Von Alex Benesch

Auf den Verschlüsselungsstandard AES (Advanced Encryption Standard) verlassen sich seit 2001 nicht nur die Regierungsbehörden der Vereinigten Staaten von Amerika, sondern auch ausländische Regierungen, internationale Banken, Gesundheitssysteme, weitere Industriezweige, Hersteller von “abhörsicheren” Telekommunikationsgeräten, Online-Anoynmisierungsdienste, Whistleblower und jede Menge Bürger. Wer diesen Schlüssel mit schierer Rechenpower oder gar mit Hilfe von gezielter Ausnutzung von Schwachstellen – den klassischen Hintertüren – brechen kann, verfügt zumindest in der Theorie über ein allsehendes Auge, eine totale Informationserfassung.

Die Entwicklung eines halbwegs sicheren Algorihmus erfordert immens viel Geld und Know How, aber selbst dann ist nicht im Geringsten garantiert ob sich die Investition gelohnt hat und die verschlüsselten Daten auch wirklich sicher waren.

Maßgeblich bei der Auswahl von AES als neuen Standard für die US-Regierung bis hin zu “Top Secret”-Material war das National Institute of Standards and Technology (NIST), eine staatliche Behörde die insbesondere nach 9/11 äußerst negativ auffiel mit einem absurden Gefälligkeitsgutachten über den Einsturz von World Trade Center Gebäude 7. Das 47-stöckige Hochhaus, eine massive Konstruktion die Büros für mehrere Sicherheitsbehörden beherbergte, sei einfach durch simple Bürobrände und eine daraus resultierende “Wärmeausdehnung” am Nachmittag der Anschläge linear in Freifallgeschwindigkeit in sich zusammengestürzt.

Der alte Verschlüsselungsstandard DES war bereits über 20 Jahre im Einsatz als er innerhalb von weniger als 24 Stunden bei einem Cracker-Wetbewerb 1999 gebrochen wurde. Ein Nachfolger wurde 1997 ausgeschrieben, der verblüffenderweise kostenlos für jedermann weltweit nutzbar und überprüfbar sein sollte. Ein Geschenk an die Welt, sogar noch mit offiziellem Segen der Spionagebehörde NSA? Unknackbare Verschlüsselung ohne Lizenzkosten mit totaler Transparenz? Wenn etwas zu gut klingt um wahr zu sein, dann ist es das meistens auch.

In einem Bericht des SANS Institute von 2001 heißt es, dass das Haltbarkeitsdatum auf optimistische “20 bis 30 Jahre” vorgesehen war:

“Man kann unmöglich wissen wie lange ein Algorithmus halten wird. Ist es möglich dass ein anderes Land Triple-DES oder sogar einen der neuen vorgeschlagenen AES-Algorithmen geknackt hat? Natürlich. Es wäre naiv zu denken dass AES die gleiche Haltbarkeitsdauer wie DES haben wird. Manche Forscher erwarten eine Lebensspanne von nur 5 Jahren.”

Verschiedene AES-Versionen wurden vor dem endgültigen Urteil getestet, die auch heute noch weitläufig verwendet werden. “MARS” wurde beispielsweise von IBM entwickelt, “Serpent” gemeinsam von der Cambridge University, der Universität von Haifa in Israel und der Universität von Bergen in Norwegen. Der Kandidat “Twofish” stammt von der Sicherheitsberaterfirma Counterpane, mitbegründet durch den Kryptografieexperten Bruce Schneier der während dem Studium begonnen hatte, für das US-Verteidigungsministerium zu arbeiten und später bei dem mit der NSA verbandelten Konzern Bell Labs unterkam. Joan Daemen und Vincent Rijmen von der katholischen Universität Leuven in Belgien (die u.a. EU-Präsident van Rompuy hervorbrachte) schufen mit “Rijndael” schließlich den Sieger.

Bei keinem der Kryptografen und keiner der jeweiligen Forschungsprojekte der genannten Universitäten ist bewiesen, dass sie gezielt Schwachstellen in die AES-Algorithmen eingebaut haben um der Spionage einen Quantensprung zu verleihen, nichtsdestotrotz hätten Geheimdienste, Militärs und ausgewählte Großkonzerne danach gegiert, der ganzen Welt ein trojanisches Pferd anzudrehen. Mit Leichtigkeit sensibelste Daten abzufangen und zu lesen muss wohl als der heilige Gral betrachtet worden sein.

Im November 2007 wies Bruce Schneier im Technologie-Magazin Wired darauf hin, dass nach seiner Ansicht in einem der vier vom NIST im März 2007 veröffentlichten kryptografischen Zufallszahlengeneratoren, nämlich dem „Dual Elliptic Curve Deterministic Random Bit Generator (Dual_EC_DRBG)“, möglicherweise eine Backdoor eingebaut sei. Erwähnenswert ist, dass die Auswahl dieses Generators für die Standardisierung vor allem auf Drängen der NSA erfolgt sein soll. Dieser Zufallszahlengenerator ist auch mit Service Pack 1 in Windows Vista enthalten.

Landläufig gilt AES in der zivilen Welt heute noch als unmöglich zu brechen, diverse Forscher die nicht an der Entwicklung teilgenommen hatten und mit stark begrenzten Möglichkeiten arbeiten, demonstrieren immer wieder kleinere Schwachstellen. Heise berichtete:

Ein Forscherteam hat eine erste Schwachstelle im Verschlüsselungsstandard AES entdeckt, durch die sich die effektive Schlüssellänge um 2 Bit verkürzt. Aus den üblichen Schlüssellängen 128, 192 und 256 Bit werden damit 126, 190 und 254 Bit. [...] Ein Cluster mit 1 Billion PCs von denen jeder 1 Billion Schlüssel pro Sekunde durchprobieren kann, würde bei einem 128 Bit langem Schlüssel 10 Millionen Jahre rechnen. Die Verkürzung um 2 Bits verkürzt die Dauer zwar immerhin auf knapp 3 Millionen Jahre.

Angesichts des Modus Operandi des militärisch-industriellen Komplexes, des Standard Operating Procedure welches seit sehr lange Zeit hinweg von Historikern und anderen Experten analysiert wird, ist es gelinde gesagt idiotisch zu glauben, US-Behörden hätten die ganze Welt mit unknackbarer Verschlüsselung beschenkt damit die NSA es möglich schwer hat, Datenverkehr abzufangen und im Klartext mitzulesen. Die NSA unterhält seit ihrer Gründung enge Partnerschaften mit maßgeblichen Technologiekonzernen wie IBM, Microsoft, Google, Bell, Cisco oder AT&T; nichts kommt auf den zivilen Markt dass nicht den Segen des Spionagemonstrums erhalten hat. In den “Enthüllungsbüchern” von James Bamford, die überhaupt erst nur mit der “freundlichen Hilfe” der NSA zustande gekommen sind, wird viel und ausgiebig lamentiert, dass man dem weltweiten Datenverkehr einfach nicht hinterherkäme, insbesondere nicht dem verschlüsselten. Bamford arbeitete einst für den US-Marinegeheimdienst.

Verschlüsseln sie noch oder zweifeln sie schon?