NSA-Skandale So funktionieren Kryptografie-Hintertüren

Der US-Geheimdienst NSA soll selbst stark verschlüsselte Inhalte mitlesen können - auch dank sogenannter Hintertüren in angeblich sicheren Systemen. Mathematiker und Informatiker kennen mögliche Schwachstellen genau. Sie zu finden, ist allerdings nicht leicht.
Datenstrom: NSA als "alleiniger Urheber" von Krypto-Software

Datenstrom: NSA als "alleiniger Urheber" von Krypto-Software

Foto: Corbis

Was wäre ein Geheimdienst ohne chiffrierte Botschaften, die er entschlüsseln muss! Man denke nur an die legendären Kryptografen des britischen Geheimdienstes im Bletchley Park, die im Zweiten Weltkrieg den Enigma-Code knackten und so Botschaften der deutschen Wehrmacht mitlesen konnten.

Eigentlich sollte die Zeit der Codeknacker längst vorbei sein, denn mittlerweile existieren Verschlüsselungsalgorithmen, die so stark sind, dass sie kaum auszuhebeln sind. Doch die jüngsten Snowden-Enthüllungen legen nahe, dass US-Geheimdienste viele chiffrierte Nachrichten trotzdem im Klartext mitlesen können.

Dazu muss nicht einmal zwingend ein Code geknackt werden. Wer sich beispielsweise direkten Zugang zu PC oder Servern verschafft, auf denen Botschaften im Klartext gespeichert sind, kann sich den Aufwand sparen. Anwender sollten daher immer darauf achten, dass ihr Betriebssystem und ihre Software stets auf dem neuesten Stand sind. Ob aber das benutzte Computersystem sicher ist, lässt sich angesichts der großen Komplexität von moderner Software nur schwer überprüfen.

Aber gesetzt den Fall, das System selbst ist sicher. Wollen Geheimdienstler dann mitlesen, was Anwender verschlüsselt durchs Internet verschicken, müssen sie Schwachstellen in den Verschlüsselungsalgorithmen nutzen - oder sogenannte Hintertüren gezielt darin hineinschmuggeln.

"Die Hintertüren, die man heute kennt, wurden versehentlich in Verschlüsselungssoftware eingebaut", sagt Michael Waidner, Direktor am Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt. Oft gehe es dabei oft um Probleme mit Zufallsgeneratoren.

Angewandte Zahlentheorie

Praktisch alle Verschlüsselungsprogramme arbeiten mit Zufallszahlen. Das weit verbreitete RSA-Verfahren  beispielsweise benötigt zwei große Primzahlen. Diese haben in der Regel mehr als 300 oder sogar mehr als 600 Stellen. Das RSA-Verfahren beruht letztlich darauf, dass man zwei Mammutprimzahlen leicht miteinander multiplizieren kann, die Primfaktoren einer großen Zahl sich hingegen nur schwer ermitteln lassen.

Das Produkt der beiden großen Primzahlen ist Teil des öffentlichen RSA-Schlüssels, der zum Beispiel auf dem Server einer Webseite gespeichert ist. Ein Internetbrowser nutzt diesen frei herunterladbaren Schlüssel, um Daten vor der Übertragung zum Server zu chiffrieren - erkennbar am "https" in der Adresszeile. Zum Entschlüsseln muss man die beiden ursprünglichen Primzahlen kennen - sie sind Teil des privaten Schlüssels, der in einem geschützten Bereich des Servers gespeichert ist.

Die Primfaktorzerlegung einer 600- oder 1200-stellige Zahl ist selbst mit Supercomputern in überschaubarer Zeit kaum zu schaffen. Um der ständig steigenden Rechenpower standzuhalten, können RSA-Schlüssel zudem immer wieder verlängert werden, was den Aufwand beim Knacken weiter erhöht. Damit sind Angriffe eigentlich ausgeschlossen.

Es sei denn, die Menge der als Faktoren in Frage kommenden Primzahlen ist überschaubar. "Unsichere Algorithmen liefern vorhersagbare Primzahlen - das ist der häufigste Fehler", sagt Krypto-Experte Waidner. Solche Fehler habe es auch schon in kommerzieller Software gegeben.

Anfang 2012 hatten Arjen Lenstra und seine Kollegen von der École Polytechnique Fédérale in Lausanne gezielt nach solchen Schwachstellen in knapp zwölf Millionen SSL-Schlüsseln von Internetservern gesucht. Dabei stellten sie fest, dass fast 30.000 Schlüssel durch einige wenige Primzahlen erzeugt worden  und somit leicht zu knacken waren.

Indizien für Hintertüren seit Jahren bekannt

"Wenn ich eine Hintertür entwickeln sollte, würde ich einen Algorithmus zum Erzeugen der Zufallszahlen nutzen, den nur ich kenne", sagt Fraunhofer-Forscher Waidner. Der Zufallsraum müsste dabei möglichst groß sein, damit die Manipulation nicht auffalle. Man könne aber Hinweise in den Code schmuggeln, die den Bereich im großen Zufallsraum eingrenzen, in dem die jeweils verwendeten Zufallszahlen liegen.

Hintertüren sind jedoch auch ein großes Risiko: Sie können auch von anderen Geheimdiensten entdeckt und ausgenutzt werden, Wirtschaftsspionage wird erleichtert. Und noch peinlicher wird es, wenn Sicherheitsexperten solche Lücken aufspüren und öffentlich machen.

Dass die NSA solche Hintertüren tatsächlich nutzt, glauben inzwischen immer mehr Experten. Indizien für eine solche Hintertür  wurden schon vor sechs Jahren im sogenannten Elliptische-Kurven-Kryptosystem entdeckt. Die Verschlüsselung mit elliptischen Kurven wurde Mitte der achtziger Jahre entwickelt, sie ist beispielsweise im Betriebssystem Windows integriert. Die Mathematik dahinter ist komplizierter als beim RSA-Verfahren - elliptische Kurven erlauben dafür aber effektivere und somit schnellere Algorithmen, weil die Schlüssel bei einem mit RSA vergleichbaren Sicherheitsniveau deutlich kürzer sind.

Die beiden Microsoft-Kryptologen Dan Shumow und Niels Ferguson berichteten 2007 über Auffälligkeiten bei einer elliptischen Kurve,  die von der US-Behörde NIST (National Institute of Standards and Technology) jahrelang als Standard zum Verschlüsseln empfohlen wurde. Die mit der Kurve erzeugten Zufallszahlen seien nicht perfekt, erklärten die Experten. Sie beschrieben auch einen Weg, um die Zufallszahlen identifizieren zu können.

US-Normungsstelle warnt vor eigenem Standard

Dass es sich tatsächlich um eine bewusst programmierte Hintertür handeln dürfte, geht aus geheimen Dokumenten der NSA hervor, die Edward Snowden jüngst enthüllt hat. Der Geheimdienst habe den Code selbst entwickelt und seine Verwendung beim NIST durchgesetzt, berichtet die "New York Times"  und zitiert folgenden Satz aus einem der Geheimdienstdokumente: "So wurde die NSA zum alleinigen Urheber." Inzwischen warnt die US-Behörde NIST vor der Nutzung ihres Standards.

Florian Heß, Mathematiker an der Universität Oldenburg, macht sich keine Illusionen über Krypto-Algorithmen: "Die Sicherheit eines Systems ist nur so sicher wie seine schwächste Komponente." In der Praxis gebe es im Allgemeinen sehr viele Angriffspunkte, dabei gehe es nicht allein um schlecht gewählte Zufalls- oder Primzahlen.

Denkbar ist übrigens auch, dass die NSA über einen besonders schnellen und deshalb geheim gehaltenen Faktorisierungsalgorithmus verfügt. Damit könnten chiffrierte Nachrichten geknackt werden, denen mit gängiger Software kaum beizukommen wäre.

Die Möglichkeiten dazu hätte der Geheimdienst. Er investiert pro Jahr 440 Millionen Dollar  in die Erforschung von Krypto-Technologie - doppelt so viel  wie die National Science Foundation in den USA für die mathematische Forschung ausgibt.

Den besten Schutz gegen Hintertüren kennen Programmierer schon lange: Der Code der Verschlüsselungssoftware muss frei zugänglich sein, so dass jedermann nachvollziehen kann, wie sie arbeitet.