Krauter: Herr Welchering, wie gehen die Geheimdienste vor, um verschlüsselte Daten zu lesen?
Welchering: Im wesentlichen wenden die drei Methoden an: Zum einen beschaffen sie sich bei Transportverschlüsselung, wie beispielsweise Webmail die hat, einfach die Zertifikate und können da mitlesen, und die bekommen sie bei den Providern oder bei der Trustcentern. Zum zweiten bauen sie Hintertüren in Verschlüsselungsprogramme ein. Und der aktuelle Standard, das ist ja der advanced encryption standard, und von dem ist seit 2004 schon bekannt, dass die NSA hier Hintertüren hat, darüber haben wir in Forschung aktuell ja auch Ende Juli berichtet, wie das technisch geht. Und zum Dritten knacken die einfach die Schlüssel. Das ist eine Primzahlrechenoperation und, sie ist aufwändig, das wissen wir aus der Schule, aber dafür gibt es eben Supercomputer mit mehreren Billiarden Rechenoperationen. Die NSA kann da über 50 Billiarden pro Sekunde hinlegen, und damit bekommt man auch in einiger Zeit solche Schlüssel tatsächlich heraus.
Krauter: Spielen wir vielleicht einmal zwei konkrete Szenarien durch, die auch unsere Hörer betreffen könnten. Wenn ich Onlinebanking mache, dann übertrage ich meine Zahlungsinformationen in der Regel verschlüsselt direkt zum Rechenzentrum der Bank. Erkennbar ist das am Kürzel https vor der Internetadresse. wie liest die NSA da mit?
Welchering: Ja, genau da kommt die so genannte Transportverschlüsselung zum Einsatz, und die ist unsicher. Seit vielen Jahren wissen die Banken das übrigens auch schon, denn hier wird mit Zertifikaten gearbeitet. Das heißt, es wird kein eigentlicher Schlüssel zum Entschlüsseln an die Bank von mir geschickt, sondern die Bank hat eine Art Lizenz zum Entschlüsseln mit einem Zertifikat, dass sie beim Trustcenter erworben hat. Und genau diese Zertifikate nehmen dann eben einfach auch die Geheimdienste. Früher haben sie sie gefälscht, inzwischen nehmen sie die einfach von den Providern, wenn es amerikanische sind, und sagen: Hier ich habe die Lizenz zum Entschlüsseln und folglich darf ich jetzt alles mitlesen, und dann ist das alles im Klartext für die zu lesen.
Krauter: Anderes Szenario: Mal angenommen, ich hätte eine sensible Datei bei mir zuhause auf dem Rechner, die habe ich verschlüsselt, verschicke sie dann per Internet, verschickte den Schlüssel dazu aber per Post oder Telefon. Wie kommt die NSA dann weiter, weil dann fehlt ihr der Schlüssel, den sie bräuchte?
Welchering: Den muss sie dann tatsächlich erst finden. Und das kann sie mit dem advanced encryption standard, wenn die Verschlüsselungsprogramme, die den einsetzen, tatsächlich eine Hintertür implementiert haben. Und bei den Implementierungen mit Hintertür, da haben nämlich dann die NSA-Entwickler direkten Zugriff auf die so genannten Ersetzungstabellen im Verschlüsselungsalgorithmus. Diese Ersetzungstabellen, die geben genau an, wie jedes Byte durch ein anderen ersetzt wird. Also mit anderen Worten: die NSA hat Zugriff auf die Programmteile der Verschlüsselungssoftware, die die Schlüssel errechnen. Und wer die Methoden für das Vertauschen und Ersetzen in diesen Ersetzungstabellen kennt, die Ersetzungswerte, der hat natürlich auch sofort alle verwendeten und gewechselten Schlüssel. Der muss sie nicht woanders her haben, der bekommt die direkt vom Programm frei Haus geliefert.
Krauter: Wäre es denn im Prinzip möglich, diese Hintertüren im Verschlüsselungsprogrammen zuzusperren, um dadurch diesen gängigen Standard sicherer zu machen?
Welchering: Man muss den Zugriff sperren auf die Programmteile, die den Schlüssel errechnen, also auf diese so genannten Ersetzungsboxen. Das machen auch einige Open Source Programme. Bei herstellereigenen Programm weiß man das nicht so ungefähr. Aber man braucht dafür auf alle Fälle eine unabhängige Zertifizierungsstelle, die den Quellcode eines jeden Programmes überprüft. Und das ist im Augenblick einfach noch ein Mangel.
Krauter: Das Nonplusultra der Verschlüsselungen nutzt ja Phänomene aus der Quantenphysik, Stichwort Quantenkryptographie. Da würde im Prinzip jedes abhören der Verbindung unweigerlich bemerkt werden. Sind die Lauscher denn wenigstens bei diesem neuen Verfahren noch machtlos?
Welchering: Nein leider nicht mehr. Die blenden einfach die Empfängerdetektoren. Diese Methode, die ist erstmalig im Jahr 2010 vorgestellt worden, und seitdem zählt sie auch zum Standard der Geheimdienste. Durch den hellen Blendpuls steht die Photodiode im Empfangsgerät dann unter so einer Art Dauerbeschuss. Damit ist sie für einzelne Photonen unempfindlich geworden. Das heißt, sie kann dann auch die Quanteneigenschaften einzelner Photonen, einzelne Lichtteilchen nicht mehr erkennen. Und der Detektor im Empfangsgerät kann eben bedingt durch die Blendung nur noch als ganz normaler Lichtsensor arbeiten, nunmehr nicht mehr. Und genau das nutzt der Datenspion, das nutzen die Geheimdienste aus und fangen einfach einzelne Photonen vom Sender ab, rekonstruieren den Quantenschlüssel und schicken die Photonen dann weiter zum Empfangsgerät. Und das Empfangsgerät, das kann dann tatsächlich einzelne Quantenbits einfach sehen und die dann eben auch errechnen. Somit hat dann der Datenspion den Schlüssel.
Welchering: Im wesentlichen wenden die drei Methoden an: Zum einen beschaffen sie sich bei Transportverschlüsselung, wie beispielsweise Webmail die hat, einfach die Zertifikate und können da mitlesen, und die bekommen sie bei den Providern oder bei der Trustcentern. Zum zweiten bauen sie Hintertüren in Verschlüsselungsprogramme ein. Und der aktuelle Standard, das ist ja der advanced encryption standard, und von dem ist seit 2004 schon bekannt, dass die NSA hier Hintertüren hat, darüber haben wir in Forschung aktuell ja auch Ende Juli berichtet, wie das technisch geht. Und zum Dritten knacken die einfach die Schlüssel. Das ist eine Primzahlrechenoperation und, sie ist aufwändig, das wissen wir aus der Schule, aber dafür gibt es eben Supercomputer mit mehreren Billiarden Rechenoperationen. Die NSA kann da über 50 Billiarden pro Sekunde hinlegen, und damit bekommt man auch in einiger Zeit solche Schlüssel tatsächlich heraus.
Krauter: Spielen wir vielleicht einmal zwei konkrete Szenarien durch, die auch unsere Hörer betreffen könnten. Wenn ich Onlinebanking mache, dann übertrage ich meine Zahlungsinformationen in der Regel verschlüsselt direkt zum Rechenzentrum der Bank. Erkennbar ist das am Kürzel https vor der Internetadresse. wie liest die NSA da mit?
Welchering: Ja, genau da kommt die so genannte Transportverschlüsselung zum Einsatz, und die ist unsicher. Seit vielen Jahren wissen die Banken das übrigens auch schon, denn hier wird mit Zertifikaten gearbeitet. Das heißt, es wird kein eigentlicher Schlüssel zum Entschlüsseln an die Bank von mir geschickt, sondern die Bank hat eine Art Lizenz zum Entschlüsseln mit einem Zertifikat, dass sie beim Trustcenter erworben hat. Und genau diese Zertifikate nehmen dann eben einfach auch die Geheimdienste. Früher haben sie sie gefälscht, inzwischen nehmen sie die einfach von den Providern, wenn es amerikanische sind, und sagen: Hier ich habe die Lizenz zum Entschlüsseln und folglich darf ich jetzt alles mitlesen, und dann ist das alles im Klartext für die zu lesen.
Krauter: Anderes Szenario: Mal angenommen, ich hätte eine sensible Datei bei mir zuhause auf dem Rechner, die habe ich verschlüsselt, verschicke sie dann per Internet, verschickte den Schlüssel dazu aber per Post oder Telefon. Wie kommt die NSA dann weiter, weil dann fehlt ihr der Schlüssel, den sie bräuchte?
Welchering: Den muss sie dann tatsächlich erst finden. Und das kann sie mit dem advanced encryption standard, wenn die Verschlüsselungsprogramme, die den einsetzen, tatsächlich eine Hintertür implementiert haben. Und bei den Implementierungen mit Hintertür, da haben nämlich dann die NSA-Entwickler direkten Zugriff auf die so genannten Ersetzungstabellen im Verschlüsselungsalgorithmus. Diese Ersetzungstabellen, die geben genau an, wie jedes Byte durch ein anderen ersetzt wird. Also mit anderen Worten: die NSA hat Zugriff auf die Programmteile der Verschlüsselungssoftware, die die Schlüssel errechnen. Und wer die Methoden für das Vertauschen und Ersetzen in diesen Ersetzungstabellen kennt, die Ersetzungswerte, der hat natürlich auch sofort alle verwendeten und gewechselten Schlüssel. Der muss sie nicht woanders her haben, der bekommt die direkt vom Programm frei Haus geliefert.
Krauter: Wäre es denn im Prinzip möglich, diese Hintertüren im Verschlüsselungsprogrammen zuzusperren, um dadurch diesen gängigen Standard sicherer zu machen?
Welchering: Man muss den Zugriff sperren auf die Programmteile, die den Schlüssel errechnen, also auf diese so genannten Ersetzungsboxen. Das machen auch einige Open Source Programme. Bei herstellereigenen Programm weiß man das nicht so ungefähr. Aber man braucht dafür auf alle Fälle eine unabhängige Zertifizierungsstelle, die den Quellcode eines jeden Programmes überprüft. Und das ist im Augenblick einfach noch ein Mangel.
Krauter: Das Nonplusultra der Verschlüsselungen nutzt ja Phänomene aus der Quantenphysik, Stichwort Quantenkryptographie. Da würde im Prinzip jedes abhören der Verbindung unweigerlich bemerkt werden. Sind die Lauscher denn wenigstens bei diesem neuen Verfahren noch machtlos?
Welchering: Nein leider nicht mehr. Die blenden einfach die Empfängerdetektoren. Diese Methode, die ist erstmalig im Jahr 2010 vorgestellt worden, und seitdem zählt sie auch zum Standard der Geheimdienste. Durch den hellen Blendpuls steht die Photodiode im Empfangsgerät dann unter so einer Art Dauerbeschuss. Damit ist sie für einzelne Photonen unempfindlich geworden. Das heißt, sie kann dann auch die Quanteneigenschaften einzelner Photonen, einzelne Lichtteilchen nicht mehr erkennen. Und der Detektor im Empfangsgerät kann eben bedingt durch die Blendung nur noch als ganz normaler Lichtsensor arbeiten, nunmehr nicht mehr. Und genau das nutzt der Datenspion, das nutzen die Geheimdienste aus und fangen einfach einzelne Photonen vom Sender ab, rekonstruieren den Quantenschlüssel und schicken die Photonen dann weiter zum Empfangsgerät. Und das Empfangsgerät, das kann dann tatsächlich einzelne Quantenbits einfach sehen und die dann eben auch errechnen. Somit hat dann der Datenspion den Schlüssel.