Die Experten hatten es schon länger geahnt. Hinter vorgehaltener Hand machte das Gerücht auf internationalen Konferenzen die Runde. Doch offiziell bekannt wurde der Skandal erst nach der Veröffentlichung einer wissenschaftlichen Arbeit Mitte Februar. Die Botschaft, salopp ausgedrückt: Das Internet wackelt. Die Basis unserer Online-Geschäfte, unseres E-Mail-Verkehrs, unserer Online-Bankbeziehungen – die Sicherheit durch Verschlüsselung – ist nicht garantiert. Unser Vertrauen in die Geschäftsgrundlage des Webs als Marktplatz ist möglicherweise nicht mehr zu rechtfertigen. Denn einem Team europäischer und amerikanischer Mathematiker und Kryptografiespezialisten ist es gelungen, die bislang beliebteste, als sicher geltende Web-Verschlüsselung RSA zu attackieren und teilweise zu knacken.

Früher überbrachten Brieftauben und getarnte Boten die geheimen Codes

Die sichere Verschlüsselung der Internetkommunikation ist Routine, funktioniert in Sekundenbruchteilen und fällt uns Normalnutzern nicht weiter auf. Gelegentlich fragen wir uns, warum manche der besuchten Seiten im Adresskopf statt des Kürzels http ein https stehen haben (s bedeutet hier: secure). Wenn wir aufmerksam unseren Browser inspizieren, entdecken wir bisweilen ein winziges Vorhängeschloss am Rand. Manchmal erhalten wir eine Meldung von irgendwoher, die uns interessierende Website besitze kein Sicherheitszertifikat – automatisch und genervt klicken wir »ich vertraue trotzdem« an, und weiter geht’s.

Was die meisten nicht ahnen: Web-Kommunikation, die nicht durch Verschlüsselung gesichert ist, kann prinzipiell von jedermann mitgelesen werden. Das betrifft Privates wie Online-Liebeskontakte oder den Besuch von Pornoseiten, aber ebenso Finanzgeschäfte oder Betriebsgeheimnisse.

Um all dies vor den Augen Dritter zu verbergen, entwickeln Kryptografen seit den siebziger Jahren des letzten Jahrhunderts Verschlüsselungsverfahren. Die beiden Pioniere der Web-Kryptografie waren Whitfeld Diffie und sein Rivale Ron Rivest. Letzterer setzte sich mit seinem »RSA-Verfahren« durch, für dessen Entwicklung er 2002 den Turing Award erhielt, eine Art Informatik-Nobelpreis. RSA ist just das System, das jetzt Schwächen zeigt. Darum trägt das beunruhigende Paper auch die Überschrift: Ron was wrong, Whit is right.

Alle gängigen Web-Verschlüsselungsverfahren beruhen auf Zufallszahlen, also Zahlen, deren Erzeugung auch leistungsstarke Rechner nicht nachvollziehen können. Genau das war die Schwachstelle, die der niederländische Mathematiker und Kryptograf Arjen K. Lenstra jetzt aufgedeckt hat. Er untersuchte 7,1 Millionen sogenannte öffentliche Schlüssel – und fand bei fast 27.000 dieser Schlüssel Auffälligkeiten oder Doppelungen, welche den Schutz obsolet machen. Die Zufallszahlen waren schlicht nicht zufällig genug.

Doch warum gibt es überhaupt öffentliche Schlüssel, die sich findige Mathematiker, aber auch Spitzbuben und Betrüger beschaffen können? Weil man mit solchen Schlüsseln nichts öffnen kann, solange sie auf echten Zufallszahlen beruhen. Sondern nur verschließen. Die geniale Idee von Ron Rivest und seinen Kollegen Adi Shamir und Leonard Adleman (daher das Kürzel RSA) löste nämlich dieses verzwickte Problem: Wie tausche ich auf einem prinzipiell abhörbaren, also unsicheren Kanal wie meiner Datenleitung einen geheimen Schlüssel aus, mit dem ich Mitteilungen verschlüsseln – und mein Kommunikationspartner sie entschlüsseln kann? In der Geschichte der Kryptografie überbrachten getarnte Boten den geheimen Schlüssel. Oder Brieftauben. Bei den Abermilliarden Internetkontakten täglich muss das cleverer gehen.

Rivest löste das Problem so: Meine Bank (zum Beispiel) veröffentlicht einen Schlüssel. Den besorge ich mir, verschlüssele damit meine Daten und schicke das kryptische Datenpäckchen zur Bank. Die besitzt zusätzlich noch einen Geheimschlüssel, mit dem – nur sie – das Päckchen öffnen kann. Das funktioniert wie manches Bügelschloss am Fahrrad: Jeder kann es verschließen. Aber nur der Schlüsselbesitzer kriegt es wieder auf.

Nun haben Schlüssel und Schloss gemeinhin viel miteinander zu tun. Mit etwas Mühe kann ich vom Bügelschloss, sobald ich es aufschraube, auf den Schlüssel schließen. Das aber darf im Internetalltag nicht geschehen. Gesucht ist also ein Schlüssel, für den ich sehr leicht ein Schloss machen kann, welches aber nichts über den Schlüssel preisgibt. Die Kryptografen erinnerten sich an eine alte Geschichte aus der Königsdisziplin der Mathematik, der Zahlentheorie.