Erstellt am: 30. 12. 2013 - 15:52 Uhr

Jahr der Verschlüsselung 2014

Auf dem 30. Chaos Computer Congress wurden dieses Wochenende mehr Verschlüsselungsprogramme präsentiert als in der gesamten Geschichte des zivilen Internets zusammen.

Diese neuen Verschlüsselungsprogramme haben zwar unterschiedliche Features - verschlüsselte Chats, File Transfer oder Foren - aber eine ganze Menge gemeinsam. Diese Systeme sind samt und sonders dezentral angelegt und funktionieren nach demselben Prinzip, wie man es von Tauschbörsen kennt.

Die jeweiligen PCs treten dabei in direkten "Peer to Peer"-Kontakt, auch die Schlüssel werden nirgendwo im Netz gespeichert. Anders als etwa bei verschlüsselten E-Mails fallen bei dieser Art von sicherer Kommunikation so gut wie keine Metadaten an, die von der NSA abgegriffen könnten.

Serverlose Netzwerke

Einige der neuen Ansätze kommen sogar völlig ohne Server aus, wie das GNUnet-Projekt. Strukturell ist es ebenso ein "Peer to Peer"-Netzwerk wie die anderen neuen Verschlüsselungssysteme, der Quellcode wird natürlich offengelegt. Zum einen ist das Grundbedingung dafür, dass ein Kryptografieprogramm auf seine Sicherheit überprüft werden kann. Zudem stammen die Projekte alle aus der Linux-Sphäre, GNUnet verweist vom Namen her sogar zurück in die 80er Jahre.

Da hatte ein Hippie namens Richard Stallman mit dem GNU-Projekt das Zeitalter freier Software ausgerufen und eine ganze Reihe von selbst geschriebenen Programmen für die proprietären Unix-Betriebssysteme dieser Zeit frei ins Internet gestellt.

Ein solch protoypisches "Hackerprojekt" aber wird im auslaufenden Jahr 2013 von der Deutschen Forschungsgesellschaft, der TU München, der niederländischen NLnet-Stiftung und sogar dem FP7-Fonds der EU gefördert.

BitTorrent für Stille Post

Davor schon hatten die Macher des populären Filesharingsystems BitTorrent ein ganz ähnliches Vorhaben angekündigt. Auch beim verschlüsselten BitTorrent-Chat werden die Benutzer nicht über einen zentralen Server geroutet. Zur Kontaktaufnahme wird vielmehr ein Mechanismus benutzt, der bereits in vielen Programmen, die auf das BitTorrent-Protokoll aufsetzen, zur Anwendung kommt.

Das Routing passiert nach einer Art Stille-Post-Prinzip, das alle teilnehmenden Rechner nacheinander abfragt, ob sie einen bestimmten Schlüssel kennen. Der gehört einem bestimmten Benutzer, der sich nicht mit Benutzernamen sondern nur mit der Signatur seines Schlüssels ausweist. Bei einer solchen Kommunikationsart gibt es für die NSA nur unter enormem Aufwand irgendetwas an Metadaten abzugreifen, denn die sind irgendwo auf privaten Rechnern rund um die Welt verstreut.

NSA-Angriffe gegen Firewalls

Parallel dazu wartete Der Spiegel mit neuen Einzelheiten zur NSA-Spionage auf. Dem Geheimdienst ist es ganz offensichtlich gelungen, die Sicherheitssoftwares im Bereiche Rooting und Firewalls der wichtigsten Hersteller - Cisco, Juniper und Huawei - dauerhaft zu kompromittieren.

Ganz nach dem Muster der gemeinen Cyberkrimininellen, die gestohlene Zugangsdaten zu Bankkonten usw. an andere Kriminelle verkaufen, bietet die NSA-Spezialeinheit ANT Generalschlüssel für eine ganze Reihe Firewalls an. Ebenso kam heraus, dass die NSA mit dem bereits bekannten Tool "Quantum insert" Benutzer des sozialen Netzes für Wirtschaftskarrieristen LinkedIn systematisch Schadsoftware untergejubelt.

Jabber nur noch verschlüsselt

Bereits vor Weihnachten waren die Entwickler des XMPP-Protokolls mit einem Manifest an die Öffentlichkeit getreten. Das XMPP-Protokoll liegt der populären Software Jabber und vielen Chatprogrammen zu Grunde. Mit einem Plugin namens OTR ("Off the record") lassen sich Chats sicher End-to-End verschlüsseln. Diese ist bis jetzt eine Option, doch bis zum Mai soll das gesamte Protokoll so umgestaltet werden, dass alle XMPP-Benutzer nur noch verschlüsselt untereinander kommunizieren

Jabber mit OTR gilt momentan als beste und sicherste Möglichkeit dem NSA-Schleppnetz zu entschlüpfen, völlig sicher ist es allerdings nur dann, wenn die XMPP-Verbindung über das TOR-Netzwerk geroutet wird.

NSA-Anfrage beim TOR-Projekt

Tor

Das TOR-Projekt im Überblick

Die TOR-Netzwerke waren natürlich ebenfalls großes Thema auf dem Congress. Der Gründer des Anonymisierungsnetzes Roger Dingledine erzählte dort über die Versuche von US-Regierungsseite, eine Überwachungsschnittstelle in das TOR-Netz hinein zu reklamieren.

Nicht wirklich überraschend wurde dabei "Kinderpornografie" ins Feld geführt. Wie davor schon Linus Torvalds, der sich geweigert hatte, einen bestimmten Zufallszahlengenerator für den Linux-Kernel zu präferieren, hatte man auch seitens der TOR-Netzwerker ein höfliches "get lost" als Antwort auf das Begehren der NSA.

Das TOR-Konzept stammt zwar ursprünglich aus dem militärisch-elektronischen Komplex der USA. Doch wie die aktuell neu vorgestellten Programme wurde auch TOR von einer Handvoll Coder auf einer Hackerkonferenz (USENIX 2002) präsentiert und dann mit Unterstützung der Electronic Frontier Foundation weiterentwickelt.

Wie Zwiebelrouting funktioniert

Dieses Netz aus "Zwiebelroutern" - TOR steht für "The Onion Projekt" - heißt so, weil es dem Schälen einer Zwiebel etwas ähnelt. Der erste, zufällig ausgewählte der mittlerweile mehr als 4.000 Router stellt mit dem Webbrowser des Benutzers eine verschlüsselte Verbindung her und leitet dessen Anfrage an den nächsten TOR-Knoten weiter.

Dazwischen wird jeweils erneut verschlüsselt, die beim Transport laufend anfallenden Metadaten werden dabei weggeworfen. Die Route jedes Benutzers wird so vollständig verschleiert, zumal schon Knoten Nummer zwei nicht mehr weiß, von welcher IP-Adresse der Benutzer ursprünglich gekommen war. Das Programm ist ein simples Plugin für Firefox und ermöglicht es beispielsweise Benutzern hinter der Großen Firewall in China, dort zensurierte, westliche Nachrichtenmedien zu konsumieren.

Jabber über TOR

Am Ende des TOR-Netzwerkes, wobei man üblicherweise über mehr als drei Zwiebelrouter geht, landet man allerdings wieder im Wilden Weiten Web, in dem das Datenfaustrecht der Geheimdienste gilt. Wie alle Verschlüsselungsprogramme hat auch TOR seine Grenzen, denn End-to-End-Verschlüsselung hat das Zwiebelnetz selbst nicht zu bieten.

Die Route ab dem letzten TOR-Server bis hin zur Zielwebsite ist unverschlüsselt, ab dort fallen wieder die üblichen Metadaten an, auch der Betreiber der Zielwebsite kann über Browsereinstellungen und Cookies den Benutzer identifizieren. Wer XMPP allerdings über TOR benutzt, oder darüber eine Zielwebsite ansteuert, um sich dort mit "https" verschlüsselt einzuloggen, ist de facto unsichtbar.

Auch wenn sie derzeit noch Schwachstellen aufweisen, in der XMPP-Anwendung "Cryptocat" wurde etwa im Sommer eine eklatante Sicherheitslücke entdeckt, so sind diese neuen Programme doch geeignet, der NSA die Arbeit enorm zu erschweren.

Hacker als bürgerliche Avantgarde

Ihre gegenwärtige Dominanz verdankt diese Agency nämlich dem Umstand, dass sie mehr als zehn Jahre lang ungestört daran arbeiten konnte, diese einzigartige Stellung aufzubauen. Alleine schon das Bekanntwerden ihrer multiplen Ansätze und Methoden, alle nur denkbaren Sicherheitsmaßnahmen zu unterminieren, hat einen Teil dieser Methoden unwirksam gemacht.

Die nunmehr von freien Hackern vorgestellten Kryptografieprogramme sind nur die ersten Vorboten einer gegenläufigen Bewegung, um die Wildwestregeln der NSA im Netz außer Kraft zu setzen. Statt Datenfaustrecht sollen auch dort die Gesetze der Zivilgesellschaft gelten. Die Hacker am CCC sind damit als Avantgarde angetreten, um eine zutiefst bürgerliche Sicht der Dinge durchzusetzen: Auch im Internet müssen die Gesetze der Zivilgesellschaft gelten, auch das Netz ist kein rechtsfreier Raum.