Schlagwort-Archive: NSA

NSA und der Angriff auf Verschlüsselung: Wie funktioniert das?

Die deutschen und internationalen Medien berichten heute darüber, dass die NSA die SSL-Verschlüsselung geknackt habe. Doch über die genaue Funktionsweise ist nicht viel bekannt, da die primären Quellen, der Guardian und die New York Times, einige Details, die sich in den Snowden-Dokumenten finden, absichtlich zurückhalten. Doch wenn man sich nur ein bisschen mit Kryptographie auskennt und Eins und Eins zusammenzählen kann, bleiben nicht viele Möglichkeiten übrig. Hier also eine kleine Auflistung der Angriffsmöglichkeiten und meine Spekulationen über das Wie und Warum der Vorgehensweise der NSA.

1. Zugriff auf die privaten Schlüssel der Zertifizierungsstellen

Die in SSL verwendete Public-Key-Infrastruktur setzt darauf, dass Zertifizierungsstellen die Echtheit der öffentlichen Schlüssel der Gegenstellen zertifizieren und somit bestätigen, dass der Kommunikationspartner auch der ist, der er zu sein vorgibt. Damit das funktioniert, müssen die öffentlichen Schlüssel der Zertifierungsstellen (auch Trust Center genannt) auf einem sicheren Weg auf die an der eigentlichen Kommunikation beteiligten Rechner übermittelt werden. Dies geschieht dadurch, dass in gängigen Browser oder auch im Betriebssystem selbst diese Schlüssel bereits mitgeliefert werden.

Hat nun jemand Zugriff auf die privaten Schlüssel der Zertifierungsstelle, kann dieser Angreifer selbst ein Zertifikat erstellen, das die Echtheit der öffentlichen Schlüssel eines Dritten bestätigt. Dadurch werden Man-in-the-Middle-Angriffe, die vom Angegriffenen nicht bemerkt werden, möglich, sofern der Angreifer in der Lage ist, in den Kommunikationsweg zwischen Sender und Empfänger entsprechend einzugreifen. Von letzterem muss man ausgehen, denn schließlich ist der Sinn und Zweck einer jeden Verschlüsselung, die Sicherheit in genau diesem Fall immer noch zu gewährleisten. Von dem, was vor den heutigen Veröffentlichungen schon bekannt war, muss man auch davon ausgehen, dass die US-amerikanischen und britischen Geheimdienste dies können.

Bewertung

Diese Art des Angriffs ist meiner Ansicht nach die wahrscheinlichste. Es genügt rein theoretisch, dass die Geheimdienste Zugriff auf den privaten Schlüssel einer einzigen Zertifizierungsstelle haben, um das System zu kompromittieren. Da sich ein guter Teil dieser Stellen in den USA befinden und von den früheren Berichten bereits bekannt ist, dass an Firmen wie Microsoft und Google Geld gezahlt wurde, um Hintertüren einzubauen, muss man wohl davon ausgehen, dass auch Zertifizierungsstellen betroffen sind. Damit der Angriff möglichst nicht auffällt, sollten natürlich aus Sicht des Angreifers möglichst viele Zertifizierungsstellen infiltriert werden, da die Angegriffenen bemerken könnten, dass der öffentliche Schlüssel seines Kommunikationspartners auf einmal von einem anderen Trust Center verifiziert wurde.

Vorteile

Für den Angreifer hat dieses Vorgehen den Vorteil, dass es bei Zugriff sowohl auf die Netzinfrastruktur als auch auf die Zertifizierungsstellen – beides ist bei den Geheimdiensten gegeben! – sehr leicht durchzuführen und vom Angegriffenen nur schwer bis gar nicht zu bemerken ist. Außerdem ermöglicht es eine weitreichende oder gar flächendeckende Überwachung, wie sie mit einem Angriff auf die Rechner einzelner Ziele nicht möglich wäre. Bei der Zertifizierungsstelle müssen außerdem nicht viele Personen eingeweiht sein, es reicht im Prinzip eine einzige Person, die Zugriff auf den Private Key hat.

Nachteile

Für den Angreifer eigentlich keine, außer dass die Gefahr besteht, dass beim Trust Center oder dem Geheimdienst jemand die sprichwörtliche Pfeife bläst.

Gegenmaßnahmen

Zertifizerungsstellen, die kompromittiert sind, nicht vertrauen. Leider ist derzeit nicht bekannt, welche das sind. Es wäre wohl davon auszugehen, dass die meisten, wenn nicht alle, Trust Center in den USA und wahrscheinlich auch solche aus Kanada, Australien und dem Vereinigten Königreich betroffen sind.

2. Angriff auf die Algorithmen

Bekannte Public-Key-Algorithmen, die im SSL-Protokoll verwendet werden, sind RSA und Diffie-Hellman. Die Sicherheit dieser Verfahren basiert darauf, dass keine schnellen Verfahren bekannt sind, den diskreten Logarithmus einer großen Zahl zu berechnen.

Bewertung

Es ist mathematisch nicht bewiesen, dass es keinen Algorithmus zur Berechnung des diskreten Logarithmus in polynomialer Laufzeit geben kann. In der Forschung hat es vor kurzem Fortschritte zur Entwicklung eines solchen Algorithmus gegeben. Es gibt Stimmen, die davon ausgehen, dass schon in vier bis fünf Jahren RSA nicht mehr sicher ist. Sollte man bei der NSA schon weiter sein als die internationale Forschungsgemeinschaft und ein schneller Algorithmus zur Berechnung des diskreten Logarithmus bekannt sein, wäre der Verschlüsselungsalgorithmus an sich gebrochen. Kryptographie mit elliptischen Kurven gilt aber derzeit noch als bedeutend sicherer als RSA, da das Problem des diskreten Logarithmus auf elliptischen Kurven schwerer zu lösen ist.

Insgesamt muss man aber sagen, dass es zumindest unklar und nicht unbedingt wahrscheinlich ist, dass es wirklich einen effizienten Algorithmus zur Berechnung des diskreten Logarithmus gibt, der der Öffentlichkeit noch nicht bekannt ist und dass die NSA oder ein anderer Geheimdienst das geschafft hat, was Heerscharen von Mathematikern öffentlich versuchen.

Andererseits war es ja auch schon bei DES so, dass nachweislich differentielle Kryptanalyse bei der NSA und bei IBM schon lange bekannt war, bevor diese Angriffsmethode öffentlich wurde.

Vorteile

Hätte die NSA die Algorithmen an sich gebrochen, wäre auch jedes Protokoll, dass auf diesen Algorithmen basiert, unsicher, selbst wenn das Protokoll keine Hintertüren hat.

Nachteile

Auch wenn es effizientere Verfahren als die derzeit bekannten gibt, um den diskreten Logarithmus zu berechnen, wäre vermutlich immer noch ein riesiger Rechenaufwand nötig, um den Geheimtext zu entschlüsseln. Das wäre aber nicht praktikabel für eine flächendeckende Überwachung, allenfalls für das Abhören einzelner Ziele.

Gegenmaßnahmen

Keine. Nach derzeitigem Stand sind Elliptische Kurven und Diffie-Hellman sicherer als RSA (auch wegen der Forward Secrecy bei Diffie-Hellman), aber wenn das mathematische Problem gelöst ist, wären auch diese betroffen.

3. Angriff auf die Endstellen

Ein direkter Angriff auf die Endstellen der Kommunikation, sprich die Rechner der Angegriffenen, ist natürlich auch denkbar, denn dann besteht Zugriff auf den Klartext. Das hat dann aber nichts mehr mit SSL oder irgend einem Protokoll zu tun.

Bewertung

Ein Angriff auf die Endstellen, oder zumindest der Versuch, im Stil eines „Staatstrojaners“ oder gar einer systematischen Hintertüren in Betriebssystem, Browsern oder anderer Software ist natürlich möglich, hat aber vermutlich nichts mit der aktuellen Berichterstattung zu tun.

Vorteile

Zugriff auf den unverschlüsselten Klartext.

Nachteile

Nicht für flächendeckende Überwachung geeignet. Außerdem könnte die Existenz von Hintertüren oder allgemein eines solchen Angriffs im Vergleich zu den anderen Methoden relativ leicht bemerkt werden.

Gegenmaßnahmen

Das eigene System möglichst gegen Angriffe von außen sichern, was eigentlich sowieso „best practice“ ist. Außerdem Software einsetzen, die wahrscheinlich keine Hintertüren hat, also am besten Open Source Software, die man selber kompiliert.

Schlussbetrachtung

Wahrscheinlich geht es bei der heutigen Berichterstattung, auch wenn keine technischen Details genannt wurden, um Variante 1.

Was sollte man davon als Internetnutzer ableiten? Man sollte jedenfalls nicht auf die Idee kommen, auf SSL zu verzichten. Ein Angriff in diesem Stil setzt Möglichkeiten voraus, die ein Geheimdienst hat, aber ein x-beliebiger Krimineller nicht. Also muss man davon ausgehen, dass SSL immer noch genügend Schutz bietet, das eigene Homebanking gegen kriminelle Machenschaften zu sichern, aber nicht dazu, vertrauliche Kommunikation vor Geheimdiensten geheim zu halten. Das heißt insbesondere, dass solche Werbeversprechen wie die von deutschen E-Mail-Anbietern neulich, SSL zur Kommunikation zwischen den Betreibern einzusetzen, Augenwischerei sind, zumal die Mails dann sowieso auf den Servern der Anbieter unverschlüsselt vorliegen.

Um private Kommunikation zu sichern, sollte man auf End-zu-End-Protokolle wie PGP setzen. Dann bleiben als Angriffsmöglichkeiten, auch für Geheimdienste, nur die Varianten 2 und 3. Zumindest kann man sich so einer flächendeckenden Überwachung entziehen, aber es schützt vermutlich nur unzureichend, wenn man Ziel einer direkten Beobachtung wird.

Einen Schutz gegen alle Angriffe bietet eigentlich nur folgendes: Der Klartext wird nur auf einem Rechner betrachtet, der nicht mit dem Internet verbunden ist und das in Zukunft auch niemals wird. Dort wird auch verschlüsselt, und zwar mit einem sicheren, symmetrischen Algorithmus, dessen Schlüssel auf einem sicheren Weg – das heißt durch persönliche Übergabe – übetragen wird, vielleicht sogar mit einem One-Time-Pad (oder auch lieber ohne One-Time-Pad, wie Schneier meint?). Der Transfer des Geheimtextes von diesem Rechner zur Außenwelt, also über einen Rechner, der mit dem Internet verbunden ist, geschieht ausschließlich über physische Datenträger. Kein Kabel! Ein USB-Stick, Disketten, CD-ROMs oder vielleicht sogar auf einem Blatt Papier, das ausgedruckt und eingescannt wird. Oder durch Abtippen des Geheimtextes. Aber ob man in der Praxis so weit gehen will…?

Wer mir verschlüsselte E-Mails schicken will, kann dazu meinen PGP Public Key verwenden, der auf meiner Homepage veröffentlicht ist. Außerdem benutze ich Threema.

NSA, PRISM und ECHELON

Hinsichtlich der Echelon-Abhöranlage in Bad Aibling haben wir uns darauf verständigt, dass wir sie – anders als die Amerikaner – in Deutschland als eine militärische Einrichtung betrachten, damit eine Betreuung durch die Bundeswehr möglich ist. […] Die Amerikaner wollen dort mehr als nur einige Polizeibeamte mit Maschinenpistolen. Sie wollen für die weltweit wichtigste Abhöreinrichtung angemessenen Schutz. — Günther Beckstein, CSU

damals bayrischer Innenminister, am 18. Oktober 2001

Momentan wird ja in der aktuellen Debatte um die Abhöraktivitäten – das Wort „Skandal“ sei hier bewusst vermieden, zum Warum gleich – in der Vergangenheit gewühlt, was natürlich auch vor dem Hintergrund des aktuellen Wahlkampfs gesehen werden muss. Wie man schon am Datum des obigen Zitats sieht, möchte ich mich an diesem Wühlen in der Vergangenheit auch ein wenig beteiligen und sogar noch etwas weiter zurück gehen.

Alle reden aktuell über die Enthüllungen Edward Snowdens. Aber ist die Grundaussage wirklich überraschend? Die NSA hört uns ab. Ja toll! Die NSA ist ein Geheimdienst, natürlich hören die ab, das ist deren Aufgabe. „Aber wir sind doch deren Freunde, sollten die nicht unsere gemeinsamen Feinde abhören?“, mag man hier einwenden. Aber dass die NSA auch uns abhört ist in Wahrheit nichts neues.

Soldaten! Vorsicht bei Gesprächen! Spionagegefahr!
Plakat von 1916, Online-Ausgabe bei der Deutschen Nationalbibliothek

Spätestens seit 1996 ist bekannt, dass die USA, das Vereinigte Königreich, Australien, Neuseeland und Kanada ein Abhörprogramm namens ECHELON betreiben. Im damals erschienenen und inzwischen im Web verfügbaren Buch „Secret Power“ des neuseeländischen Autors Nicky Hager wird ECHELON detailliert beschrieben, einschließlich der Tatsache, dass auch seinerzeit schon die Kommunikation rechnergestützt nach Schlüsselwörtern durchsucht wurde. Eine Abhörstation von ECHELON befindet bzw. befand sich auch im bayrischen Bad Aibling.

Bad Aibling Station
Bad Aibling Station, Bild: Dr. Johannes W. Dietrich, 2006

In einem „Working Document“ des Europäischen Parlaments aus dem Jahr 1998 mit dem Titel „An Appraisal of Technologies of Political Control“ wird unter anderem mit Bezug auf Nicky Hagers Buch das ECHELON-System ebenfalls erwähnt. Dort heißt es auf Seite 19 über Echelon: „[U]nlike many of the electronic spy systems developed during the cold war, ECHELON is designed for primarily non-military targets: governments, organisations and businesses in virtually every country.“ Wie dieses Abhören von nicht-militärischen Zielen aussah, konnte man später im Jahr 2000 im Spiegel nachlesen, nachdem Frankreich Vorwürfe erhoben hatte, die USA hätten ECHELON für Wirtschaftsspionage genutzt. Nachdem Anfang 2001 die NSA aufgrund der langsam entstehenden öffentlichen Debatte ursprünglich angekündigt hatte, den Posten in Bad Aibling zu schließen, wurde nach den Terroranschlägen nicht mehr diskutiert, sondern entschieden, ECHELON weiter zu betreiben. Die Anlage wurde 2004 nach Darmstadt verlegt. In diese Zeit fällt also das jetzt diskutierte und mit dem Namen Steinmeier verbundene „Memorandum of Agreement“.

Aber gehen wir wieder etwas zurück, und zwar ins Jahr 1996. Damals hieß der Bundeskanzler noch Helmut Kohl, der Bundesinnenminister Manfred Kanther und der dominierende Web-Browser Netscape Navigator. Und jetzt entfernen wir uns von der Diskussion um die NSA und das Abhören durch ausländische Geheimdienste, sondern wenden uns stattdessen den von deutschen Bundesgesetzen gedeckten Abhörmaßnahmen zu. Im Jahr 1996 wurde nämlich das Telekommunikationsgesetz (TKG) verabschiedet. Im § 110 heißt es dort: „Wer eine Telekommunikationsanlage betreibt, mit der öffentlich zugängliche Telekommunikationsdienste erbracht werden, hat ab dem Zeitpunkt der Betriebsaufnahme auf eigene Kosten technische Einrichtungen zur Umsetzung gesetzlich vorgesehener Maßnahmen zur Überwachung der Telekommunikation vorzuhalten und organisatorische Vorkehrungen für deren unverzügliche Umsetzung zu treffen“.

Ab dem Jahr 1997 wurde schließlich von Kanther darauf hin gearbeitet, Verschlüsselung zu verbieten oder zumindest zu regulieren und eine Hinterlegung der Schlüssel bei staatlichen Stellen zu erzwingen, würde doch ein konsequenter Einsatz von Kryptographie jegliche Abhörmaßnahme letztlich ins Leere laufen lassen. Aber: Ein Verbot von Kryptographie bedeutet natürlich nicht nur eine Vereinfachung des Abhörens durch inländische Behörden, sondern letztlich auch durch ausländische Geheimdienste, wie eben die NSA. Daher wurde Kanther auch vorgeworfen, sein Vorstoß zur Regulierung von Verschlüsselung sei nicht zuletzt auf amerikanischen Druck hin betrieben worden. Die Diskussion dauerte schließlich bis ins Wahljahr 1998 an, die Befürworter einer Kryptoregulierung führten das Argument der inneren Sicherheit an während die Gegner unter anderem die Gefahr Industriespionage befürchteten, die, wie sich herausstellte, durchaus real war, siehe auch oben. Aus der breiten Öffentlichkeit interessierte sich damals jedoch kaum jemand für diese Debatte, bis auf ein paar Nerds.

Schloss

Nach dem Wahlsieg der SPD wurde es schließlich still um die Kryptodebatte. Heutzutage fordert vor dem Hintergrund von Internet-Banking, e-Commerce und Datenschutz geradezu selbstverständlich niemand mehr ein generelles Verbot von Kryptographie oder eine Schlüsselhinterlegung, allerdings hat sich der Einsatz von wirksamer End-zu-End-Verschlüsselung für beispielsweise E-Mail-Kommunikation oder Instant Messaging auch nie durchsetzen können. Vor dem Hintergrund von Web-Mailern und der Kommunikation über soziale Netzwerke ist Verschlüsselung mit einer Verkomplizierung und Komforteinschränkung verbunden. Dies führte letztlich dazu, dass sich nie eine kritische Masse von an Verschlüsselung Interessierten bilden konnte. In der Praxis besteht nun die Möglichkeit, einen Großteil der Kommunikation an zentralen Stellen abzufangen.

Was müssen wir also aus diesen Betrachtungen ableiten?

Innen- und Sicherheitspolitiker beider großen Fraktionen waren und sind an der Duchführung von Abhörmaßnahmen interessiert. Sowohl deutsche Gesetze als auch geheimdienstliche Arbeit spielen dabei eine Rolle. Die Argumente der Befürworter sind die Bekämpfung von Terror, Kinderpornographie oder ganz allgemein der Kriminalität. Die Gefahren liegen in der Möglichkeit der Industriespionage, aber auch und sogar vor allem in der Einschränkung der bürgerlichen Freiheitsrechte. Wirft nun eine Seite der anderen Heuchelei vor, muss sie sich die Frage gefallen lassen, ob sie nicht selbst heuchelt. Selbstverständlich ist die Zusammenarbeit mit Geheimdiensten etwas anderes als ein Abhören auf Basis von demokratisch beschlossenen Gesetzen, aber man kann beides nicht isoliert voneinander betrachten. Auch bei der geheimdienstlichen Zusammenarbeit waren letztlich beide Fraktionen beteiligt, siehe dazu das Eingangszitat von Beckstein. Ein anderes Zitat, nicht von Beckstein, sondern von Bernstein, passt an dieser Stelle aber auch ganz gut:

Die schärfsten Kritiker der Elche waren früher selber welche – F. W. Bernstein

Die schärfsten Kritiker der Elche waren früher selber welche
Elch-Skulptur von Hans Traxler vor dem Caricatura Museum für Komische Kunst in Frankfurt am Main

Betrachten wir noch einmal kurz die Gefahren des Abhörens. Das Argument, wer nichts zu verbergen habe, der habe auch nichts zu befürchten, greift dabei zu kurz. Es gibt zahlreiche Beispiele, in denen unbescholtene Bürger in einen falschen Verdacht gerieten und teils gravierende Nachteile in Kauf zu nehmen hatten, so viele, dass es hier dem geneigten Leser überlassen sei sie nachzuschlagen. Aber vor allem führt die Gewissheit, unter konstanter Beobachtung zu stehen, bewusst oder unbewusst zu einem angepassten und konformen Verhalten. Wer weiß, dass man für einen harmlosen Scherz verhaftet werden kann, wenn das Wort „Bombe“ darin vorkommt, der überlegt sich zwei Mal, was er schreibt. Wollen wir wirklich eine solche Gesellschaft?

Was können wir tun? Klar, man kann sich an der Debatte beteiligen, seine Meinung äußern oder darüber bloggen. Man kann aber auch ganz praktisch was machen: E-Mails zu verschlüsseln ist heute auch nicht mehr so kompliziert, statt WhatsApp gibt’s Threema, den Facebook-Chat muss man ja nicht unbedingt benutzen und statt bei Google oder Dropbox können wir unsere Daten auch woanders speichern, zum Beispiel mit der Software ownCloud bei einem Webhoster unseres Vertrauens in Deutschland oder am besten, aber auch am aufwändigsten, auf einem eigenen Server zuhause. Zu diesen Dingen werde ich die Tage mal was bloggen.