eigentlich der Feind ist. Gegen den normalen Kriminellen oder den Teenager-Hacker, der einem die Kreditkartendaten stehen will, hilft TLS 1.3 nicht viel. Er kann das nicht knacken, sondern er umgeht die Verschlüsselung und kommt durch SQL Injection oder durch eine Cross-Scripting Attacke oder eine Phishing-Attacke an die Daten. Das entscheidende Feature von TLS 1.3 ist der zwingende Einsatz von Perfect Forward Secrecy. Das schützt die Leute gegenüber den Nachrichtendiensten und vermutlich auch gegenüber den Strafverfolgern. Denn es bedeutet, es nützt nichts mehr, Gespräche aufzuzeichnen, denn wenn man in den entsprechenden Computer einbricht oder ihn beschlagnahmt, gibt es keinen Schlüssel mehr, den man nutzen kann, um das Gespeicherte aufzuschlüsseln. Und diese Methode haben die Geheimdienste verinnerlicht: „alles behalten“. Während des zweiten Weltkriegs war es den US-Behörden gelungen, verschlüsselte Nachrichten der Sowjetunion abzuhören, die aus den USA heraus gesandt wurden. Die Behörden haben das mal alles aufgezeichnet, obwohl man es eigentlich nicht lesen konnte. Aber im Rahmen des Venona-Projekts gelang es nur wenige Jahre später, eine Menge davon doch zu knacken. Seit 75 oder 80 Jahren gilt für die Geheimdienste also die Maxime: „alles behalten, denn es könnte in der Zukunft noch nützlich sein“. Forward Secrecy hilft dabei natürlich nicht. Sie werden es trotzdem behalten...

DNS über HTTPS verschiebt nur das Vertrauen

heise online: Würden Sie sagen, dieser Aspekt von TLS 1.3 hat für den Widerstand der Geheimdienste gegen TLS 1.3 geführt?

Steven Bellovin: Es gibt auch eine Menge Unternehmen, die das nicht mögen, weil sie meinen, sie müssten den Datenverkehr ihre Angestellten beobachten. Ich kann die Auffassung nachvollziehen. Aber ich denke, die Unternehmen machen es falsch. 1994 war ich Koautor des ersten Buchs über Firewalls. 1999 hab ich erkannt, dass die Firewalls uns nicht retten können. Es war einfach zu viel Verkehr, schon damals. Ich habe also geraten, dass man Regeln und deren Durchsetzung am Endpunkt pflegt und mittels Verschlüsselung zwischen innen und außen unterscheidet. Man installiert also Intrusion Detection und Firewall Policies auf jeden Computer, so dass Ihr Laptop hier ebenso innerhalb des Netzes Ihrer Organisation ist, als wäre er in Ihrem Büro. Nur so geht‘s.

heise online: Kommen wir kurz zu einem in Teilen verwandten Thema, dem Siegeszug des Webprotokolls HTTP, beziehungsweise HTTPS. Ist HTTPS das neue TCP/IP?

Steven Bellovin: Darauf gibt es zwei Antworten. Die erste ist, vor zehn Jahren hat man HTTP als universelle Lösung für das Problem mit den Firewalls gesehen. Wenn etwas wie Webverkehr aussah, musste es jede Firewall durchlassen. Es war nützlich, wurde standardisiert, machte allerdings auch bestimmten Firewalls den Garaus, bis sie mit Deep Packet Inspection anfingen. Was wiederum nahelegt, dass man Kontrolle am Endpunkt installiert, denn da kann man dann sehen, welche Applikation eigentlich mit einem sprechen will. Das ist der erste Teil der Antwort. Heute haben wir das Bedrohungsszenario offenes WiFi. Es gibt eine Menge Leute, die offene WiFis benutzen, das ist gut, aber es ist so trivial abzuhören. Es ist ein Alltagsproblem und deshalb muss man diesen Verkehr verschlüsseln können.

DNS ist kein Ende-zu-Ende-Protokoll

heise online: Welche Nachteile sehen sie mit dem Wechsel zu HTTPS, nehmen wir mal die neueste Entwicklung, DNS in HTTPS einzupacken? Ist Konzentration ein Problem, wenn man davon ausgeht, dass einzelne große Implementierungen Verkehr über wenige Punkte leiten?

Steven Bellovin: Ich halte das für problematisch und bin kein Fan von DNS über HTTPS oder auch TLS, teils weil es einen ‚central point of failure‘ schafft. Gleich, ob man jetzt an Nachrichtendienste oder Strafverfolger oder simple Ausfälle denkt, das ist ein erhebliches Risiko.

DNS ist von seiner Natur her kein Ende-zu-Ende Protokoll. Vertraulichkeit fürs DNS ist eine wirklich harte Nuss. Was man jetzt tut ist, dass man Vertrauen verschiebt. Ich mache mal ein Beispiel. Sie sitzen in einem Hotelzimmer und machen eine DNS-Anfrage für eine pornographische Seite. Das Hotel weiß, dass man nach der Seite sucht, weil es den lokalen Resolver betreibt. Aber der ISP weiß es schon nicht. Oder nehmen wir jemanden in einer Wohnanlage. Die Anfragen gehen über eine IP-Adresse raus, aber der ISP weiß nicht, wer genau die DNS Anfrage gestartet hat. Wenn das nun über HTTPS zu einem zentralen Punkt geht, dann wird der individuelle Computer identifiziert. Das verletzt in einer Hinsicht die Vertraulichkeit sehr viel stärker. Und das ist noch nicht alles. Wenn der Angreifer die Strafverfolgung ist, dann kommen die mit einem Gerichtsbeschluss, nach den geltenden Regeln und mit den vorgesehenen Beschränkungen, aber sie kriegen ihren Beschluss und gehen zum DNS-over-HTTPS-Provider und sagen: ‚Ich möchte gerne den Datenverkehr von dem und dem‘. Das ist letztlich weniger vertrauenswürdig. Ich verstehe das Bedrohungsszenario hier nicht ganz, außer sie wollen es der NSA heimzahlen. Aber auch die NSA kann mit einem FISA-Beschluss zu Cloudflare gehen. Meiner Meinung nach ist es ein Sicherheitsfeature ohne ein klares Szenario, wer der Feind ist.

heise online: Und wenn man viel Verkehr zentralisiert, ist es sogar leichter...

Steven Bellovin: Genau. Ein solcher Server gibt ein wundervolles Ziel ab. Schon jetzt sind so viele DNS-Daten zu kriegen. Da gab es die Story im New Yorker über das Verhältnis der Trump-Organisation und der Alpha Bank, einer russischen Bank. Jemand hatte sich DNS-Anfragen verschafft und die dann angeboten, an Wissenschaftler, und als man sie anschaute, fand man mysteriöse Patterns in den Anfragen, die auf die Verbindung zwischen der Trump-Organisation und der Bank hinwiesen. Aber die DNS-Daten verwiesen nur in Richtung von Trumps Kampagne. Also, die Daten sind da, und jetzt versucht man die Daten einem einzelnen Rechner zuzuordnen. Ich weiß nicht, ob das für die Vertraulichkeit von Vorteil ist.

heise online: Gibt es denn eine gute Lösung für mehr Vertraulichkeit im DNS?

Steven Bellovin: Ich würde das als eine Forschungsfrage betrachten. Ich weiß es nicht.

Wir brauchen ein neues Privacy-Paradigma

heise online: Die IETF hatte Sie eingeladen, um über Vertraulichkeit zu sprechen. Was ist ihre Botschaft an die Entwickler?

Steven Bellovin: Unser aktuelles Privacy-Paradigma stammt aus einer Zeit vor 50 Jahren, als eine Gruppe von Wissenschaftlern und Anwälten angefangen habt, sich über Vertraulichkeit und Datenschutz Sorgen zu machen. Was die damals gesagt haben, haben wir praktisch 50 Jahre lang vergessen. Sie warnten vor der Aggregierung von Daten und vor den Möglichkeiten, Rückschlüsse zu ziehen. Sie warnten vor Hackern und sprachen über Multi-Factor Authentication, sie warnten vor Insidern als Angreifer und sie diskutierten Verschlüsselung. Am Ende entschied man sich, grob gesagt, für das Konzept der informierten Zustimmung (Notice and Consent). Eine Website sagt mir, was sie tun will und wie ihre Datenschutzpolitik aussieht, und indem man die Seite nutzt, erteilt man die Zustimmung. Die europäische Datenschutzgrundverordnung hat bessere Mechanismen zur Durchsetzung geschaffen. Aber bevor Facebook und Google und so weiter nicht andere Geschäftsmodelle in Europa entwickelt haben, bleibt es im Wesentlichen bei der informierten Zustimmung – und das funktioniert einfach nicht. Es sind einfach zu viele Beteiligte. Niemand liest die Datenschutzrichtlinie und es gibt eine Menge Leute, die Daten sammeln, ohne dass man jemals die Gelegenheit bekommt zuzustimmen. Oder die Data Broker wie Equifax. Da ist die EU schon viel besser. Also, es wird eine Riesenmenge Daten gesammelt und die „informierte Einwilligung“ funktioniert nicht.

Also, was machen wir? Zum Teil ist das eine Aufgabe für die Forschung. Wir brauchen ein neues Privacy-Paradigma. Der andere Teil, bis wir eine Antwort aus der Forschung haben, ist, dass wir eine Kontrolle statt der Sammlung die Nutzung kontrollieren. Nutzungskontrollen bringen einen ganzen Sack komplizierter Probleme. Wie definiert man das so, dass normale Menschen das verstehen? Was, wenn sich die Leute nicht dran halten? Wenn ich meine Zustimmung, die ich vor 30 Jahren gegeben habe, widerrufen will, wie gebe ich das kund? In den USA gibt es überdies wohl verfassungsrechtliche Probleme. Aber, was wir jetzt haben, funktioniert einfach nicht. Und wir müssen aufhören so zu tun, als würde es das. Wir müssen bessere Wege finden. Nutzungskontrolle ist die beste Alternative, die es aktuell gibt. Sehr gut ist sie nicht.

Entwickler müssen sich auch mit Anliegen der Regierung befassen

heise online: Sie haben alles gemacht. Sie haben entwickelt, geforscht und waren mindestens in der Obama Regierung auch beratendes Mitglied der Administration. An wen sollen wir uns wenden für mehr Datenschutz und Vertraulichkeit, an den Gesetzgeber, Aktivisten und NGOs oder an die Entwickler und Standardisierungsgremien, damit wir Privacy by Design bekommen?

Steven Bellovin: Da gibt es keine einfache Antwort. Das Internet ist Teil der Gesellschaft und wir haben Regierungen – und ich denke, im Allgemeinen ist es eine gute Sache, eine effektive Regierung zu haben, die Plätze auf der Welt, wo es das nicht gibt, wirken auf mich nicht sehr einladend. Wenn man keine Regierung hat, hat man Warlords und Gangster, weil das das einzige ist, das noch physische Sicherheit garantiert. Das Internet ist also Teil der Gesellschaft und Regierungen haben den Auftrag, die Gesellschaft zu regulieren. Es bestehen Herausforderungen darin, dass das Internet seiner Natur nach keine Grenzen hat. Regierungen auszuschließen, halte ich aber für falsch. Zugleich müssen Regierungen verstehen, wie die Technologie tatsächlich funktioniert. In den vergangenen acht Jahren habe ich einen großen Anteil meiner Arbeitszeit in den Bereich Recht und Politik investiert. Ja, ich bin Informatiker und habe seit mehr als 50 Jahren Programme geschrieben. Aber ich bin heute auch ein Mitglied der juristischen Fakultät der Columbia Universität, weil ich sicherstellen will, dass Anwälte, Richter und Gesetzgeber die Technologie und deren Implikationen verstehen und ihnen klar ist, warum Regeln der alten Welt nicht notwendigerweise funktionieren fürs Internet, aufgrund seines inhärenten Designs. Auf der anderen Seite müssen auch die Entwickler sich mit den Anliegen der Regierungen befassen, etwa mit Privacy. Wenn es aus meiner Sicht eine klare Antwort gibt wie zum Thema Verschlüsselung, bin ich der Erste, der das den Regierungen mitteilt. Wenn es wichtige Anliegen der Regierung gibt, wie im Bereich Privacy, bin ich auch gern bereit, das den Entwicklern in aller Welt mitzuteilen.

(tiw)