NSA benötigt Milliarden-Etat, weil Verschlüsselung sicher ist!

BLOG: Datentyp

Informatik, Daten und Privatsphäre
Datentyp

Erleben wir bald einen Software-Antiamerikanismus, den die US-Regierung zu verantworten hat?

 

Aktuelle Meldungen nach den Enthüllungen von Edward Snowden verunsichern die Bevölkerung. Tenor: Wenn die NSA nun auch etablierte Verschlüsselungsstandards wie SSL und VPN-Netzwerke „geknackt“ hat und auf Betriebssysteme von PCs und Telefonen Zugriff hat, verbleibe keine Überwachungslücke mehr und wir seien den Überwachern hilflos ausgeliefert. Daher bringe es nichts, Mails oder Festplatten zu verschlüsseln, irgendwie schaffen sie es ja doch, an unsere Daten zu kommen.

Die NSA kann keine Verschlüsselung brechen. Deswegen werden Umwege gegangen und Betriebssysteme, Hard- und Software kompromittiert.

Tatsächlich ist das Gegenteil der Fall! Die letzten von der NY-Times und dem britischen Guardian veröffentlichten Enthüllungen zeigen, dass starke Verschlüsselungsalgorithmen, die heute jedem zur Verfügung stehen, das wesentliche Problem der NSA schlechthin darstellen. Die Sicherheitsbehörde betreibt enorme Aufwände, um an die Inhalte verschlüsselter Kommunikation zu gelangen. Gängige Algorithmen sind beispielsweise der Verschlüsselungsstandard AES, der einen wichtigen Baustein bei der Etablierung vertraulicher Kommunikation darstellt. Dieser Algorithmus, der durch ein aufwändiges, öffentliches Findungsverfahren ermittelt und bereits vor seiner Standardisierung jahrelang wissenschaftlich untersucht wurde, kann nach heutigem Wissensstand weder durch mathematische Methoden noch durch geballte Rechenpower von Regierungen gebrochen werden. Aus diesem Grunde müssen die Überwachungsspezialisten aufwändige Umwege gehen. Der Ansatz ist dabei der folgende: Verschlüsselung wird durch Software oder Hardware realisiert, die vor dem Versenden oder nach dem Empfang der Nachricht tätig wird, damit die Kommunikationspartner die Nachricht lesen können. Je nach verwendetem Protokoll wird eine Information auch mehrfach während der Übertragung ver- und entschlüsselt, um das Zusammenspiel verschiedener Technologien zu ermöglichen. Gelingt es dem Überwacher, eine Komponente zu kompromittieren, die Zugang zur unverschlüsselten Nachricht hat, kann er die Information lesen, ohne dass der Algorithmus selbst gebrochen werden musste. Den gleichen Erfolg erzielt er, wenn er für eine fehlerhafte Implementierung des Algorithmus sorgt, d. h. die Software die Schutzwirkung selbst wieder aufhebt, oder er Implementierungsfehler entdeckt und diese nicht offen legt.

Welche Befehle die CPU ausführt, können wir über den Blick auf das Display nicht nachprüfen.

Die Anwender haben tatsächlich schlechte Karten, wenn sie sich davon überzeugen möchten, dass die eingesetzte Software eine Kommunikationsüberwachung wirksam verhindert. Installierte Programme nehmen wir zunächst nur als Icons wahr, d. h. wir vertrauen implizit darauf, dass der Doppelklick tatsächlich die Software startet, die wir verwenden wollen. Anschließend sehen wir eine grafische Oberfläche, d. h. Dialogboxen, Fenster und Menüs, die dem gewohnten Look-and-Feel eines Mailprogramms, eines Browsers oder anderen Softwarehelfern entsprechen. Wir haben aber keine Möglichkeit über unsere fünf Sinne festzustellen, ob die Software nicht verändert oder sogar vollständig ausgetauscht wurde. Es ist nicht schwierig, ein Programm zu schreiben, das ein anderes Programm Pixel-genau nachbildet und im entscheidenden Moment etwas völlig anderes tut. Welche Befehle die CPU des PCs ausführt, können wir über den Blick auf das Display aber nicht nachprüfen.

Es existieren Sicherheitsmechanismen, die uns dabei unterstützen, die Authentizität von Software zu überprüfen und Veränderungen zu bemerken. Wenn der Hersteller die Software digital signiert hat und unser Betriebssystem den öffentlichen Signaturschlüssel des Herstellers kennt, können wir sicherstellen, dass wir tatsächlich das korrekte Programm installieren und nicht eine manipulierte oder nachgebildete Version. Derartige Mechanismen sind heute Standard und werden beispielsweise bei der Installation von Gerätetreibern genutzt, die nach der Anschaffung neuer Hardware installiert werden. Die Wirksamkeit setzt aber eine Vertrauensbeziehung voraus: Der Hersteller liefert uns nur Software aus, die keine (ihm bekannten) Sicherheitslücken enthält und das Betriebssystem, die Systemsoftware und darunter liegender Hardware ist vertrauenswürdig und hebt den Schutz nicht durch eigene Hintertüren auf. Und genau hier setzte die NSA an: Hersteller wurden genötigt, Schwachstellen auszuliefern, die eine Kommunikationsüberwachung ermöglichen; Sicherheitslücken in Betriebssystemen wurden ermittelt und geheim gehalten, oder es wurden Hintertüren vorsätzlich eingebracht, um Zugang zu den Endgeräten wie PCs und Smartphones zu erhalten. Der Aufwand für die Überwacher ist hoch, weil für eine Vielzahl von Softwareprodukten und auszuliefernden Versionen die Kompromittierung erfolgen muss; der gesamte Markt an Betriebssystemen, Softwareprodukten und frei verfügbaren Werkzeugen muss ständig beobachtet werden, um einen wesentlichen und andauernden Überwachungserfolg zu erzielen. Eine volle Abdeckung wird dabei nicht erreicht, es verbleiben stets eine Vielzahl von Systemen und Produkten, die sich einer Überwachung entziehen: Snowden selbst lieferte hier ein Beispiel und nutzte das bei Endanwendern leider kaum verbreitete und quelloffene Werkzeug GPG, um Informationen wirksam zu verschlüsseln, die er Journalisten zukommen ließ.

Eine Besonderheit spielt die US-Softwareindustrie, die den Markt in den Bereichen PC-Betriebssystemen, Officesoftware, Smartphonebetriebssystemen, Internetbrowsern und Netzwerkkomponenten  dominiert. Da wesentliche technologische Bausteine der digitalen Kommunikation dem kommerziellen Erfolg von US-Unternehmen zu verdanken sind, ist bis heute die US-Industrie führend bei Produktion und Weiterentwicklung von Kommunikationstechnologien. US-Behörden sitzen daher an der Quelle und können über Unternehmen, die in den Vereinigten Staaten beheimat sind oder Produktionsstätten betreiben, Einfluss auf die Überwachbarkeit der globalen IT-Landschaft nehmen.

Die US-Softwareindustrie steht vor einem Scherbenhaufen.

Für die derzeitige Vorgehensweise der NSA gibt es trotz der recht kurzen Geschichte der Datenfernübertragung bereits ein historisches Vorbild: In den Neunzigern wurde der US-Softwareindustrie auferlegt, nur geschwächte Verschlüsselungsverfahren mit ihren Softwareprodukten international auszuliefern (Krypto-Exportkontrolle), um eine Entschlüsselung von gesicherten Daten mit erträglichem Rechenaufwand zu ermöglichen. Da verbreitete Softwareprodukte wie Webbrowser und Mailprogramme aus den USA exportiert wurden und es oft keine Alternativen gab, erwies sich diese gesetzlich verankerte Vorgabe zunächst als erfolgreich und führte weltweit dazu, dass Internetnutzer ihre Daten nur schwach schützten, obwohl der PC technisch in der Lage war, einen starken Schutz zu bieten. Gleichzeitig erhielt jedoch eine neuer Industriezweig starken Rückenwind, der außerhalb der USA hergestellte Sicherheitsprodukte auf den Markt brachte oder kostenlos zum Download anbot, die die Exportrestriktionen wieder aufhoben. Nachdem der politische Druck seitens Bürgerrechtler und Kongressabgeordneter größer wurde und auch die amerikanische Softwareindustrie befürchtete, wesentliche Marktanteile aufgrund der Exportkontrolle zu verlieren, wurden die Export-Bestimmungen schließlich zur Jahrtausendwende in weiten Teilen aufgehoben [1].

Was die NSA heute tut, ist also eine Fortsetzung dessen, was in den Neunzigern bereits erfolgreich versucht wurde: Software wird in der Implementierungsphase vorsätzlich „beschädigt“, um die Vertraulichkeit der Kommunikation aufzuheben. Der wesentliche Unterschied ist heute die Heimlichtuerei. Während die Anwender in den Neunzigern wussten, welche Schwächung für bestimmte Browserfunktionen implementiert waren und die Auswirkung auf die eigene Kommunikation aufgrund dokumentierter Schwächungen einschätzen konnten, steht die US-Softwareindustrie nun vor einem Scherbenhaufen: Die verunsicherten Anwender wissen nun, dass massiv in die Sicherheitsfunktionalität eingegriffen wurde und dass eine erschreckende Unbekümmertheit staatlicher Stellen bei der Manipulaton von Softwareentwicklungsprozessen in US-Firmen herrschte.

Fragen Sie Ihren Arzt, Rechtsanwalt oder Steuerberater, ob er amerikanische Software einsetzt!

Ob Softwarehäuser zum Einbau von Hintertüren überwiegend gezwungen wurden [2] oder sich aus einer patriotischen Pflicht heraus zum Handeln aufgefordert sahen, wird noch aufzuklären sein. Das Ergebnis ist aber dasselbe: Anwender aus aller Welt können amerikanischer Software nicht mehr trauen; sie müssen davon ausgehen, dass diese in ihrer Sicherheitsfunktionalität vorsätzlich beschnitten ist. Die Konsequenzen werden erst langsam sichtbar werden, wenn erst einmal die Aufregung über die Snowden-Enthüllungen vorüber ist: Besorgte Europäer werden ihren Arzt, Rechtsanwalt oder Steuerberater fragen, ob dieser amerikanische Software zur Verarbeitung vertraulicher Daten einsetzt und um die Hintertüren weiß. Sicherheitslücken stehen nicht nur exklusiv der NSA zur Verfügung sondern können potentiell auch von nicht im staatlichen Auftrag handelnden Kriminellen genutzt werden. Deutsche Gerichte werden entscheiden müssen, ob die fortgesetzte Nutzung von US-Software nicht bereits eine fahrlässige Verletzung der Schweigepflicht impliziert. Die gleiche Frage wird man inländischen Behörden und Unternehmen stellen, die besonders schutzwürdige Daten verarbeiten. Ist es noch zumutbar, Behördenanfragen zu beantworten, wenn der kommunale Sachbearbeiter die sensiblen Informationen über seinen Windows-Arbeitsplatz-PC eintippt? Der Schaden für die US-Softwareindustrie kann derzeit kaum bemessen werden. Die amerikanische Regierung hat einen Software-Antiamerikanismus heraufbeschworen, der sich nicht auf wenige politische Aktivisten beschränken sondern breite Schichten der Gesellschaft und große Bereiche des Wirtschaftslebens erfassen wird. Sollten sich auch deutsche Unternehmen den Wünschen amerikanischer Behörden gebeugt und ohne gesetzliche Grundlage in Deutschland Hintertüren in Software eingebaut haben, werden sie sich unangenehmen Fragen und auch Schadenersatzforderungen stellen müssen.

Quelloffene Software führt in Richtung Technologietransparanz, die Überwachungsspezialisten Kopfschmerzen bereitet.

Eine wichtige Rolle wird zukünftig Open-Source-Software spielen, die jedem Interessierten Einblick in den Quellcode gewährt und die Überprüfung der Software auf Hintertüren sowie die Erweiterung um Sicherheitsfunktionen erheblich erleichtert. Es treten zwar auch im Open-Source-Umfeld Implementierungsfehler auf, die jahrelang unentdeckt bleiben und die Software verwundbar machen, und auch eine Manipulation von Standards, bevor diese in Software gegossen wird, ist denkbar. Trotzdem stellt quelloffene Software einen wichtigen Schritt in Richtung Technologietransparanz dar, der Überwachungsspezialisten Kopfschmerzen bereitet. Zukünftig wird man noch genauer hinsehen, woher der offene Quellcode kommt und wer die Entwicklung vorangetrieben hat. Ein Vorteil von quelloffener Software ist zudem, dass man mit geringem Aufwand verdächtige Komponenten von Grund auf neu erstellen oder gegen Bestandteile aus anderen Projekten austauschen kann. Dies könnte zukünftig einige Bibliotheksfunktionen betreffen, die von US-Softwarehäusern bereitgestellt wurden.

 

Quellen:

[1]: Neue Exportregelung des US-Handelsministeriums ab Januar 2000:  http://epic.org/crypto/export_controls/regs_1_00.html

[2]: “In some cases, companies say they were coerced by the government into handing over their master encryption keys or building in a back door.” (NY Times vom 06.09.2013)
http://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html?hp&_r=1& 

 

”The purpose of computing is insight, not numbers.” (Richard Hamming) Ulrich Greveler studierte in Gießen Mathematik und Informatik, arbeitete sechs Jahre in der Industrie im In- und Ausland, bevor er als Wissenschaftler an die Ruhr-Universität nach Bochum wechselte. Seit 2006 lehrt er Informatik mit dem Schwerpunkt IT-Sicherheit an der Fachhochschule Münster (bis 03/2012) und der Hochschule Rhein-Waal (seit 03/2012). Sein besonderes Interesse gilt datenschutzfördernden Technologien und dem Spannungsverhältnis zwischen Privatsphäre und digitaler Vernetzung.

16 Kommentare

  1. Zustimmung

    Vielen Dank für Ihren informativen Artikel! Ihre Einschätzung bezüglich der negativen Auswirkungen der Snowden-Enthüllungen auf die US-Softwareindustrie sind sicherlich richtig, aber erst die “Spitze des Eisbergs.” Auch die US-Rüstungsindustrie dürfte massive Einbußen erleben, wenn sich bei den Militärs weltweit erst einmal herumgesprochen hat, dass ihre tollen, neuen Hi-Tech-Waffensysteme aus US-Produktion per Knopfdruck deaktiviert werden können.
    Was uns noch bevorsteht ist der Moment, wenn die Bürger der westlichen Demokratien begreifen, dass auch Wahlen (z.B. die Bundestagswahl) von der NSA manipuliert werden können, da die Wahlergebnisse (zum Teil) auf elektronischem Wege übermittelt werden. Wer kann ausschließen, dass die NSA versucht, US-freundlichen Kandidaten und Parteien an die Macht zu verhelfen? Damit verlieren Regierungen ihre demokratische Legitimation.
    Mein Fazit: Die Snowden-Enthüllungen werden die Welt ähnlich drastisch verändern wie seinerzeit 9/11

  2. Warum wohl?

    @WB:
    Das ist doch offensichtlich! Die NSA macht, ihrem Auftrag folgend, _alles_, von dem sie glaubt, dass es der US-Vormachtstellung in der Welt nutzt.

  3. end2end

    Wobei das ja noch komplizierter ist.
    Opensource hat sicherlich den Vorteil, daß prinzipiell jedermann in die uellen sehen kann, richtig.
    Das heißt aber nicht, daß es wirklich getan wird, und auch nicht, daß implementierungsfeheler überhaupt erkannt werden (openssl-Debakel auf Debian, IPSEC durch das FBI verseucht auf FreeBSD)
    Selbst bei nachweisbar sauberem Quelltext kann ein Compiler Backdoors erzeugen, die im Quelltext gar nicht stehen, das ist ein alter Hut: http://cm.bell-labs.com/who/ken/trust.html
    Und auch dann: Sauberer Quelltext, ein sauberer Compiler, ein sauberes Betriebssystem mit sauberen Bibliotheken: Letztlich wird die Verschlüsselung vom Prozessor gemacht – dem müssen wir also auch vertrauen.
    Was nicht immer gut ist, ganz aktuell: https://lists.openwrt.org/pipermail/openwrt-devel/2013-September/021318.html

    Also: da muß die gesamte Kette, durch die unsere Daten laufen, vertrauenswürdig sein. Sobald ein Glied ausfällt (DE-Mail!), kann man dem ganzen System eigentlich nicht mehr trauen.

  4. @Rainer S.

    Richtig: 100% Sicherheit gibt es auch bei Open-Source Produkten nicht.
    Aber: Während bei OS-Produkten eine Kompromitierung _möglich_ ist, ist sie bei US-closed-source-Software _sicher_.

    Ausschlaggebend für meine Entscheidung pro Open-Source sind daher eher politische Erwägungen: Ich gehe davon aus, dass Umsatzeinbußen in der US-Industrie zu Arbeitsplatzabbau führen wird und damit genug politischer Druck erzeugt wird, der schlußendlich einen Politikwechsel erzwingen kann.

  5. @ Andreas

    Nun, den Antiamerikanismus hat natürlich für einige immer “Amerika” zu verantworten, so ist es auch beim einzigen anderen gegen ein Land gerichteten Anti-X-ismus.

    Insofern ist die Motivlage nicht uninteressant, vielleicht ist deren Beleuchtung sogar notwendig bei der Beschreibung des “NSA-Phänomens” (wobei andere Dienste nicht anders handeln müssen).

    Der Schreiber dieser Zeilen gibt zu bedenken, dass die politische Spionage und die Industrie-/Wissenschaftsspionage Mitwisser generiert, die in Systemen, die der Aufklärung verpflichtet sind, oft straffrei bleiben können, zumindest um den Schutz ihrer Umgebung unbesorgt.

    Insofern war der Artikel womöglich unvollständig.

    MFG
    Dr. W

  6. Typo

    “das bei Endanwendern leider kaum verbreitete und quelloffene Werkzeug GPG”
    Das ist logischerweise nicht weit verbreitet, da es eigentlich PGP heisst (Pretty Good Privacy) 😉

  7. Antworten

    @WB:
    Hier gilt es – wie so oft im Leben – zu differenzieren: Die Ablehnung der Methoden eines Geheimdienstes muss nicht zwangsweise die Verachtung eines ganzen Volkes bedingen.
    Den letzten Abschnitt Ihres Beitrags habe ich nicht verstanden.

    @Hr. Bednarik:
    Die Verwendung des One-Time-Pad ist insofern problematisch, da es dem Verwender eine Sicherheit vorgaukelt, die evtl. nicht existiert: Sobald auch nur ein Bestandteil des Gesamtsystems kompromitierbar ist, kann von Sicherheit keine Rede mehr sein. Im Zweifelsfall ist die Sicherheitslücke im Betriebssystem, in einem Gerätetreiber oder im Mikrocode der CPU/GPU.
    Dabei mache ich mir weniger Sorgen um meine eigenen Daten, sondern um die Manipulierbarkeit von Wahlergebnissen (s.o.). Eine kurze Recherche meinerseits legt nahe, dass das gesamte System der Erfassung und Übermittlung des Wählerwillens ernsthafte Sicherheitslücken aufweist.
    (Mir ist durchaus bewusst, dass das nach VT klingt. Der geneigte Leser mag daher selbst recherchieren und sich eine eigene Meinung bilden.)

    Mit freundlichen Grüßen!

  8. @ Andreas

    Den letzten Abschnitt Ihres Beitrags habe ich nicht verstanden.

    Sie müssen sich diesbezüglich und politisch ein wenig fitten. Klar, es mangelte im Artikel “ein wenig” an der politischen Einordung…

    Derartige Aussagen – ‘Wer kann ausschließen, dass die NSA versucht, US-freundlichen Kandidaten und Parteien an die Macht zu verhelfen? Damit verlieren Regierungen ihre demokratische Legitimation.’ (von Ihnen weiter oben) – sind halt Klöpse und sollen nicht uneingeordnet bleiben.

    Wenn eine im Bereich der IT fähige Kraft, und der Schreiber dieser Zeilen will weder den werten Inhaltegeber noch sich selbst ausschließen, politisch wird, hat das in einem Kontext zu geschehen, der auch als solcher klar erkennbar ist und bleibt.

    MFG
    Dr. W (der schon Besseres gelesen hat)

  9. Genau!

    Herr Greveler, seit langem habe ich keinen so vernünftigen Artikel zum Thema IT mehr gelesen. Allerdings: “amerikanische Software” sollte durch “proprietäre Software” ersetzt werden.

    Zum Thema “fragen Sie ihren Arzt…”: Seit Jahren versuche ich bei befreundeten Ärzten Bereitschaft für Opensource zu wecken. Es gibt Pogramme, z.B.
    http://wiki.gnumed.de/bin/view/Gnumed/WebHomeDE
    die benutzbar sind, aber die Ärzte verstecken sich alle hinter den Vorgaben der KVs. Als Entwicklerin/Systembetreuerin weiss ich darüberhinaus aus eigener Erfahrung: Niemand lasst sich softwaretechnisch so leicht abzocken (es gibt ja auch eine finanzielle Komponente), in Abhängigkeiten treiben und verteidigt diesen Zustand so sehr, wie Ärzte und Rechtsanwälte. Da erzählt mir ein äusserst beeindruckter Arzt, wie ein Systembetreuer über Netviewer (!) das Praxisprogramm aus der Ferne wartet (die Lizenz der Software lässt es nicht zu, dass jemand vor Ort Wartungsarbeiten erledigt). Es wird argumentiert, dass die Softwarefirmen aktualisierte Diagnoseschlüssel der KVs einspielen, als ob das nicht auch mit OS möglich wäre.
    Ich kenne Arztpraxen, die können “aus Sicherheitsgründen” keine EMail empfangen, haben aber heute noch (2013) Win2K am laufen (“unser Systembetreuer sagt, dass wäre schon ok, wir haben ja ‘nen Virenschutz”). Letztendlich verstecken sich alle hinter den Vorgaben der KVs. Anforderungen an Datenschutz, Patientenschutz und Verschwiegenheit werden einfach so ignoriert. Ich mache zwei grosse Probleme aus: Bequemlichkeit und Seilschaften.
    Äusserst lesenwert zum Thema:
    http://www.danisch.de/…ung-so-nicht-funktioniert
    auch wenn es in diesem Artikel vordergründig um was anderes geht.

    Grosse Firmen wie z.B. IBM oder EADS (im Entwicklungsbereich) fahren sehr gut mit OSSoftware. Der Nutzen (gerade in Punkto Sicherheit) überwiegt bei weitem den Einsatz an Entwicklern und dass vermeintliche “aus der Hand geben” der Ergebnisse von deren Arbeit. München hat riesige Erfolge mit OS. In China wird gerade auf staatliche Anordnung nach Linux (Ubuntu) migriert. Sehr interessant auch:
    http://en.wikipedia.org/…/List_of_Linux_adopters
    man könnte den Eindruck bekommen, dass man in Deutschland softwaretechnisch hinter dem Mond lebt.

    Und das Schöne an OS: wenn man interessiert ist kann man nachschauen und weiss, wie die Software funktioniert.

  10. Wenn eine Behörde erstmal den Umfang und das Budget einer NSA (10,8 Mia.$) erreicht, ist ihr Eigenleben nicht mehr zu stoppen. Sie immer in der Lage sein, die Gründe zu konstruieren, die ihrer Budget erforderlich machen. Die Hauptmotivation wird sein, gut dotierte Arbeitsplätze in den NSA zu erhalten Eine objektive Aufwands/Nutzen-Analyse für solche Organisationen wird es nicht geben. Es ist offensichtlich, dass motivierte und informierte Kriminelle, die NSA umgehen können.

  11. Die Geheimdienste in Deutschland können ebenfalls zur Kooperation einladen, über die dann nicht berichtet werden darf. Das Problem ist also nicht nur amerikanische Software, sondern proprietäre Software allgemein. Wenn IT-Verbände für proprietäre Verschlüsselungssoftware werben und Mitglieder wie BKA und BSI vertreten, dann muss jeder selbst entscheiden, wie weit er diesen vertrauen will. Welche Sicherheitsbehörde ist denn nicht an Informationen interessiert, das gilt doch nicht nur für die NSA.

    Und da trifft man auf das nächste Problem: Oft wird IT-Sicherheit nur akzeptiert, wenn sie irgendwie zertifiziert ist, womit dann die eigene Verantwortung abgeschoben werden kann. Nur wenn die Zertifizierung intransparent ist, ist es reine Vertrauenssache. Asymetrische Hintertüren bei der Erstellung von öffentlichen Schlüsseln sind schwer nachzuweisen. Quelltext selbst kompilieren wird aber nicht akzeptiert, weil nicht zertifiziert.

    Interessant dabei ist die Geschichte um Dual_EC_DRBG. Die Bedenken waren lange im Raum, eine Hintertür bekannt. Trotzdem haben sogar Unternehmen wie RSA Security (EMC) dies als default eingestellt. Entweder auf Druck von oben oder einfach, weil eben zertifiziert. Den Krypto-Experten von RSA muss man unterstellen, dass sie die Schwächen kannten. Ob dann die Entscheider das Problem nicht verstanden haben oder eben dazu überredet wurden, dies als Standard einzubauen, wer weiss?

    Nun hat die NSA auch bei anderen Standards mitgeholfen und beraten. Gerade bei Hashfunktionen. Und dass sie da durchaus über Wissen verfügen, dass öffentlich nicht zugänglich ist, zeigt die Analyse von Flame.

    SHA-3 hat einen gewissen Bezug zu AES.
    “… durch ein aufwändiges, öffentliches Findungsverfahren ermittelt…”
    Die Änderungen durch NIST sind oft ohne transparente Erklärung, gerade bei SHA-3 und mit dem aktuellen Bewusstsein kommen jetzt Fragen auf.

    Beratende Stellen gibt es auch hier, das BSI z.B. Auf bei OpenSource wird beratend eingegriffen. Ob das dann immer Programmierfehler sind oder bewusste Manipulation, die dann als “Fehler” dargestellt werden kann, wird man oft nicht klären können. Das Thema ist also doch etwas komplexer als “etablierte Verschlüsselung ist sicher”.

  12. DE-Mail

    Achso, wie wird nochmal begründet, dass die DE-Mails zwischendurch entschlüsselt werden? Virenschutz? Achso, na dann; dachte schon, da will jemand kurz ein Blick drauf werfen.

    Der Aufschrei in Deutschland sollte bei den deutschen Sicherheitsbehörden ansetzen. Nicht nur auf NSA blicken, denn das Interesse der Behörden hier an einer Zusammenarbeit mit Diensten wie NSA, die deutlich besser ausgestattet sind, ist gross, da wird Kanzleramt und Innenministerium nicht ablehnen. Hier im Lande sind also die deutschen Behörden verantwortlich. Die regierende Politik hat ebenso Interesse an Informationen und Daten, spielt also mit. Nur begeben sie sich dann auch in eine Abhängigkeit, die offensichtlich gross genug ist, das Treiben der Dienste nicht transparenter zu regeln.

    Im Bereich Videoüberwachung spielen dann auch noch finanzielle Interessen der Hersteller eine grosse Rolle, die die Neugier der Behörden bedienen. Und exportiert werden sollen Überwachungstechnologien auch noch, damit man auch in diesem Sektor Exportweltmeister bleibt.

Schreibe einen Kommentar