Kryptografie"Angreifer haben Zugriff auf Software und Chips"
Seite 2/3:

Es gibt sichere Verschlüsselung

ZEIT ONLINE: Mit welchem Ausgang des Nist-Verfahrens, das bis 6. November läuft,  rechnen Sie? 

Bernstein: Ich denke, das Nist wird den Standard DUAL_EC_DRBG nach Ablauf der Diskussionsphase zurückziehen.

ZEIT ONLINE: Als besonders sicher galt bisher die Verschlüsselung mithilfe von elliptischen Kurven, woran auch Sie arbeiten. Doch auch hier sind nun dank Edward Snowden Zweifel aufgekommen – zu Recht?

Bernstein: Der Kryptografie-Experte Bruce Schneier hat geschrieben, dass Elliptische-Kurven-Systeme "Konstanten haben, die die NSA beeinflusst, wenn sie das kann". Das stimmt so für die Nist-Kurven. Diese Nist-Kurven wurden von Jerry Solinas von der NSA entwickelt und sie verwenden Konstanten, deren Herkunft unerklärlich ist. Das wurde bereits 2005 als gravierendes Problem identifiziert. 

Glücklicherweise ist es möglich, elliptische Kurven zu entwickeln, die keinerlei unerklärliche Konstanten enthalten. Das habe ich mit Curve25519 getan. Curve25519 ist die Kurve y^2=x^3+486662x^2+x mod 2^255-19; jede Ziffer hier ist vollständig erläutert im dazugehörigen Paper.

ZEIT ONLINE: Das klingt kompliziert. Gibt es überhaupt komplett sichere Verschlüsselungsmethoden?

Bernstein: Curve25519 ist eine sichere Alternative.

Edward Snowden

Edward Snowden war Systemadministrator, angestellt bei einer privaten Firma und von dieser an den amerikanischen Geheimdienst NSA ausgeliehen. In dieser Position sah er viel und was er sah, beunruhigte ihn. Mehr als 50.000 Dokumente soll er von den Servern der NSA heruntergeladen haben. Im Juni 2013 begann er, der Öffentlichkeit zu verdeutlichen, wie sie im Internet überwacht und ausgespäht wird. 2013 erhielt er vorläufiges Asyl in Russland.

Die Enthüllungen

Ein Überblick über die Enthüllungen, die Snowden mithilfe mehrerer Medien ermöglichte:

Und wie sie bewertet werden

Die Dinge, die Snowden dem britischen Guardian und der amerikanischen Washington Post berichtete, dürften der bislang größte Leak im Geheimdienstsektor sein. Sie haben eine Debatte um die Rolle von Whistleblowern und um die Kontrolle von Geheimdiensten ausgelöst. Ein Überblick der Meinungen und Kommentare dazu:

ZEIT ONLINE: Nach all den Enthüllungen über die Machenschaften der NSA – muss man davon ausgehen, dass sämtliche Software amerikanischer Firmen potenziell kompromittiert ist?

Bernstein: Es ist zu vermuten, dass Angreifer Zugriff haben auf die meisten Softwareentwicklungsprozesse weltweit, und dass sie regelmäßig Hintertüren in Software einbauen. Durch die Überprüfung von Open-Source-Software kann es uns vielleicht gelingen, dem zu entkommen. Wirklich beängstigend ist aber, dass Angreifer möglicherweise auch auf den Großteil der Chip-Produktion Zugriff haben.

ZEIT ONLINE: Es heißt, Kryptologen neigen zu Paranoia. Waren Sie sehr überrascht, als die ersten Berichte über die Aktivitäten der NSA und des britischen GCHQ bekannt wurden?

Bernstein:Diese Frage beantwortet Bernstein mit einem Link: Dahinter verbergen sich Slides zu einem Vortrag mit dem Titel "Kryptografie für Paranoide". Darin stellt Bernstein dar, wie verletzlich viele Sicherheitsstandards sind angesichts der Rechenpower, über die etwa die NSA bereits heute verfügt oder in naher Zukunft verfügen wird.

Leserkommentare
    • Goa333
    • 19. September 2013 21:16 Uhr

    und einige Hacker und Security Experten sollten ihre Arbeit nicht mehr als Spiel betrachten. Zuviele sind durch die ihre Eitelkeit zu packen.

    2 Leserempfehlungen
    • G-O-R
    • 19. September 2013 22:27 Uhr

    Jetzt stehen wir also nackig da.

    Scheinbar ist es wohl so, daß open source vernünftiger ist als US-OS und deren software.

    Daß sämtliche Hardware US- resp. chinesisch ist macht es nicht besser.

    Hmm...

    Schönen Abend. Ach ja, am Sonntag ist Wahl. Wenigstens ein Statement sollte drin sein.

    Grüße

    Gor

    via ZEIT ONLINE plus App

    8 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen
    • hairy
    • 20. September 2013 8:32 Uhr

    "Scheinbar ist es wohl so, daß open source vernünftiger ist als US-OS und deren software."

    Ja, aber noch immer setzt sich der Gedanke nicht durch bei Mehrheiten.

    "Daß sämtliche Hardware US- resp. chinesisch ist macht es nicht besser."

    Eben. US-IT verdient sich dumm und dämlich, die chinesischen Arbeiter dürfens unter üblen Bedingungen herstellen, und wir Nutzer haben kaum Alternativen hinsichtlich Hardwarekauf und kaum Handhabe gegen die Überwachungstricks.

    "Ach ja, am Sonntag ist Wahl. Wenigstens ein Statement sollte drin sein."

    Da kommt nichts mehr. CSU in Bayern hats vorgemacht. Merkel mauert, und wird gewählt. :(

  1. ...gemeinsam Garant dafür sein, dass quelloffene Codes von allen Interessierten geprüft werden können (backdoor, Trojaner usw.).

    Sichere Verschlüsselungsmechanismen müssen in gängige Anwendungssoftware so integriert werden, dass auch Otto-Normalverbraucher diese ganz einfach "durch Knopfdruck" einsetzen kann. Global-Player wie Microsoft, Google & Co. könnten durch geeignete Sicherheits-AddOns als OpenSource-Lösungen - betriebssystemoffen - versuchen, Vertrauen zurück zu gewinnen.

    Regierungen sind von Lobbies gekauft und folglich nicht der richtige Ansprechpartner für Datensicherheit. Irgendwer vergibt ja schließlich die Budgets für Geheimdienste...

    Wach bleiben

    Eine Leserempfehlung
    Reaktionen auf diesen Kommentar anzeigen
    • Sikasuu
    • 19. September 2013 22:52 Uhr

    ... wenn sie dürften und wollten:-(((
    .
    Verlass dich da nicht drauf. Nur was du selber machst und verstehst ist realtiv sicher!
    .
    Meint
    Sikasuu
    .
    Ps. Alter Hackerwitz:
    F:Hast du ein Betriebssystem?
    A:Aber sicher, aus Redmond!
    F: Hast du auch die Sourcen?
    A: Was ist das?
    Fazit: Dann hast du auch KEIN Betriebsystem!!!
    .
    in diesem Sinn: rm -rf /WIN*
    s.

    • DerDude
    • 19. September 2013 22:41 Uhr

    möchte die NSA-Affäre zu gerne aussitzen, schöne Grüße vom politischen Ziehvater aus einer glücklich vergessen geglaubten Zeit.

    Doch Sie können diesen Plan mit Leichtigkeit durchkreuzen!

    Mit einem Kreuz bei den Piraten.

    4 Leserempfehlungen
    • Sikasuu
    • 19. September 2013 22:46 Uhr

    Wenn man sich die U-SA Gesetzgebung und das Handeln dort an sieht, ist es heute schon GROB fahrlässig ein OS aus diesem Bereich zu nutzen,
    .
    Vor allen Dingen unter der Prämisse, dass es sehr leicht möglich ist, ein "open-souce" OS als Grundsystem auf den Rechner auf zu spielen UND mit wenig Aufwand in einem JAIL wenn nötig Win/OSX eingesperrt mit sehr viel mehr Sicherheit= kontolliert für die Programme zu nutzen, die unter "open-source" nicht zu Verfügung stehen.
    .
    Bei modernen Mehrkern-CPUs sollte das kein Thema mehr sein.
    1 Kern fürs Gastsystem, der Rest für den Jail!
    .
    Für den normalen Büroalltag findet man im open-source fast alles, was man braucht. Office, Multimedia...... Spiele s.o.
    .
    Natürlich gibt "open-source" KEINE Garantiei für Sicherheit, aber die Wahrscheinlichkeit, das dort KEINE nicht zu findenen "Backdoors" vorhanden sind, ist Potenzen größer.
    .
    In diesem Sinn, testet mal UBUNTU, Linux in allen Variationen, PC-BSD......
    .
    alles nach etwas Einarbeitung sehr brauchbare OS, die wahrscheinlich sehr viel sicherer sind als die Dinge aus Redmond oder Cupertino!
    .
    Meint
    Sikasuu
    .
    Ps. Das trift nicht nur für den Privatmann/Frau zu. Wenn sich Firmen dabei keinen Kopf machem, haben sie das GUTACHTEN gespart (das nach Psych-KG), wie man hier zu sagen pflegt!

    Eine Leserempfehlung
    • Sikasuu
    • 19. September 2013 22:52 Uhr

    ... wenn sie dürften und wollten:-(((
    .
    Verlass dich da nicht drauf. Nur was du selber machst und verstehst ist realtiv sicher!
    .
    Meint
    Sikasuu
    .
    Ps. Alter Hackerwitz:
    F:Hast du ein Betriebssystem?
    A:Aber sicher, aus Redmond!
    F: Hast du auch die Sourcen?
    A: Was ist das?
    Fazit: Dann hast du auch KEIN Betriebsystem!!!
    .
    in diesem Sinn: rm -rf /WIN*
    s.

  2. Auch für den nicht-Kryptologen fast verständlich. Umgehauen hat mich aber die letzte Zeile! Wenn doch immer solche Zusammenhänge erwähnt würden...

    Ich finde Snowden verdient mehr als Asyl bei Putin!

    2 Leserempfehlungen
    • sh59
    • 20. September 2013 8:13 Uhr

    generell ist Opensource eine wichtige Komponente, aber ich habe den Verdacht, daß die schlimmen Verbrechen schon auf der Hardwareebene ansetzen. Wer kann schon einen Chip analysieren, wer weiß, welche Mikroprogramme schon dort implementiert sind und völlig losgelöst vom laufenden Betriebssystem ihren Spionagedienst verrichten. Da ist es dann egal, ob man Win, Unix (Linux=Unixderivat), DOS oder andere Exoten laufen läßt.
    Da digitale Kommunikation essentiell die Wirtschaft, die Politik und das Privatleben beeinflusst, ist es auch von essentieller Wichtigkeit, die Kontrolle über diese Technik zu haben. D.h., wir MÜSSEN eine eigene Hardwareproduktion im Bereich der Chips errichten - oder wer traut heute noch Intel oder AMD? Wir sind sowohl von der Entwicklungs- als auch von der Produktionsseite dazu in der Lage. Nicht zu chinesischen Preisen - aber dafür ohne digitale anglo-chinesische Zecken, die einen absaugen.
    Mit Neid blicke ich derzeit nach Brasilien, das dem Thema viel selbstbewußter zugewandt ist und die Bedeutung von der juristischen Hoheit über digitale Daten erkannt hat.
    Für eine souveräne Zukunft im Netz ist es unabdingbar, daß die Server hier in D stehen, daß es klare Regeln auf deren Zugriff geben muß. Warum nicht einen Passus einführen, der von ausländischen Firmen das Einverständnis verlangt, daß sie mit den Daten von Deutschen nur gemäß des deutschen
    Rechts verfahren. Wer dagegen verstößt, kann dann wenigstens sanktioniert werden. Derzeit hat man garnichts.

    Eine Leserempfehlung
    Reaktionen auf diesen Kommentar anzeigen
    • tobmat
    • 20. September 2013 11:14 Uhr

    Meine volle Zustimmung zu ihrem Kommentar. Leider wird das Problem der Hardware im Artikel nur angerissen und auch die Kommentare gehen kaum darauf ein. Wa hilft schon die beste und sicherste Software, wenn die HArdware verseucht ist.

    "Warum nicht einen Passus einführen, der von ausländischen Firmen das Einverständnis verlangt, daß sie mit den Daten von Deutschen nur gemäß des deutschen Rechts verfahren."

    Das geht zwar, wird aber ziemlich kompliziert in der Anwendung. Sobald sich zwei Rechtssystem widersprechen und man nicht beide gleichzeitig anwenden kann aber theoretisch müsste, steht die Firma vor einem echten Problem. Das würde eine Großteil der Freiheit im Netz aushebeln, da sich Unternehmen solchen Rechtsunsicherheiten natürlich nicht aussetzen wollen.

    "D.h., wir MÜSSEN eine eigene Hardwareproduktion im Bereich der Chips errichten "
    Wenn ich richtig informiert bin gibt es die auch in Deutschland. Normalerweise werden solche Chips exklusive für den Staat und das Militär hergestellt, sind dementsprechend teuer und nicht frei verfügbar.

    In Deutschland besteht die legale Möglichkeit, das Institutionen direkt und live auf Daten deutscher Internetprovider zugreifen. Die entsprechende Hardware musste vor ein paar Jahren von allen installiert werden.

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Edward Snowden | Software | Bruce Schneier | Kryptografie | NSA
Service