Kryptographie und Authentifizierung /Keine Hintertür für Lauscher

10.07.1998

Wer Nachrichten und Firmendaten codiert, will bei Bedarf jederzeit Zugriff auf den originären Datensatz haben. Was aber passiert, wenn der Schlüsselinhaber nicht verfügbar ist - sei es, weil er auf Geschäftsreise ist, sich im Urlaub befindet, krank oder gar aus der Firma ausgeschieden ist? Genau hier setzt ein Projekt an, das Key Recovery Center (KRC) in Deutschland durchsetzen will. An der Fachhochschule Rhein-Sieg hat ein Team um Hochschullehrer Hartmut Pohl ein KRC der Firma TIS (Trusted Information Systems, www.tis.com) zu Testzwecken installiert, das Firmen die Möglichkeit gibt, die elektronischen Schlüssel für ihre wichtigsten Dokumente an einem sicheren Ort zu speichern - in ihrer eigenen Firma.

Die KRC-Software läuft auf jedem handelsüblichen PC unter Unix und arbeitet schon jetzt mit allen Microsoft-Produkten zusammen. Der Anwender codiert dafür seine Daten und speichert sie zusammen mit dem benutzten Schlüssel auf seinem Server oder überträgt sie zu seinem Kommunikationspartner. Der verwendete Schlüssel wird dabei mit einem öffentlichen Schlüssel des KRC codiert. Daraufhin legt der Anwender folgende Hinweise im KRC ab:

-die laufende Nummer der (übertragenen oder gespeicherten) Dokumente;

-eine Adreßangabe (Pointer) auf dem vom Anwender benutzten und gespeicherten Schlüssel;

-die Senderadresse mit Identifizierungs- und Authentifizierungsinformationen des Anwenders. Damit weist sich der Anwender bei erneutem Bedarf des Schlüssels als Berechtigter aus.

-die Identifizierungs- und Authentifizierungsinformationen weiterer Zugriffsberechtigter. Damit werden die Zugriffsberechtigten identifiziert, die die Schlüssel ebenfalls erhalten dürfen.

Pohl betont, daß das KRC keine geheimen Schlüssel direkt speichert, sondern nur einen Adreßanzeiger, den sogenannten Pointer. "Damit kann der Anwender die Sicherheitsmaßnahmen für seine Schlüssel selbst festlegen und skalieren, wie es ihm beliebt. Er ist nicht auf die Sicherheit des KRC angewiesen."

Tritt der Fall ein, daß ein Anwender den Schlüssel noch einmal benötigt, stellt ihm das Key Recovery Center diesen zur Verfügung, indem es ihn aus dem Speicher des Endanwenders ausliest und decodiert. Das KRC stellt, so der Hochschullehrer, nicht die benötigten Dokumente zur Verfügung und erhält auch keinen Zugriff auf die Dokumente. Anwender identifizieren sich mit ihrer digitalen Signatur, mit Zertifikaten sowie weiteren Authentifizierungsinformationen. Gleichermaßen identifiziert sich das Key Recovery Center gegenüber den Endanwendern.

Das Team um Pohl konnte in der Software bislang keine Hintertür zum Abhören entdecken, rät aber trotzdem zur Vorsicht. "Das KRC sollte nicht an offene Netze wie das Internet angeschlossen werden", sagt er, "dann kann auch ein Trojanisches Pferd nichts ausrichten."

Zu einem staatlich kontrollierten Key Recovery äußert sich der Sicherheitsexperte vorsichtig: "Das wäre eine politische Entscheidung, die derzeit meiner Einsicht nach nicht mit Sachargumenten pro oder kontra untermauert werden kann. Dazu sind Tests und Projekte unverzichtbar. Erst nach Abschluß solcher Tests und Versuche läßt sich eine Meinung formulieren."

Der Prozeß der Meinungsbildung hat bei Bundeswirtschaftsminister Günter Rexrodt schon eingesetzt. Er äußerte sein grundsätzliches Unbehagen gegenüber einer Hinterlegung von Schlüsseln - zumindest in staatlich kontrollierten Key Recovery Centers: "Wir werden uns die aus den USA nach Deutschland exportierten "Key-Recovery"-Produkte sehr genau daraufhin ansehen, ob durch ihren Einsatz gegen das in Deutschland geltende Recht - etwa das Datenschutzrecht - verstoßen wird."

Das Prinzip ist einfach

Mittlerweile existieren unterschiedliche Umsetzungen und einige kommerzielle Lösungen für Key-Recovery-Strukturen. Eine ausführliche Liste hat die Kryptoexpertin und Key-Recovery-Befürworterin Dorothy Denning (www. cosc.georgetown.edu/denning/ crypto/Appendix.html) bereitgestellt.

Daß sensible Daten nicht ungeschützt durch das Internet reisen sollten, ist mittlerweile bekannt. Wer seine E-Mail mit Kryptographie schützt, setzt auf die Codierung mittels zweier Schlüssel. Das Prinzip ist einfach: Jeder Benutzer verfügt über zwei Schüssel; einer davon, der öffentliche, ist jedermann zugänglich, während der zweite, private Schlüssel niemand anderem bekannt sein darf. Wollen zwei Personen über das Internet kommunizieren, codiert jeder seine Nachricht mit dem öffentlichen Schlüssel des Partners und schickt sie in die Weiten des Netzes. Dazu hat er zunächst den Schlüssel des Partners angefordert und bekommen. Die Codierung aufheben kann nur der Besitzer des zugehörigen geheimen Schlüssels.

Die Software PGP (Pretty Good Privacy) stand lange für abhörsichere Nachrichtenübertragung im Internet und entwickelte sich so zum De-facto-Standard für Verschlüsselung. Ihr Entwickler Phil Zimmermann kämpfte in den USA für das Recht auf den digitalen Briefumschlag und stand wegen des unknackbaren Programms mehrmals vor Gericht.

Helle Aufregung herrscht deshalb in der Krypto-Gemeinde, seit die Firma Network Associates (früher McAfee) bekanntgab, Zimmermanns PGP übernommen zu haben. Nicht nur der Mythos von PGP nahm durch die Übernahme Schaden, schwerer wog, daß Network Associates damals noch Mitglied in der Key Recovery Alliance (www.kra.org) war. Diese Vereinigung setzt sich für die Entwicklung von Codierungsverfahren mit Nachschlüsseln für "dritte Parteien" ein. Und immer wenn von Dritten die Rede ist, vermuten argwöhnische Netzanwender staatliche Behörden im Hintergrund. Nicht ganz zu Unrecht, wie die jüngsten Entwicklungen in der Diskussion um die Kryptographie in Deutschland und den USA zeigen. Hier und in anderen Ländern streitet man intensiv darüber, ob und wie der Staat und seine Sicherheitsbehörden Zugriff auf geheime Schlüssel erhalten sollen.

Vor kurzem gab Network Associates (www.nai.com) zudem bekannt, daß man für 300 Millionen Dollar die Firma TIS kaufen werde. Diesem Unternehmen, neben dem KRC auch Hersteller der Firewall "Gauntlet", werden enge Verbindungen zum US-amerikanischen Geheimdienst NSA (National Security Agency) nachgesagt. Und TIS gehört der Key Recovery Alliance an. Bürgeranwälte und Organisationen, die sich die Sicherung der Privatsphäre im digitalen Zeitalter auf die Fahnen geschrieben haben, sehen die Integrität von PGP gefährdet.

Barry Steinhardt, President der Electronic Frontier Foundation (www.eff.org), verweist darauf, daß Network Associates durch den Erwerb eines Unternehmens, das hauptsächlich von Regierungsaufträgen lebe, zugänglich für Wünsche von Staatsseite werden könne: "PGP unter demselben Dach wie Trusted Informations zu wissen ist beunruhigend. Es könnte bedeuten, daß wir einen der wichtigsten Verbündeten im Kampf um den Erhalt starker Kryptographie ohne Regierungszugriff verlieren." TIS wie Network Associates versichern seitdem, daß keine Pläne zur Implementierung von Nachschlüsseln oder Hintertürmodellen in PGP existieren. Das gilt aber nur für Individualnutzer, denn bei Firmenkunden liegen die Interessen anders: Sie wollen sicher sein, daß auch bei einem Verlust eines geheimen Schlüssels die Originalnachricht wiederherstellbar ist. Das neueste Paket von PGP bietet in der Business- wie in der freien Version eine Funktion zum Key Recovery an. Was für Firmen als bequem und nützlich gilt, ist in den Augen vieler privater PGP-Nutzer der Pferdefuß des Programms. Denn so würde einer wichtigen Voraussetzung für die weltweite Durchsetzung von Key Recovery Vorschub geleistet: eine bereits eingeführte Software.

Aufregung um Pluto übertrieben?

PGP-Gründer Phil Zimmermann wehrt sich gegen den Vorwurf, auf Umwegen eine Key-Recovery-Infrastrukur zu unterstützen. Er nennt den Mechanismus in PGP 5.53 nicht Key Recovery, sondern Company Message Recovery (CMR). Hitzig wird seitdem darüber gestritten, ob es sich dabei nicht nur um eine andere Bezeichnung handelt. Eines steht fest: In Zukunft muß zwischen Key Recovery, Message Recovery und Data Recovery unterschieden werden. Während bei ersterem ein Zugriff auf den geheimen Schlüssel des Benutzers erfolgt, versucht man beim Message Recovery, die Kommunikationsinhalte durch technische Hintertüren, ohne Zugriff auf den Schlüssel des Benutzers, zu erhalten. Das Data Recovery erlaubt dagegen den Zugriff auf dauerhaft gespeicherte Daten einer Firma oder Behörde.

Die Netznutzer beäugen weiterhin jeglichen Eingriff in den freien und sicheren Fluß ihrer Daten mit Mißtrauen. Ob die Aufregung um Pluto - ein vom Bundesamt für Sicherheit in der Informationstechnik (www.bsi.bund.de) bei Siemens (www.siemens.de) in Auftrag gegebener Chip zur Verschlüsselung vor allem behördeninterner Kommunikation - sich als übertrieben herausstellen wird, bleibt abzuwarten. Der Vorwurf einer unsichtbaren Hintertür kam nicht von ungefähr, hatte die US-amerikanische Regierung doch vor einigen Jahren versucht, die obligatorische Hinterlegung kryptographischer Schlüssel bei staatlichen Stellen durchzusetzen. Seit dieser Zeit dringen in Abständen von einem halben Jahr Pläne der US-Sicherheitsbehörden an die Öffentlichkeit, sich über den einen oder anderen Weg jederzeit Zugang zu verschlüsselten Daten zu verschaffen. Dem amerikanischen Kongreß liegen momentan vier Vorschläge zur Regulierung von Kryptographie vor.

Siemens bestreitet jedenfalls heftig den Vorwurf, in den Chip eine Hintertür für unbemerkten Datenabruf implementieren zu wollen. Vorstandsmitglied Volker Jung stellte auf der diesjährigen CeBIT klar: "Wir sehen in der Hinterlegung von Schlüsseln kein taugliches Mittel zur Bekämpfung der organisierten Kriminalität, sehr wohl aber die Gefahr, daß wichtige Zukunftsmärkte dadurch in ihrer Entwicklung behindert werden." Gleichwohl ist auch Siemens Mitglied der Key Recovery Alliance.

Auch aufgrund der restriktiven Exportpolitik der USA, die keine Ausfuhr starker Verschlüsselungsprodukte erlaubt, stehen deutsche Krypto-Firmen zur Zeit gut im Wettbewerb. Firmen wie die Aachener Kryptokom (www. kryptokom.de) oder Brokat aus Stuttgart (www.brokat. de) konnten ein Know-how erarbeiten, das sich mittlerweile auch international gut vermarktet.

Der Geschäftsführer des Bundesverbands Informationstechnologien (www.bvit.de), Alexander Bojanowsky, befürchtet trotz aller Beteuerungen weiterhin, daß dem Staat mit Pluto ein Generalschlüssel in die Hände fällt: "Durch den Regierungsumzug entsteht ein digitales Netz zwischen Bonn und Berlin, indem der staatliche Krypto-Chip Standard wird. Unternehmen, die mit Behörden vertrauliche Informationen austauschen wollen, werden wohl um den Einsatz von Pluto nicht herumkommen."

Das deutsche Innenministerium unternahm noch zwei weitere Anläufe, Verschlüsselung an bestimmte Verordnungen zu binden. Die Forderung nach einem gänzlichen Verbot spricht kein Behördenvertreter mehr offen aus, denn mittlerweile hat es sich auch in Bonn herumgesprochen, daß Kryptographie nur in solchen Ländern verboten ist, die ihre Herrschaftsansprüche durch eine Totalüberwachung der elektronischen Kommunikation sicherstellen wollen.

Innenminister Manfred Kanther forderte im April letzten Jahres ein eigenes Krypto-Gesetz, in dem festgelegt werden sollte, wer wie stark verschlüsseln darf. Er hatte "eine gewaltige Herausforderung für die Strafverfolgungsbehörden" ausgemacht. Nur wenn der Staat künftig verschlüsselte Botschaften auch wieder entschlüsseln könne, sei die nationale Sicherheit gewährleistet. Nach den Plänen von Kanthers Behörde sollte jedwede kryptographische Hard- oder Software vom Staat genehmigt, die Schlüssel zur Entzifferung bei einer unabhängigen Institution gespeichert werden. Jeder, der nichtgenehmigte Schlüssel benutzt, hätte danach mit dem Besuch des Staatsanwalts rechnen müssen. Weder Industrie noch Internet-Nutzer konnten sich mit diesen Plänen anfreunden, das Vorhaben scheiterte im Ansatz.

Mitte des Jahres schlug Staatssekretär Eduard Lintner, CSU, vor, Krypto-Verfahren an eine "freiwillige" Prüfung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu binden. Als Gegenleistung für die Hinterlegung der Schlüssel auf freiwilliger Basis sollte das werbeträchtige BSI-Zertifikat ausgestellt werden. Datenschützer wollten diesen Vorstoß nicht ernst nehmen. Sie wiesen darauf hin, daß das BSI aus der Zentralstelle für das Chiffrierwesen hervorgegangen ist und als "ziviler Arm des BND" gilt, zumindest aber zu eng mit Geheimdienst und Sicherheitsbehörden verflochten sei, als daß ein Vertrauen in die sichere Schlüsselhinterlegung gerechtfertigt wäre.Die Reaktionen auf alle Vorstöße der Reglementierung von Kryptographie waren einheitlich ablehnend. Der Vorsitzende des Berufsverbands der Datenschutzbeauftragten, Gerhard Kongehl, erklärte: "Werden die Pläne von Bundesinnenminister Kanther tatsächlich umgesetzt, wird es in Deutschland keinen sicheren Datenaustausch geben." Die zentrale Hinterlegung der Schlüssel hielt der Verband für ein großes Sicherheitsrisiko: "Der Anreiz, an diese Schlüssel heranzukommen, dürfte so groß sein, daß gängige Sicherheitsmaßnahmen nicht ausreichen werden, um die mit einer zentralen Schlüsselhinterlegung verbundenen Risiken auf ein erträgliches Maß zu reduzieren."

Befürworter wie Gegner einer Regulierung ziehen den Vergleich heran, um ihren Standpunkt zu verdeutlichen: Der Münchener Oberstaatsanwalt Franz Brüner vergleicht Verschlüsselung mit einem Tresor, der nach einem gerichtlichen Beschluß aufgebrochen werde dürfe. Die Apologeten der freien Kryptographie sehen dagegen nicht ein, weshalb sie einem Schlüsseldienst einen Nachschlüssel für ihre Wohnungstür überlassen sollten.

Bei Schlüsselinfrastruktur Mißbrauch wahrscheinlich

Eine Studie von führenden Kryptographie- und Computerexperten erteilt allen Key-Recovery-Plänen eine Abfuhr. Wissenschaftler wie Ronald Rivest, Bruce Schneier, Matt Blaze weisen darauf hin, daß der Aufbau einer Schlüsselinfrastruktur nicht nur mit enormen Kosten verbunden ist, sondern zudem zum Mißbrauch einlade und daß keine Kontrolle für den Nutzer existiere.

In Deutschland kündigt sich nun ein Kompromiß an. Das Innenministerium plant vorerst keine staatlich verordnete Schlüsselhinterlegung und setzt auf freiwilliges Hinterlegen. In den nächsten zwei Jahren können Kryptoverfahren dem BSI zur Prüfung vorgelegt werden. Die Behörde vergibt ihr Zertifikat aber nur, wenn die Schlüssel oder die zur Schlüsselerzeugung notwendigen Verfahren bei einer "vertrauenswürdigen dritten Instanz" hinterlegt werden. Damit steht es dem Kunden offen, ob er vom BSI zertifizierte oder andere Krypto-Verfahren anwendet. Sicher ist nur, daß die vom BSI zertifizierten Verfahren von den Sicherheitsbehörden geknackt werden können.

Jörg auf dem Hövel ist freier Journalist in Hamburg.