Daß eine zweitklassige Verschlüsselungslösung als "wichtiger Meilenstein für mehr Sicherheit in globalen Netzwerken" präsentiert wird, entspricht normalerweise nicht dem Stil von Browser-Marktführer Netscape. Genau mit diesen Worten bejubelte jedoch im April dieses Jahres Netscapes Kryptospezialist Taher ElGamal die Genehmigung vom US-Handelsministerium, die der Softwarefirma den Export von Verschlüsselungskomponenten mit 56 Bit Schlüssellänge erlaubte.

Das war zwar mehr als die bis dahin erlaubten 40 Bit, aber dennoch nur zweitklassig (siehe Kasten). ElGamals Kollege Peter Harter stimmte daher auch nicht in den Jubel ein, sondern wetterte gegen die US-Politik: Es bestehe weiterhin ein "Wettbewerbsnachteil für US-Firmen", so der Netscape-Angestellte.

Technisch gesehen ist der Einsatz einer größeren Schlüssellänge kein nennenswerter Mehraufwand. Daß US-Firmen ihre Verschlüsselungsmethoden dennoch mit spartanischen und damit unsicheren Codierungen ausstatten, liegt an der Gesetzgebung in den USA.

Bis Ende 1996 verbot Paragraph 121.1 der International Traffic and Arms Regulation (ITAR) den Export von Munition, wozu auch militärisch verwendbare Verschlüsselungstechnik zählte. Die Folge war, daß Software aus den USA nur mit maximal 40-Bit-Verschlüsselung ausgeführt werden durfte - und diese läßt sich schon mit moderater Rechenpower in einigen Stunden knacken.

Seit Ende 1996 ist der Kryptoexport durch ein Gesetz der Clinton-Regierung nicht mehr durch die ITAR, sondern durch die Export Administration Regulations (EAR) reglementiert. Dabei verlor die Kryptografie ihren Status als Munition, und die Exportrestriktionen sind nicht mehr so rigide.

Die Ausfuhr von sicherer Verschlüsselungstechnik ist jedoch weiterhin stark beschränkt. Die neuen Bestimmungen sehen Richtlinien vor, nach denen das Handelsministerium Exportgenehmigungen vergibt.

Der Export von 56-Bit-Verschlüsselung ist beispielsweise genehmigungfähig, falls sich die exportierende Firma verpflichtet, innerhalb der nächsten Jahre Mechanismen zu implementieren, die US-Behörden einen Nachschlüssel für exportierte Krypto-Ware in die Hand geben (sogenanntes Key Recovery). Dadurch läßt sich auch die relativ sichere 56-Bit-Verschlüsselung mit geringem Aufwand nachvollziehen. Auch längere Schlüssel können ohne Key Recovery eine Exportfreigabe erhalten, falls diese beispielsweise aufgrund ihres Designs nur im Finanzbereich einsetzbar sind.

Obwohl für derartige Exportlizenzen das US-Handels-ministerium zuständig ist, gilt als federführende Institution im Hintergrund die US-Geheimbehörde National Security Agency (NSA). Diese hat hauptsächlich die Aufgabe, für die US-Sicherheit relevante Nachrichten im Ausland abzuhören und gegebenenfalls zu entschlüsseln. Die NSA ist der weltweit größte Arbeitgeber für Mathematiker und der größte Abnehmer von Hardware. Über ihre Fähigkeiten im Bereich Kryptografie werden wahre Wunderdinge erzählt, auch wenn die gesamte Behörde strengster Geheimhaltung unterliegt.

Die Krypto-Exportbestimmungen der Vereinigten Staaten dürften sich daher nach einer einfachen Regel richten: Was die NSA interessiert, darf nicht sicher verschlüsselt werden. Offiziell soll diese Politik verhindern, daß potentiell feindliche Staaten Verschlüsselung für militärische Zwecke mißbrauchen können.

Durch die Kryptopolitik der US-Regierung werden sich auch in Zukunft US-Firmen wie das anfangs erwähnte Netscape zum Spagat gezwungen sehen. Sie verdammen das Exportverbot wegen seiner Folgen für die Wirtschaft und spielen aus Marketing-Gründen dessen Folgen für die Sicherheit gleichzeitig herunter.

Alle Proteste sind bisher erfolglos geblieben. Anfang Juni beispielsweise schrieben 13 US-Industriebosse - darunter Microsoft-Chef Bill Gates - einen offenen Brief an Bill Clinton, in dem sie vor den wirtschaftlichen Folgen des Exportverbots warnten. Clinton ließ sich davon nicht erweichen - ein Hinweis darauf, daß die Vorteile, die die US-Wirtschaft durch Wirtschaftsspionage aus dem Exportverbot zieht, größer sind als die Nachteile für die dortigen auf Kryptografie angewiesenen oder von ihr lebenden DV-Firmen.

Ein Lichtblick ist jedoch die Tatsache, daß Netscape und Microsoft inzwischen die Genehmigung erhielten, auch ihre als nicht knackbar geltende 128-Bit-Verschlüsselung zu exportieren - wenn auch nur für handverlesene Kunden im Bankenbereich. Dennoch brach Netscapes Taher ElGamal erneut in Jubel aus: "Diese Genehmigung ist ein weiteres Beispiel für Netscapes Führerschaft im Vertraulichkeits- und Sicherheitsbereich."

Sun nimmt den Umweg über Rußland

Und wieder beklagte sein Kollege Peter Harter die Gesetzgebung, die "verhindert, daß die US-Industrie (...) mit Mitbewerbern konkurrieren können, die nicht aus den USA stammen." Mike Dusche von Microsoft übte sich in Optimismus: "Wir glauben, daß dies ein Gewinn für alle ist."

Bei Sun war man derweil nicht gewillt, sich auf einen derartigen Kuhhandel einzulassen. Mitte Mai kündigte die kalifornische Computerfirma eine Kooperation mit dem russischen Unternehmen Elvis+ an. Diese lizenziert ihre außerhalb der USA entwickelte Verschlüsselungstechnik an Sun, wodurch das Exportverbot keine Wirkung mehr hat.

Die aussichtsreichsten Bemühungen, die US-Exportbestimmungen entscheidend zu lockern, sind derzeit Gesetzesinitiativen aus dem Kongreß (die sogenannten Crypto Bills), von denen es bereits drei gibt. Die meisten parlamentarischen Hürden hat davon bisher der "Security And Freedom through Encryption Act" überwunden, der eine Freigabe des Exports von frei erhältlicher Kryptografie ohne Key-Recovery vorsieht.

Nutznießer der US-Exportpolitik sind nicht zuletzt deutsche Kryptofirmen. Schien es noch Anfang 1996, als hätte sich die deutsche Computerbranche ohne Gegenwehr dem amerikanischen Diktat gefügt, so schossen im weiteren Verlauf des Jahres Kryptolösungen made in Germany wie Pilze aus dem Boden.

"Durch das Exportverbot mußte außerhalb der USA das Rad neu erfunden werden", berichtet Michael Knapp vom deutschen Kryptohersteller Faktum. "Dies hat die Verbreitung von Kryptografie zwar behindert, aber nicht verhindert." Seine Kollegin Barbara Frey betont jedoch: "Da wir kein reines Security-Paket, sondern eine komplette Internet-Banking-Lösung anbieten, würde eine Aufhebung des Exportverbots für uns keine wirtschaftlichen Folgen haben."

Ähnlich äußert sich auch die Böblinger Firma Brokat, die mit "Xpresso" ein Java-Applet auf den Markt brachte, das sich vor allem im Bankbereich durchsetzte. Es realisiert mit 128 Bit Schlüssellänge und einer Variante des Protokolls Secure Socket Layer (SSL) eine Verschlüsselung, die der ähnelt, die Netscape und Microsoft jetzt für Bankanwendungen exportieren dürfen.

Deutsche Anbieter geben sich betont gelassen

Brokat gibt sich dennoch gelassen: Xpresso habe gegenüber der von den Browsern durchgeführten Verschlüsselung zahlreiche Vorteile, heißt es in einer Stellungnahme. Die Lockerung der Exportbestimmungen führe "zu einer weiteren Stärkung der Brokat-Internet-Banking-Lösungen".

Sebastian Wieser vom sächsischen Kryptohersteller ESD betont ebenfalls, daß seine Firma mit der neuen Situation gut leben kann, da sie mehr als reine Verschlüsselung anbietet. "Daß für Finanzanwendungen nun 128 Bit erlaubt sind, ist bereits eine erhebliche Lockerung", so Wieser, "für Anbieter reiner SSL-Clone-Verschlüsselungslösungen stellt dies eine ernstzunehmende Bedrohung dar."

Ob die betonte Gelassenheit der deutschen Verschlüsselungsanbieter in allen Fällen angebracht ist, ist fraglich. "Die Lockerung der Exportrestriktionen und die Genehmigungen, die Microsoft und Netscape erhalten haben, haben unter den deutschen Kryptoherstellern für einige Verunsicherung gesorgt", berichtet Kurt Maier von der Münchner Firma Telenet, die ebenfalls in der Geheimschriftbranche aktiv ist. "Wenn US-Firmen ihre Produkte standardmäßig mit wirkungsvoller Verschlüsselung ausstatten, dann geht den deutschen Kryptofirmen ein wichtiges Marksegment verloren."

"56 Bit stellen ein Sicherheitsrisiko dar"

Ein Gewinn wäre ein Umdenken der US-Regierung zweifellos für die Firma Integralis, die ein amerikanisches Firewall-Produkt mit eingeschränkter Verschlüsselung in Europa vertreibt. "56 Bit stellen ein Sicherheitsrisko dar", räumt Christian Gröger von Integralis ein, warnt jedoch vor übetriebenem Mißtrauen: "Man muß bedenken, daß nur ein kleiner Personenkreis über das Know-how und die Rechenleistung verfügt, um einen solchen Code zu knacken."

Für Torsten Heinrich von Hisolutions sind die Tage der Exportrestriktionen gezählt: "Es sind immer mehr Kryptoprodukte auf dem Markt, die nicht aus den USA stammen. Irgendwann werden die Exportrestriktionen daher fallen, weil sie keinen Sinn mehr haben." Noch schlimmer als ein Ende des Exportverbots würde die deutsche Software-Industrie eine gesetzliche Kryptoregulierung in Deutschland treffen, wie sie gegenwärtig im Gespräch ist.

Kurt Maier hofft, daß das nie kommen wird: "Sicherlich werden die Exportbeschränkungen irgendwann aufgehoben werden. Bleibt zu hoffen, daß dann nicht deutsche Gesetze den Verkauf von Kryptoprodukten behindern.

Verschlüsselungsverfahren

Die in öffentlichen Netzwerken verwendeten Verschlüsselungsverfahren sind fast ausnahmslos in allen Einzelheiten öffentlich bekannt. Ihre Sicherheit liegt in einer Zusatzinformation (Schlüssel), die in eine Verschlüsselung miteingeht. Jedes Verschlüsselungsverfahren ist theoretisch dadurch zu knacken, daß alle möglichen Schlüssel durchprobiert werden (sogenannte vollständige Schlüsselsuche).

In der Praxis wird dies dadurch verhindert, daß die Länge des Schlüssels ausreichend groß gewählt wird. Eine Länge von 40 Bit wurde bereits mehrfach geknackt, 56 Bit gelten ebenfalls als nicht mehr sicher, erfordern jedoch einen immensen Aufwand. Bei 128 Bit stößt man dagegen an physikalische Grenzen: Ein Computer, der alle Schlüssel dieser Länge durchprobieren könnte, müßte aus mehr Siliconatomen bestehen, als es im Universum gibt, oder er müßte Elektronen schneller als Lichtgeschwindigkeit bewegen, wenn er das Resultat vor Ablauf der Lebensdauer unseres Universums liefern soll.

Der Data Encryption Standard (DES) - das bisher populärste Verschlüsselungsverfahren - verwendet eine recht knappe Schlüssellänge von 56 Bit. Neuere Implementierungen bevorzugen daher meist den International Data Encryption Algorithm (Idea), der mit 128 Bit verschlüsselt.

Die Schlüssellänge allein ist jedoch kein Maß für die Sicherheit eines Verfahrens, denn häufig gibt es weniger aufwendige Angriffe als die vollständige Schlüsselsuche. DES und Idea sind jedoch recht gut untersucht, und bisher wurden bei diesen Verfahren noch keine solchen Angriffe entdeckt.

Angeklickt

Seit die US-Software- und Kommunikationsindustrie festgestellt hat, daß es ein wichtiges Verkaufsargument ist, ob die potentiellen Kunden ihre sensitiven Daten sicher verschlüsseln können, läuft sie, ohne allzuviel Lärm zu machen, gegen alte Gesetze Sturm. Die nämlich beschränken aus sicherheitspolitischen Gründen den Export von Produkten mit solcher Technik. In diesem Vakuum haben europäische und auch deutsche Firmen lange Zeit gute Geschäfte gemacht. Doch nun droht Ungemach: Zum einen lockert Washington die Exportbeschränkungen, zum anderen neigen europäische Regierungen zu deren Einführung.

*Klaus Schmeh ist freier Autor und derzeit Mitarbeiter im Bereich Trust Center und digitale Signaturen bei der Telenet Kommunikationssysteme GmbH in München.Dr. Hubert Uebelacker ist ebenda Leiter des Bereichs Systemberatung.