Einführung in Verschlüsselung

Mit Prism und Tempora ist jedem Menschen klar geworden, dass seine Nachrichten zu keiner Zeit vertraulich und privat sind. Seit Jahren haben einige davor gewarnt, nun wird diese Tatsache für uns alle zum anerkannten Fakt.

Dennoch haben viele Menschen das grundsätzliche Bedürfnis, dass ihre Privatsphäre respektiert wird. Sie möchten nicht immer darüber nachdenken müssen, was sie sagen und schreiben, weil sie Angst vor falschen Verdächtigungen, Nachstellungen und Störungen in ihrer Umwelt haben – oder zumindest haben sollten!

Ende-zu-Ende

Die Wege, die unsere Nachrichten im Internet nehmen, können wir nicht kontrollieren. Wir haben wieder einen Beweis erhalten, warum wir unserem eigenen Staat (und den “befreundeten” Staaten) nicht mehr trauen dürfen. Es ist deshalb Notwehr, die Daten direkt bei uns bis hin zum Empfänger durchgehend (Ende-zu-Ende) zu verschlüsseln.

Das Konzept der Ende-zu-Ende-Verschlüsselung sieht vor, dass nur der Sender und der Empfänger die Nachricht im Original kennen. Der Transport der Nachricht erfolgt über unsichere Wege, die transportierte Nachricht kann sogar leicht abgefangen werden. Aber sie kann nicht gelesen werden, sie ist unnütz, da nur Sender und Empfänger die Nachricht in ihr Original verwandeln können.

Der Schlüssel

Das Konzept ist dabei immer dasselbe. Die Nachricht wird mit Hilfe eines Schlüssels so verändert, dass nur der Besitzer des Schlüssels (oder einer Kopie davon) die Nachricht wieder herstellen kann.

Denken wir an den alten Cäsar Cipher. Der Name klingt unbekannt und doch haben viele als Kinder im Spiel diese Ersetzung benutzt: Man legt 2 Streifen mit dem Alphabet übereinander und verschiebt einen Streifen um, sagen wir, 4 Buchstaben. Beim Schreiben der geheimen Nachricht wird jeder Buchstabe des einen Streifens mit dem entsprechenden des anderen Streifens (4 Stellen weiter) ersetzt. A wird zu E, B wird zu F, C wird zu G und so weiter.

Um den Zugang zu einer Nachricht zu erschweren, braucht man also 2 Dinge:

  • Einen Schlüssel – beim Cäsar Ciper ist das die Anzahl der Stellen, um die wir das Alphabet verschieben
  • Den Verschlüsselungsalgorithmus – beim Cäsar Ciper ist das die Tatsache, dass wir das Verschieben von Alphabet-Streifen nutzen

Unsere Wohnung

Wenn wir unsere Haustür abschließen, passiert im Prinzip das gleiche. Wir erschweren den Zugang zu unseren Dingen, die im Haus lagern. Wir lagern diese Dinge in einem Gebäude mit einem Türschloss (Algorithmus). Mit Hilfe eines Schlüssels bekommen wir den Zugang zu unserem Inhalt.

Wir haben also einen Schlüssel und nur der Besitzer dieses Schlüssels kommt berechtigt in das Haus – also sozusagen an den Inhalt. Wichtig ist es, hierbei zu erkennen, dass wir den Zugang zu unserem Haus nicht absolut dicht machen können.

Der Einbrecher

Wir wissen, der Einbrecher nutzt unterschiedliche Techniken, um unbefugt in unser Haus zu kommen. Zum Beispiel:

  • Er macht sich eine Kopie von dem Schlüssel oder nutzt einen Originalschlüssel
  • Er knackt das Türschloss, ohne den Schlüssel zu besitzen
  • Er nutzt einen anderen Weg (z.B. Fenster) in das Haus.

Wir wissen, wenn jemand in das Haus hinein will, wird er auch einen Weg finden. Mit Hilfe von Fenstersicherungen, Alarmanlagen und Wachpersonal können wir diesen Weg in das Haus so schwer machen, dass für den Einbrecher der Aufwand in keinem Verhältnis mehr zum Nutzen steht. Es hängt also davon ab, für wie schützenswert wir die Dinge halten, die wir im Haus lagern.

Codebrecher

Ähnlich wie mit den Einbrechern in unser Haus ist es mit den Einbrechern in unsere digitale Kommunikation. Die Kryptoanalyse ist das Fachgebiet, welches sich mit der Entschlüsselung von Informationen beschäftigt, wenn KEIN berechtigter Zugang zur Information existiert. Menschen und Systeme, die sich mit diesen Techniken beschäftigen, sind sozusagen die Einbrecher in unser Haus.

Verschlüsselung einfach technisch

Für die Verschlüsselung der eigenen Online-Kommunikation braucht es drei Dinge:

  • Eine Nachricht (zB. eMail)
  • Einen Verschlüsselungsalgorithmus (zB. AES )
  • Einen Schlüssel

Die Nachricht wird mit Hilfe des Verschlüsselungsalgorithmus und des Schlüssels so verfremdet, dass sie nicht mehr lesbar ist. Um sie wieder lesbar zu machen, braucht man den Algorithmus und den Schlüssel.

Das Problem mit dem Schlüssel

Das alles wäre soweit ganz einfach, wenn es da nicht ein Problem gäbe. Irgendwie müssen Sender und Empfänger den Schlüssel erst einmal austauschen. Bei unserem Haus geben wir den Schlüssel oder Kopien davon an Menschen, von denen wir wollen, dass sie auch in das Haus kommen. Wenn diese Menschen aber in Australien wohnen würden, wäre das mit der Schlüsselübergabe etwas schwieriger.

Mit den digitalen Schlüsseln ist es genau das gleiche Problem. Wie bekomme ich den Schlüssel vom Sender zum Empfänger? Per E-Mail scheidet aus. Hier könnte ich den Schlüssel gleich auf eine Postkarte kleben und in den Briefkasten werfen. Ebenso wissen wir seit den 80er Jahren von Programmen wie Echolon – so dass die Schlüsselübergabe per Telefonanruf auch nicht der sicherste Weg ist, da fast alle Kommunikation abgehört wird.

Das besondere Schlüsselsystem

Und an dieser Stelle wird die digitale Welt einzigartig. Wir bedienen uns speziellen mathematischen Funktionen, die es möglich machen, statt einen Schlüssel ein Schlüsselpaar zu bekommen. Von diesem Paar ist ein Schlüssel „öffentlich“ und der andere „privat“.

Statt wie bisher den gleichen Schlüssel zum Verschließen und Öffnen zu verwenden, kann jeder Teilschlüssel des Schlüsselpaars nur in eine Richtung verwendet werden. Entweder zum Verschließen oder zum Öffnen. Wir machen uns also keine Gedanken mehr, wem der „öffentliche“ Schlüssel in die Finger geraten könnte, denn damit kann man zwar verschlüsseln, aber nicht entschlüsseln.

Und so lösen wir das Problem wie der Schlüssel zum Empfänger kommt. Denn der benötigte Teilschlüssel (Publickey) ist ja jetzt öffentlich. Wir hinterlegen diesen öffentlichen Schlüssel einfach irgendwo im Netz. In der wirklichen Welt würde man sagen – irgendwo bei einem Notar oder einer Bank beispielsweise.

Das Versenden von Nachrichten

Wenn wir also eine Nachricht an jemanden senden wollen, müssen wir uns nicht mehr auf einen gemeinsamen Schlüssel einigen. Wir suchen einfach im Internet den öffentlichen Schlüssel des Empfängers und verschlüsseln die Nachricht damit.

Nur der Empfänger, der als einziger den privaten Schlüssel (Private Key) besitzen sollte, kann diese Nachricht wieder entschlüsseln. Dieses Verfahren heißt deshalb Public-Private-Key Verfahren oder asymetrische Verschlüsselung.

Digitale Signatur

Wir haben ein Schlüsselpaar aus einem privaten und einem öffentlichen Schlüssel. Bei Nachrichten, die verschlüsselt werden sollen, nutzt der Absender den öffentlichen Schlüssel des Empfängers. Interessant ist die Tatsache, dass die Schlüssel auch noch umgekehrt genutzt werden. Beim Unterschreiben will der Absender dem Empfänger ja mitteilen, dass genau er es war, der die Nachricht geschrieben hat. Und das wiederum kann der Absender nun mit seinem PRIVATEN Schlüssel tun. Und der Empfänger kann mit dem ÖFFENTLICHEN Schlüssel des Absenders überprüfen, ob die Nachricht tatsächlich vom Absender kam.

Also:

  • Verschlüsseln mit dem öffentlichen Schlüssel des Empfängers
  • Unterschreiben mit dem privaten Schlüssel des Absenders

Das Problem des Vertrauens

Wenn wir also eine Nachricht versenden wollen und wir finden irgendwo den öffentlichen Schlüssel des Empfängers. Woher wissen wir dann, dass der öffentliche Schlüssel TATSÄCHLICH dem Empfänger gehört? Hätte nicht unser Einbrecher einfach versuchen können, sich als der freundliche Nachbar von nebenan auszugeben um mich zu täuschen?

An dieser Stelle erkennen wir, dass am Ende immer irgendwo Vertrauen existieren muss. Wir müssen dem Nachbar vertrauen, dem wir den Schlüssel geben, oder dem Notar, der Bank oder dem Freund. Wir vertrauen ihnen, dass sie den Schlüssel für mich und andere sicher aufbewahren.

Digitales Vertrauen

Für dieses Problem gibt es zwei grundsätzliche Lösungen in der digitalen Welt. Eines davon ist strikt hierarchisch aufgebaut. Es gibt eine zentrale Stelle, einen Notar oder eine Bank sozusagen. Ein Trustcenter. Wenn diese Stelle die Echtheit eines Schlüssels bestätigt, und wir dieser Stelle vertrauen, dann vertrauen wir auch dem Schlüssel selbst. Wir vererben praktisch das Vertrauen.

Dieses Verfahren kommt zum Beispiel bei Zertifikaten zum Einsatz. Wenn man ein solches Verfahren großflächig einsetzen möchte, spricht man von einer PKI – eine Public Key Infrastruktur. Denn was passiert zum Beispiel wenn ein Schüssel nicht länger gültig sein darf, weil der Einbrecher den privaten Schlüssel gefunden und kopiert hat?

In Finnland wird das ganze bereits in den 90er Jahren über ein staatliches Trustcenter umgesetzt. Alle Personalausweise haben einen privaten Schlüssel zu dem es einen öffentlichen Schlüssel bei diesem Trustcenter gibt. Dort kann man also ganz einfach die Echtheit eines Schlüssels überprüfen – wenn man dem Staat traut. Genau genommen ist in Finnland auf den Personalausweisen ein Zertifikat. Aber das führt hier zu weit.

Und damit sind wir bei der zweiten Lösung. Der Begriff heißt „Web-of-Trust“ oder Netz des Vertrauens. Das Prinzip beruht darauf, dass wir Menschen in unserer Umgebung unterschiedlich stark vertrauen. Menschen, denen wir besonders stark vertrauen glauben wir auch, wenn sie uns andere Menschen empfehlen. Durch solche Vertrauens- und Empfehlungsketten entsteht ein Netz des Vertrauens, und man kann Menschen vertrauen, die man gar nicht kennt.

In der Praxis wurde dieses Verfahren durch Phil Zimmermann’s PGP (Pretty Good Privacy – heute GPG) umgesetzt. Vermutlich spielte auch die gerade zu dieser Zeit gemachte Entdeckung eines speziellen NSA-Abhörchips für alle Computer (Clipper / Skipjack) eine Rolle, dass man grundsätzlich über die Frage des Vertrauens gegenüber Behörden nachdachte.

Abwägungen

Gegen das PKI-System spricht das Problem des Vertrauens in eine einzige zentrale Stelle, gegen das Web-of-Trust das Problem dieses zu verteilen und aufzubauen.

Im beruflichen Umfeld ziehe ich gegenwärtig die PKI-Lösung mit Zertifikaten vor, denn Zertifikate spielen in einigen anderen technischen Umsetzungen ebenfalls eine Rolle und das Handling von Zertifikaten ist bei einigen Betriebssystemen bereits integriert.

Im privaten Umfeld erscheint aber die PGP /GPG- Lösung geeigneter, da sie dezentral funktioniert und auch in anderen Open-Source Anwendungen umgesetzt werden kann. Es wird auf eine zentrale Vertrauensstelle verzichtet.

Dass ich im obigen Artikel nicht über die tatsächlich stattfindende hybride Verschlüsselung schreibe und manche Fakten arg strapaziert habe, möge mir der Experte verzeihen.

Fazit

Verschlüsselung ist einfacher, als man glaubt. Jeder, der das Internet für seine private Kommunikation nutzt, kann diese selbst verschlüsseln – damit der Staat ab morgen wieder klingeln muss, wenn er sich Zugang zu unserem privaten digitalen Wohnzimmer verschaffen möchte.

Allerdings fehlt immer noch ein Massenprodukt auf dem Markt, welches allen Anforderungen gerecht wird – speziell wenn es um die einfache Bedienbarkeit geht. Wichtig wäre es deshalb, wenn von öffentlicher Seite her die Forschung und Entwicklung an freier und im Quellcode offener Software und Diensten gefördert wird, die eine sichere Kommunikation und den Schutz unserer Privatsphäre im Netz sicherstellen.

Aktuell wird auf EU-Ebene das Horizon2020-Rahmenforschungsprogramm ausgestaltet. Das wäre die nächste große Chance für alle europäischen Regierungen, ihre Bürger in Zukunft besser zu schützen – auch wenn bezweifelt werden darf, dass es dafür von Regierungsseite ein ausreichendes Interesse gibt.

 

Über den Autor: Oliver Grube (43) ist CISSP (Certified Information System Security Professional) und verantwortet bei einem internationalen Lebensmittelhersteller die Netzwerksicherheit in Europa. Als Mitglied der Piratenpartei kandidiert er in Schleswig-Holstein für den Bundestag.

Related Images:

Snowden – Faustpfand Russlands

Als amerikanischer Staatsbürger ist Edward Snowden für Russland Gold wert. Der russische Präsident Wladimir Putin bezeichnete die Situation jüngst als “ein Geschenk, wie zu Weihnachten”. Ich glaube deshalb nicht, dass Russland tatsächlich einen “Wistleblower”[1] vor der Todesstrafe in Amerika schützen will. Human Rights aren’t useful for business.

Deshalb interessiert mich nebenbei die Frage, welchen Deal Russland nun anstreben könnte. Geht es vielleicht um die hart umkämpfte Stationierung des NATO-Raketenschildes? Oder Handelserleichterungen? Oder möchte Russland Amerika zu anderen Zugeständnissen bewegen? Fakt ist, dass Russland seine Verhandlungsposition mit dem Faustpfand Snowden gestärkt haben dürfte.

Wie auch immer… es geht es um Macht- und Wirtschaftsinteressen. Menschenrechte spielen hierbei wohl kaum wirklich eine Rolle. Wie groß die Angst vor weiteren, tiefgreifenderen Veröffentlichungen von Edward Snowden bei der US-Regierung sein könnte, erkennt man am Appell “Er sollte nach Hause kommen und den Mut haben, sich den Anschuldigungen zu stellen“. Interessant in diesem Kontext die die Formulierung “nach Hause”. Sie impliziert eine Heimat für Edward Snowden, die er leider nicht mehr haben kann.

 

[1] Mit dem Begriff Wistleblower tue ich mich bei Edward Snowden etwas schwer. Ebenso wie Bradley Manning hat er Geheimnisverrat begangen. Und – entscheidend in diesem Zusammenhang – die US Regierung hat wahrscheinlich nicht gegen ihre Gesetze verstoßen. Wistleblower sind Menschen, die Missstände aufdecken – dort, wo gegen Gesetze verstoßen wird. Doch unabhängig davon hat Mr. Snowden Schutz verdient und er hat ehrenvoll und richtig gehandelt. Er zählt zu den wenigen Menschen, deren moralischer Kompass noch in Ordnung zu sein scheint. Menschenrechte hätten niemals über Gesetze so ausgehöhlt werden dürfen! Vorsicht, Deutschland, vor den Merkels und Friedrichs dieser Welt!

Related Images:

Des #PRISM’s Kern

Die gegenwärtige PRISM (und TEMPORA etc.) Diskussion geht meines Erachtens ein Stück am Kern vorbei. Deshalb möchte ich hier ein paar Überlegungen äußern, die einen weiteren Blickwinkel auf die Geschehnisse eröffnen könnten:

1. Das Ziel jedes Unternehmens ist die Gewinnmaximierung. Also suchen die Unternehmen alle Einkommensfelder, die sie finden können. Und wenn es keine gibt, erschließen sie welche. Die Wege der Erschließung sind schwer. Bereits an dieser Stelle spielt die Politik eine zentrale Rolle. Denn zunächst müssen Gesetze geschaffen werden, die diese Erschließung legalisieren – zum Beispiel die Überwachungstechnologie. Deshalb haben heute die Politiker selbstherrlich Recht, wenn sie behaupten, dass alles nach Recht und Gesetz geschehen müsse – genau nach den Gesetzen nämlich, die vorher von den Unternehmen mit entsprechender Lobbyarbeit geschaffen wurden.

2. Information ist ein sehr wertvolles Gut. Früher waren es primär Informationen über Staaten, Ihre Pläne und Absichten. Die Informationsbeschaffung war darauf ausgerichtet. Die klassische Spionage. Durch das Industriezeitalter wurde die Information als das Wissen um den Technologievorsprung betrachtet. Die Spionage dehnte sich langsam auf den Sektor der Wirtschaftsspionage aus. Spätestens zu diesem Zeitpunkt waren ideologische Freund/Feind Bilder unwichtig. Das Festhalten am alten Begriff der Freundschaft passiert nur noch der lieben Bevölkerung wegen – es sind Interessen die uns verbinden – oder eben nicht. Freundschaft hin oder her. Heutzutage ist die Spionage auf ein weiteres Ziel ausgerichtet: dem Machterhalt. (Das war früher die klassische Gegenspionage).

3. Mit dem Käufer hat das Internet eine neue Informationsware entdeckt. Der Mensch mit all seinen Gewohnheiten und Vorlieben ist es, der nunmehr mit “zielgerichteter” Werbung adressiert wird. Und dazu werden Techniken benutzt, die immer präziser einen Menschen identifizieren können – Data Mining, Data Correlation um ein paar Stichworte zu nennen. Ob jetzt nur Bewegungsdaten oder auch Inhaltsdaten erfasst werden ist eine dieser Verschleierungsdiskussionen, die im Gesamtzusammenhang an Relevanz verlieren. Das Ganze hat seinen Einzug unter dem Begriff “Big Data” gehalten und damit wurde salonfähig verschleiert, wie extrem die Überwachung schon fortgeschritten ist und welcher Grad der Detaillierung bereits erreicht wurde. Weder Hersteller noch Nutzer von Überwachungssystemen müssen sich mehr verstecken – es gibt große Events auf denen die Vorteile in aller Deutlichkeit präsentiert werden.

Wenn wir also über Überwachung reden, so reden wir zunächst über Wirtschaftsinteressen. Denn das ist es, was im Kern hinter dem Ganzen steckt. Menschenrechte, Informelle Selbstbestimmung – wenn interessiert das denn wirklich, wenn sich Millionen und Millionen verdienen lassen? Wen interessiert das, wenn er mit Hilfe dieser Techniken seinen Status sichern und seinen Wohlstand nähren kann?

Einem Unternehmen vorzuwerfen, dass es Geld verdienen möchte, ist absurd! Ja, ich bestätige hier gerne, dass Unternehmen ein legitimes Recht haben, Ihre Güter zu schützen. Das macht auch jeder von uns mit seiner Wohnung, wenn er die Tür abschließt.

Einem Staat und seinen Politikern aber vorzuwerfen, dass sie unter dem Deckmantel der Arbeitsplätze und des Technologiestandortes, die Ziele der Wirtschaft als die Staatsziele verkaufen, ist aber absolut notwendig. Und als dieser Deckmantel drohte, an Wirkung zu verlieren, wurde auf den allgegenwärtigen Terrorismus und all die abartig-böse andere Kriminalität verwiesen. Wohlgemerkt – es geht eigentlich immer noch nur um Geld.

Politiker sollten Lobbyisten der Menschen sein, nicht der Unternehmen. An Ihnen liegt es die Balance zu halten. Es liegt an Ihnen sicher zu stellen, dass das Geldverdienen nicht zur neoliberalen Maxime der Gesellschaft wird. Und die Unternehmen werden alles tun, um genau das sicher zu stellen.

Related Images:

elitäre Wahlprüfsteine

Gerade vor den Wahlen werden eine große Anzahl von Vereinen, Verbänden, Organisationen, Instituten und so weiter hektisch. Statt sich einfach über Parteien und Ihr Programm zu informieren, schicken Sie so genannte Wahlprüfsteine durch die Gegend. Das sind Fragen, die mehr oder weniger suggestiv versuchen eine möglichst zustimmende Meinung zu Ihrem Anliegen aus den beteiligten Parteien herauszukitzeln. Und das nicht nur an die Parteizentralen, sondern teilweise auch an jeden einzelnen Kandidaten.

Weiterlesen

Related Images: