Skip to content

Neues eBook: "Verschlüsselung im NSA-Zeitalter"

Bei entwickler.press ist mein E-Book zur Verschlüsselung nach den Snowden-Enthüllungen über die NSA-Spionage erschienen: "Verschlüsselung im NSA-Zeitalter".

Seit der Veröffentlichung der von Edward Snowden geleakten NSA-Daten ist die Verunsicherung groß: Wo hat die NSA überall die Finger im Spiel? Was ist noch sicher? Welchen Protokollen kann man noch vertrauen? Ich habe versucht, diese Fragen in einem kleinen eBook zu beantworten, auf das ich hier einen kleinen Vorgeschmack geben möchte:

Kapitel 1: Sicherheit von symmetrischen Verfahren

Im ersten Kapitel geht es um die symmetrische Verschlüsselung, bei der zum Ver- und Entschlüsseln der gleiche Schlüssel verwendet wird.

Erst mal gilt: Die Verschlüsselungsalgorithmen, in diesem Fall speziell AES, sind sicher. DES war schon vor Edwards Snowdens Veröffentlichungen aufgrund der zu geringen Schlüssellänge unsicher, ob die NSA bei der Entwicklung die Finger im Spiel hatte oder nicht ist inzwischen eigentlich nur noch für Historiker interessant.

Wie es mit den jeweiligen Implementierungen aussieht, ist eine andere Frage. Auch Edward Snowden selbst hält Verschlüsselung allgemein für sicher:

"Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it."

Und was AES selbst betrifft: Von dessen Sicherheit ist Bruce Schneier überzeugt:

"I am trusting it."

AES als Verfahren können Sie also, einen langen Schlüssel vorausgesetzt, relativ bedenkenlos weiter verwenden ohne Angst vor der NSA haben zu müssen. Sie sollten aber darauf achten, welche Implementierung sie verwenden. Open Source Software hat hier den Vorteil, dass eine Hintertür darin eher auffallen wird als in Closed Source Software. Vor allem, wenn sich jetzt Forscher die Quelltexte genauer Ansehen. In Closed Source Software ist das Entdecken einer Hintertür dagegen fast unmöglich.

Kapitel 2: Sicherheit von asymmetrischen und hybriden Verfahren

Im zweiten Kapitel geht es um asymmetrische Verschlüsselung, bei der zum Ver- und Entschlüsseln verschiedene Schlüssel verwendet werden, und die aus symmetrischen und asymmetrischen Systemen kombinierten hybriden Systeme.

Das bekannteste asymmetrische Verfahren, RSA, ist an sich sicher, und die mathematischen Grundlagen kann auch die NSA nicht bestechen oder manipulieren. Die entscheidende Frage ist: Wie lange dauert es, den öffentlichen Schlüssel zu faktorisieren und damit den privaten Schlüssel für die Entschlüsselung zu erhalten? So lange die Faktorisierungsannahme gilt, ist die Faktorisierung nicht effektiv möglich, und so lange beißt sich die NSA an einem ausreichend langen RSA-Schlüssel die Zähne aus. Und zumindest bisher gibt es keinerlei Hinweis darauf, dass sie nicht gilt.

Bei der Elliptic Curve Cryptography sieht es etwas anders aus, da vertraue ich persönlich keinem Verfahren, an dessen Entwicklung ein Geheimdienst beteiligt war. Die Gefahr, dass die zu Grunde liegende elliptische Kurve für den Geheimdienst günstig gewählt wurde (um es mal höflich zu formulieren), ist mir zu groß. Vor allem angesichts der bekannten Hintertür im ebenfalls auf elliptischen Kurven basierenden Zufallszahlengenerator Dual_EC_DRBG (auf den ich im dritten Kapitel näher eingehe).

Womit wir indirekt zu den hybriden Systemen kommen: Auch wenn sowohl asymmetrisches als auch symmetrisches Verfahren sicher sind, kann das Gesamtsystem unsicher sein - wenn zum Beispiel für die Erzeugung des symmetrischen Schlüssels ein unsicherer Zufallszahlengenerator verwendet wird. Einige Forscher konnten die Hintertür in Dual_EC_DRBG in einem Laborversuch ausnutzen, um die Verschlüsselung von TLS-Verbindungen mit Hilfe der Hintertür zu brechen. Man kann also davon ausgehen, dass die NSA es auch kann. Zumindest wenn die von er NSA festgelegten Parameter aus dem Standard verwendet werden.

Wenn Sie ein hybrides Verfahren nutzen, achten Sie also darauf, woher der Schlüssel für das symmetrische Verfahren stammt. Er muss nicht nur ausreichend lang sein, sondern auch aus einer vertrauenswürdigen Quelle stammen. Und der Dual_EC_DRBG ist das auf gar keinem Fall.

In dieser Hinsicht hat sich OpenSSL als Glücksgriff herausgestellt (über die Heartbleed-Schwachstelle darin werfen wir an dieser Stelle mal den Mantel des Schweigens, oder besser gleich eine ganze LKW-Ladung davon): Darin gab es zwar auch eine Implementierung des Dual_EC_DRBG, aber die war so kaputt, dass man sie nicht benutzen konnte. Was niemanden gestört hat, da niemand diesen Zufallszahlengenerator nutzen wollte. Und was jetzt natürlich auch nicht geändert wird.

Kapitel 3: Die NSA und ihr Einfluss auf Standards

Im dritten Kapitel geht es dann, wie eben schon erwähnt, um den Einfluss der NSA auf Krypto-Standards. Wobei "Einfluss" für die gezielte Schwächung sicherheitsrelevanter Standards viel zu harmlos klingt. Eigentlich ist sowas ja Sabotage. Alles natürlich nur im Interesse der nationalen Sicherheit der USA. Andere nationale Sicherheiten und die Sicherheit von Wirtschaft und Bevölkerung müssen dahinter natürlich zurückstehen. Meint die NSA.

Fest steht, dass die NSA Standards manipuliert hat. Und zwar sehr wahrscheinlich mehr, als wir bisher wissen. Da nicht nur US-amerikanische NIST-Standards, sondern auch RFCs und internationale Standards betroffen sind, führt das zu einer Reihe von Problemen: Welchen Standards darf man noch vertrauen? Was nimmt man, wenn man einem Standard nicht mehr vertrauen will? Wem kann man eigentlich vertrauen, wenn es um die Bewertung von Standards und Algorithmen geht?

Aber kommen wir kurz zurück zur Kryptographie. Eigentlich gibt es für alle Zwecke von offiziellen Standards „unabhängige“ Alternativen. Wobei sich dann natürlich wieder die Frage stellt, wer garantiert, dass da nicht auch ein Geheimdienst seine Finger im Spiel hat. Aber lassen wir das.

Gute Beispiele für solche Alternativen bieten AES und SHA-3. Beide Standards sind das Ergebnis von Wettbewerben, wobei der Gewinner für die Veröffentlichung als Standard noch etwas angepasst wurde/wird. Wenn man dem Standard selbst nicht vertraut, kann man also zum Beispiel entweder die Originalversion des Gewinners oder einen anderen Algorithmus der Endrunde verwenden. Diese Algorithmen sind alle gut untersucht und entsprechend sicher.

Zumindest bei AES erübrigt sich das, der Algorithmus gilt weiterhin als sicher. Bei SHA-3 bleibt der endgültige Standard abzuwarten. Aber nach dem Rummel bei den bisherigen harmlosen Änderungen durch die NSA dürfte die NSA an einer Manipulation des Algorithmus kein Interesse mehr haben. Zumal ja bis auf weiteres der bisher nicht aufgefallene SHA-2 sicher genug ist.

Und hier noch die

Links und Literaturverweise

Kapitel 1: Sicherheit von symmetrischen Verfahren

Kapitel 2: Sicherheit von asymmetrischen und hybriden Verfahren

Kapitel 3: Die NSA und ihr Einfluss auf Standards

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Grafikkarten-Malware, Metadaten, NSA - Neues zu alten Artikeln

Vorschau anzeigen
Es gibt Neuigkeiten zu einigen älteren Artikeln. Diesmal (nicht nur) gedruckten, aus dem Windows Developer und Entwickler Magazin. Und ausnahmsweise sind die Neuigkeiten mal nicht nur schlecht! Angriffsziel Grafikkarte - Ein Rootkit und ein