Wer die ersten drei Teile „Luxemburg mit der Bahn“ gelesen hat, dem ist vielleicht aufgefallen, dass eine Strecke noch fehlt: Die Linie 30 von Luxemburg zur deutschen Grenze und weiter nach Trier. Doch bevor über eben diese Linie die Rückfahrt angetreten wird, seien noch ein paar Bilder aus Luxemburg Stadt nachgereicht.
Wir beginnen mit dem Rundgang natürlich am Bahnhof.
Luxemburg Bahnhof
Das Bahnhofsgebäude ist innen wie außen sehr schmuck. So wird die Haupthalle von Deckenmalereien verziert und…
… ein buntes Fenster lässt schon einmal einen Blick auf die Stadt zu.
An das alte Bahnhofsgebäude schließt ein futuristisches Glasvordach an.
Vor dem Bahnhof wies uns dieser Dickhäuter den Weg in die Stadt.
Auf dem Weg in die Stadt kommen wir am Musée de la Banque vorbei.
Musée de la Banque
Gleich dahinter befindet sich die Adolphe-Brücke, von wo aus man über das Pétrusse-Tal die Festung und die Alstadt mit der Kathedrale sehen kann.
In der Altstadt gibt es zum Beispiel das Rathaus…
… und natürlich den großherzoglichen Palast zu sehen.
Später auf dem Rückweg zum Bahnhof begegneten wir noch einem Werk der örtlichen Strickguerilla, die einen ganzen Fahrradständer samt Fahrrad verzierte.
So sieht der Bahnhof bei Nacht aus.
Am letzten Tag in Luxemburg ging es dann bereits um 8:20 Uhr mit einem der im Fahrplanjahr 2013 letzten beiden verbleibenden Intercity-Zugpaare zurück nach Deutschland.
Baureihe 181 im Bahnhof Luxemburg
Ich verabschiede mich aus Luxemburg mit einem Bild, das bald so nicht mehr möglich sein wird. Bereits in diesem Fahrplanjahr fahren nur noch zwei tägliche Intercity-Zugpaare von Luxemburg über Trier und Koblenz nach Köln und weiter nach Norddeich. Im Dezember 2014 werden die Intercity-Züge ganz eingestellt und dafür stündlich durchgehende Regionalexpress-Züge von Luxemburg nach Koblenz angeboten.
Die in den bisherigen Teilen behandelten Verfahren hatten alle eins gemein: Sender und Empfänger einer geheimen Nachricht mussten sich vor dem Versand auf einen gemeinsamen Schlüssel einigen, der auf einem sicheren Kanal übergeben werden musste. Es handelte sich um sogenannte symmetrische Verschlüsselungsverfahren.
Das funktioniert dann sehr gut, wenn wenige Personen, die zudem die Gelegenheit haben, Schlüssel persönlich zu tauschen, miteinander kommunizieren wollen. Im Internet dagegen funktioniert das so nicht. Wer eine verschlüsselte Webseite besucht, möchte Daten abhörsicher übetragen, hat aber normalerweise keine Gelegenheit dazu, mit dem Betreiber der Seite vor der eigentlichen Datenübertragung abhörsicher Schlüssel auszutauschen.
Mit der Entdeckung der Public-Key-Kryptographie Ende der 1970er Jahre wurde hier ein Durchbruch erzielt. Sogenannte asymmetrische Verschlüsselungsverfahren arbeiten mit zweigeteilten Schlüsseln. Der Schlüssel, der zum Chiffrieren einer Nachricht verwendet wird, ist ein anderer als der, mit dem die Nachricht wieder entschlüsselt werden kann. Da es mit ersterem Schlüssel nicht möglich ist, einen Geheimtext wieder zu dechiffrieren, braucht er auch nicht geheim gehalten zu werden. Nur der zweite Schlüssel muss geheim gehalten werden und nur der Empfänger muss ihn kennen, der Sender nicht. Es entfällt also die Notwendigkeit, einen gemeinsamen Schlüssel über einen sicheren Kanal auszutauschen, denn der öffentliche Schlüssel, der zum Verschlüsseln ausreicht, ist eben öffentlich und kann somit über den selben unsicheren Kanal ausgetauscht werden wie der Geheimtext!
Doch wie ist das möglich? Es gibt in der Mathematik sogenannte Einwegfunktionen. Diese haben die Eigenschaft, dass sie sich leicht berechnen lassen, ihre Umkehr jedoch nicht. Ein Beispiel dafür ist die Multiplikation zweier großer Primzahlen (leicht) und als Umkehr die Zerlegung des Produkts in seine Primfaktoren (schwer). Oder kurz: n = p * q lässt sich leicht berechnen, aber p und q lassen sich nicht direkt berechnen, wenn nur n bekannt ist. Allerdings gibt es eine Hintertür: Wenn man nicht nur die Zahl n kennt, sondern auch q, kann man p wieder leicht berechnen. Und auf einer Erweiterung genau auf dieses Prinzips basiert der 1978 vorgestellte RSA-Algorithmus.
Der RSA-Algorithmus hat wegen seiner Asymmetrie eine hohe praktische Relevanz bis heute. Doch bevor wir zur praktischen Anwendung kommen, zunächst noch ein klein wenig zum Hintergrund, wie der RSA-Algorithmus funktioniert, denn im Grund ist es gar nicht so schwer. mod ist dabei der Modulo-Operator, also der Rest einer ganzzahligen Division.
RSA-Algorithmus
Vorbereitung:
1. Wähle zwei große Primzahlen p und q
2. Berechne n = p * q
3. Berechne ϕ(n) = (p-1)*(q-1)
4. Wähle e teilerfremd zu ϕ(n)
5. Bestimme d mit e*d mod ϕ(n) = 1
Öffentlicher Schlüssel: e und n Privater Schlüssel: d
Verschlüsseln eines Klartextes m in Geheimtext c:
c = me mod n
Entschlüsseln eines Geheimtextes c in einen Klartext m:
m = cd mod n
Genauer kann man das noch unter anderem bei Beutelspacher [1] oder natürlich direkt bei den Entdeckern von RSA, den Herren Rivest, Shamir and Adleman, nachlesen [2]. Wie man erkennt, steht und fällt die Sicherheit dieses Verfahrens damit, dass man auch bei Kenntnis des Geheimtextes, des Klartextes und des öffentlichen Schlüssels nicht den privaten Schlüssel berechnen kann. Außerdem darf sich der Klartext nur mit Kenntnis des privaten Schlüssels aus dem Geheimtext berechnen lassen. Oder mathematisch gesagt: Auch, wenn man c, m, e und n kennt, kann man d nicht berechnen und wenn man c kennt, kann man m nur berechnen, wenn man auch d kennt. Wenn man jetzt noch etwas genauer schaut, dann sieht man, dass sich das alles berechnen ließe, könnte man die Zahl n, die ja Teil des öffentlichen Schlüssels ist, in ihre Primfaktoren p und q zerlegen. Sollte jemand also eine effektive Methode zur Primfaktorzerlegung großer Zahlen finden, wäre das RSA-Verfahren gebrochen.
Mit sogenannten Public-Key-Verschlüsselungen wie RSA ist es also nun kein Problem mehr, auch mit Unbekannten verschlüsselt und abhörsicher zu kommunizieren. Das Problem des vorherigen Schlüsselaustauschs, das bei den symmetrischen Verschlüsselungsverfahren besteht, ist nun keins mehr. Der Ablauf der Kommunikation ist nun ganz einfach. Anke und Andreas haben jeweils zwei Schlüssel, einen öffentlichen und einen privaten. Der öffentliche Schlüssel kann allgemein bekannt gegeben werden. Möchte nun Anke eine verschlüsselte Nachricht an Andreas schicken, muss sie sich zunächst seinen öffentlichen Schlüssel besorgen. Den findet sie zum Beispiel auf seiner Webseite oder aber in einem Schlüsselverzeichnis im Internet, einem sogenannten Keyserver, der ähnlich wie ein Telefonbuch für das Nachschlagen von Personen, Mailadressen und dem dazu passenden Public Key erlaubt. Wenn Anke den öffentlichen Schlüssel von Andreas besorgt hat, benutzt sie diesen Schlüssel, um die Nachricht an Andreas zu verschlüsseln. Die verschlüsselte Nachricht schickt sie ab und nur Andreas kann sie wieder in Klartext verwandeln, weil nur er den passenden privaten Schlüssel hat.
Allerdings kommt nun ein anderes Problem neu hinzu: Wie kann Anke sicher sein, dass der öffentliche Schlüssel von Andreas wirklich ihm gehört und nicht heimlich von einem Bösewicht ersetzt wurde? Ein Angreifer, der in der Lage ist, sich zwischen die beiden zu schalten, könnte Anke seinen eigenen öffentlichen Schlüssel statt den von Andreas unterschieben, die Nachrichten mit seinem eigenen privaten Schlüssel entschlüsseln und mitlesen und zum Schluss mit Andreas‘ echtem öffentlichen Schlüssel wieder verschlüsseln und an ihn weiter schicken.
Diesen Angriff nennt man auch Man-in-the-Middle-Attack, weil der Angreifer zwischen den beiden legitimen Kommunikationspartnern sitzt. Doch warum ist dieser Angriff in der Praxis so gefährlich? Stellen wir uns vor, wir wollen Online-Banking betreiben und uns dabei einer verschlüsselten Verbindung bedienen. Wir können uns nun den öffentlichen Schlüssel der Bank besorgen und unsere Überweisungsdaten senden. Nur wer garantiert, dass wir wirklich mit der Bank direkt Verbindung aufgenommen haben und nicht mit einem Bösewicht, der uns vorgaukelt, die Bank zu sein? Um uns zu täuschen, könnte ein solcher Angreifer im Hintergrund unsere Anfrage an die Bank und die Antwort der Bank an uns durchleiten und nur mithören, um im entscheidenden Moment, wenn wir eine Überweisung tätigen, seine eigene Kontonummer und einen höheren Betrag einzusetzen.
Wir brauchen also eine Garantie, dass der öffentliche Schlüssel auch echt ist. Am einfachsten könnten Anke und Andreas diese Garantie bekommen, in dem sie über einen anderen Kanal, zum Beispiel am Telefon oder am besten persönlich, die öffentlichen Schlüssel (oder eine Prüfsumme davon, den sogenannten Fingerprint) vergleichen. Bei diesem Abgleich ist es nicht entscheidend, dass Anke und Andreas nicht abgehört werden, denn die dabei ausgetauschte Information ist ja nicht geheim. Es muss nur sichergestellt sein, dass ein Angreifer diese Information nicht verändern kann.
Man-in-the-Middle-Angriff
Praktischerweise können Public-Key-Verschlüsselungsalgorithmen wie RSA so „zweckentfremdet“ werden, dass sie nicht verschlüsseln, sondern stattdessen die Echtheit einer Nachricht garantieren! Man muss dazu eine Nachricht (oder eine Prüfsumme davon) mit seinem privaten Schlüssel verschlüsseln. Ein Empfänger kann die Nachricht dann mit dem öffentlichen Schlüssel des Absendersentschlüsseln. Wenn dabei der Klartext herauskommt, ist garantiert, dass die Nachricht tatsächlich unverändert vom Absender kommt, denn nur der Absender hat Kenntnis seines privaten Schlüssels und nur wenn die Nachricht damit verschlüsselt wurde, wird mit dem öffentlichen Schlüssel wieder der Klartext sichtbar.
Die asymmetrische Kryptographie wurde also gar nicht zur Verschlüsselung, sondern zur digitalen Signatur eingesetzt, die wie eine handschriftliche Unterschrift die Echtheit einer Nachricht garantiert.
Das ist schon mal gut, man kann also mit digitalen Signaturen die Authentizität und Integrität von Nachrichten prüfen, aber noch haben wir das ursprüngliche Problem nicht gelöst, da wir ja die Authentizität des öffentlichen Schlüssels an sich prüfen müssen!
Die Lösung besteht darin, dass eine dritte Stelle, der sowohl Anke als auch Andreas vertrauen, den öffentlichen Schlüssel von Andreas digital signiert. Man spricht dann auch davon, dass diese dritte Stelle durch diese Signatur ein Zertifikat erstellt hat, das die Echtheit garantiert. Wenn Anke den öffentlichen Schlüssel der Zertifizierungsstelle kennt, kann sie nun mit dem Zertifikat die Echtheit des öffentlichen Schlüssels von Andreas prüfen. Damit das funktioniert, muss aber immer noch der öffentliche Schlüssel der Zertifizierungsstelle sicher übertragen werden. Außerdem müssen, wie schon geschrieben, Anke und Andreas der Zertifizierungsstelle vertrauen, deswegen nennt man diese auch Trust Center. Bis jetzt klingt das erst mal so, als hätten wir durch die Einführung des Trust Centers noch nicht viel gewonnen, da wir ja immer noch einen öffentlichen Schlüssel, den des Trust Centers, haben, den wir vor unerlaubter Veränderung geschützt verteilen müssen. Wenn wir aber dieses Problem auf das Internet übertragen, so sehen wir, dass tatsächlich eine Vereinfachung eingetreten ist: Wir müssen nicht mehr für jede beliebige Webseite selbst prüfen, ob der öffentliche Schlüssel stimmt, wenn diese ein Zertifikat eines Trust Centers vorweisen kann. Die öffentlichen Schlüssel des Trust Centers bekommen wir schon mit dem Browser oder dem Betriebssystem mitgeliefert! Das Gesamtsystem mit Zertifizierungsstellen und Schlüsselverteilung nennt man auch Public-Key-Infrastruktur.
Wenn man mal bei einer Webseite, die mit HTTPS beginnt, auf der Adresszeile des Browsers an die richtige Stelle klickt, bekommen wir die wichtigsten Informationen eines solchen Zertifikats direkt angezeigt, wie hier zum Beispiel von der Frankfurter Sparkasse, deren öffentlicher Schlüssel in seiner Echtheit von der VeriSign Inc. bestätigt wurde.
Mit einem Klick auf „Weitere Informationen“ kann man noch viele Details erfahren, zum Beispiel welches genaue Verschlüsselungsverfahren verwendet wird, für welche Web-Adressen das Zertifikat genau gilt, wann es abläuft und so weiter. Es lohnt sich durchaus, sich das einmal genauer anzuschauen. Im übrigen wird die eigentliche Kommunikation symmetrisch verschlüsselt, mit dem asymmetrischen Verfahren wir nur ein temporärer Sitzungsschlüssel übertragen. Ein Grund dafür ist, dass Public-Key-Verfahren wie RSA sehr viel langsamer sind als symmetrische Verfahren wie das in der letzten Folge angesprochene AES. Außerdem sind sie anfälliger für bestimmte Arten von Angriffen. Man spricht von einem hybriden Kryptosystem, wenn symmetrische und asymmetrische Verfahren kombiniert werden.
Doch wo können wir nun Public-Key-Kryptographie einsetzen?
In der Praxis wird Public-Key-Kryptographie in der Variante wie beschrieben mit zentralen Zertifizierungsinstanzen (auch Certification Authority oder CA genannt) für sicheres Surfen im Web mit den Protokollen HTTPS bzw. SSL/TLS eingesetzt.
Für E-Mails gibt es das Protokoll S/MIME, das von den meisten Mailprogrammen unterstützt wird und ebenfalls auf von CAs signierte Zertfifikate setzt. Außerdem ist bei E-Mails das Protokoll PGP sehr weit verbreitet. Freie Implementierungen dieses Protokolls sind GnuPG bzw. Gpg4Win für Windows und GPGTools für den Mac. Wer Thunderbird als Mailprogramm verwendet, sollte sich das Plugin Enigmail anschauen. PGP basiert nicht auf zentralen CAs für die Echtheitsprüfung, stattdessen können Nutzer, die sich kennen, ihre öffentlichen Schlüssel gegenseitig signieren und somit selbst als Zertifizierungsinstanz für andere auftreten. Bei dieser dezentralen Public-Key-Infrastruktur spricht man vom Web-of-Trust.
Wer eine sichere Alternative zu SMS oder WhatsApp sucht, der sollte sich Threema anschauen. Anders als bei Apples iMessage, das laut Hersteller ebenfalls Ende-zu-Ende-Kryptographie verwendet, wird bei Threema der Schlüssel auf dem eigenen Endgerät erzeugt und nur der öffentliche Schlüssel zu einem Keyserver übertragen. Die Echtheit der Schlüssel kann bei einem persönlichen Kontakt über einen QR-Code verifiziert werden.
Ich kann nur jedem empfehlen, sich mit diesen Programmen zu beschäftigen und in Zukunft Mails und Kurznachrichten verschlüsselt zu versenden. Es tut nicht weh, ist innerhalb von ein paar Minuten eingerichtet und wer diesen Artikel bis hier gelesen hat, sollte die Grundprinzipien soweit verstanden haben.
Zum Abschluss in aller Kürze eine Zusammenfassung:
Es gibt asymmetrische Verschlüsselungsverfahren mit öffentlichen Schlüsseln zum Chiffrieren und privaten Schlüsseln zum Dechriffrieren.
Diese Systeme können auch für digitale Signaturen, also zur Prüfung von Authentizität und Integrität von Nachrichten, verwendet werden.
Die privaten Schlüssel darf man niemals herausgeben.
Bei öffentlichen Schlüsseln muss sichergestellt sein, dass sie wirklich zu dem Kommunikationspartner gehören, mit dem man Nachrichten austauschen möchte, sonst ist eine Man-in-the-Middle-Attack möglich. Die Prüfung kann durch von Zertifizierungsstellen ausgegebene Zertifikate geschehen.
Die Verbindung ist nur sicher, wenn die Nachricht beim Sender verschlüsselt und beim Empfänger wieder entschlüsselt wird, die Nachricht also auf der ganzen Strecke verschlüsselt bleibt. Man spricht dann von Ende-zu-Ende-Kryptographie.
Mit diesem Teil ist meine kleine Serie über Kryptographie abgeschlossen. Ich hoffe, es hat allen Lesern Spaß gemacht, mir von den alten Griechen bis in die Neuzeit zu folgen und ein wenig zum Verständnis beigetragen. Ich hoffe auch, dass ich vielleicht ein paar von Euch dazu motivieren kann, sich mit PGP zu beschäftigen und in Zukunft verschlüsselte Mails zu verschicken, damit es die NSA nicht all zu leicht hat. Ich freue mich über Feedback und verschlüsselte Mails, mein Public Key ist auf meiner Homepage und wer mag, kann mir auch eine Nachricht über Threema auf mein Smartphone schicken!
DiedeutschenundinternationalenMedienberichtenheute darüber, dass die NSA die SSL-Verschlüsselung geknackt habe. Doch über die genaue Funktionsweise ist nicht viel bekannt, da die primären Quellen, der Guardian und die New York Times, einige Details, die sich in den Snowden-Dokumenten finden, absichtlich zurückhalten. Doch wenn man sich nur ein bisschen mit Kryptographie auskennt und Eins und Eins zusammenzählen kann, bleiben nicht viele Möglichkeiten übrig. Hier also eine kleine Auflistung der Angriffsmöglichkeiten und meine Spekulationen über das Wie und Warum der Vorgehensweise der NSA.
1. Zugriff auf die privaten Schlüssel der Zertifizierungsstellen
Die in SSL verwendete Public-Key-Infrastruktur setzt darauf, dass Zertifizierungsstellen die Echtheit der öffentlichen Schlüssel der Gegenstellen zertifizieren und somit bestätigen, dass der Kommunikationspartner auch der ist, der er zu sein vorgibt. Damit das funktioniert, müssen die öffentlichen Schlüssel der Zertifierungsstellen (auch Trust Center genannt) auf einem sicheren Weg auf die an der eigentlichen Kommunikation beteiligten Rechner übermittelt werden. Dies geschieht dadurch, dass in gängigen Browser oder auch im Betriebssystem selbst diese Schlüssel bereits mitgeliefert werden.
Hat nun jemand Zugriff auf die privaten Schlüssel der Zertifierungsstelle, kann dieser Angreifer selbst ein Zertifikat erstellen, das die Echtheit der öffentlichen Schlüssel eines Dritten bestätigt. Dadurch werden Man-in-the-Middle-Angriffe, die vom Angegriffenen nicht bemerkt werden, möglich, sofern der Angreifer in der Lage ist, in den Kommunikationsweg zwischen Sender und Empfänger entsprechend einzugreifen. Von letzterem muss man ausgehen, denn schließlich ist der Sinn und Zweck einer jeden Verschlüsselung, die Sicherheit in genau diesem Fall immer noch zu gewährleisten. Von dem, was vor den heutigen Veröffentlichungen schon bekannt war, muss man auch davon ausgehen, dass die US-amerikanischen und britischen Geheimdienste dies können.
Bewertung
Diese Art des Angriffs ist meiner Ansicht nach die wahrscheinlichste. Es genügt rein theoretisch, dass die Geheimdienste Zugriff auf den privaten Schlüssel einer einzigen Zertifizierungsstelle haben, um das System zu kompromittieren. Da sich ein guter Teil dieser Stellen in den USA befinden und von den früheren Berichten bereits bekannt ist, dass an Firmen wie Microsoft und Google Geld gezahlt wurde, um Hintertüren einzubauen, muss man wohl davon ausgehen, dass auch Zertifizierungsstellen betroffen sind. Damit der Angriff möglichst nicht auffällt, sollten natürlich aus Sicht des Angreifers möglichst viele Zertifizierungsstellen infiltriert werden, da die Angegriffenen bemerken könnten, dass der öffentliche Schlüssel seines Kommunikationspartners auf einmal von einem anderen Trust Center verifiziert wurde.
Vorteile
Für den Angreifer hat dieses Vorgehen den Vorteil, dass es bei Zugriff sowohl auf die Netzinfrastruktur als auch auf die Zertifizierungsstellen – beides ist bei den Geheimdiensten gegeben! – sehr leicht durchzuführen und vom Angegriffenen nur schwer bis gar nicht zu bemerken ist. Außerdem ermöglicht es eine weitreichende oder gar flächendeckende Überwachung, wie sie mit einem Angriff auf die Rechner einzelner Ziele nicht möglich wäre. Bei der Zertifizierungsstelle müssen außerdem nicht viele Personen eingeweiht sein, es reicht im Prinzip eine einzige Person, die Zugriff auf den Private Key hat.
Nachteile
Für den Angreifer eigentlich keine, außer dass die Gefahr besteht, dass beim Trust Center oder dem Geheimdienst jemand die sprichwörtliche Pfeife bläst.
Gegenmaßnahmen
Zertifizerungsstellen, die kompromittiert sind, nicht vertrauen. Leider ist derzeit nicht bekannt, welche das sind. Es wäre wohl davon auszugehen, dass die meisten, wenn nicht alle, Trust Center in den USA und wahrscheinlich auch solche aus Kanada, Australien und dem Vereinigten Königreich betroffen sind.
2. Angriff auf die Algorithmen
Bekannte Public-Key-Algorithmen, die im SSL-Protokoll verwendet werden, sind RSA und Diffie-Hellman. Die Sicherheit dieser Verfahren basiert darauf, dass keine schnellen Verfahren bekannt sind, den diskreten Logarithmus einer großen Zahl zu berechnen.
Bewertung
Es ist mathematisch nicht bewiesen, dass es keinen Algorithmus zur Berechnung des diskreten Logarithmus in polynomialer Laufzeit geben kann. In der Forschung hat es vor kurzem Fortschritte zur Entwicklung eines solchen Algorithmus gegeben. Es gibt Stimmen, die davon ausgehen, dass schon in vier bis fünf Jahren RSA nicht mehr sicher ist. Sollte man bei der NSA schon weiter sein als die internationale Forschungsgemeinschaft und ein schneller Algorithmus zur Berechnung des diskreten Logarithmus bekannt sein, wäre der Verschlüsselungsalgorithmus an sich gebrochen. Kryptographie mitelliptischen Kurven gilt aber derzeit noch als bedeutend sicherer als RSA, da das Problem des diskreten Logarithmus auf elliptischen Kurven schwerer zu lösen ist.
Insgesamt muss man aber sagen, dass es zumindest unklar und nicht unbedingt wahrscheinlich ist, dass es wirklich einen effizienten Algorithmus zur Berechnung des diskreten Logarithmus gibt, der der Öffentlichkeit noch nicht bekannt ist und dass die NSA oder ein anderer Geheimdienst das geschafft hat, was Heerscharen von Mathematikern öffentlich versuchen.
Andererseits war es ja auch schon bei DES so, dass nachweislich differentielle Kryptanalyse bei der NSA und bei IBM schon lange bekannt war, bevor diese Angriffsmethode öffentlich wurde.
Vorteile
Hätte die NSA die Algorithmen an sich gebrochen, wäre auch jedes Protokoll, dass auf diesen Algorithmen basiert, unsicher, selbst wenn das Protokoll keine Hintertüren hat.
Nachteile
Auch wenn es effizientere Verfahren als die derzeit bekannten gibt, um den diskreten Logarithmus zu berechnen, wäre vermutlich immer noch ein riesiger Rechenaufwand nötig, um den Geheimtext zu entschlüsseln. Das wäre aber nicht praktikabel für eine flächendeckende Überwachung, allenfalls für das Abhören einzelner Ziele.
Gegenmaßnahmen
Keine. Nach derzeitigem Stand sind Elliptische Kurven und Diffie-Hellman sicherer als RSA (auch wegen der Forward Secrecy bei Diffie-Hellman), aber wenn das mathematische Problem gelöst ist, wären auch diese betroffen.
3. Angriff auf die Endstellen
Ein direkter Angriff auf die Endstellen der Kommunikation, sprich die Rechner der Angegriffenen, ist natürlich auch denkbar, denn dann besteht Zugriff auf den Klartext. Das hat dann aber nichts mehr mit SSL oder irgend einem Protokoll zu tun.
Bewertung
Ein Angriff auf die Endstellen, oder zumindest der Versuch, im Stil eines „Staatstrojaners“ oder gar einer systematischen Hintertüren in Betriebssystem, Browsern oder anderer Software ist natürlich möglich, hat aber vermutlich nichts mit der aktuellen Berichterstattung zu tun.
Vorteile
Zugriff auf den unverschlüsselten Klartext.
Nachteile
Nicht für flächendeckende Überwachung geeignet. Außerdem könnte die Existenz von Hintertüren oder allgemein eines solchen Angriffs im Vergleich zu den anderen Methoden relativ leicht bemerkt werden.
Gegenmaßnahmen
Das eigene System möglichst gegen Angriffe von außen sichern, was eigentlich sowieso „best practice“ ist. Außerdem Software einsetzen, die wahrscheinlich keine Hintertüren hat, also am besten Open Source Software, die man selber kompiliert.
Schlussbetrachtung
Wahrscheinlich geht es bei der heutigen Berichterstattung, auch wenn keine technischen Details genannt wurden, um Variante 1.
Was sollte man davon als Internetnutzer ableiten? Man sollte jedenfalls nicht auf die Idee kommen, auf SSL zu verzichten. Ein Angriff in diesem Stil setzt Möglichkeiten voraus, die ein Geheimdienst hat, aber ein x-beliebiger Krimineller nicht. Also muss man davon ausgehen, dass SSL immer noch genügend Schutz bietet, das eigene Homebanking gegen kriminelle Machenschaften zu sichern, aber nicht dazu, vertrauliche Kommunikation vor Geheimdiensten geheim zu halten. Das heißt insbesondere, dass solche Werbeversprechen wie die von deutschen E-Mail-Anbietern neulich, SSL zur Kommunikation zwischen den Betreibern einzusetzen, Augenwischerei sind, zumal die Mails dann sowieso auf den Servern der Anbieter unverschlüsselt vorliegen.
Um private Kommunikation zu sichern, sollte man auf End-zu-End-Protokolle wie PGP setzen. Dann bleiben als Angriffsmöglichkeiten, auch für Geheimdienste, nur die Varianten 2 und 3. Zumindest kann man sich so einer flächendeckenden Überwachung entziehen, aber es schützt vermutlich nur unzureichend, wenn man Ziel einer direkten Beobachtung wird.
Einen Schutz gegen alle Angriffe bietet eigentlich nur folgendes: Der Klartext wird nur auf einem Rechner betrachtet, der nicht mit dem Internet verbunden ist und das in Zukunft auch niemals wird. Dort wird auch verschlüsselt, und zwar mit einem sicheren, symmetrischen Algorithmus, dessen Schlüssel auf einem sicheren Weg – das heißt durch persönliche Übergabe – übetragen wird, vielleicht sogar mit einem One-Time-Pad (oder auch lieber ohne One-Time-Pad, wie Schneier meint?). Der Transfer des Geheimtextes von diesem Rechner zur Außenwelt, also über einen Rechner, der mit dem Internet verbunden ist, geschieht ausschließlich über physische Datenträger. Kein Kabel! Ein USB-Stick, Disketten, CD-ROMs oder vielleicht sogar auf einem Blatt Papier, das ausgedruckt und eingescannt wird. Oder durch Abtippen des Geheimtextes. Aber ob man in der Praxis so weit gehen will…?
Wer mir verschlüsselte E-Mails schicken will, kann dazu meinen PGP Public Key verwenden, der auf meiner Homepage veröffentlicht ist. Außerdem benutze ich Threema.
Es ist Wahlkampf im Schwarzwald. Doch wen sollte man wählen?
Unseren Profi, von dem man aber nicht weiß, wer er ist? Die Partei, deren Wahlplakate falsch rum hängen und das sogar konsequent im ganzen Stadtgebiet?
Oder eine von denen? Mangels Informationsgehalt der Plakate habe ich unter anderem den Wahl-o-Mat befragt, mit teils erwartetem und teils überraschendem Ergebnis, aber dazu noch an anderer Stelle. Bis dahin überlasse ich dem Leser diese Szenen aus dem Leben und verabschiede mich schmunzelnd vom Ort des Geschehens.
Schon seit einiger Zeit gibt es die Möglichkeit, mittels downloadbarer Schriften oder Web-Fonts auch andere als die installierten Systemschriften im Browser anzuzeigen. Spätestens seit CSS3 ist esüber @font-face kein Problem mehr, statt der allgegenwärtigen Verdana mit den „attraktiv“, weil falsch rum stehenden Anführungszeichen auch vernünftige Schriften plattformübergreifend zu verwenden. Internet-Dienste wie Google Fonts machen es dem Web-Master leicht: Auf die Seite gehen, Schrift aussuchen, „Quick Use“ anklicken und den angezeigten Code in die eigene Webseite aufnehmen, fertig. Die Schrift wird dabei beim Anbieter (in diesem Fall Google) direkt gehostet, man braucht sich um nichts weiter mehr kümmern. Auch Blog- und andere Content-Management-Systeme wie z.B. WordPress machen Gebrauch von dieser Möglichkeit, so werden zum Beispiel beim aktuellen WordPress-Theme „Twenty Thirteen“, das auch hier Verwendung findet, die standardmäßig verwendeten Schriftarten Bitter und Source Sans Pro direkt von Google Fonts eingebunden.
Doch was, wenn man die Fonts lieber selbst unter Kontrolle haben auf dem eigenen Webspace hosten möchte?
Eigentlich ist das auch ganz einfach, doch der Teufel liegt im Detail und es gibt ein paar Fallstricke, die ich hier kurz dokumentieren möchte.
1. Schriftarten aussuchen und Lizenz prüfen
Der erste Schritt ist natürlich immer, sich erst einmal Gedanken zu machen, was man haben will und Schriften auszusuchen, die gut lesbar sind und zueinander passen. Bei der Auswahl von Schriften kann man viel falsch machen und man muss sich eigentlich eingehend mit Typographie beschäftigen, will man ein gutes Ergebnis erzielen. Für meine konkrete Anwendung wollte ich mich daher darauf beschränken, die im bereits erwähnten und hier verwendeten WordPress-Theme Twenty Thirteen benutzten Schriften nicht mehr von Google, sondern von meinem eigenen Webspace aus einzubinden.
Man sollte an dieser Stelle auch gleich die Lizenz, unter der die Schriftart steht, darauf prüfen, ob überhaupt erlaubt ist, den Font in eine Webseite einzubinden. Die bei Google Fonts oder auch FontSquirrel angebotenen Schriften stehen zumeist unter der SIL Open Font Licence, die das erlaubt.
2. Schriftart herunterladen
Als nächstes holt man sich den Font zunächst mal zu sich. Bei Google Fonts klickt man dazu auf der Seite zum Font auf den kleinen Runter-Pfeil ganz rechts, den man angesichts der Prominenz, mit der einem der Code zum Einbinden direkt von Google aus angeboten wird, auch mal übersieht. Auch beim schon erwähnten FontSquirrel kann man jede Menge freie Schriften finden und herunterladen.
3. Schrift fürs Web konvertieren
Üblicherweise bekommt man dabei ein ZIP mit ein paar TrueType- oder OTF-Dateien darin. Das Problem: Zur Einbindung in eine Webseite braucht man je nach Ziel-Browser eine WOFF-, EOT- oder SVG-Datei. Praktischerweise braucht man für die Konvertierung nicht mal eine Software zu installieren, sondern kann einen Web-Dienst wie den FontSquirrel Webfont Generator verwenden. Man lädt dort seine TTF- oder OTF-Dateien hoch und bekommt ein ZIP-Archiv mit den selben Fonts in WOFF, EOT, SVG und TTF zurück. Mit diesen Formaten kann man alle gängigen Browser in aktuellen und nicht mehr ganz so aktuellen Versionen bedienen. Beschränkt man sich auf die aktuellen Versionen, sollte das WOFF (Web Open Font Format) eigentlich schon reichen.
Man muss noch beachten, dass man bei einer Schrift, die in mehreren Stilen bzw Schriftschnitten (wie fett oder kursiv) vorliegt, auch alle die hochlädt, die man später auf der Webseite verwenden will. Tut man das nicht oder macht bei einem der folgenden Schritte einen Fehler, wird der Browser aus dem normalen Stil die anderen Stile selbst berechnen, was meistens zwar funktioniert, aber schlechter aussieht.
FontSquirrel legt praktischerweise zusätzlich zu den Schriftarten in allen benötigte Formaten auch noch eine stylesheet.css mit den passenden @font-face-Definitionen sowie HTML-Testseiten dazu.
4. Stylesheet anpassen
Die @font-face-Definitionen aus der stylesheet.css müssen entweder verlinkt oder in die eigene CSS-Datei eingebaut werden.
Bei WordPress kann man z.B. die @font-face-Definitionen in die style.css des verwendeten Themes an den Anfang stellen (unter Design – Editor).
Dabei sind aber noch kleine Anpassungen erforderlich, insbesondere, wenn eine Schrift mit mehreren Stilen importiert wurde. Das von FontSquirrel generierte CSS sieht beispielsweise so aus:
Hier wurde der selbe Font Bitter in zwei Varianten verwendet, aber in der generierten CSS wurden zwei getrennte Schriftarten daraus, die zudem noch unterschiedliche Namen haben. Die CSS sollte man also bei font-family, font-style (für kursive Schriften) und ggf. font-weight (für fette Schriften) wie folgt ändern (siehe Hervorhebung):
Der Wert von font-style ist entweder „normal“ oder „italic“, bei font-weight setzt man üblicherweise entweder „normal“ oder „bold“. Wenn die Schrift auch in anderen Schriftstärken (Schriftgewichten) vorliegt, trägt man bei font-weight eine Zahl zwischen 100 und 900 ein. Natürlich müssen die Angaben zur Schriftdatei passen, sonst sieht das Ergebnis merkwürdig aus.
Wenn die Schriftdateien nicht im selben Verzeichnis wie die CSS liegen, muss außerdem noch die URL angepasst werden, beispielsweise so (anderes Beispiel mit fettem Schriftstil):
Doch Vorsicht: Wenn die Schriftdateien nicht auf dem gleichen Server wie die Webseite liegen – eine andere Subdomain reicht schon! – ist vermutlich noch eine kleine Änderung an der Serverkonfiguration angesagt, wenn das ganze auch mit dem Firefox funktionieren soll.
5. Dateien hochladen
Dazu braucht man wohl nicht viel zu sagen, außer, dass der Ort natürlich der sein sollte, den man auch ins CSS geschrieben hat.
6. Serverkonfiguration prüfen
An dieser Stelle gilt es noch, die Serverkonfiguration zu prüfen, insbesondere wenn das Einbinden der Schrift noch nicht mit allen Browsern funktioniert. Insbesondere Firefox ist da etwas wählerisch und lädt standardmäßig Schriften nur vom selben Host, auf dem auch die Webseite liegt. Firefox lässt sich aber überreden, die Datei auch von woanders anzunehmen, wenn der Server im HTTP-Header Access-Control-Allow-Origin „*“ schickt. Es empfiehlt sich dann auch gleich, in der Konfiguration noch die MIME-Types für die Font-Dateien einzutragen. Sofern man keinen Direktzugriff auf die Serverkonfiguration hat (z.B. beim Webhoster) oder dort nichts ändern will, lässt sich das am einfachsten über eine .htaccess-Datei, die im selben Verzeichnis wie die Fonts zu liegen hat, erledigen. Dort steht dann (für Apache, den die meisten Hoster verwenden) folgendes drin:
Die Stylesheet-Änderungen aus Punkt 4 gehören wie schon geschrieben in die style.css des verwendeten Themes. Bei TwentyThirteen beispielsweise muss man nun noch dem Theme austreiben, doch den Link auf Google Fonts zu setzen. Das ist leider etwas versteckt in der functions.php in der Funktion twentythirteen_fonts_url(). Hier muss man dafür sorgen, dass diese Funktionen einen Leerstring zurückgibt, sonst baut WordPress einen <link>-Tag auf ein Google Fonts-Stylesheet ins HTML ein. Am einfachsten und am wenigstens destruktiv ist das, wen man an den entscheidenden zwei Stellen ein „on“ durch ein „off“ ersetzt:
…
$source_sans_pro = _x( 'off', 'Source Sans Pro font: on or off', 'twentythirteen' );
…
$bitter = _x( 'off', 'Bitter font: on or off', 'twentythirteen' );
…
8. Fertig
Die Web-Fonts können nun im CSS mit font-family verwendet werden.
Update
In den neuen Versionen von WordPress werden auch im Admin-Bereich Fonts von Google nachgeladen. Jegliches Nachladen von Google-Fonts in den Standard-Themes „Twenty Twelve“, „Twenty Thirteen“ und „Twenty Fourteen“ sowie im Admin-Bereich wird vom WordPress-Plugin „Disable Google Fonts“ unterbunden. Dieses Plugin schaltet die Google-Fonts aber einfach aus. Es ist dann keine Hilfe, wenn man in der Außendarstellung die Schriftarten weiter nutzen und selber hosten will.
In den Teilen 1 bis 4 waren historische Verschlüsselungsverfahren bis hin schreibmaschinenartigen, mechanischen Rotormaschinen, die etwa ab den 1920er Jahren im Einsatz waren, Thema. Dabei wurde aufgezeigt, dass zwar die besprochenen Verfahren (bis auf das One-Time-Pad) nicht sicher sind, aber viele Grundsätze heute noch Gültigkeit haben.
Zunächst wurden zwar mechanische Verschlüsselungsapparate noch bis in die 1970 Jahre eingesetzt und sogar für sicher gehalten, nicht zuletzt, weil von den Briten lange geheim gehalten wurde, dass die Enigma-Verschlüsselung gebrochen war. Aber natürlich mussten mit Aufkommen der Computertechnik neue Methoden gefunden werden. So wurde in den 1970er Jahren bei IBM die Entwicklung von Verschlüsselungsverfahren gestartet. Ein wichtiges Zwischenergebnis waren die von IBM-Mitarbeiter Horst Feistel entwickelten Feistel-Netzwerke.
Feistel-Netzwerk
Bei einem Feistel-Netzwerk werden Blöcke von Bits über mehrere Runden hinweg nach folgendem Schema verschlüsselt: Zunächst wird eine Bitfolge in einen linken und rechten Halb-Block geteilt. Der rechte Halbblock wird direkt zum linken Halbblock der folgenden Runde. Außerdem dient der rechte Halbblock als Eingabe für eine Funktion, die vom Schlüssel und einem sogenannten Rundenschlüssel abhängt. Das Ergebnis dieser Funktion wird mit dem linken Halbblock exklusiv-oder-verknüpft und zum neuen rechten Halbblock. Diese Berechnung wird über mehrere Runden hinweg wiederholt. Die Rundenschlüssel sind für jede Runde verschieden und werden aus dem Schlüssel berechnet. Durch die Struktur des Netzwerks an sich ist sichergestellt, dass aus einem Geheimtext-Block mit Kenntnis des Schlüssels auch umgekehrt wieder der zugehörige Klartext-Block berechnet werden kann.
Ein Feistel-Netzwerk ist die Basis für den im Jahr 1976 veröffentlichen Data Encryption Standard (DES). Der DES-Algorithmus verschlüsselt Blöcke von 64 Bit Länge in 16 Runden mit Hilfe eines 56 Bit langen Schlüssels.
Die eigentliche Verschlüsselungsfunktion F (siehe Diagramm oben) ist etwas komplexer und basiert unter anderem auf einer fest definierten Substitution von Bitfolgen nach sogenannten S-Boxen, die in Abhängigkeit eines aus dem Schlüssel berechneten Rundenschlüssels ausgewählt werden. Eine genauere Beschreibung würde den Rahmen dieses Artikels sprengen, kann aber in der einschlägigen Literatur (siehe unten) oder auch im Wikipedia-Artikel zum Data Encrpytion Standard nachgelesen werden, denn wie alle guten Algorithmen ist auch der DES komplett offengelegt. Auch für die modernen Verfahren gilt nämlich selbstverständlich der Grundsatz, dass es keine Sicherheit durch Geheimhaltung des Verfahrens gibt („security through obscurity“), sondern dass nur der Schlüssel (und selbstverständlich der Klartext) geheim gehalten werden müssen.
Bei der Entwicklung war interessanterweise auch der heutzutage aus den Schlagzeilen bekannte US-Geheimdienst NSA beteiligt. Die NSA wollte eine kürzere Schlüssellänge, was ein Knacken der Verschlüsselung durch simples Ausprobieren aller möglichen Schlüssel („brute-force-Angriff“) natürlich vereinfacht. Aber abgesehen davon muss man davon ausgehen, dass die NSA nicht etwa versucht hat, durch Einflussnahme den Algorithmus zu schwächen. Vielmehr ist es so, dass die NSA bei den S-Boxen sogar die Resistenz gegen eine damals noch nicht öffentlich, wohl aber IBM und der NSA bekannte Art von Angriffen, der differentiellen Kryptanalyse, gesteigert hat.
DES gilt heute insbesondere wegen der für heutige Verhältnisse recht kurzen Schlüssellänge und der Weiterentwicklung der Technik nicht mehr als ausreichend sicher, allerdings wird die Variante „Triple-DES“ mit 112 Bit langen Schlüsseln noch stellenweise verwendet.
Der aktuelle Standard heißt AES, Advanced Encryption Standard. Der Algorithmus wurde 1998 unter dem Namen Rijndael (nach den Nachnamen seiner Entwickler Joan Daemen und Vincent Rijmen) entwickelt, setzte sich im Rahmen eines Wettbewerbs durch und wurde 2000 vom US National Institute of Standards and Technology (NIST). AES ist anders als DES kein Feistel-Netzwerk, sondern ein sogenanntes Substitutions-Permutations-Netzwerk. Der grundlegende Ablauf ist aber ähnlich: Es wird ein Block über mehrere Runden hinweg verschlüsselt und dabei S-Boxen (Substitution) und bei AES noch sogenannte P-Boxen (Permutation) verwendet.
AES verschlüsselt 128 Bit lange Blöcke, die Schlüssellänge beträgt 128, 192 oder 256 Bit und die Anzahl der Runden ist abhängig von der Schlüssellänge 10, 12 oder 14. Wie DES ist auch AES offengelegt, über einen langen Zeitraum hinweg von Wissenschaftlern öffentlich diskutiert, analysiert und für sicher befunden worden.
Da DES und AES jeweils Klartext-Blöcke verschlüsseln, spricht man auch von Blockchiffren. Streng genommen handelt es sich also dabei um eine monoalphabetische Substitution, nur dass nicht einzelne Zeichen (oder sagen wir 8 Bit-Blöcke), sondern längere Blöcke subsitutiert werden. Wird eine Blockchiffre so verwendet, spricht man vom ECB– oder Electronic-Codebook-Modus.
Tatsächlich ist es nun so, dass zwar statistische Angriffe, wie sie im zweiten und dritten Teil dieser Serie genannt wurden, zwar durch die längere Blockgröße (oder sagen wir das größere Alphabet) deutlich erschwert werden, aber je nach Klartext nicht völlig unmöglich gemacht werden. Insbesondere bei der Verschlüsselung von unkomprimierten Bilddateien werden Muster nur unzureichend verwischt, wie das Bildbeispiel bei Wikipedia eindrücklich zeigt.
Um diese Schwäche zu vermeiden, setzt man verkettete Verschlüsselungsmodi ein.
Cipher Block Chaining
Vor der eigentlichen Verschlüsselung mit der Blockchiffre (also z.B. AES) wird der Klartext-Block mit dem vorhergehenden Geheimtext-Block exklusiv-oder-verknüpft. Da es beim ersten Block noch keinen vorhergehenden Geheimtext-Block gibt, wird stattdessen ein sogenannter Initialisierungsvektor verwendet, der als zusätzlicher Teil des Schlüssels aufgefasst werden kann. Diese Art der verketteten Verschlüsselung nennt man Cipher Block ChainingMode oder kurz CBC.
Eine solche Verkettung kann auch auf andere Arten geschehen. Besondere Beachtung verdient dabei noch der Output Feedback Mode, kurz OFB.
Output Feedback
Das Bemerkenswerte hier ist, dass der Klartext gar nicht mit der Blockchiffre verschlüsselt wird! Schaut man sich das Schema einmal genauer an, stellt man fest, dass der eigentliche Verschlüsselungsalgorithmus ausschließlich dazu benutzt wird, eine Pseudo-Zufallszahlenfolge zu erzeugen, die dann mit dem Klartext exklusiv-oder-verknüpft wird. Dieses Vorgehen sollte aus dem dritten und vierten Teil dieser Serie bekannt vorkommen: Aus einem kurzen Schlüssel wird ein langer erzeugt, die eigentliche Verschlüsselung ist dann im Stil eines One-Time-Pads. Im Gegensatz zum echten One-Time-Pad ist aber keine absolute Sicherheit gegeben, da die erzeugte Bit-Folge ja nicht echt zufällig, sondern nur pseudo-zufällig ist.
Beachtenswert ist auch, dass zum Entschlüsseln eines mit einer Blockchiffre im OFB-Modus verschlüsselten Textes die Entschlüsselung der Blockchiffre gar nicht benötigt wird, sondern nur die Verschlüsselung. Die Blockchiffre dient schließlich nur dazu, eine Zufalls-Bitfolge zu erzeugen, die den Schlüssel für die eigentliche Ver- bzw. Entschlüsselung bildet.
Vergleichen wir die drei bisher gezeigten Feedback-Modi, so stellt man folgendes fest: Beim OFB und beim CFB kommt der Klartext gar nicht mit dem eigentlichen Chiffrieralgorithmus in Berührung. Der Chiffrieralgorithmus dient in diesen Fällen nur dazu, eine Zufallszahlenfolge zu erzeugen und braucht auch gar nicht zu entschlüsseln. Es kann also statt einer echten Blockchiffre auch eine andere Einwegfunktion verwendet werden.
Beim CBC und CFB wird der Geheimtext als Feedback benutzt. Dies ist dann entscheidend, wenn auf dem Weg vom Sender zum Empfänger Datenblöcke verloren gehen. Beim OFB muss der Empfänger genau wissen, der wievielte Block gerade entschlüsselt werden soll. Beim CBC und CFB reicht es aus, den vorausgegangenen Geheimtextblock zu kennen, um ab diesem Punkt die Nachricht weiter entschlüsseln zu können.
Als letztes betrachten wir noch den Counter Mode (CTR).
Counter
Statt eines Feedbacks wird dem Initialisierungsvektor (Nonce) lediglich ein Zähler hinzugefügt, aber wie beim CFB und OFB wird die Blockchiffre nur zur Erzeugung des eigentlichen Schlüssels verwendet. Der Vorteil gegenüber den anderen Verkettungsmodi besteht darin, dass alle Blöcke parallel verarbeitet werden können und entsprechend auch komplett unabhängig voneinander wieder dechiffriert werden können, wenn bekannt ist, um welchen Block es sich handelt.
Um den heutigen Artikel noch kurz zusammenzufassen: Die standardisierten Verschlüsselungsverfahren DES und der moderne AES sind sogenannte Blockchiffren, die Blöcke einer bestimmten Länge verschlüsseln und dafür mehrere Runden benötigen. Blockchiffren können entweder direkt blockweise im Electronic-Codebook-Modus verwendet werden, was aber nicht empfehlenswert ist, da Muster im Klartext ähnlich wie bei einer monoalphabetischen Chiffre nur unzureichend verwischt werden. Besser ist, einen verketteten Modus wie die hier gezeigten CBC, CFB, OFB oder CTR zu verwenden.
Die bisher gezeigten Verfahren haben alle die Eigenschaft, dass Sender und Empfänger einer verschlüsselten Nachricht vorher einen gemeinsamen Schlüssel getauscht haben müssen und nur mit Kenntnis des geheimen Schlüssels sowohl ver- als auch entschlüsselt werden kann. Wie man verschlüsselt kommunizieren kann, auch ohne dass man vorher persönlich einen Schlüssel ausgetauscht haben muss, werden wir in der nächsten Folge betrachten.
Am dritten Tag der Luxemburg-Tour stand der Norden auf dem Programm. Die Linie 10 der CFL führt bis zur belgischen Grenzen nördlich von Ulflingen (luxemburgisch Ëlwen, französisch Troisvierges). Es gibt durchgehende Züge bis Lüttich und weiter. Zur Linie 10 gehören auch zwei Stichstrecken, die anders als im Fall der am zweiten Tag befahrenen Linie 60 ohne zusätzlichen Buchstaben auskommen müssen. Die von Luxemburg Stadt aus kommend erste zweigt in Ettelbrück nach Diekirch ab, die zweite in Kautenbach nach Wiltz. Das Grundangebot besteht aus stündlichen InterRegio-Zügen von Luxemburg nach Troisvierges, die alle zwei Stunden weiter nach Belgien fahren, und stündlichen Regionalbahnen von Luxemburg nach Wiltz, die in Ettelbrück Anschluss nach Diekirch haben. Von Montag bis Samstag kommen noch stündliche IR von Luxemburg direkt nach Diekirch und stündliche RB von Luxemburg nur bis Ettelbrück hinzu. Die beiden IR und RB ergänzen sich jeweils zu einem Halbstundentakt.
Die erste Fahrt des Tages führte uns von Luxemburg mit einem der direkten IR nach Diekirch. Gefahren wurde mit einem der zweiteiligen Triebwagen, wie wir sie bereits vom zweiten Tag der Tour kannten.
IR nach Diekirch
Bei der Ankunft in Diekirch sieht man schon direkt im Hintergrund…
Der Bahnhofsvorplatz in Diekirch
… die nach der Stadt benannte, in Luxemburg sehr bekannte Brauerei.
Brauerei Diekirch
Der Nobbe wollte die Brauerei besuchen und fand heraus, dass es zumindest ein Brauereimuseum geben sollte. Nach ein wenig Suchen fand sich dieses jedoch nicht bei der Brauerei. Stattdessen fanden wir die Wagenfabrik Wagner.
Wagenfabrik Wagner
Die ehemalige Wagenhalle beherbergt heute ein Museum. Im Erdgeschoss befindet sich eine Ausstellung gut gepflegter, historischer Automobile…
Zwei Autos und ein Motorrad im Fahrzeugmuseum Diekirch
… mit Infotafeln, deren Zusammenhang zu den Fahrzeugen sich nur teilweise erschließt.
Infotafel im Fahrzeugmuseum Diekirch
Außer weiteren Fahrzeugen wie diesem, die sich schon seinerzeit wohl eher an eine gehobene Kundschaft richteten, …
Auto im Fahrzeugmuseum Diekirch
… gehörten auch Nutzfahrzeuge wie dieses 95 km/h schnelle Elektromobil ins Programm.
Vielleicht war das Schild aber auch auf ein anderes Fahrzeug bezogen, das rechts daneben stand, wir wissen es nicht genau. Modellbusse waren auch noch Teil des Sortiments.
Modellbus im Fahrzeugmuseum Diekirch
Aber schließlich fanden wir im ersten Stock des Gebäudes …
Das Bier des Großherzogs
… das Bier-Museum! Die Kombination aus Fahrzeug- und Bier-Museum ist wohl die merkwürdigste, wie sie mir bisher untergekommen ist.
Nach dem Museumsbesuch erkundeten wir den Rest der Stadt, die sich als ausgesprochen schmuck erwies.
Stadtbild in Diekirch
Sogar die Street Art sieht hier besser aus als anderswo.
Street Art Diekirch
Doch das auffälligste an Diekirch sind die zahlreichen Esel, die es auf einen Brunnen, …
Eselbrunnen in Diekirch
… noch einen Brunnen, …
Goldeselbrunnen in Diekirch
… in einen Park und …
Park mit Eseln in Diekirch
… sogar auf eine Kirchturmspitze (!) geschafft haben.
Kirchturm mit Esel in Diekirch
Letzeres führte, wie uns von Einheimischen berichtet wurde, zu einem handfesten Skandal, denn der Esel auf der Kirchturmspitze wurde ohne Zustimmung der luxemburgischen Denkmalbehörde angebracht. Während man bei der Behörde die ohne Genehmigung erfolgte Änderung an einem denkmalgeschützten Gebäude anmahnt, scheint die Bevölkerung von Diekirch aber sehr zu dem Esel auf der Spitze zu stehen.
Doch wie kommt es überhaupt zu den vielen Eseln? Ein Besuch bei der Touristeninformation brachte uns die Erklärung. Genaugenommen sogar zwei davon.
Die erste Variante lautet, dass beim Bau der Eisenbahn in den Norden von Luxemburg Diekirch als Eisenbahnknotenpunkt in Erwägung gezogen wurde, sich die Bevölkerung aber gegen den Bau der Bahn aussprach. Von den Luxemburgern wurden die Diekircher daraufhin als Esel verspottet, die sich den Zeichen der Zeit verschlössen.
Die zweite Variante ist, dass der Esel in Diekirch eine große Rolle als Nutztier spielte, weil die steilen Hänge, an denen früher noch Weinbau betrieben wurde, anders nicht zu bewirtschaften waren.
Wer genau wissen will, welche Variante die richtige ist, dem empfehle ich, mal nach Diekirch zu fahren, die Stadt zu genießen und das Gespräch mit den freundlichen Leuten dort zu suchen.
Wir setzten uns dann jedenfalls zwei Stunden später als geplant wieder mit dem Zug in Bewegung zu unseren nächsten Stationen, nämlich…
… Wiltz und Kautenbach. In Kautenbach zweigt die nördliche der beiden Stichstrecken ab, eben die nach Wiltz. Wir fuhren ab Ettelbrück mit einer durchgehenden RB nach Wiltz und machten in Kautenbach erst auf dem Rückweg Station. Zwischen Kautenbach und Wiltz liegen noch zwei Bedarfshalte, einer davon mit dem schönen Namen Paradiso. Es schien aber an dem Tag kein Bedarf zu bestehen. Wir genossen die Landschaft und schenkten uns die Stadt Wiltz, denn um die vom Bahnhof aus zu erreichen wäre wohl noch eine Busfahrt erforderlich gewesen. Von Kautenbach sollte es dann weiter nach Norden gehen, wobei davor noch etwas Zeit war, die Landschaft zu fotografieren.
Die Wiltz bei Kautenbach
Die Bahnstrecke schlängelt sich durch das Tal des Flüsschens Wiltz, das von der gleichnamigen Stadt über Kautenbach weiter nach Süden fließt. Nach Norden folgt die Bahn dem Tal der Clerve.
Kautenbach vom Bahnhof aus gesehen
Von Kautenbach ging es dann mit einem internationalen IR weiter. Ziel des Zuges ist das belgische Liers, etwas nördlich von Lüttich/Liège.
IR nach Liers
Die internationalen IR werden von Mehrsystemlokomotiven der CFL-Serie 3000 bespannt, die baugleich mit den belgischen Loks der SNCB-Serie 13 sind. Unser Zug bestand aus einem 1.-Klasse- und zwei 2.-Klasse-Wagen, der Zug für die Rückfahrt hatte einen 2.-Klasse-Wagen mehr.
Unser Ziel war der nördlichste Bahnhof in Luxemburg, der von Ulflingen bzw. Troisvierges.
Bahnhof Troisvierges
Der Bahnhof machte einen sehr gepflegten Eindruck, von außen wie von innen.
Bahnhofshalle Troisvierges
Dummerweise wurde die Halle kurz nachdem dieses Foto entstand, aber noch bevor wir zurückkamen um uns einen Kaffee zu ziehen, geschlossen. Wie überaus ungeschickt.
Clerveaux
Wir mussten also ohne Kaffee zurück fahren. Aus dem Zug heraus gelang noch dieser Schnappschuss auf die Pfarrkirche von Clerveaux (Clerf), die an uns vorbeigezogen wurde. Zurück im Süden ergab sich in Luxemburg kurz vor Erreichen des Bahnhofs übrigens auch noch ein schöner Ausblick vom Clausenviadukt, das die Bahnstrecke trägt, auf die Stadt.
Luxemburg vom Clausenviadukt aus gesehen
Im weiteren Verlauf des Abends stand noch die Linie 50 auf dem Programm.
RB der Linie 50 nach Kleinbettingen
Ein Absatz für Kenner: Die Linie 50 hat die Besonderheit, dass sie im Gegensatz zum restlichen Luxemburger Netz, das mit 25 kV/50 Hz elektrifiziert ist, mit 3 kV Gleichstrom betrieben wird. Die dort eingesetzten Doppelstockzüge vom Bombardier werden daher nicht von den in Luxemburg als Serie 4000 bezeichneten Bombardier TRAXX gezogen, sondern von der bereits oben genannten Serie 3000. Die luxemburgischen TRAXX sind nur für 25 kV und die deutschen 15 kV/16⅔ Hz geeignet und können daher nicht auf der Linie 50 fahren. Außerdem ist die Linie 50 offenbar noch nicht mit ETCS Level 1 ausgestattet, dass sich in Luxemburg sonst überall zusätzlich zum heute veralteten Crocodile findet.
Im Vergleich zur Linie 10 ist die 50 allerdings landschaftlich eher unspektulär. Von daher verabschiede ich mich an dieser Stelle noch mit einem Blick vom letzten Bahnhof der Linie 50 auf luxemburgischem Gebiet, Kleinbettingen, nach Belgien.
Strecke von Kleinbettingen nach Belgien
Der Fahrplan:
Luxembourg ab 10:45 IR Linie 10
Diekirch an 11:15
ab 14:20 RB
Ettelbruck an 14:25
ab 14:28 RB
Wiltz an 14:57
ab 15:05 RB
Kautenbach an 15:18
ab 15:53 IR
Troisvierges an 16:16
ab 16:45 IR
Luxembourg an 17:44
ab 18:47 RB Linie 50
Kleinbettingen an 19:06
ab 19:15 RB
Luxembourg an 19:33
Am Ende jeden Kongresses gibt es immer noch eine große Closing Session mit einer Reihe von „Pep Talks“ die einem das Gefühl geben, dass die Welt gut wird, wenn nur alle Bibliothekare weiter so zusammenarbeiten wie in diesem Kongress.
Das wichtigste ist aber die Bekanntgabe des übernächsten Tagungsortes, die immer mit einer großen Videopräsentation vorgestellt wird.
Vorher machen Franzosen machen sich fertig passend zu winken um die IFLA 2014 in Lyon zu begrüßen:
Dieses Jahr fällt die Closing Session wie alle 2 Jahre mit dem IFLA Präsidentinnenwechsel zusammen und als Abschluss gibt es „Standin Ovations“ für Ingrid Parent und eine mit Musik unterlegte Fotoshow der wichtigsten Momente in ihrer Präsidentschaft.
Darüber hinaus gibt es Preise für die besten Newsletter und Poster.
Das am schlechtesten gehütete Geheimnis dieses Kongresses war der Austragungsort 2015:
Kapstadt in Südafrika
Ich freue mich schon jetzt auf Wein (liquid art), Pinguine und Klippschläfer.
Nächstes Jahr geht es aber erstmal nach Lyon, was dann noch mit einem stimmungsvollem Video präsentiert wird.
Die Begrüßung des französischen Nationalkommittees ist natürlich auf französisch, aber netterweise so deutlich und langsam, dass man mit wenig Französisch noch folgen kann.
Nachdem dann noch mal ausführlich den Volunteers gedankt wurde darf die neue Präsidentin Sinikka Sipilä das Wort ergreifen und ihr Thema: Starke Bibliotheken, starke Gesellschaften vorstellen.
Dabei teilt sie Ihre Erfahrungen mit dem Bibliothekssystem aus Finnland. Ein Land dass sich aus einem arme Land zu einem der reichsten und gerechtesten Länder mit der Hilfe von Bibliotheken und guten Schulsystem geworden ist.
Die Lösung für viele Probleme ist so offensichtlich und einfach, dass man sich fragt warum diese Lösung bei uns nicht gegangen wird.
Abbau von allen baulichen und finanziellen Barrieren zum Zugriff auf Informationen!
P.S.: Alle Fotos wurden aus Twitter oder Facebook geklaut. Was damit in Kürze passieren kann hat Andreas ja gut erklärt im Artikel <img>, also schnell lesen und hoffen dass noch die richtigen drin sind 😉
