Clavis Aurea, oder: Löst der „Goldene Schlüssel“ wirklich Verschlüsselungsprobleme?

Die Menschen verschlüsseln ihre Kommunikation so stark, dass Regierungen sie auch im Notfall nicht lesen können. Ist das wirklich so schlimm?

Im Licht aktueller Terrorangriffe werden die Vorwürfe gegen verschlüsselte Online-Kommunikation wieder lauter. Doch die gleichzeitig vorgeschlagenen Lösungen könnten sogar noch mehr Probleme mit sich bringen.

Regierung in aller Welt – von Russland bis zu den USA und von China bis Deutschland – scheinen ein gemeinsames Mantra zu predigen: Die Menschen verschlüsseln ihre Kommunikationen so stark, dass Regierungen sie auch im Notfall nicht lesen können. Es heißt, das sei der Hauptgrund, warum die Polizei Fälle von Pädophilen oder Terroristen nicht effektiv untersuchen kann – und deshalb „muss etwas getan werden“.

golden-key-FB

 

Die von Regierungen vorgeschlagenen Lösungen gehen meist davon aus, dass existierende Verschlüsselungssysteme bestimmte Sicherheitslücken enthalten sollten, so dass Regierungsbehörden die Möglichkeit haben, die Kommunikation mitzuverfolgen, wenn sie es für nötig halten.

In einem aktuellen Artikel der Washington Post wurde ein recht poetischer Begriff für diesen Ansatz verwendet: Clavis Aurea – der Goldene Schlüssel. Die Behörden zitieren verschiedene Entführungsfälle und andere Straftaten, bei denen sie bei der Suche keine Fortschritte machten, da es kein solches System eines Goldenen Schlüssels gab. Die Autoren des Artikels sind der Meinung, dass alle Technologiefirmen, inklusive Giganten wie Google, Apple, Facebook und Telegram, den Behörden so einen Goldenen Schlüssel geben sollten.

Von der ethischen Diskussion (die man ewig führen könnte) einmal abgesehen, ist es so, dass wenn noble Polizisten so einen Schlüssel besitzen können, es auch immer die Möglichkeit gibt, dass Kriminelle ebenfalls den Schlüssel in die Hände bekommen.

Es gibt bereits einige Beispiele der Goldener-Schlüssel-Idee im echten Leben. Nehmen Sie nur die offensichtlichsten Fälle: TSA-Schlösser, die von der Transportation Security Administration entwickelt wurden. Das Konzept ist einfach. Reisende nutzen TSA-erlaubte Kofferschlösser mit einem Schlüsselloch für die Behörden (so dass sie keine angehängten Schlösser zerstören müssen, um einen Koffer durchsuchen zu können). Es gibt zehn Generalschlüssel („Goldene Schlüssel“), mit denen die meisten Kofferschlösser zu öffnen sind. Dabei wird davon ausgegangen, dass nur die TSA Zugriff auf die Generalschlüssel hat, während Kriminelle die Schlösser nicht so einfach knacken können.

Allerdings kamen kürzlich Fotos aller TSA-Schlüssel an die Öffentlichkeit, gefolgt von deren 3D-Modellen. Und nun bieten zahlreiche chinesische Händler Komplettsets der Goldenen Schlüssel der TSA an – für jeden, der sie haben will. Was kann man in dieser Situation machen? Leider nichts – schließlich kann man nicht einfach so alle Kofferschlösser in der ganzen Welt austauschen.

Es gibt noch ein weiteres gutes Beispiel so eines Systems: App Stores wie der von Apple. Deren komplette Sicherheit basiert auf dem Prinzip, dass nur Mitarbeiter eine App veröffentlichen können. Zunächst werden sie auf Schadprogramm untersucht und dann mit ihrem digitalen Zertifikat signiert.

Natürlich wurden die Schlüssel von Apple bisher nicht kompromittiert, doch Cyberkriminelle haben andere Möglichkeiten gefunden, die strengen Sicherheitsprüfungen zu umgehen. Einige Entwickler wurden von Kriminellen getäuscht und verwendeten unfreiwilligerweise eine modifizierte Version des Xcode-Entwickler-Frameworks, das getarnten, schädlichen Code in die Apps injizierte. Das Problem wurde von den Apple-Sicherheits-Experten nicht rechtzeitig entdeckt, so dass der App Store, der einst eine uneinnehmbare digitale Festung war, von Dutzenden schädlicher Apps überflutet wurde, inklusive welcher für einen sehr beliebten Messenger.

Lassen Sie uns tiefer in die Technologiegeschichte eintauchen und an eine einst bekannte DVD-Crypto-Schutztechnologie erinnern. Im späten 20. Jahrhundert enthielten DVDs einen Verschlüsselungsschutz, der auf dem berüchtigten CSS-Algorithmus basierte. Er sollte den Zugriff auf die DVD für bestimmte Regionen limitieren. Nun, wir können uns noch an das unrühmliche Ende dieser Technologie erinnern. Digitale Aktivisten entschlüsselten eine ganze Reihe der Schlüssel und veröffentlichten sie kostenlos. Heute kann jeder DVDs überall ansehen, unabhängig vom Regionalcode im CSS-Algorithmus.

4e759eef8e

Der Entschlüsselungscode für DVDs wurde sogar auf T-Shirts gedruckt

Die Moral all dieser Geschichten ist einfach: Das System, das auf der Annahme basiert, dass die Guten die benötigten Informationen haben und die Bösen nicht, wird scheitern – früher oder später. Sobald Kriminelle die Schlüssel in die Finger bekommen, können Sie die Daten ganz normaler Bürger auf alle erdenklichen Arten kompromittieren und die Möglichkeiten für die Täter wären absolut die gleichen wie für die Polizei oder die Regierung.

Das ist ein komplett unerwünschtes Ergebnis, denn es ist genauso schwer, die Firmware auf allen Smartphones weltweit auszutauschen wie die Schlösser aller Koffer. Der Schaden, den kompromittierte Goldene Schlüssel anrichten können, würde die Vorteile von Goldenen Schlüsseln, die nur die Regierung nutzen kann, bei weitem übersteigen.

Es gibt zudem die Möglichkeit, dass solche Goldenen Schlüssel gar nicht so effizient sind, wie angenommen: Terroristen und Kriminelle verwenden oft ungewöhnliche, Nischen-Verschlüsselungssysteme und verstecken sich damit erfolgreich vor den Behörden. Regierungen sollten daher andere – effektivere und für die Bürger weniger tiefgreifende – Wege gehen, um Kriminelle zu überwachen.

Tipps

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.