http://www.faz.net/-gqz-93p7g

Computer-Verschlüsselung : Kryptisch stimmt uns optimistisch

  • -Aktualisiert am

Kryptographie ist für die meisten Nutzer eine Mail mit sieben Siegeln Bild: Fotolia/sdecoret/applied technologies GmbH/obs

Computer-Verschlüsselungen finden auf den meisten Geräten im Hintergrund statt. Das heißt aber nicht, dass der Prüfprozess geheimnisvoll sein sollte. Kann man den wenigen Eingeweihten vertrauen?

          Jede Sekunde jedes Tages nutzen Millionen Menschen auf ihren Computern und Smartphones Verschlüsselungen. Oft unbemerkt, versteckt in Apps, Betriebssystemen und Programmen, verrichten die kryptographischen Anwendungen ihr Werk. Ohne sie wären wir erheblichen Risiken ausgesetzt: Das Verschlüsseln von Daten ist ein immens wichtiger Schutz für Informationen und oft die einzige Abwehr gegen Angreifer aller Art.

          Aber wie gelangen die Verschlüsselungsprogramme eigentlich auf die Computer? Wie kommt es, dass sich etwa Banken oder E-Mail-Anbieter auf kryptographische Verfahren geeinigt haben, so dass später problemlos Überweisungen verschlüsselt erledigt oder Mails abgerufen werden können? Und wie kann man sicher sein, dass nicht eine Hintertür eingebaut ist, die das Brechen der Verschlüsselung erleichtert?

          Wie ein neuer Standard entsteht

          Kryptographie ist eine Wissenschaft für wenige Eingeweihte, in der Regel Spezialisten aus Mathematik, Informatik oder Elektrotechnik. Die besten von ihnen genießen hohes Ansehen innerhalb und außerhalb einer stetig wachsenden Krypto-Gemeinde. In einigen wenigen öffentlichen Wettbewerben bringen Kryptographen ihre Ideen ein, diskutieren offen auch kleinste Details und stellen sich der Kritik internationaler Forscher. Im besten Falle entsteht dann in einem jahrelangen Prozess ein neuer weltweiter kryptographischer Standard. Die auf diesem Wege in den letzten Jahrzehnten entstandenen Standards tragen für die meisten der Nutzer zwar nie gehörte Namen wie AES oder SHA-3, sind aber in Milliarden von Computersystemen eingebaut. Jeder, der die Expertise hat, kann sich mit ihnen vertraut machen oder nach Schwächen darin suchen. Daraus wiederum kann das Vertrauen wachsen, das jeder Anwender für seine vertraulichen Daten braucht.

          Dieser offene und nachvollziehbare Prozess ist allerdings nicht der einzige Weg, auf dem sich auf Millionen Geräten kryptographische Standards etablieren. Denn in starkem Kontrast zu diesen öffentlichen Wettbewerben stehen die Prozesse bei der Internationalen Organisation für Normung (ISO), die großteils hinter verschlossenen Türen stattfinden. Die ISO erarbeitet Normierungen und Standards in allen Bereichen, bei denen man sich möglichst weltweit auf Gemeinsamkeiten einigen muss, von Wasserleitungen bis zu Gurkengrößen. Da heute ein Großteil technischer Entwicklungen auf Computertechnologie fußt, beschäftigt sich ein Teil der ISO auch mit der Informationssicherheit und Kryptographie. Industrievertreter und Experten aus der Wissenschaft finden sich in Arbeitsgruppen zusammen, um neue kryptographische Standards zu entwerfen. Nicht anders als bei den öffentlichen Wettbewerben erstreckt sich der ganze Prozess oft über mehrere Jahre.

          Ein bitterer Beigeschmack

          Zwar ist die Kryptographie eine Nischenwissenschaft, doch hat sie über die Jahre eine gewisse politische Brisanz entwickelt: Traditionell mischen die formidabel ausgestatteten Geheimdienste in solchen Arbeitsgruppen mit und haben einen bedeutenden Einfluss auf die Standardisierungsprozesse. Das Ansehen der Geheimen ist jedoch erheblich ramponiert. Grund dafür sind der breiten Öffentlichkeit kaum bekannte Details aus den Snowden-Papieren, die in der Krypto-Gemeinde und der Wissenschaft zu heftigen Diskussionen geführt haben. Denn ein Standard zur Erzeugung von Zufallszahlen mit dem für Fachfremde kryptischen Namen DUAL_EC_DRBG wurde im Jahr 2005 unter anderem von der ISO standardisiert. Durch Snowden kam nicht nur heraus, dass die NSA ganz gezielt kryptographische Standards zu schwächen versuchte, sondern mit dieser Absicht im Falle von DUAL_EC_DRBG auch erfolgreich war: Es wurde so manipuliert, dass jeder Nutzer seine Informationen über eine Hintertür der NSA wie auf einem Silbertablett überließ.

          Im Sommer 2013 veröffentlichte die NSA zwei neue Verschlüsselungsverfahren mit den Namen Simon und Speck. Wie das in Geheimdienstkreisen oft üblich ist, enthielt deren Beschreibung weder eine detaillierte Erklärung über die Design-Entscheidungen noch eine Sicherheitsanalyse – beides seit vielen Jahren anerkannte Pflichtkriterien für neue Verschlüsselungsverfahren. Offenbar haben aber die Geheimdienste noch nicht mitbekommen, dass der Wind nach den zuvor bekanntgewordenen Manipulationen nun anders weht.

          Simon und Speck befinden sich nun seit etwa drei Jahren im Standardisierungsprozess der ISO. Doch etwas ist anders als in den vergangenen Jahrzehnten: In den ISO-Arbeitsgruppen wird das geheimdienstliche Schweigen nicht mehr widerspruchslos hingenommen, insbesondere wenn es um die Details der zur Standardisierung eingebrachten Verschlüsselungsverfahren geht. Die versammelten Experten mehrerer Länder kritisieren die Intransparenz von Seiten der NSA scharf und fordern die Offenlegung der Details. In den Abstimmungen hat jedes Land eine Stimme, die Entscheidungen fallen oft knapp.

          Auch wenn Simon und Speck, nicht zuletzt aufgrund ihrer NSA-Herkunft, von Wissenschaftlern in den letzten Jahren intensiv auf Schwachstellen und Hintertüren untersucht und bisher nicht gebrochen wurden, hinterlässt die Intransparenz seitens der Designer einen bitteren Beigeschmack. Die mangelnde Bereitschaft, die den Verschlüsselungsverfahren zugrundeliegenden Konzepte zu erläutern und Detailfragen der internationalen Experten zu beantworten, ist nicht geeignet, Vertrauen in die Verfahren zu gewinnen.

          Die Zeiten, in denen man sich auf solche Geheimnistuerei noch einließ, sind vorbei. Sichere Verschlüsselungsverfahren sind ein derart wichtiges Element in der digitalisierten Welt geworden, dass Vetternwirtschaft und Partikularinteressen von Geheimdiensten kein ausreichendes Argument bieten, um einen ordentlichen wissenschaftlichen Prüfprozess zu verhindern. Die NSA-Vorschläge sind auch längst nicht alternativlos. Ohne die Offenlegung aller Details sollten in Zukunft keine kryptographischen Verfahren mehr etabliert werden, sonst riskiert man potentielle Schwachstellen und Hintertüren in Millionen Computern oder Telefonen.

          Weitere Themen

          „Krypton“ Video-Seite öffnen

          Trailer : „Krypton“

          „Krypton“ läuft ab Donnerstag, den 18. Oktober um 20:15 bei SYFY.

          „Das Team“ Video-Seite öffnen

          Trailer : „Das Team“

          „Das Team“ läuft ab Donnerstag, den 18. Oktober um 20:15 bei Arte.

          Topmeldungen

          Eine Verlängerung der Übergangsperiode würde beiden Seiten auch mehr Zeit verschaffen, eine Lösung für das Irland-Problem zu finden - unser Bild zeigt die Grenze zwischen Irland und Nordirland.

          F.A.Z. exklusiv : EU bietet Briten längere Übergangsphase an

          Angesichts der schwierigen Brexit-Verhandlungen hat die EU-Kommission ihre harte Position geändert und eine Verlängerung der Übergangsperiode ins Spiel gebracht. Damit könnte Großbritannien länger als bisher vorgesehen in Binnenmarkt und Zollunion der EU bleiben.
          Von Salvini angegriffen: Frankreichs Präsident Emmanuel Macron

          Grenzkonflikt : Gendarmerie setzt Migranten in italienischem Wald ab

          Während Salvini von einem „beispiellosen Affront“ spricht, nennt man den Vorfall aus Paris ein Versehen: Französische Beamte bringen Flüchtlinge über die Grenze nach Italien. In Rom vermutet man ein System.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.