NSA knackt Großteil der verschlüsselten Online-Kommunikation
6. September 2013, 13:08
I
Verschlüsselungsstandard SSL kein Hindernis für Geheimdienste -
Cert.at-Experte: Weiterhin auf Kryptografie setzen
Die britischen und US-amerikanischen Geheimdienste sind laut Medienberichten
in der Lage, einen Großteil der verschlüsselten Kommunikation im Internet zu
knacken. Gängige Verschlüsselungstechniken zur Chiffrierung von E-Mails,
Banküberweisungen und Telekommunikation seien für die National Security
Agency (NSA) und ihren britischen Partnerdienst GCHQ keine Hindernisse,
berichteten die "New York Times", der "Guardian" und das
stiftungsfinanzierte US-Nachrichtenportal ProPublica am Donnerstag.
Supercomputer und "geheime Partnerschaften"
Zu den angewandten Methoden gehörten der Einsatz sogenannter Supercomputer,
der Zugriff auf Soft- und Hardware beliebter Produkte, geheime
Gerichtsanordnungen sowie "geheime Partnerschaften" mit nicht namentlich
genannten Technologieunternehmen. Die Angaben stammen aus geheimen
Unterlagen des Informanten Edward Snowden, die an die Medien weitergegeben
wurden.
Details wurden zurückgehalten
Die "New York Times" und ProPublica wurden nach eigener Darstellung von
Geheimdienstmitarbeitern im Vorfeld aufgefordert, ihre Erkenntnisse nicht zu
veröffentlichen. Die Behörden argumentierten demnach, dass Zielpersonen
andernfalls eine andere Verschlüsselungstechnik einsetzen könnten. Einige
Details seien zurückgehalten worden, erklärten die "New York Times" und der
"Guardian". In den Artikeln ist nicht konkret beschrieben, welche
Verschlüsselungstechnologie tatsächlich geknackt wurde.
Bullrun knackt SSL
Selbst als sicher geltende Verschlüsselungstechniken stellen für die
Geheimdienste demnach keine Probleme dar. So könnten NSA und GCHQ den
Verschlüsselungsstandard SSL mit Hilfe eines streng geheimen Programms
namens Bullrun knacken und die Inhalte mitlesen, berichteten der "Guardian"
und ProPublica. Mit SSL werden Millionen Websites, die mit "https" beginnen,
sowie private Netze geschützt.
250 Millionen Dollar pro Jahr
Laut "Guardian" gibt die NSA jährlich 250 Millionen Dollar (190 Millionen
Euro) aus, um Einfluss auf die Produktentwicklung von Softwareunternehmen zu
nehmen. Die "geheimen Partnerschaften" ermöglichten es dem Geheimdienst,
verborgene Zugänge in kommerzielle Verschlüsselungssoftware einzubauen.
NSA kann "das meiste im Internet entschlüsseln"
Bruce Schneier, Experte für Verschlüsselungstechniken und Sicherheitsfragen,
bezeichnete die neuen Enthüllungen in seinem Blog als "explosiv". "Die NSA
ist in der Lage, das meiste im Internet zu entschlüsseln", so Schneier - und
das nicht auf "mathematischem Weg", sondern "indem sie betrügen".
AES sicher?
Laut heise.de liefern die neuen Enthüllungen allerdings keine Hinweise
darauf, dass es NSA oder GCHQ gelungen wäre, als "stark eingestufte
Verschlüsselungsverfahren wie AES" mit ausreichend langen Schlüsseln zu
kompromittieren. Edward Snowden betonte im Juni: "Ordentlich implementierte,
starke Verschlüsselungssysteme gehören zu den wenigen Dingen, auf die man
sich verlassen kann" - der WebStandard berichtete.
Schwache Implementation
Selbst wenn derzeit noch viele Details offen sind, geht man auch bei cert.at
nicht davon aus, dass es der NSA gelungen ist, aktuelle
Verschlüsselungsverfahren zu knacken. Vielmehr gehe es konkret wohl um
bereits bekannte Lücken, etwa bei schwachen Verschlüsselungsverfahren oder
VPNs, die mit Microsofts PPTP-Protokoll betrieben werden, erklärt Otmar
Lendl dem WebStandard. Bei all dem sei angesichts der der NSA zur Verfügung
stehenden Mittel damit zu rechnen, dass die NSA diese Lücken auch aktiv
ausnutzt
.
Viele offene Fragen
Alles andere sei derzeit noch Spekulation, da die bisherigen Berichte sehr
wenig konkrete Informationen liefern würden, sagt der Cert.at-Experte. In
Zusammenarbeit mit Hard- und Softwareherstellern wäre natürlich vieles
denkbar. Etwa das gezielte Einbauen von "Schwächen" in die Berechnung von
Zufallszahlen, die ein essenzieller Bestandteil jeglicher Krytografie sei.
US-Einkauf?
Trotz der aktuellen Berichte betont Lendl, dass es weiterhin wichtig sei,
auf Kryptografie zu setzen. Selbst wenn nicht alles zu hundert Prozent
geschützt werden könne, mache es doch Behörden wie der NSA die Arbeit
erheblich schwerer. Politisch gesehen stelle sich die Frage, wie sicher es
noch sei, Software oder Hardware aus den USA zu kaufen, wenn man potenziell
damit rechnen müsse, dass hier gezielt Schwachstellen für Geheimdienste
eingebaut wurden.
Auf der Flucht
Der ehemalige US-Geheimdienstmitarbeiter Snowden hatte durch die
Veröffentlichung von Dokumenten über das Ausmaß der Telefon- und
Internet-Überwachung durch die NSA Schlagzeilen gemacht. Er ist seit Mai auf
der Flucht, die US-Justiz wirft ihm Spionage vor. Derzeit hält er sich in
Russland auf, das ihm vorläufig für ein Jahr Asyl gewährt hat.
(APA/sum/apo,
derStandard.at, 6.9.2013)
Links
Wikipedia über SSL-Verschlüsselung
Wikipedia über AES-Verschlüsselung
Blog von Bruce Schneier
Cert.at
Nachlese
http://derstandard.at/1378248237037/Geheimdienste-knacken-verschluesselte-Online-Kommunikation