NSA-Skandale: So funktionieren Kryptografie-Hintertüren

Von

Datenstrom: NSA als "alleiniger Urheber" von Krypto-Software Zur Großansicht
Corbis

Datenstrom: NSA als "alleiniger Urheber" von Krypto-Software

Der US-Geheimdienst NSA soll selbst stark verschlüsselte Inhalte mitlesen können - auch dank sogenannter Hintertüren in angeblich sicheren Systemen. Mathematiker und Informatiker kennen mögliche Schwachstellen genau. Sie zu finden, ist allerdings nicht leicht.

Was wäre ein Geheimdienst ohne chiffrierte Botschaften, die er entschlüsseln muss! Man denke nur an die legendären Kryptografen des britischen Geheimdienstes im Bletchley Park, die im Zweiten Weltkrieg den Enigma-Code knackten und so Botschaften der deutschen Wehrmacht mitlesen konnten.

Eigentlich sollte die Zeit der Codeknacker längst vorbei sein, denn mittlerweile existieren Verschlüsselungsalgorithmen, die so stark sind, dass sie kaum auszuhebeln sind. Doch die jüngsten Snowden-Enthüllungen legen nahe, dass US-Geheimdienste viele chiffrierte Nachrichten trotzdem im Klartext mitlesen können.

Dazu muss nicht einmal zwingend ein Code geknackt werden. Wer sich beispielsweise direkten Zugang zu PC oder Servern verschafft, auf denen Botschaften im Klartext gespeichert sind, kann sich den Aufwand sparen. Anwender sollten daher immer darauf achten, dass ihr Betriebssystem und ihre Software stets auf dem neuesten Stand sind. Ob aber das benutzte Computersystem sicher ist, lässt sich angesichts der großen Komplexität von moderner Software nur schwer überprüfen.

Aber gesetzt den Fall, das System selbst ist sicher. Wollen Geheimdienstler dann mitlesen, was Anwender verschlüsselt durchs Internet verschicken, müssen sie Schwachstellen in den Verschlüsselungsalgorithmen nutzen - oder sogenannte Hintertüren gezielt darin hineinschmuggeln.

"Die Hintertüren, die man heute kennt, wurden versehentlich in Verschlüsselungssoftware eingebaut", sagt Michael Waidner, Direktor am Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt. Oft gehe es dabei oft um Probleme mit Zufallsgeneratoren.

Angewandte Zahlentheorie

Praktisch alle Verschlüsselungsprogramme arbeiten mit Zufallszahlen. Das weit verbreitete RSA-Verfahren beispielsweise benötigt zwei große Primzahlen. Diese haben in der Regel mehr als 300 oder sogar mehr als 600 Stellen. Das RSA-Verfahren beruht letztlich darauf, dass man zwei Mammutprimzahlen leicht miteinander multiplizieren kann, die Primfaktoren einer großen Zahl sich hingegen nur schwer ermitteln lassen.

Das Produkt der beiden großen Primzahlen ist Teil des öffentlichen RSA-Schlüssels, der zum Beispiel auf dem Server einer Webseite gespeichert ist. Ein Internetbrowser nutzt diesen frei herunterladbaren Schlüssel, um Daten vor der Übertragung zum Server zu chiffrieren - erkennbar am "https" in der Adresszeile. Zum Entschlüsseln muss man die beiden ursprünglichen Primzahlen kennen - sie sind Teil des privaten Schlüssels, der in einem geschützten Bereich des Servers gespeichert ist.

Die Primfaktorzerlegung einer 600- oder 1200-stellige Zahl ist selbst mit Supercomputern in überschaubarer Zeit kaum zu schaffen. Um der ständig steigenden Rechenpower standzuhalten, können RSA-Schlüssel zudem immer wieder verlängert werden, was den Aufwand beim Knacken weiter erhöht. Damit sind Angriffe eigentlich ausgeschlossen.

Es sei denn, die Menge der als Faktoren in Frage kommenden Primzahlen ist überschaubar. "Unsichere Algorithmen liefern vorhersagbare Primzahlen - das ist der häufigste Fehler", sagt Krypto-Experte Waidner. Solche Fehler habe es auch schon in kommerzieller Software gegeben.

Anfang 2012 hatten Arjen Lenstra und seine Kollegen von der École Polytechnique Fédérale in Lausanne gezielt nach solchen Schwachstellen in knapp zwölf Millionen SSL-Schlüsseln von Internetservern gesucht. Dabei stellten sie fest, dass fast 30.000 Schlüssel durch einige wenige Primzahlen erzeugt worden und somit leicht zu knacken waren.

Indizien für Hintertüren seit Jahren bekannt

"Wenn ich eine Hintertür entwickeln sollte, würde ich einen Algorithmus zum Erzeugen der Zufallszahlen nutzen, den nur ich kenne", sagt Fraunhofer-Forscher Waidner. Der Zufallsraum müsste dabei möglichst groß sein, damit die Manipulation nicht auffalle. Man könne aber Hinweise in den Code schmuggeln, die den Bereich im großen Zufallsraum eingrenzen, in dem die jeweils verwendeten Zufallszahlen liegen.

Hintertüren sind jedoch auch ein großes Risiko: Sie können auch von anderen Geheimdiensten entdeckt und ausgenutzt werden, Wirtschaftsspionage wird erleichtert. Und noch peinlicher wird es, wenn Sicherheitsexperten solche Lücken aufspüren und öffentlich machen.

Dass die NSA solche Hintertüren tatsächlich nutzt, glauben inzwischen immer mehr Experten. Indizien für eine solche Hintertür wurden schon vor sechs Jahren im sogenannten Elliptische-Kurven-Kryptosystem entdeckt. Die Verschlüsselung mit elliptischen Kurven wurde Mitte der achtziger Jahre entwickelt, sie ist beispielsweise im Betriebssystem Windows integriert. Die Mathematik dahinter ist komplizierter als beim RSA-Verfahren - elliptische Kurven erlauben dafür aber effektivere und somit schnellere Algorithmen, weil die Schlüssel bei einem mit RSA vergleichbaren Sicherheitsniveau deutlich kürzer sind.

Die beiden Microsoft-Kryptologen Dan Shumow und Niels Ferguson berichteten 2007 über Auffälligkeiten bei einer elliptischen Kurve, die von der US-Behörde NIST (National Institute of Standards and Technology) jahrelang als Standard zum Verschlüsseln empfohlen wurde. Die mit der Kurve erzeugten Zufallszahlen seien nicht perfekt, erklärten die Experten. Sie beschrieben auch einen Weg, um die Zufallszahlen identifizieren zu können.

US-Normungsstelle warnt vor eigenem Standard

Dass es sich tatsächlich um eine bewusst programmierte Hintertür handeln dürfte, geht aus geheimen Dokumenten der NSA hervor, die Edward Snowden jüngst enthüllt hat. Der Geheimdienst habe den Code selbst entwickelt und seine Verwendung beim NIST durchgesetzt, berichtet die "New York Times" und zitiert folgenden Satz aus einem der Geheimdienstdokumente: "So wurde die NSA zum alleinigen Urheber." Inzwischen warnt die US-Behörde NIST vor der Nutzung ihres Standards.

Florian Heß, Mathematiker an der Universität Oldenburg, macht sich keine Illusionen über Krypto-Algorithmen: "Die Sicherheit eines Systems ist nur so sicher wie seine schwächste Komponente." In der Praxis gebe es im Allgemeinen sehr viele Angriffspunkte, dabei gehe es nicht allein um schlecht gewählte Zufalls- oder Primzahlen.

Denkbar ist übrigens auch, dass die NSA über einen besonders schnellen und deshalb geheim gehaltenen Faktorisierungsalgorithmus verfügt. Damit könnten chiffrierte Nachrichten geknackt werden, denen mit gängiger Software kaum beizukommen wäre.

Die Möglichkeiten dazu hätte der Geheimdienst. Er investiert pro Jahr 440 Millionen Dollar in die Erforschung von Krypto-Technologie - doppelt so viel wie die National Science Foundation in den USA für die mathematische Forschung ausgibt.

Den besten Schutz gegen Hintertüren kennen Programmierer schon lange: Der Code der Verschlüsselungssoftware muss frei zugänglich sein, so dass jedermann nachvollziehen kann, wie sie arbeitet.

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
insgesamt 44 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. optional
itsecuritydude 19.09.2013
"Den besten Schutz gegen Hintertüren kennen Programmierer schon lange: Der Code der Verschlüsselungssoftware muss frei zugänglich sein, so dass jedermann nachvollziehen kann, wie sie arbeitet. " Unsinn. ClosedSource verschlüsselungen werden dann eben reverse engineered. Und ob solche elip. kurve oder SBoxen gebackdoored sind sagt einem das auch nicht.
2. Macht dem Treiben der NSA endlich ein gesetzliches Ende!
gog-magog 19.09.2013
Zitat von sysopDer US-Geheimdienst NSA soll selbst stark verschlüsselte Inhalte mitlesen können - auch dank sogenannter Hintertüren in angeblich sicheren Systemen. Mathematiker und Informatiker kennen mögliche Schwachstellen genau. Sie zu finden, ist allerdings nicht leicht. Kryptografie-Hintertüren: Die NSA-Generalschlüssel fürs Internet - SPIEGEL ONLINE (http://www.spiegel.de/netzwelt/web/kryptografie-hintertueren-die-nsa-generalschluessel-fuers-internet-a-922588.html)
Völlig egal, ob verschlüsselt oder nicht. Das Mitlesen von Kommunikation, die nicht für einen selbst bestimmt ist ohne einen richterlichen Beschluss bei konkretem Tatverdacht, ist nichts anderes, als ein Gesetzesbruch, also ein Verstoß gegen das Grundrecht des Post- und Fernmeldegeheimnisses. Ein freier Bürger ist ja auch nicht verpflichtet, seine Briefe versiegelt und in Geheimschrift zu verschicken. Es gibt hier für den Normalbürger keinen Selbstschutz und die Einhaltung der verfassungsgemäß verbrieften Grundrechte ist Sache des Staates. Sonst können wir auch gleich zu Selbstjustiz übergehen.
3. Am sonntag gegen NSA stimmen
danou 19.09.2013
... den zum glück gibt's ja die PIRATEN!
4. Die wichtigste Botschaft ...
agtrier 19.09.2013
... ist im letzten Satz: "Der Code der Verschlüsselungssoftware muss frei zugänglich sein, so dass jedermann nachvollziehen kann, wie sie arbeitet." Auch wenn nicht jeder die Kenntnisse hat, selbst den Code voll zu verstehen - allein, dass mit der Offenlegung genügend Leuten die *Möglichkeit* gegeben wird, reinzuschauen, macht es schwer, den Code zu manipulieren, ohne das Risiko einzugehen, dass die Hintertür entdeckt wird.
5. Es geht auch einfacher: Man in the middle, Zugriff auf ssl-Zertifikate
psion1977 19.09.2013
Wenn man sich die Marktaufteilung der ssl-Zertifikatsanbieter mal anschaut, gibt es eigentlich nur noch Verisign. Spätestens, seit dem EV-Zertifikate en vogue sind und durch die damit verbundenen Auflagen sämtliche kleinen Anbieter vom Markt verschwunden sind. Die großen Anbieter (Thawte,...) hat Verisign für etliche Millionen direkt gekauft. Das Verisign enge Verbindungen zur US-Regierung hat ist an sich gut bekannt, schliesslich gibts soviel Vertrauen, dass sie sogar große Teile des DNS-Systems betreiben dürfen, incl. com-Zonen-Registry etc. Zusammen gibt das eine relativ perfide Kombination, weil mit Zugriff auf den DNS und auf die von derselben Firma ausgegebenen Zertifikate sehr einfach Men in the middle-Angriffe auf gesicherte (ssl, https) Verbindungen möglich werden. Dazu müsste nur ein DNS-Eintrag umgebogen und ein "Nachschlüssel" fürs Zertifikat ausgestellt werden. Und das alles aus einer Hand. Ein Schelm, wer böses dabei denkt...
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema National Security Agency (NSA)
RSS

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 44 Kommentare

Fotostrecke
Cyberwar: Vom Internet-Angriff zum bewaffneten Konflikt


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.