Erstellt am: 11. 11. 2013 - 16:19 Uhr

NSA-Skandal treibt Verschlüsselung voran

Rund um die Welt werden neue Verschlüsselungsprogramme implementiert. Die Wut der zivilen Techniker äußert sich immer offener.

Der NSA-Spionageskandal treibt den Einsatz und die Weiterentwicklung von Verschlüsselungsprogrammen mittlerweile unübersehbar an. Das Plenartreffen der Internet Engineering Task Force (IETF) im kanadischen Vancouver stand in der vergangenen Woche im Zeichen eines einzigen Themas: Bessere Absicherung des Internetverkehr gegen "allumfassende Überwachung".

Von der IETF, einem bis heute informellen Kollektiv von Ingenieuren stammen die im Internet verwendeten Protokolle und die jeweiligen Verschlüsselungsstandards dafür. Nun arbeitet man daran, die kritischste Phase, nämlich den Aufbau der Verschlüsselungsvorgangs, gegen Angreifer besser abzusichern. Tim Berners Lee, der maßgebliche Entwickler des WWW, plädierte parallel dazu für höhere Sicherheitsstandards, die Vorgangsweise von GCHQ und NSA bezeichnete er als "verrückt und abstoßend".

Deutliche Worte an die NSA

Zwei führende Google-Sicherheitstechniker in Großbritannien wiederum äußerten ihre Wut über die "herrschende Gesetzlosigkeit" in den Foren von Google+ ѕchon etwas direkter: "A giant Fuck You, NSA!" Das Geheimdienstduo GCHQ/NSA hatte eine von Google zum Datenaustausch zwischen den Rechenzentren angemietete, dedizierte Glasfaserleitung in Großbritannien angezapft und den kompletten Verkehr abgesaugt.

Das war deshalb möglich, weil diese "dedicated fiber links" - eigene Leitungen abseits des Internets - generell zum internen Netzverkehr gerechnet und deshalb nicht verschlüsselt wurden.

Aus dieser Quelle stammte die Flut von Gmail-Adressbüchern, die sogar die schier endlosen Kapazitäten der NSA so beanspruchten, dass ein zusätzliches Programm zur Datenminimierung eingezogen werden musste. Das ist nun obsolet, denn "der Verkehr ist nun verschlüsselt und die gesamte Arbeit von GCHQ und NSA war ruiniert" schrieben die Google-Techniker in ihrem Blog.

Truecrypt wird auditiert

Keine dreißig Kilometer vom NSA-Hauptquartier in Ft. Meade entfernt, an der Johns Hopkins University in Baltimore, untersucht Kryptografieprofessor Matthew Green das weitverbreitete "TrueCrypt"-Programm. Der Quellcode dieses Tools zur Festplattenverschlüsselung ist zwar einsehbar, umfasst aber 70.000 Zeilen, die noch dazu von einer ganze Reihe von Technikern geschrieben wurden.

Von diesen sind einige nicht einmal mehr namentlich bekannt. Dieser Quellcode wird nun einem öffentlichen Audit unterzogen, denn angesichts der bisherigen Enthüllungen liegt der Verdacht nahe, dass auch Personal von GCHQ/NSA unter den TrueCrypt-Programmierern war.

"Informationssicherheit"

Das ist der rote Faden, der sich durch alle Enthüllungen zieht: Da die Verschlüsselung selbst für die NSA nicht knackbar ist, wird die Programmierumgebung gezielt angegriffen. Diese von der NSA platzierten Sicherheitslücken machen die jeweiligen Informationssysteme generell angreifbar.

Neben ihrer Spionagemission aber hat die NSA noch eine zweite Kernaufgabe namens "Information Assurance", sie ist also auch für die Sicherung der US-Kommunikationsnetze gegen Angreifer zuständig. Diese NSA-Techniker aus dem Bereich Netzwerksicherheit waren in der zivilen "Security Community" bis jetzt durchwegs angesehen, wurden sie doch zu den "guten Kräften" der NSA gezählt.

Phil Zimmermann und die NSA

Auch der Autor des weltweit populärsten Verschlüsselungsprogramms PGP ("Pretty Good Privacy"), Phil Zimmermann, hatte eine solch ambivalentes Verhältnis zur NSA. Selbst nachdem ihm die NSA Anfang der 90er Jahre das FBI auf den Hals gehetzt hatte blieb Zimmermann in Kontakt mit ein paar ausgesuchten NSA-Technikern aus dem Bereich Informationssicherheit.

Als Zimmermann sein Programm in der Urversion mit Kommandozeile damals zum freien Download ins Netz gestellt hatte, wurde eine FBI-Untersuchung wegen Verdachts auf illegalen Waffenexport gegen ihn eingeleitet.

Der "Stille Kreis"

Ob diese alten Freundschaften die jetzigen Enthüllungen überlebt haben, ist mehr als fraglich. Im Sommer gab Zimmermanns neue Firma "Silent Circle" die Einstellung ihrer verschlüsselten E-Mail-Services bekannt, nahezu zeitgleich hatte der US-Provider Lavabit einen vergleichbaren Dienst vom Netz genommen.

Verschlüsselte E-Mail Services können von US-Firmen nämlich nicht mehr angeboten werden, da der Verschlüsselungsvorgang auf einem ihrer Webserver passiert und auch die privaten Schlüssel der Kunden dort gespeichert werden müssen.

Mit einem der berüchtigten "National Security Letters" kann der Anbieter dann gezwungen werden, alle Schlüssel herauszugeben. Da diese Verfügungen auch einen Knebelparagrafen enthalten, ist es dem Anbieter nicht einmal möglich, seine Kunden darüber zu informieren.

Verschlüsselung unter Peers

Die übrigen Services von "Silent Circle" werden dafür ausgebaut, das sind verschlüsselte Sprachtelefonie via Handy, sichere Chats, Videokonferenzen und Dateitransfers. All diese Dienste haben gemeinsam, dass sie wie Tauschbörsen aber auch Internettelefonie nach dem Peer-to-Peer-Prinzip funktionieren. Zwischen den Endgeräten wird ein temporärer Schlüssel ausgehandelt, wobei "Silent Circle" nur die Rolle eines neutralen Brokers spielt.

Wie die Verschlüsselung in der heiklen Phase ihres Aufbaus am besten abzusichern ist, war denn auch einer der wichtigsten Punkte während der Tagung der IETF. Dort ist gerade die Version 1.3 des Transport Layer Protocols (TLS) in Arbeit, die auch "HTTPS" und anderen Protokollen zu Grunde liegt.