ZEIT ONLINE: Mit welchem Ausgang des Nist-Verfahrens, das bis 6. November läuft,  rechnen Sie? 

Bernstein: Ich denke, das Nist wird den Standard DUAL_EC_DRBG nach Ablauf der Diskussionsphase zurückziehen.

ZEIT ONLINE: Als besonders sicher galt bisher die Verschlüsselung mithilfe von elliptischen Kurven, woran auch Sie arbeiten. Doch auch hier sind nun dank Edward Snowden Zweifel aufgekommen – zu Recht?

Bernstein: Der Kryptografie-Experte Bruce Schneier hat geschrieben, dass Elliptische-Kurven-Systeme "Konstanten haben, die die NSA beeinflusst, wenn sie das kann". Das stimmt so für die Nist-Kurven. Diese Nist-Kurven wurden von Jerry Solinas von der NSA entwickelt und sie verwenden Konstanten, deren Herkunft unerklärlich ist. Das wurde bereits 2005 als gravierendes Problem identifiziert. 

Glücklicherweise ist es möglich, elliptische Kurven zu entwickeln, die keinerlei unerklärliche Konstanten enthalten. Das habe ich mit Curve25519 getan. Curve25519 ist die Kurve y^2=x^3+486662x^2+x mod 2^255-19; jede Ziffer hier ist vollständig erläutert im dazugehörigen Paper.

ZEIT ONLINE: Das klingt kompliziert. Gibt es überhaupt komplett sichere Verschlüsselungsmethoden?

Bernstein: Curve25519 ist eine sichere Alternative.

ZEIT ONLINE: Nach all den Enthüllungen über die Machenschaften der NSA – muss man davon ausgehen, dass sämtliche Software amerikanischer Firmen potenziell kompromittiert ist?

Bernstein: Es ist zu vermuten, dass Angreifer Zugriff haben auf die meisten Softwareentwicklungsprozesse weltweit, und dass sie regelmäßig Hintertüren in Software einbauen. Durch die Überprüfung von Open-Source-Software kann es uns vielleicht gelingen, dem zu entkommen. Wirklich beängstigend ist aber, dass Angreifer möglicherweise auch auf den Großteil der Chip-Produktion Zugriff haben.

ZEIT ONLINE: Es heißt, Kryptologen neigen zu Paranoia. Waren Sie sehr überrascht, als die ersten Berichte über die Aktivitäten der NSA und des britischen GCHQ bekannt wurden?

Bernstein:Diese Frage beantwortet Bernstein mit einem Link: Dahinter verbergen sich Slides zu einem Vortrag mit dem Titel "Kryptografie für Paranoide". Darin stellt Bernstein dar, wie verletzlich viele Sicherheitsstandards sind angesichts der Rechenpower, über die etwa die NSA bereits heute verfügt oder in naher Zukunft verfügen wird.