Kryptografie und warum sie eine Kriegswaffe ist

Die NSA ist – nicht allein, aber gemessen an der Medienwirksamkeit zu großen Teilen – der Endgegner im Kampf um den Datenschutz weltweit. Was ihr mächtig stinken muss ist, dass sich im Grunde jeder zumindest ein Stück weit vor ihnen schützen kann. Aus der Angst es immer schwerer bei der Entschlüsselung zu haben, entstanden teilweise abstruse Gesetze. Aber dazu später mehr.
Dagegen zog der Bedarf an sicherer Kommunikation eine neue Branche nach oben. Datensicherheit als Key-Benefit verkauft sich gut. Neben kostenpflichtigen Anbietern gibt es mindestens genauso viele kostenlose Alternativen.

Die App Threema hatte es damals zu einigem Erfolg gebracht und versprach, Chats sicher zu verschlüsseln. Seit Kurzem bietet auch Whatsapp eine End-to-End-Verschlüsselung an. Aber WhatsApp gehört Facebook Inc. und die stehen wiederum in Verdacht, Daten an die NSA weiterzugeben bzw. der Behörde Zugang zu ihnen zu gewähren. Und da wäre auch noch die Sache mit dem National Security Letter; eine Anordnung, die selbst Giganten wie Google dazu zwingen könnte, Nutzerdaten herauszugeben. Besonders elegant am NSL ist, dass niemand, der ihn erhalten hat, es öffentlich zugeben darf. Weil also niemand sagen darf, ob so eine Anordnung eingegangen ist, entstand die Idee vom Warrant Canary. Ein cleverer Trick am Rande der Legalität. Solange die Firma noch keinen NSL erhalten hat, schreibt sie zum Beispiel irgendwo auf der eigenen Webseite, sie hätten noch keinen erhalten. Bekommen sie doch einen, entfernen sie diese Information von ihrer Seite und hoffen, es fällt irgendwem auf. So geschehen bei Reddit.

Kryptografie im Workflow

Vielleicht sind Dienste von größeren amerikanischen Konzernen an die NSA verloren, aber ganz machtlos bist Du dann doch nicht. Wer auf die Bequemlichkeiten von etwa dem Facebook Messenger verzichten kann, dem stehen durchaus mächtige Verschlüsselungs-Tools zur Verfügung.
Über solche Software verschlüsselte Dateien können dann auch wieder über herkömmliche Messenger versendet werden. Es kostet nur etwas mehr Zeit. Jeder muss selbst abwägen, wann zu solchen Mitteln gegriffen werden muss. Im langweiligen Leben von uns 0815-Bürgern gibt es vielleicht selten Anlass dafür, aber der Kontakt zwischen Journalisten und ihren Quellen würde diesen Aufwand sicherlich rechtfertigen.

Je nach Blickwinkel könnte man argumentieren, die Vertraulichkeit des Wortes sollte immer und überall gelten, gleich wie belanglos die Aussagen sind. Und da ist was dran. Angenommen Du steigst in zehn Jahren in eine aus heutiger Sicht unerwartete politische Kariere ein. Dann könnten Aussagen, die heute gänzlich unwichtig erscheinen, Dir später eventuell sehr schaden.

Jedes digitale Gespräch zu verschlüsseln; dazu bin ich einfach zu faul. Gerade wenn die notwendige Software zuweilen eher sperrig ist und sich ins Ökosystem der üblicherweise verwendeten Dienste schwer einflechten lässt. Ein gutes Gegenbeispiel dazu ist ProtonMail. Leicht zu bedienen und es fühlt sich nach der Einrichtung in jeder Hinsicht wie eine ganz gewöhnliche Mail-App an.

Ein bisschen paranoid sein ist nie verkehrt

Nachrichtendienste erscheinen geradezu allmächtig und ich dachte, die könnten alles knacken. Können sie auch. Dauert aber. Angenommen sie sammeln die Chat-Verläufe eines bestimmten Dienstes mit Millionen täglichen Nutzern und der führt plötzliche eine Verschlüsselung ein, bei der die Entschlüsselung einer Konversation mit den zur Verfügung stehenden Rechenkapazitäten eine Stunde dauert. Dann sind sie zumindest nicht mehr in der Lage, flächendeckend Chats in Echtzeit auszuwerten und es kommen ja stetig neue Dateien dazu.
Das ist ein Anfang. Der Idealfall wäre eine Methode, die die Chats derart gemein verschlüsselt, dass es unendlich lange dauern würde, den Klartext zu errechnen. Dann nützt es auch nichts mehr, bisher nicht entzifferte Dateien zu speichern und auf effizientere Algorithmen für die Entschlüsselung zu hoffen.
Im Moment bewegen wir uns irgendwo dazwischen. Die Verschlüsselung ist aber immer einfacher als das Entschlüsseln. Dafür sind die Methoden zur Verschlüsselung meist öffentlich bekannt, wohingegen der breiten Masse nicht bekannt ist, welche davon eventuell von der NSA geknackt wurden. Lange galt die SSL-Verschlüsselung als sicher, bis herauskam, dass NSA und der britische GCHQ wussten, wie man sie bricht.

Der Kampf erinnert an den zwischen Bakterien und Antibiotika. Neue Wirkstoffe werden entwickelt, die Krankheitserreger lernen daraus, verändern ihre Taktik und so weiter. Ziehen wir diese blöde Analogie noch etwas auseinander: Der großflächige Einsatz von immer nur einem Wirkstoff führt zu einer rasanten Vermehrung der resistenten Keime. Daher sollte es möglichst viele verscheidende Wirkstoffe geben. Und so schwer ist das überhaupt nicht. Wie gesagt, das Verschlüsseln ist einfacher als das Entschlüsseln.

Screenshot von Shifta

Das da oben ist ein einfaches Programm mit dem .txt-Dateien kodiert werden können. Es verschiebt jedes Zeichen im Text nacheinander an eine vom gewählten Passwort abhängige Stelle. Es entsteht eine Art Anagramm vom ursprünglichen Text. Die Schwäche von Anagrammen besteht darin, dass sehr kurze Anagramme leicht zu entziffern sind. Dem beugt das Programm vor, indem es zufällige Zeichen einbringt. Auf diese Weise entsteht kein Anagramm mit weniger als 250 Zeichen. Die machen es schon sehr schwer, einen sinnvollen Text daraus abzuleiten. Willst Du's mal versuchen? Da hast Du:

Verschlüsselter Text (Passwort: ButtControl)

Falls Dich so nerdiger Kram interessiert, hier steht der Quellcode.
Kombiniert mit einem starken Passwort funktioniert die Verschlüsselung natürlich am besten. Der Passwort-Check von Kaspersky gibt Aufschluss darüber, wie lange es mit einem Heimcomputer dauern würde, das Passwort mit der Brute-Force-Methode zu knacken. Sagen wir mal das Passwort ist die größte Schwachstelle einer Kodierung: Ein PC bräuchte für das Erraten der Zeichenkette zY/]*XaxHY6J laut dem Passwort-Check rund vier Jahrhunderte. Das klingt nach einer langen Zeit, aber gemessen an der Rechenleistung der NSA ist ein mickriger PC auch nicht viel wert. Dabei sind es schon zwölf absolut unmerkbare Zeichen...
Na? Spontan Lust ein paar Passwörter zu erneuern? Ging mir auch so.

Kriegswaffe

1996 stand die Frage im Raum, ob gegen den Entwickler von PGP (Pretty Good Privacy) ein Verfahren wegen unerlaubten Waffenexports eingeleitet werden solle. Öffentliche Proteste haben das damals verhindert. Dennoch unterliegen starke kryptografische Methoden in den USA bis heute einer Ausfuhrbeschränkung. In Frankreich galt von 1990 bis 1996 ein Gesetz, das jeden dazu zwingen sollte, die bei einer Kodierung verwendeten Schlüssel bei einer vertrauenswürdigen Behörde zu hinterlegen.
Deutschland verfolgt die Verwendung und Verbreitung von Verschlüsselungen bislang nicht und so kann es meinetwegen auch gerne bleiben.

Fazit: Starke Verschlüsselungen sind nur ein paar Klicks entfernt und mit guten Passwörtern kannst du der NSA die Suppe ziemlich versalzen.

Kommentare

Abgeben

ole

Ich glaube nicht, dass man der nsa viel entgegensetzen kann. Selbst wenn, es ist den meisten menschen einfach egal, ob sie ausspioniert werden. Oder sie haben sich damit abgefunden?

HanskeineAhnung

Also ich verwende TrueCrypt. Weiß jemand, ob das noch sicher ist?

Automatisch Gewinnspiele mit Twitter-Bot gewinnen

WikiLeaks unter Beschuss

Ray Anders: Sehenswerter News-YouTuber

Steuere Dein Zuhause mit dem Raspberry Pi

Anzeige

Anzeige