Enigma, die Verschlüsselungsmaschine der deutschen Wehrmacht © Ian Waldie/Getty Images

Die Experten hatten es schon länger geahnt. Hinter vorgehaltener Hand machte das Gerücht auf internationalen Konferenzen die Runde. Doch offiziell bekannt wurde der Skandal erst nach der Veröffentlichung einer wissenschaftlichen Arbeit Mitte Februar. Die Botschaft, salopp ausgedrückt: Das Internet wackelt. Die Basis unserer Online-Geschäfte, unseres E-Mail-Verkehrs, unserer Online-Bankbeziehungen – die Sicherheit durch Verschlüsselung – ist nicht garantiert. Unser Vertrauen in die Geschäftsgrundlage des Webs als Marktplatz ist möglicherweise nicht mehr zu rechtfertigen. Denn einem Team europäischer und amerikanischer Mathematiker und Kryptografiespezialisten ist es gelungen, die bislang beliebteste, als sicher geltende Web-Verschlüsselung RSA zu attackieren und teilweise zu knacken.

Früher überbrachten Brieftauben und getarnte Boten die geheimen Codes

Die sichere Verschlüsselung der Internetkommunikation ist Routine, funktioniert in Sekundenbruchteilen und fällt uns Normalnutzern nicht weiter auf. Gelegentlich fragen wir uns, warum manche der besuchten Seiten im Adresskopf statt des Kürzels http ein https stehen haben (s bedeutet hier: secure). Wenn wir aufmerksam unseren Browser inspizieren, entdecken wir bisweilen ein winziges Vorhängeschloss am Rand. Manchmal erhalten wir eine Meldung von irgendwoher, die uns interessierende Website besitze kein Sicherheitszertifikat – automatisch und genervt klicken wir »ich vertraue trotzdem« an, und weiter geht’s.

Was die meisten nicht ahnen: Web-Kommunikation, die nicht durch Verschlüsselung gesichert ist, kann prinzipiell von jedermann mitgelesen werden. Das betrifft Privates wie Online-Liebeskontakte oder den Besuch von Pornoseiten, aber ebenso Finanzgeschäfte oder Betriebsgeheimnisse.

Um all dies vor den Augen Dritter zu verbergen, entwickeln Kryptografen seit den siebziger Jahren des letzten Jahrhunderts Verschlüsselungsverfahren. Die beiden Pioniere der Web-Kryptografie waren Whitfeld Diffie und sein Rivale Ron Rivest. Letzterer setzte sich mit seinem »RSA-Verfahren« durch, für dessen Entwicklung er 2002 den Turing Award erhielt, eine Art Informatik-Nobelpreis. RSA ist just das System, das jetzt Schwächen zeigt. Darum trägt das beunruhigende Paper auch die Überschrift: Ron was wrong, Whit is right.

Alle gängigen Web-Verschlüsselungsverfahren beruhen auf Zufallszahlen, also Zahlen, deren Erzeugung auch leistungsstarke Rechner nicht nachvollziehen können. Genau das war die Schwachstelle, die der niederländische Mathematiker und Kryptograf Arjen K. Lenstra jetzt aufgedeckt hat. Er untersuchte 7,1 Millionen sogenannte öffentliche Schlüssel – und fand bei fast 27.000 dieser Schlüssel Auffälligkeiten oder Doppelungen, welche den Schutz obsolet machen. Die Zufallszahlen waren schlicht nicht zufällig genug.

Doch warum gibt es überhaupt öffentliche Schlüssel, die sich findige Mathematiker, aber auch Spitzbuben und Betrüger beschaffen können? Weil man mit solchen Schlüsseln nichts öffnen kann, solange sie auf echten Zufallszahlen beruhen. Sondern nur verschließen. Die geniale Idee von Ron Rivest und seinen Kollegen Adi Shamir und Leonard Adleman (daher das Kürzel RSA) löste nämlich dieses verzwickte Problem: Wie tausche ich auf einem prinzipiell abhörbaren, also unsicheren Kanal wie meiner Datenleitung einen geheimen Schlüssel aus, mit dem ich Mitteilungen verschlüsseln – und mein Kommunikationspartner sie entschlüsseln kann? In der Geschichte der Kryptografie überbrachten getarnte Boten den geheimen Schlüssel. Oder Brieftauben. Bei den Abermilliarden Internetkontakten täglich muss das cleverer gehen.

Rivest löste das Problem so: Meine Bank (zum Beispiel) veröffentlicht einen Schlüssel. Den besorge ich mir, verschlüssele damit meine Daten und schicke das kryptische Datenpäckchen zur Bank. Die besitzt zusätzlich noch einen Geheimschlüssel, mit dem – nur sie – das Päckchen öffnen kann. Das funktioniert wie manches Bügelschloss am Fahrrad: Jeder kann es verschließen. Aber nur der Schlüsselbesitzer kriegt es wieder auf.

Nun haben Schlüssel und Schloss gemeinhin viel miteinander zu tun. Mit etwas Mühe kann ich vom Bügelschloss, sobald ich es aufschraube, auf den Schlüssel schließen. Das aber darf im Internetalltag nicht geschehen. Gesucht ist also ein Schlüssel, für den ich sehr leicht ein Schloss machen kann, welches aber nichts über den Schlüssel preisgibt. Die Kryptografen erinnerten sich an eine alte Geschichte aus der Königsdisziplin der Mathematik, der Zahlentheorie.

Die auf Rechenoperationen basierende Informatik kennt keinen Zufall

Seit der Antike denken Mathematiker über das Problem nach, wie man eine beliebige Zahl in ihre Faktoren zerlegt. Multiplikation ist leicht – das Gegenteil, Faktorisieren, ist mühsam. Und je größer die Zahl ist, umso schwerer wird das. Zwei fünfhundertstellige Zahlen miteinander zu multiplizieren dauert Sekunden. Das Produkt in seine Faktoren zu zerlegen ist dagegen beträchtlich aufwendiger. Um einen öffentlichen Schlüssel zu erzeugen, multipliziert man zwei sehr große Primzahlen miteinander, also Zahlen, die nur durch 1 und sich selbst teilbar sind.

Wenn ein Bösewicht dieses öffentlich einsehbare Produkt durch reines Ausprobieren wieder in seine zwei Faktoren zerlegen wollte, dann müssten heutige Computer bis ans Ende aller Zeiten rechnen. Zwar machen die Rechner ständig Fortschritte, aber wenn sie zu gut werden, verwendet man immer größere Verschlüsselungszahlen.

Ein anschauliches Beispiel für diese Schwierigkeit lieferte ungewollt der französische Mathematiker Pierre de Fermat, der 1637 eine Methode gefunden zu haben glaubte, Primzahlen mittels einer Gleichung zu berechnen. Bis heute schlagen sich Mathematiker mit dem Problem herum, ob die sogenannten Fermat-Zahlen tatsächlich Primzahlen sind oder nicht. Erst 95 Jahre nach Fermat schaffte es Leonhard Euler 1732, die fünfte Fermat-Zahl 4.294.967.297 in Faktoren zu zerlegen (641 mal 6.700.417) und damit zu zeigen, dass sie keine Primzahl ist. Die Zerlegung der 155-stelligen neunten Fermat-Zahl in Faktoren gelang erst 260 Jahre später, 1990; an der Faktorisierung war übrigens der besagte Niederländer Lenstra beteiligt.

Das öffentliche digitale Bügelschloss kann also nur öffnen, wer die beiden Faktoren kennt. Die Schwächen des RSA-Verschlüsselungsmechanismus, die Lenstra aufgedeckt hat, hängen mit der Erzeugung der eigentlich zufälligen Geheimschlüsselzahlen zusammen. Zufall ist ein Naturphänomen – keins der Mathematik oder der auf Rechenoperationen basierenden Informatik. Deren Algorithmen können nur zufällig aussehende Zahlen produzieren. In der Verschlüsselungstechnik behilft man sich damit, solche scheinbar zufälligen Zahlen in großer Menge zu erzeugen, um dann daraus eine Zahl wirklich zufällig »auszulosen«.

Hierfür bedient man sich meist eines physikalischen Prozesses, etwa der zufälligen Bewegung der Computermaus oder chaotischer Erwärmungsprozesse innerhalb des Computers. Wenn aber der so ermittelte Zufallswert doch nicht echt zufällig ist, taugt das ganze Sicherheitssystem nichts mehr. Dann ist es nur eine Frage der Zeit, bis das System gehackt ist. Angesichts der möglichen exorbitanten Gewinne, die aus entschlüsselten Internetkommunikationen zu erzielen sind, lohnt sich dabei jede kriminelle Anstrengung.

Eine ganze Reihe von Kryptografen spielt die Bedeutung der RSA-Panne herunter. Die schlechten öffentlichen Schlüssel gehörten kleinen Klitschen, sagen die einen. Andere verweisen auf frühere Pannen, die das Internet allesamt überlebt hat. Wie gefährdet das Sicherheitssystem tatsächlich ist, ist schwer zu entscheiden. Viele auf Internetsicherheit spezialisierte Experten nehmen das Lenstra-Paper allerdings zum Anlass, ernste Warnungen auszusprechen. Einer von ihnen ist Johannes Buchmann von der Technischen Universität Darmstadt. Der Mathematiker weist darauf hin, dass schon die wichtigste Voraussetzung für das Funktionieren der kryptografischen Verschlüsselung nach Ron Rivest, die Unmöglichkeit des Faktorisierens sehr großer Zahlen, eine möglicherweise windige Sache ist.

Quantenkryptografisch Verschlüsseltes kann kein Ganove unbemerkt lesen

Ein Quantencomputer könnte nämlich das Faktorisierungsproblem irgendwann knacken. Mit der Bedrohung der Internetsicherheit durch einen solchen Hochleistungsrechner, der theoretisch alle möglichen Primfaktoren einer Zahl gleichzeitig ausprobieren kann, beschäftigen sich Buchmann und seine Kollegen im CASED, dem Center for Advanced Security Research Darmstadt. Das CASED ist eines der größten europäischen Forschungszentren für IT-Sicherheit. Bislang steht zwar nur eine sündhaft teure Kiste namens D-Wave seit Januar in der Universität von Südkalifornien, von der es heißt, sie sei der erste funktionierende Quantencomputer der Welt. Ob es sich wirklich um einen echten Quantencomputer handelt, wird von Fachleuten noch bezweifelt. Doch die Experten vom CASED rechnen mit der Möglichkeit, dass Quantencomputer irgendwann das Problem der Faktorenzerlegung durch schiere Rechenkraft erledigen könnten. Damit wäre RSA am Ende.

Die Zukunft der IT-Sicherheit sehen die Darmstädter übrigens ebenfalls in der praktischen Anwendung der Quantenmechanik: sichere Kommunikation mit quantenkryptografischen Verfahren und Photonen, die sich durch Glasfasern bewegen. Das Besondere an dieser Verschlüsselungstechnik ist, dass jeder »Lauscher« als Übertragungsfehler erkennbare Spuren hinterlässt. Sobald sich jemand in die Datenübermittlung einschaltet, bricht die Übertragung ab.

Erste Versuche mit quantenkryptografisch verschlüsselten Banküberweisungen oder Telefonaten haben die prinzipielle Tauglichkeit dieser avancierten Verschlüsselungsmethode erwiesen. Allerdings bisher nur auf der Kurzstrecke. Die weiteste Übertragungsstrecke quantenkryptografisch geschützter Informationen betrug – bei miserabler Übertragungsrate – gerade mal 250 Kilometer. Die kann man zur Not auch noch mit Brieftauben bewältigen.