beebright - Fotolia

Verschlüsselung: Hintertüren führen ins Nichts

Durch Hintertüren oder eine abgeschwächte Entschlüsselung wird die Komplexität jedes Systems erhöht. Und damit auch die Gefahr neuer Schwachstellen.

FBI-Direktor James Comey überklebt seine Webcam mit Tesafilm – da er nie weiß, wer eventuell zuschauen könnte. Comey hat seine Webcam damit effektiv unhackbar gemacht. Er hat die vollständige Kontrolle über seinen elektronischen Kommunikationskanal und verhindert jeden Ordnungshüter daran, ihn zu beschatten. Verschlüsselungstechnologien sind der Tesafilm-Strategie sehr ähnlich. Beide schützen Informationen sowohl vor ruchlosem Hacking als auch legaler Überwachung. Wie Comey bei seiner Webcam wollen auch Verschlüsselungsexperten die volle Kontrolle über ihre elektronische Kommunikation behalten.

Heutzutage suchen Regierungen allerdings nach Hintertüren in den Verschlüsselungsstandards. Viele Länder, vom Vereinigten Königreich, den Vereinigten Staaten, China bis hin zu Russland, glauben, dass eine schwache Verschlüsselung die nationale Sicherheit stärkt und damit vor Terrorismus schützt. Globale Nachrichtendienste sollen so eine größere Chance haben, Terroristen aufzuspüren und zu fangen. Tatsächlich gefährden niedrige Verschlüsselungsstandards jedoch die Sicherheit von jedem: Denn sie machen es auch Hackern einfacher, an vertrauliche Daten zu gelangen.

Was ist Verschlüsselung?

Einfach ausgedrückt ist Verschlüsselung ein Weg, etwas so komplex zu gestalten, dass es nur jemand versteht, der im Besitz eines speziellen Schlüssels ist. Dieser Schlüssel stellt eine einzigartige Sequenz an Buchstaben und Nummern dar. Es gibt verschiedene Arten von Verschlüsselungen. In der Regel hat bei der verschlüsselten Kommunikation zwischen zwei Parteien jede jeweils zwei Schlüssel: Einen öffentlichen (der mit jedem geteilt werden kann) und einen eigenen, geheimen, privaten Schlüssel.

Der Sender überprüft den öffentlichen Schlüssel des Empfängers und nutzt ihn, um die Nachricht unverständlich zu machen oder zu entschlüsseln. Nur mit dem privaten Schlüssel des Empfängers kann sie endgültig entziffert werden. Eine Person, die beispielweise während des Online-Bankings mit ihrer Bank kommuniziert, ist Teil einer Ende-zu-Ende-Konversation. Die Bank hat, wie der Kunde, einen privaten und einen öffentlichen Schlüssel. Damit wird eine Ende-zu-Ende-Kommunikation zwischen dem Kunden und dem Bank-Service aufgebaut und mit dem richtigen Grad an Verschlüsselung versehen. Selbst jemand, der die Konversation aufzeichnet, wäre dann ohne die entsprechenden privaten Schlüssel nicht in der Lage, sie zu verstehen.

Das Verbot von hoher Verschlüsselung

Auch der Streit von Apple und dem FBI, bei dem es darum ging, das iPhone eines Terroristen zu knacken, zeigt, dass Behörden von Unternehmen angemessene Maßnahmen zur Informationsbeschaffung erwarten. Sie wollen Informationen, die sie entschlüsseln können – und dass Firmen jederzeit Zugang zu den Daten ihrer Kunden haben. Diese Erwartung unterscheidet sich nicht stark von der „Snooper’s Charter“ der britischen Regierung. Nach diesem Gesetz würden Strafverfolger und Sicherheitsdienste die Macht haben, jede Kommunikation zu entschlüsseln und zu beobachten. Eine hohe Verschlüsselung würde per Gesetz verboten sein – aber kann sie tatsächlich verboten werden?

Verschlüsselungsverfahren sind im Grunde genommen Algorithmen. Die Formeln für solche mathematischen Operationen sind allgemein bekannt. Niemand kann dieses Wissen auslöschen. Man kann eine Formel damit genauso wenig wie eine Idee verbieten.

Die Entschlüsselung

Angesichts der heutigen Verschlüsselungsstärke ist es unmöglich, einen langen, privaten Schlüssel durch brutale Gewalt herauszufinden. Das heißt, mithilfe eines starken Tools den richtigen Schlüssel zu erraten. Die beste Rechenleistung, um einen Schlüssel zu knacken, haben auch nicht nur die wohlgesinnten Regierungen. Auch Kriminelle können eine starke Rechenleistung zusammenbringen – dank Botnets von Zombie-Computern. Damit sind PCs gemeint, die Hacker für ihre Attacken nutzen. Die eigentlichen Besitzer und Nutzer der Computer sind dabei ahnungslos. Die Begrenzung der Verschlüsselungsstärke kann Regierungen zwar dabei helfen, leichter an Informationen zu gelangen. Sie setzt aber auch die Sicherheit aller aufs Spiel, die durch Verschlüsselung geschützt sind.

Fordert eine Regierung dennoch einen Zugang zu Informationen an, muss sie zunächst Internet-Provider dazu bringen, ihre Systeme zu ändern. Diese müssten so gestaltet sein, dass die Regierungen die Schlüssel abfangen oder durch eigene ersetzen können. Eine andere Möglichkeit wäre, sie zu vereinfachen, so dass sie leicht zu erraten wären; oder einen Master-Schlüssel zu besitzen, der alle entschlüsseln könnte. Doch egal auf welchem Weg, diese Maßnahmen würden Nutzer, Organisationen und Unternehmen gleichermaßen gefährden – und darüber hinaus auch die Nützlichkeit und Macht des gesamten Internets untergraben.

„Die Begrenzung der Verschlüsselungsstärke kann Regierungen zwar dabei helfen, leichter an Informationen zu gelangen. Sie setzt aber auch die Sicherheit aller aufs Spiel, die durch Verschlüsselung geschützt sind.“

Richard Anstey, Intralinks

 

 Auf globaler Ebene kann Verschlüsselung nicht verboten werden. Einzelne Regimes können zwar ihre Gesetze anpassen und so Service-Providern verbieten, ihren Nutzern eine starke Verschlüsselung zu ermöglichen. Die Natur der Cloud setzt sich jedoch über alle geographischen Grenzen hinweg. Diejenigen, die keine abgeschwächte Verschlüsselung nutzen wollen, können mit einem Mausklick einen Service-Provider aus einer anderen Region wählen. Laut einer Studie stammen allein 546 Verschlüsselungsprodukte von außerhalb der USA, darunter 112 Produkte aus Deutschland.

Stark bleibende Verschlüsselung

Regierungen wollen die legale Möglichkeit, Daten ohne das Wissen oder Einverständnis der Nutzer zu entschlüsseln. Doch um die Kommunikation vor den „bösen Jungs“ zu schützen, wird eine starke und unkomplizierte Verschlüsselung benötigt. „Hintertüren“ oder eine abgeschwächte Entschlüsselung erhöhen die Komplexität jedes Systems und damit auch die Gefahr neuer Sicherheitslücken. Werden Service-Provider einer Region verboten, wenden sich die Nutzer an Dienstleister aus anderen Ländern. Das Verbot von hoher Verschlüsselung ist wie das Verbot von Tesafilm: Sollten wir James Comey dazu zwingen, den Tesafilm von seiner Webcam zu entfernen – nur für den Fall, dass Ordnungshüter ihn heimlich im Rahmen einer Untersuchung beschatten wollen?

Über den Autor:
Richard Anstey ist Chief Technology Officer EMEA bei Intralinks. Bevor er zu Intralinks kam, war er als Chief Architect bei OpenText für die Entwicklung von Technologien für das Informations-Management-Portfolio des Unternehmens verantwortlich, einschließlich Innovationen und Technical-Due-Diligence bei Übernahmen. Während dieser Zeit leitete er das globale Produkt-Management-Team und überschritt die Umsatzgrenze von 1 Mrd. US-Dollar. Richard Anstey besitzt über 15 Jahre Erfahrung im Informations-Management.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Was die FBI-vs.-Apple-Diskussion für Unternehmen bedeutet.

AES und DES: Der Unterschied bei der Verschlüsselung.

Brauchen wir immer noch Verschlüsselung für Daten in der Cloud?

Wie Hacker arbeiten: Wahl der Ziele, Angriffsdauer und Methoden.

Artikel wurde zuletzt im September 2016 aktualisiert

Erfahren Sie mehr über Hacker-Tools und -Techniken, Untergrundseiten, Hacker-Gruppen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close