Menü
Security

Britisches Innenministerium will die Herausgabe von Krypto-Schlüsseln erzwingen

vorlesen Drucken Kommentare lesen 730 Beiträge

Das Britische Home Office drängt im Parlament auf die Umsetzung des im Jahr 2000 erlassenen Regulation of Investigatory Powers Act (RIPA). Strafverfolgungsbehörden sollen dadurch die Herausgabe von Passwörtern und Krypto-Schlüsseln unter Androhung von bis zu zweijährigen Haftstrafen erzwingen können. Begründet wird die Forderung nach einem Bericht des Online-Magazins ZDNews UK mit der zunehmenden Verbreitung von Festplattenverschlüsselung, insbesondere als Standard-Feature künftiger Betriebssysteme. Ermittlungen könnten dadurch erschwert werden, dass Verdächtige die Codes für verschlüsselte Daten auf beschlagnahmten Computern nicht herausgeben oder vorgeben, notwendige Passwörter vergessen zu haben.

Gegner des Entwurfs halten dem entgegen, dass eine Offenbarungspflicht für Schlüssel insbesondere große Kreditinstitute aus dem Land vertreiben könnte, da sich damit sämtliche angesammelten Bankverkehrsdaten entschlüsseln ließen. Statt einer Pflicht zur Herausgabe von Schlüsseln schlagen sie eine Pflicht zur Entschlüsselung vor. Auch damit wäre der Zugriff auf verschlüsselte Daten durchsetzbar, ohne die Vertraulichkeit sämtlicher mit Schlüsseln gesicherter Daten zu unterwandern.

Doch das britische Gesetzesvorhaben hätte in beiden Fällen eine wesentliche Schwäche. Viele gängige Verschlüsselungsprodukte wie TrueCrypt und LUKS arbeiten nicht mehr mit einzelnen Dateien, sondern mit so genannten Containern. Im Wesentlichen handelt es sich dabei um reservierte Bereiche einer Festplatte, in denen Daten verschlüsselt abgelegt werden. Ein solcher Container wird bei seiner Erstellung in der Regel mit Zufallsdaten gefüllt. Da sich verschlüsselte Daten prinzipiell nicht von Zufallszahlen unterscheiden lassen, kann man nicht zweifelsfrei beweisen, dass sich in einem ungenutzten Bereich eines Containers ein weiterer Container befindet, sofern man nicht auch über den zweiten Schlüssel verfügt.

Dieses als "Plausible Deniability", also glaubhafte Abstreitbarkeit, bezeichnete Prinzip ist eine beworbene Eigenschaft vieler Verschlüsselungsprodukte. Selbst wenn ein Verdächtiger den Schlüssel zu einem äußeren Container offenbart, um einer Strafe zu entgehen, kann er stets die Existenz eines versteckten inneren Containers abstreiten. Die einzige Lösung des Problems besteht darin, Verschlüsselung ganz zu verbieten, wie es auch hierzulande bereits diskutiert wurde. Die meisten Gesetzgeber nehmen jedoch von einem solchen Vorhaben Abstand, da aus Sicht der Bevölkerung und Industrie die Vorteile der Verschlüsselung die Nachteile bei Weitem überwiegen. (cr)