Die Key-Hinterlegung soll den Staat vor einem Krypto-Missbrauch schützen Industrie und Politik streiten in Deutschland über die Grenzen der Verschlüsselung
Das vertrauliche Daten und Nachrichten nur verschlüsselt durch das Internet geschickt werden sollten, liegt auf der Hand. Kryptographie gibt jedem die Möglichkeit zur unsichtbaren Kommunikation – auch kriminellen Kräften. Sollte deswegen die Hinterlegung der Schlüssel, das „Key Recovery“, zur Pflicht werden?
E-Mail liegt oft lange Zeit gut einsehbar auf Computern, ob beim Provider oder den diversen Vermittlungsrechnern (Router) auf dem Weg. Zudem steht fest, daß die internationalen Geheimdienste, allen voran die amerikanische National Security Agency (NSA), Konversation per E-Mail systematisch abhören und nach verdächtigen Inhalten überprüfen. Die NSA speichert zudem nicht nur die Nachrichten suspekter Personen, sondern lauscht ebenfalls Gesprächen in den Etagen deutscher Wirtschaftskonzerne. Aber auch der Bundesnachrichtendienst BND soll sich längst Abzweigungen zu den wichtigsten Internet-Leitungen gelegt haben, die die Bundesrepublik durchqueren, um so im Cyberspace verabredeten Verbrechen auf die Spur zu kommen.
Um weiterhin vertrauliche Dokumente austauschen zu können, nutzen zwei Gruppen die Möglichkeit der diskreten Übermittlung von Daten mittels kryptographischen Methoden. Zum einen sind dies Bürger, die keine Lust verspüren ihre privaten Mitteilungen einem offenen, unsicherem Medium anzuvertrauen. Sie vergleichen die sogenannte Kryptographie mit dem Briefumschlag der Post, der den Inhalt vor neugierigen Blicken schützt. Die andere Gruppe setzt sich aus den Vertretern eines aufblühenden Wirtschaftszweiges zusammen, ein Zweig, der über das Internet zukünftig Produkte an den Verbraucher vertreiben will. Ob Versandhandel, Banken, Kaufhäuser oder Pizza-Service – die Aufnahme einer geschäftlichen Beziehung im Cyberspace muß auf einer sicheren Technik fußen. Transaktionen über das Netz unterliegen den selben Bedingungen wie in der Realwelt: Dokumente müssen authentisch sein, daß heißt der Autor muß eindeutig bestimmbar sein, der Inhalt darf nur seinen rechtmäßigen Empfänger zugänglich sein und schließlich muß die Integrität der versandten Information gewährleistet sein. Nur die in der Diskussion stehenden kryptographischen Verfahren gewährleisten die Forderungen der Wirtschaft und befriedigen das Sicherheitsbedürfnis des einzelnen Bürgers. Durch das Gesetz zur Digitalen Signatur ist in Deutschland eine der Grundlagen für den elektronischen Handel geschaffen worden. Eine besondere Rolle kommt dabei den Trust Centern zu, die die Zusammengehörigkeit von Schlüssel und Besitzer zertifizieren. Bislang stellen beispielsweise Banken die Schlüssel für den sicheren Datenaustausch mit dem Kunden selber her und zertifizieren ihn in einem nächsten Schritt. Ob die Trust Center in naher Zukunft tatsächlich die notarielle Rolle als dritte Partei einnehmen werden, die sie sich selbst wünschen, bleibt abzuwarten. Noch warten die bestehenden Trust C enter auf größeren Kundenandrang, erst mit der massenhaften Verbreitung des E-Commerce dürften diese Zertifikationsinstanzen an Einfluß gewinnen.
Trotz massiver Einwände seitens der Wirtschaft überlegt die Bundesregierung aber noch immer, ob und wie die generelle Verschlüsselung von Nachrichten reglementiert oder gar verboten werden soll. Zur Diskussion stehen mehrere Ansätze:
- Verschlüsselung wird generell verboten.
- Es darf nur mit solchen Algorithmen verschlüsselt werden, die von staatlichen Stellen genehmigt wurden. In diese Algorithmen werden bei der Entwicklung „Hintertüren“ eingebaut, um den Behörden im Bedarfsfall die Entschlüsselung der Texte zu ermöglichen. In den USA nannte sich dieser Versuch „Clipper-Chip“
- Die Länge geheimer Schlüssel werden auf einen Maximalwert begrenzt, um das „Knacken“ chiffrierte Daten auch ohne den geheimen Schlüssel zu ermöglichen.
- Alle Anwender kryptographischer Techniken werden aufgefordert, Kopien ihrer geheimen Schlüssel bei einer staatlichen oder quasi-staatlichen Stelle zu hinterlegen. Dies ist das sogenannte „Key Recovery“ oder auch „Key Escrow“ -Verfahren.
Ein Forderung nach einem gänzlichen Verbot von Verschlüsselung spricht kein Behördenvertreter mehr offen aus, denn mittlerweile hat es sich auch bis nach Bonn rumgesprochen, daß Kryptographie nur in den Ländern verboten ist, die ihre Herrschaftsansprüche durch eine Totalüberwachung der elektronischen Kommunikation sicherstellen wollen.
Das Innenministerium unternahm mehrere Anläufe, Verschlüsselung an bestimmte Verordnungen zu binden. Innenminister Manfred Kanther forderte im April letzten Jahres ein eigenes Krypto-Gesetz, in welchem festgelegt werden sollte, wer wie stark verschlüsselt darf. Er hatte „eine gewaltige Herausforderung für die Strafverfolgungsbehörden“ ausgemacht. „Terroristen, Hehlerbanden, Anbieter harter Pornographie, Drogenschmuggler und Geldwäscher“, könnten, so Kanther, „künftig ihr Vorgehen durch kryptographische Verfahren schützen“. Nur wenn der Staat zukünftig verschlüsselte Botschaften auch wieder entschlüsseln könne, wäre die nationale Sicherheit auch in Zukunft gewährleistet. Nach den Plänen von Kanthers Behörde sollte jedwede kryptographische Hard- oder Software vom Staat genehmigt, die Schlüssel zur Entzifferung bei einer unabhängigen Institution gespeichert werden. Jeder, der nicht genehmigte Schlüssel benutzt, hätte danach mit dem Besuch des Staatsanwalts rechnen müssen. Weder Industrie noch Internet-Nutzer konnten sich mit diesen Plänen anfreunden, das Vorhaben scheiterte im Ansatz.
Mitte des Jahres schlug Staatssekretär Eduard Lintner, CSU, vor, Krypto-Verfahren an eine „freiwillige“ Prüfung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu binden. Als Gegenleistung für die Hinterlegung der Schlüssel auf freiwilliger Basis sollte das werbeträchtige BSI-Zertifikat ausgestellt werden. Datenschützer und Netzbewohner wollen diesen Vorstoß nicht ernst nehmen. Sie wiesen darauf hin, daß das BSI aus der „Zentralstelle für das Chiffrierwesen“ hervorgegangen ist und als „ziviler Arm des BND“ gilt, zumindest aber zu eng mit Geheimdienst und Sicherheitsbehörden verflochten ist, als das ein Vertrauen in die sichere Schlüsselhinterlegung gewährleistet wäre.
Breite Ablehnung
Die Reaktionen auf alle Vorstöße der Reglementierung von Kryptographie waren einheitlich ablehnend. Der Vorsitzender des Bundesverbands der Datenschutzbeauftragten, Gerhard Kongehl, erklärte: „Werden die Pläne von Bundesminister Kanther tatsächlich umgesetzt, wird es in Deutschland keine sicheren Datenaustausch geben.“ Die zentrale Hinterlegung der Schlüssel hielt der Verband für ein großes Sicherheitsrisiko: „Der Anreiz, an diese Schlüssel heranzukommen, dürfte so groß sein, daß gängige Sicherheitsmaßnahmen nicht ausreichen werden, um die mit einer zentralen Schlüsselhinterlegung verbundenen Risiken auf ein erträgliches Maß zu reduzieren.“ Vertreter der Wirtschaft drückten es knapper aus: „Die Kryptographieregelung wird von der Wirtschaft nicht begrüßt“, stellte der Konzernbeauftragte für Datenschutz der Daimler-Benz AG, Alfred Büllesbusch, klar.
Was in der laufenden Diskussion meist gar nicht oder nur unzureichend berücksichtigt wird, sind die technischen Grenzen jedweder Regulierung von Kryptographie. Genehmigt die Regierung nur Verfahren, die mit einer kurzen Schlüssellänge arbeiten, kann diese Verschlüsselung auch vom regulären Benutzer, dem versierten Computeranwender am heimischen PC, entschlüsselt werden. Im Internet ist ein Bildschirmschoner erhältlich, der nebenbei einen 40-bit Schlüssel knackt (www.counterpane.com).
Bei dritten Instanzen hinterlegte Schlüssel können mißbraucht werden. Bundesjustizminister Edzard Schmidt-Jortzig gab bereits 1995 zu bedenken: „Die Erfahrung lehrt, daß jede Abhörmöglichkeit für öffentliche Stellen innerhalb kurzer Zeit auch von nichtautorisierten Stellen genutzt werden kann. Übertragen auf neue Infonetze bedeutet dies, daß ein Abhörprivileg für öffentliche Stellen im Zweifelsfall nicht eingeführt werden sollte.“ Auf jeden Fall würden die Datenbanken dieser „Trusted Third Parties“ ein Angriffspunkt für Datenspione sein. Eine Studie von führenden Kryptographie- und Computerexperten erteilte den Key Recovery Plänen der US-amerikanischen Regierung eine Abfuhr. Ronald L. Rivest, Bruce Schneier, Matt Blaze und andere Wissenschaftler weisen darauf hin, daß der Aufbau einer Schlüssel-Infrastruktur nicht nur mit enormen Kosten verbunden sei, sondern zudem zum Mißbrauch einlädt und keine Kontrolle für den Nutzer existiere. Sie bezweifeln, daß es überhaupt möglich ist, eine international funktionierende Hinterlegung geheimer Schlüssel aufzubauen. Zu diesem Ergebnis kommt auch die Business Software Alliance, eine Organisation von Software-Herstellern, welcher beispielsweise auch Microsoft, Novell und Symantec angehört, deren jüngst veröffentlichter Report die Kosten einer solchen Schlüssel-Infrastruktur auf jährlich 7.7 Milliarde US-Dollar veranschlagt.
Der organisierten Kriminalität stehen mehrere Mittel zur Verfügung, ein Verbot von Kryptographie zu umgehen. Zum einen können Nachrichten doppelt verschlüsselt werden. Dazu verschlüsselt der User zunächst mit einem unerlaubten, aber sicheren Verfahren, packt diese Nachricht dann in einen genehmigten Algorithmus ein, der so getarnt unbeschwert durch das Netz reisen kann. Ein anderer Wissenschaftszweig, die Steganographie, bietet zudem die Option, Nachrichten in Bildern zu verstecken. So transportiert, fällt dem Beobachter gar nicht auf, daß es sich nicht nur um ein Bild, sondern auch um eine getarnte Textübermittlung handelt. Der Bundesverband deutscher Banken stellte in einer Stellungnahme zu einer eventuellen Kryptoregulierung dar, daß diese auf dem Trugschluß aufbaut, „daß die Kreise, die aufgrund ihrer kriminellen Tätigkeiten Gegenstand von Abhörmaßnahmen sein können, die den Behörden bekannte Schlüssel verwenden“.
Key Recovery Center
Wer Nachrichten und Firmendaten verschlüsselt, will bei Bedarf jederzeit Zugriff auf den originären Datensatz haben. Was aber passiert, wenn der eigentliche Schlüsselinhaber nicht verfügbar ist – sei es, weil er auf Geschäftsreise ist, sich im Urlaub befindet, krank oder gar aus der Firma ausgeschieden ist? Genau hier setzt ein Projekt an, welches Key Recovery Center (KRC) in Deutschland durchsetzen will. An der Fachhochschule Rhein Sieg hat ein Team um Hartmut Pohl ein KRC der Firma TIS (Trusted Information Systems, www.tis.com) zu Testzwecken installiert. Das von Hartmut Pohl getestete KRC gibt Firmen die Möglichkeit, die elektronischen Schlüssel für ihre wichtigsten Dokumente an einem sicheren Ort zu speichern – in ihrer eigenen Firma. Die KRC-Software läuft auf jedem handelsüblichen PC unter UNIX und arbeitet schon jetzt mit allen Microsoft-Produkten zusammen. Der Anwender verschlüsselt dafür seine Daten und speichert sie zusammen mit dem benutzten Schlüssel auf seinem Server oder überträgt sie zu seinem Kommunikationspartner. Der benutzte Schlüssel wird dabei mit einem öffentlichen Schlüssel des KRC verschlüsselt. Daraufhin legt der Anwender folgende Hinweise im KRC ab:
- Die laufende Nummer der (übertragenden oder gespeicherten) Dokumente.
- Eine Adressangabe (Pointer) auf dem vom Anwender benutzten und gespeicherten Schlüssel.
- Die Senderadresse mit Identifizierungs- und Authentifizierungsinformation des Anwenders. Damit weist sich der Anwender bei erneutem Bedarf nach dem Schlüssel als Berechtigter aus.
- Identifizierungsinformation und Authentifizierungsinformation weiterer Zugriffsberechtigter. Damit werden die Zugriffsberechtigten identifiziert, die die Schlüssel ebenfalls erhalten dürfen.
Pohl betont, daß das KRC keine geheimen Schlüssel direkt speichert, sondern nur einen Adressanzeiger, den sogenannten Pointer. „Damit kann der Anwender die Sicherheitsmaßnahmen für seine Schlüssel selbst festlegen und skalieren, wie es ihm beliebt. Er ist nicht auf die Sicherheit des KRC angewiesen.“
Tritt der Fall ein, daß ein berechtigte Partei den Schlüssel wieder benötigt, stellt ihm das KRC den korrekten Schlüssel zur Verfügung, indem es diesen aus dem Speicher des Endanwenders ausliest und entschlüsselt. Das Key Recovery Center stellt, so Pohl, nicht die benötigten Dokumente zur Verfügung und erhält auch keinen Zugriff auf die Dokumente. Anwender identifizieren sich gegenüber dem KRC mit ihrer digitalen Signatur, mit Zertifikaten sowie weiteren Authentifizierungsinformationen, gleichermaßen identifiziert sich das Key Recovery Center gegenüber den Endanwendern.
Pohl konnte in der KRC-Software bislang keine Hintertür zum Abhören entdecken, rät aber trotzdem zur Vorsicht. „Das KRC sollte nicht an offene Netze wie das Internet angeschlossen werden“, sagt er, „denn dann kann auch ein Trojanisches Pferd nichts ausrichten“.
Mittlerweile existieren unterschiedliche praktische Umsetzungen und einige wenige kommerzielle Lösungen für Key Recovery Strukturen (eine ausführliche Liste hat die Kryptoexpertin und Key Recovery Befürworterin Dorothy Denning unter bereit gestellt).
Die Bezeichnung „Key Recovery“ für das von Hartmut Pohl getestete System sorgt für Verwirrung: Im Fall des KRC der Firma TIS geht es weniger um eine zentrale Schlüsselhinterlegung bei einer Behörde, sondern um die Wiedererlangung verschlüsselter Daten, dem Data Recovery.
Das neueste Paket des Quasi-Standards für Verschlüsselung von E-Mail, PGP (Pretty Good Privacy), bietet in der Business- wie in der freien Version eine Funktion zum Key Recovery an. Was für Firmen als bequem und nützlich gilt, ist in den Augen vieler privater PGP-Nutzer der Pferdefuß des Programms. Denn so würde einer wichtigen Voraussetzung für die weltweite Durchsetzung von Key Recovery Vorschub geleistet: Eine bereits eingeführte Software. PGP-Gründer Phil Zimmermann wehrt sich gegen den Vorwurf auf Umwegen eine Key Recovery Infrastruktur zu unterstützen. Er nennt den Mechanismus in PGP 5.53 nicht Key Recovery, sondern Company Message Recovery (CMR). Hitzig wird seitdem gestritten, ob es sich dabei nur um eine andere Bezeichnung für Key Recovery handelt. Eines steht fest: In der Zukunft muß zwischen Key Recovery, Message Recovery und Data Recovery unterschieden werden. Während beim Key Recovery ein Zugriff auf den geheimen Schlüssel des Benutzers erfolgt, versucht man beim Message Recovery die Kommunikationsinhalte durch technische Hintertüren, ohne Zugriff auf den Schlüssel des Benutzers, zu erhalten. Das Data Recovery erlaubt dagegen den Zugriff auf dauerhaft gespeicherte Daten einer Firma oder Behörde.