Nur offen verschlüsseln
- Jürgen Seeger
Wenn Microsoft nicht alle Aufrufe seiner Crypto-API veröffentlicht und unter den geheim gehaltenen sich ausgerechnet einer mit dem beziehungsreichen Namen nsakey verbirgt, dann ist das beim besten Willen nicht mehr als vertrauensbildende Maßnahme zu verkaufen (siehe S. 38). Dabei repräsentiert dieser Vorfall bestenfalls die Spitze eines Eisbergs. Darunter verbergen sich einige generelle Probleme beim Einsatz von Kryptographie.
Problem 1: Bekanntlich suchten sich die Geheimdienste nach dem Ende des Kalten Krieges ein neues Betätigungsfeld: Wirtschaftspionage, und zwar auch unter ‘befreundeten’ Staaten. Neben den klassischen Methoden ist vor allem die umfangreiche Analyse des Verkehrs auf den Daten- und Sprachnetzen eine der wesentlichen Erkenntnisquellen.
Die Folgen werden selten öffentlich. Für einigen Wirbel sorgten zum Beispiel Berichte, dass der französische Geheimdienst ein Fax von Siemens an die südkoreanische Regierung abgefangen habe. Inhalt: ein Angebot für den Bau eines Hochgeschwindigkeitszuges. Der Zuschlag ging nach Frankreich, weil Siemens knapp unterboten wurde.
Problem 2: Kryptographie-Experten sind sich einig, dass die US-amerikanische National Security Agency (NSA) der öffentlichen Forschung um Jahre voraus ist und über einen Hardwarepark verfügt, von dem man in der Industrie nur träumt. Zudem hat der politische Druck der NSA immer wieder den Einsatz sicherer Verschlüsselungsverfahren behindert. Und: die Geheimbehörde übt massiven Einfluss auf Firmen aus, die sich mit der Herstellung, dem Verkauf oder sogar dem Export von Kryptographie-Produkten befassen. Ziel: ‘Zusammenarbeit’. So wurde DES von IBM unter Beteiligung des NSA entwickelt und nur sukzessiv über Jahre hinweg veröffentlicht.
Wie die Lage in den anderen NATO-Staaten aussieht, ist bislang noch nicht so intensiv untersucht beziehungsweise publiziert worden. (Der BND soll sich übrigens relativ zurückhaltend betätigen.)
Was tun? Um unnützer Paranoia vorzubeugen: Aufwand und Gefahren abwägen, es gibt nicht die Krypto-Lösung für alles. Bei der Verschlüsselung von Aufträgen, die nicht im Hightech-Bereich angesiedelt sind oder von geringem Geschäftsvolumen, ist US-amerikanische Standardsoftware in der Regel hinreichend.
Wer sich aber im internationalen Wettbewerb um Aufträge bewirbt, von denen Hunderte von Arbeitsplätzen abhängen, sollte schon durchschauen können, was er zur Verschlüsselung einsetzt. Dann müssen nicht nur die Algorithmen vollständig offen gelegt, sondern auch der Sourcecode zugänglich sein. Alles andere ist schierer Leichtsinn. (js)
