DDie Tage des Papiers sind gezählt. Mit dem Umsteigen ganzer Wirtschaftszweige auf elektronische, digitale Kommunikation schwindet die Bedeutung nicht nur von kiloschweren Katalogen, sondern auch von papiernen Zahlungsanweisungen, Quittungen, Frachtpapieren und Siegeln, von Stempeln, Pressen und Federhaltern. Banknoten fristen schon jetzt ein letztes Nischendasein bei Privatleuten, im Einzelhandel und als Schwarzgeld. Papierdokumente sind durch mehr oder weniger gründlichen Augenschein authentifizier- und nur mit hohem Aufwand manipulierbar. Digitale Informationen dagegen lassen sich perfekt, beliebig oft und von jedem Computerbesitzer vervielfältigen.
Auch papierne Post wird es in absehbarer Zeit nur noch im Privatbereich geben. Während für das unbemerkte Abfangen, Lesen oder Fälschen fremder Briefe ein hoher Aufwand zu treiben ist, lassen sich digitale Datenpakete automatisiert auswerten und bei Bedarf verändern. Ob Konstruktionspläne, Verhandlungsspielräume oder Übernahmeangebote: Das geistige und dingliche Eigentum ganzer Volkswirtschaften liegt demjenigen zu Füßen, der sich in den Datennetzen auskennt.
Authentizität und Vertraulichkeit müssen jedoch keineswegs der Digitalisierung zum Opfer fallen - im Gegenteil. Die Kryptographie kann Geheimnisse sicherer bewahren als jeder Tresor und Fälschungen besser verhindern als eine eigenhändige Unterschrift. In Militärkreisen ist Verschlüsselung daher etwas Selbstverständliches.
Die Vorstellung, daß Bürger unbelauschbar kommunizieren können, hat bereits zu umstrittenen nationalen Regelungen geführt: Frankreich und die USA behandeln starke, das heißt ausschließlich über das Durchprobieren aller möglichen Schlüssel zu knackende Kryptosoftware ähnlich wie Tötungswaffen; Deutschland bastelt an einer Entschlüsselungspflicht. Die Nationalstaaten sehen ihre Bedeutung schwinden und beginnen, sich zu wehren. Gerne dient dazu das Argument, anders sei gegen organisierte Kriminalität kein Gras gewachsen.
Kritiker bezweifeln, daß sich Drogenhändler und Waffenschieber brav an eine Kryptoreglementierung halten und per behördlich hinterlegtem Generalschlüssel (Key Escrow) abhörbar machen würden. Sie befürchten sogar eine neue Kriminalitätswelle: Hinterlegte Schlüssel - etwa von Großunternehmen - könnten Begehrlichkeiten Dritter wecken, einzelne Behördenangestellte um ihre Familien fürchten lassen und Industriespionen die Arbeit wesentlich erleichtern.
Trotz solcher Aussichten soll kräftig hinterlegt werden: Die USA erlauben nur denjenigen Firmen den Export von Kryptoprodukten mit Schlüssellängen über 40 Bit, die sich zur Einrichtung einer solchen Hintertür verpflichten.
40 Bit, etwa 1012 mögliche Schlüssel, lassen sich innerhalb von Stunden durchsuchen. Unmittelbar leidet darunter vor allem die US-Softwareindustrie; Aktionen wie die RC5-Challenge von RSA (inzwischen ein Unternehmen von Security Dynamics) sind nicht uneigennützig. Solch spektakuläre Werbeaktionen (siehe Kasten) sollen Kryptographie ins Bewußtsein der Öffentlichkeit und auf die Einkaufslisten sicherheitsbewußter Firmen hieven.
Noch haben Politiker aber fast freien Handlungsspielraum, denn die Bedeutung der Kryptographie steht im krassen Gegensatz zu ihrer derzeitigen Akzeptanz. Nicht nur private EMail-Kommunikation verläuft fast ausschließlich unverschlüsselt und unsigniert. Der Redaktion ist eine namhafte deutsche Firma bekannt, die unter dem Druck japanischer Konkurrenz steht und dennoch vertrauliche CAD-Dateien völlig ungesichert über das Internet transportiert.
Die Idee, eine Nachricht für Dritte unleserlich zu machen, ist fast so alt wie die Schrift an sich. Eine der ersten bekannten Methoden war die von den Griechen benutzte Skytale. Um einen Zylinder mußte ein Papierstreifen gewickelt werden, darauf schrieb der Sender der Nachricht in Längsrichtung seinen Text. Der abgewickelte Streifen war das Versandstück, und der Empfänger brauchte nun einen Zylinder gleichen Durchmessers, um den Text zu entschlüsseln. Dies ist ein sehr frühes Beispiel für einen symmetrischen Schlüssel: Sender und Empfänger müssen in Besitz des gleichen geheimen Schlüssels (Private Key) sein, um Nachrichten austauschen zu können.
Die simple Skytale ist ein gutes Beispiel für einen schwachen Kryptoalgorithmus: Man muß nicht alle möglichen Zylinder durchprobieren (Brute-Force-Angriff), um an den Klartext zu gelangen. Vielmehr genügt bereits eine genaue Betrachtung von Teilen des verschlüsselten Textes (Kryptoanalyse), des Papierbandes, um den Durchmesser des ursprünglichen Stabs und damit den Schlüssel für den ganzen Text zu erhalten.
Im folgenden sind - mit Ausnahme der Enigma - starke Algorithmen vorausgesetzt, die nach heutigem Kenntnisstand nur über das Durchprobieren aller möglichen Schlüssel angreifbar sind. Starke Verschlüsselung steht heute jedem Computeranwender zur Verfügung - zum Beispiel die freie Software PGP (Pretty Good Privacy) von Phil Zimmermann, und nur die Verfügbarkeit starker Verfahren rechtfertigt überhaupt die derzeitige Diskussion um Schlüssellängen.
Bei einer starken Verschlüsselung wird der Klartext derart mit dem Schlüssel verknüpft, daß das Resultat (Chiffrat) keinerlei Rückschlüsse auf den ursprünglichen Inhalt zuläßt, etwa durch statistische Analysen. Da die genauere Beschreibung einzelner Algorithmen diesen Rahmen sprengen würde, sei auf die reichhaltige Literatur und die unzähligen Ressourcen im Internet verwiesen.
Der Einsatz von elektronischen Chiffrier- und Dechiffriermaschinen begann im zweiten Weltkrieg - gerade wegen einer statistischen Schwäche: Die Alliierten knackten Enigma-verschlüsselte Nachrichten der Deutschen (das Prinzip der Nazi-Chiffriermaschine lebt immer noch in der Software crypt für Unix-Systeme). Die Schwäche der Enigma: Ein Zeichen des Chiffrats war auf keinen Fall dem gleichen Zeichen des Klartexts zuzuordnen.
Danach begann ein regelrechter Wettlauf der Kryptographen beim Entwickeln von Codes, deren Knacken einen höheren Aufwand bedeutet, als es die zu gewinnende Information rechtfertigen könnte. Elektronische Rechenhilfen haben ihre Geburt nicht zuletzt diesem Einsatzzweck zu verdanken.
Ein Problem ähnlich dem Henne-Ei-Rätsel stellt sich bei der praktischen Anwendung von Kryptographie. Vor dem gesicherten Nachrichtenaustausch muß beiden Seiten der passende Schlüssel zur Verfügung stehen - doch auch ein Schlüssel ist eine Nachricht, die abgehört werden kann. 1977 hatten Ronald Rivest, Adi Shamir und Leonard Adleman eine heute gängige Lösung: den nach seinen Entwicklern RSA genannten Public-Key-Algorithmus. Er ist asymmetrisch, verwendet also zur Ver- und Entschlüsselung zwei verschiedene Schlüssel. Einer davon läßt sich frei veröffentlichen, der andere bleibt tunlichst geheim.
Soll jemand eine verschlüsselte Nachricht erhalten, schlägt man dessen öffentlichen Schlüssel nach und kodiert damit die Nachricht. Diese ist nur vom Eigner des zugehörigen Private Key lesbar. Das Schlüsselmanagement übernehmen Key-Server, zum Beispiel http://math-www.uni-paderborn.de/pgp/
Public-Key-Verfahren machen symmetrische Schlüssel nicht überflüssig, da erstere einen wesentlich höheren Rechenaufwand erfordern. Sie können aber perfekt dazu herhalten, symmetrische Schlüssel auf sichere Weise zu übertragen. Da sie in beiden Richtungen funktionieren, können sie auch zur Authentifizierung dienen: Mit dem öffentlichen Schlüssel läßt sich verifizieren, ob der Absender über den geheimen Schlüssel verfügt.
In der Regel verschlüsselt ein Absender, der lediglich Authentizität gewährleisten will, nicht seine Texte, Daten oder Programme, sondern einen Extrakt daraus. Zu diesem Zweck existiert eine Reihe von Message-Digest- oder Hash-Algorithmen, die sich mehr oder weniger erfolgreich dem Problem stellen, möglichst unreproduzierbare Ergebnisse mit typischen Längen zwischen 128 und 256Bit zu erzeugen.
Der mit dem Private Key verschlüsselte Extrakt ist die digitale Signatur, die auch etwas schief als elektronische Unterschrift bezeichnet wird. Anders als eine Unterschrift ist die digitale Signatur aber nicht einfach nur ein Anhängsel an ein bestehendes Dokument, sondern fest mit ihm verwoben. Wird auch nur ein Bit des Dokuments verändert, ergibt sich eine wesentlich veränderte Signatur. Anders herum: Nachträgliche Änderungen signierter Nachrichten fallen auf, sobald der Empfänger die Signatur mit dem zugehörigen Public Key zu entschlüsseln und damit zu verifizieren versucht.
Auch wenn starke Verfahren angewendet werden (dürfen), steht und fällt die Sicherheit der Kommunikation nicht nur mit der Schlüssellänge. Bei der soeben beendeten RSA Challenge (hier ist der Firmenname gemeint, siehe Kasten) war es das simple Ausprobieren der 240 beziehungsweise 248 Kombinationen, das zum Erfolg geführt hat. Er konnte sich nicht nur wegen der kurzen Schlüssel relativ schnell einstellen, sondern auch, weil ein Teil des Klartextes bereits bekannt war. Ist das nicht der Fall, stellen auch 40Bit für private Zwecke eine mehr als ausreichende Schlüssellänge dar.
Vorsicht bereits vor dem Verschlüsseln ist allemal angebracht, denn oftmals kann Klartext erraten werden: Dateinamen, Header bestimmter Dateiformate und ähnliches tauchen sehr häufig auf; auch allgemeinere Informationen über den zu erwartenden Klartext (zum Beispiel die verwendete Sprache) können rasche statistische Analysen der Testentschlüsselungen erleichtern.
Zudem ist kein Schlüssel, der außerhalb eines menschlichen Gedächtnisses gespeichert wird, besonders sicher vor Diebstahl - besonders in Multiuser-Umgebungen eine nicht zu unterschätzende Gefahr. Wer kann sich schon sicher sein, daß niemand sonst Zugriff auf seine privaten Verzeichnisse hat? Auch ein simples Abhören einer Datenverbindung, sei es nun im lokalen Netz oder an einem beliebigen Punkt im Internet, kann unbemerkt zum Verlust von Geheimnissen führen, wenn Paßwörter nicht sorgsam gewählt werden.
Wem die Handhabung von Schlüsseln zu aufwendig oder der Einsatz staatlich verordneter Kryptographie zu suspekt erscheint, kann ganz auf Kryptographie verzichten und dennoch relativ sicher kommunizieren - mit Hilfe der Steganographie, der Kunst, eine Mitteilung innerhalb einer beliebigen anderen Information zu verstecken. Eine recht triviale Methode wäre etwa, niederwertige Datenbytes von Audio- oder Videodateien in regelmäßigen Abständen durch die eines Dokuments zu ersetzen. Wenn einer Nachricht noch nicht einmal anzusehen ist, daß sie vertrauliche Informationen enthält, weckt sie schwerlich den Argwohn von Überwachern. Regierungen werden es schwer haben, Benutzungsverbote starker Verschlüsselung sachlich zu begründen. (jus, )
Literatur
[1] Simson Garfinkel, Gene Spafford; Practical Unix & Internet Security, 2nd Edition, OReilly & Associates Inc. 1996
[2] Wiliam R. Cheswick, Steven M. Bellovin; Firewalls und Sicherheit im Internet; Addison-Wesley 1996
[3] Bruce Schneier; Applied Cryptography; John Wiley & Sons, Inc.; 2nd Edition 1995
[4]Online-Adressen:
http://www.cs.hut.fi/crypto/;
http://www.uni-mannheim.de/studorg/gahg/PGP/cryptolog1.html;
http://theory.lcs.mit.edu/~rivest/crypto-security.html
Dieser Text ist der Zeitschriften-Ausgabe 04/1997 von iX entnommen.
iOS, Android, Windows Phone 7 und HTML5 - das neue Sonderheft von heise Developer führt Einsteiger und Profis in die Programmierung mobiler Geräte ein.
