Verschlüsselte Hintertürchen und der Tag, an dem im Internet das Licht aus ging


Young researchers discussing at HLF15. (c) Christian Flemming | HLF

Young researchers discussing at HLF15. Picture credit: Christian Flemming | HLFF

Heutige und zukünftige ethische und technologische Herausforderungen rund um das Thema Big Data standen beim diesjährigen Hot Topic "Brave New Data World" des Heidelberg Laureate Forums auf dem Dienstagnachmittagsprogramm. Einer der thematischen Workshops beschäftigte sich vor diesem Hintergrund unter dem martialischen Titel "Back-doors, Trap-doors and Crypto Wars" ("Hintertüren, Falltüren, und Verschlüsselungskriege") mit einer gar nicht einmal so neuen, aber im Moment immer wieder prominent diskutierten Frage: Ist öffentlich und frei verfügbare Verschlüsselungstechnologie ein Segen der Bürgerrechte und Bollwerk der Privatsphäre, oder doch eher ein Fluch des Außergesetzlichen und Rückzugsort des Illegalen?

Unter der Leitung von Peter Ryan (Professor für Angewandte Sicherheit an der Universität Luxemburg) bot der Workshop Raum und Anlass, ein klassisches Dilemma aus dem Spannungsfeld zwischen dem Anspruch des Bürgers auf Wahrung seiner Privatsphäre und Bürgerrechte, sowie dem notwendigen Wunsch der Exekutivorgane des Staates nach Zugang zu Informationen und Daten auch auf individueller Basis, zu diskutieren: Eine Gesellschaft muss ihren Vollstreckungsorganen gewisse Freiheiten und Möglichkeiten als Grundlage effektiven Arbeitens zugestehen, will auf der anderen Seite aber mindestens ebenso die jeweiligen Bürgerrechte und Privatsphäre unangetastet sehen.

Ryan eröffnete "sein" Thema mit einer historisch motivierten generellen Einführung in die verschiedenen relevanten Problembereiche rund um Verschlüsselungstechnologien und deren allgemeinen Nutzung. Für ihn teilt sich die (angewandte) kryptographische Menschheitsgeschichte in zwei Zeitalter: Die Ära vor Edward Snowden, und die Ära nach den Enthüllungen des US-amerikanischen Whistleblowers. Erst durch Snowden wurde einer breiten Öffentlichkeit bewusst, dass Geheim- und Sicherheitsdienste mindestens seit den Terroranschlägen des 11. Septembers 2001 Massenüberwachung betrieben haben und betreiben—Kommunikationsdaten werden massenweise und unabhängig vom Erzeuger eingesammelt und gespeichert, sogenannte Malware wird aktiv entwickelt und verbreitet, Sicherheitssysteme werden unterlaufen, transatlantische Datenkabel angezapft, die Sicherheit der Internetarchitektur selbst wird über den versuchten Einbau von Hintertüren (d.h., versteckten und nicht allgemein nutzbaren Zugangswegen zu sensiblen Daten) gefährdet.

Die Geschichte von staatlichen Bemühungen, Hoheit über (oder doch zumindest Zugang zu) privaten Daten ihrer Bürger zu erhalten, beginnt dabei bereits vor den tragischen Ereignissen des Jahres 2001. Bereits Anfang der 90er hatte beispielsweise die Clinton-Regierung in den USA versucht, vermittels des sogenannten Clipper-Chips und ähnlicher Hardware die Möglichkeit zu erhalten, mit Hilfe behördlich hinterlegter Schlüssel unter gewissen Umständen chiffrierte private Telefon- und Datenkommunikation entschlüsseln und auslesen zu können. Dieses Vorhaben führte bereits damals in gewissen Kreisen zu hitzigen Debatten, wurde allerdings (auch aufgrund technologischer Schwierigkeiten) nie in die Realität umgesetzt.

In ähnlichen Auseinandersetzungen, diesmal nur auf einer (noch) größeren Skala und unter Beteiligung weiter Kreise der Bevölkerung, bewegen wir uns heute wieder. Der Direktor des amerikanischen FBI verlangte unlängst nach dem gezielten Einbau behördlich nutzbarer "front doors" in Kryptographieverfahren, und David Cameron als britischer Premierminister bewegt sich in seinen öffentlichen Meinungsäußerungen zunehmend auf die Forderung zu, hart zu brechende Kryptographieverfahren zu verbieten. Dabei kommen häufig sehr stark emotional aufgeladene oder auf Stereotypen ruhende Argumente mit ins Spiel. Zwei Klassiker: Wer nichts zu verstecken habe, brauche auch keine Verschlüsselung. Und ohnehin, welchen Wert habe die verschlüsselte Kommunikation weniger im Vergleich zur Sicherheit aller.

Dabei sind derartige Forderungen allein aus technischer Hinsicht nur mässig sinnvoll. Verschlüsselungstechniken, welche "nur von den Guten" gebrochen werden können, sind als solche schlicht und einfach nicht vorstellbar—wie sollte das jeweilige Verfahren in der Lage sein, zu unterscheiden, wer nun um Dechiffrierung bittet? Weiterhin gilt im Allgemeinen, dass zusätzliche Komplexität des Verfahrens in der Kryptographie so gut wie immer zusätzliche Angriffs- und Fehlermöglichkeiten mit sich bringt. Allein schon deshalb würde der Einbau von komplexen Zugangs- und Authentifizierungsmechanismen für eine ausgewählte Klasse vertrauenswürdiger Wächter wohl die Hinzufügung ähnlich vieler illegitimer Einfallstüren für unerwünschte Akteure mit sich bringen.

Sowie, was die oben erwähnten Hintertüren anbelangt: Wie sich 2013 herausstellte, hatte die amerikanische NSA im DUAL_EC_DRBG, einem von ihr entwickelten und veröffentlichten (angeblich sicheren) Baustein weiterer Verschlüsselungsverfahren gezielt eine Schwäche eingebaut, welche ein Brechen der Verschlüsselung zulassen würden. Zusätzlich konnten Forscher zeigen, dass sich die bewusst hinzugefügte Schwäche gezielt gegen ein populäres Verschlüsselungsverfahren richten sollte—womit Teile der Integrität der gesamten Internetinfrastruktur in Gefahr gebracht wurden. Angesichts dessen klingen "Man muss vertrauen!" und "Alles für die öffentliche Sicherheit!" als häufig vorgebrachte Argumente von Kryptographiegegnern doch wenig beruhigend.

Dankenswerterweise beließ Ryan es nicht bei dieser doch relativ ernüchternden Aufnahme des Status Quo, sondern zeigte sich zuversichtlich, dass verstärkte Forschungsanstrengungen in die technologischen, aber auch in die sozialen und legalen Aspekte von Verschlüsselungstechnologien Auswege aus einigen der genannten Problemen zeigen könnten. In seinen Augen ist jedoch auch und vor allem die Gesellschaft in die Pflicht zu nehmen: Forschung benötigt Finanzierung, Debatten und Meinungsbildung muss öffentlich geschehen, Whistleblower wie der Eingangs erwähnte Edward Snowden müssen geschützt werden, Bürger müssen über Technologien, Gefahren, und Möglichkeiten aufgeklärt werden, und eventuell würde sogar ein internationaler Vertrag, welcher Rechte und Pflichten aller beteiligten Akteure festschreibt, fällig—quasi eine Magna Carta Libertatum des Internets.

Und auch nach der folgenden Diskussion mit Laureaten und jungen Forschern, in welcher entsprechende Bedenken geäußert wurden, wies Ryan noch einmal auf die Macht der Bürger auch gegenüber staatlichen Institutionen hin. Er nutzte dafür eines der eindrucksvollsten Beispiele zivilen Widerstands in der Geschichte des Internets: Den 18. Januar 2012, jenen Tag, an welchem im Internet (oder zumindest in signifikanten Teilen) das Licht aus ging. Wikipedia, Google, und Tausende anderer Webseiten hatten sich an diesem Tag Selbstzensur durch Schwarzfärbung auferlegt um gegen den geplanten US-amerikanischen Stop Online Piracy Act (SOPA) zu protestieren. Falls angenommen, hätte dieser Gesetzesvorschlag amerikanische Strafverfolger mit weitreichenden Eingriffs- und Blockaderechten für Webseiten ausgestattet, welche wohl unweigerlich auch zur Zensur von an sich "unschuldigen" Seiten geführt hätten. Und siehe da, das Gesetz wurde in der Tat nie verabschiedet. Hier ein Link zu einem Artikel des Boston Review zum 18. Januar 2012.


Ein Kommentar zu “Verschlüsselte Hintertürchen und der Tag, an dem im Internet das Licht aus ging”

  1. Dr. Webbaer Antworten | Permalink

    Es gibt einen zunehmenden gesellschaftlichen Bedarf Kommunikation mitzuhören, was natürlich aufwendig ist, aber womöglich auch einer gesellschaftlichen Entwicklung geschuldet, die womöglich Gegengesellschaften (vs. Parallelgesellschaften, die gab es immer, Beispiele müssen hier wohl nicht genannt werden) meint.
    Hierzu:

    Dabei sind derartige Forderungen allein aus technischer Hinsicht nur mässig sinnvoll. Verschlüsselungstechniken, welche "nur von den Guten" gebrochen werden können, sind als solche schlicht und einfach nicht vorstellbar—wie sollte das jeweilige Verfahren in der Lage sein, zu unterscheiden, wer nun um Dechiffrierung bittet?

    Streng philosophisch mag hier einer recht haben, in praxi, auch Betriebssysteme und Logik, wie sie bereits in der Hardware implementiert ist, nicht.
    Es könnte schon so sein, dass sich Herrschaft demnächst - demokratisch ergänzt natürlich nur - in heterogenen und wie oben angedeuteten Gesellschaftsystemen genau dadurch ergeben könnte, dass die IT-Infrastruktur beherrscht wird.
    Der zitierte "Gute" könnte also entscheidend bleiben, auch wenn natürlich korrekt bemerkt worden ist, dass der Gute auch ersetzbar wäre, aber dann wäre er nicht mehr der "Gute".
    Übrigens ist das eine Art Maximalforderung, dass sichere Systeme nur wie beschrieben gehandhabt werden sollen.
    Sicherheit, im Sinne der oben beschriebenen Unsicherheit, >:->, gerade auch kulturelle Herrschaft meinend, >:->, kann schon sichergestellt werden, sofern kultureller Vorsprung bestehen bleibt und Zugriff auf die Geräte-Produktion. [1]

    HTH
    Dr. W

    [1]
    Beim Zitierten klingt "ein wenig" der Security trough Obscurity-Gedanke durch, der kann schon, rein praktisch, funktionieren.

Einen Kommentar schreiben


+ 8 = dreizehn

E-Mail-Benachrichtigung bei weiteren Kommentaren.
-- Auch möglich: Abo ohne Kommentar. +