Dipl.-Inform. Carsten Eilers

Eigentlich wollte ich das jetzt genauer erklären, aber das hat Fefe bereits so gut gemacht, dass ich das hier nicht noch mal machen will. Die Kurzform muss reichen: Die Verfahren wurden so entwickelt, dass sie auch einem Angreifer widerstehen, der alles Geld der Welt und unendliche Rechenleistung zur Verfügung hat. Ein Brute-Force-Angriff dauert dann immer noch länger als die Erde überhaupt noch existiert. Die NSA hat also keine Chance, die Verfahren zu brechen. Darum versucht sie ja auch, die Entwicklung dieser Verfahren zu torpedieren, siehe zum Beispiel IPSec oder Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generator).

Bruce Schneier spekuliert darüber, ob die NSA evtl. neue mathematische Verfahren entwickelt hat, um einen der populären Krypto-Algorithmen wie AES, Twofish, Serpent, triple-DES oder Serpent zu brechen. Fakten dazu gibt es aber keine, und selbst wenn es ein entsprechendes Verfahren gibt, dürfte eine Verlängerung der Schlüssellängen ausreichen, um es unbrauchbar zu machen.

Die Implementierungen und Betreiber sind das Problem

Die NSA kann die Verschlüsselung brechen, weil sie zum Teil gezielt Schwachstellen und Hintertüren in die Implementierungen eingeschleust und zum Teil die Betreiber von Diensten zur Weitergabe der Daten verpflichtet hat. Im Fall von SSL dürften auch noch Man-in-the-Middle-Angriffe dazu kommen. Im Grunde sind die NSA-Enthüllungen ein Wirtschaftsförderungsprogramm für die weltweite IT-Industrie mit Ausnahme der USA, denn US-Unternehmen darf man nun ja nicht mehr vertrauen. Die Konkurrenz wird sich freuen. Bis vielleicht irgendwann raus kommt, dass auch da gemauschelt wurde, zum Beispiel um mit den US-Behörden ins Geschäft zu kommen.

Bruce Schneier fasst das Problem so zusammen:

"The math is good, but math has no agency. Code has agency, and the code has been subverted."

Und noch einmal ein Zitat von Bruce Schneier:

"The NSA has undermined a fundamental social contract. We engineers built the internet – and now we have to fix it"

Dem habe ich nichts hinzu zu fügen.

Was kommt noch?

Die NSA bricht Verschlüsselungen, späht Smartphones aus und in lokale Netze ein - das sind nur die Enthüllungen der letzten paar Tage. Da fragt man sich, was da noch alles kommt. In den USA fragt man sich, ob die NSA auch die geschützten Mitglieder des Kongresses ausspioniert. Bruce Schneier hat dazu ein Essay geschrieben und auf das Hauptproblem der NSA bei der Verteidigung gegen die Vorwürfe hingewiesen: Die wissen nicht, was Snowden weiß, welche Dokumente er hat. Immer, wenn sie eine Verteidigung vorgebracht haben, wurde die widerlegt.

Ich persönlich warte ja noch auf die angekündigten Enthüllungen zu Deutschland. Bald ist die Bundestagswahl, es wäre wohl ganz gut, wenn die Fakten vorher auf den Tisch kämen.

Carsten Eilers