Alexander Benesch
Es ist ein neuer Skandal oder nur ein geschicktes Ablenkungsmaneuver: Das Handy von Bundeskanzlerin Merkel soll von der NSA abgehört worden sein. Zunächst waren die veröffentlichten Informationen nicht eindeutig darüber, ob auch das verschlüsselte Arbeits-Mobiltelefon betroffen war. Inzwischen spricht man nur noch vom Privathandy, was allerdings für die NSA weit weniger interessant gewesen wäre.
Der Wirbel ist vorprogrammiert: Außenminister Westerwelle bestellte den US-Botschafter ein, Merkel telefonierte mit Präsident Obama, die Bundesanwaltschaft sowie das Gremium zur Geheimdienst-Kontrolle des Bundestages schalteten sich ein. Obama dementiert.
Für die Bürger wirkt Merkel damit wieder mehr als „eine von uns“. Nicht nur der gewöhnliche Verbraucher werde mit Billigung von oben mit allen Kommunikationen durchleuchtet, sondern sogar die Leitende der exekutiven Gewalt der Bundesrepublik.
Mit was telefoniert und simst die Kanzlerin bei der Arbeit?
Nicht mit gewöhnlichen Telefonen. Die können nämlich sogar Amateure anzapfen. Jahrelang verwendete sie Nokia-Modelle mit Verschlüsselungschip. Ende 2009 wurden die Chips ausgewechselt, bei insgesamt 5250 Handys aus der Politik. Wenn die NSA Merkels altes Telefon abhören konnte, ging das bei allen anderen wohl auch. Die Düsseldorfer Unternehmen Secusmart lieferte die Verschlüsselungstechnik.
Im Juli diesen Jahres folgte dann ein Blackberry, für das Secusmart eine hardwarebasierte Verschlüsselung und Authentifizierung entwickelt hat. Seit Anfang Oktober soll die jüngste Weiterentwicklung der Sicherheitssoftware ausgeliefert werden: Das auf dem Blackberry Z10 basierende System verfügt über eine spezielle SIM-Card und eine Sicherheitssoftware namens „SecSuite“. 1200 Bestellungen gab es bisher von elf der 13 Bundesministerien und von 23 Bundesbehörden.
Wie sicher ist das?
Für tatsächliche Abhörsicherheit braucht es einen sehr guten Algorithmus, der die Gesprächsdaten nach einem bestimmten mathematischen Muster verändert, sodass die verschlüsselte Kommunikation nicht durch einen Dritten ohne Schlüssel wieder in die verständlichen Originaldaten zurückgerechnet werden kann.
Vernünftige Algorithmen zu entwickeln ist sehr teuer und eröffnen das Problem von Hintertüren, absichtlich versteckte mathematische Schwächen die demjenigen beim Brechen nützen, der die geheimen Methoden kennt. Die meisten Sicherheitsprodukte verwenden aus Kostengründen keine selbst entwickelten Algorithmen, sondern greifen auf „Standardlösungen“ zurück. Bei Secusmart heißt es über die Produkte, welche auch die Kanzlerin verwendet:
„Für die Sicherung Ihrer mobilen Kommunikation gegen Abhören verschlüsselt die Secusmart Security Card die Sprachdaten Ende-zu-Ende mit 128-Bit AES (Advanced Encryption Standard). AES gilt derzeit als der sicherste und effizienteste Algorithmus für symmetrische Verschlüsselung von Daten und Sprache. AES-128 ist von der NATO zugelassen für die Verschlüsselung von Gesprächen mit Geheimhaltungsstufe NATO-Secret.“
Foto: Secusmart
Es handelt sich um eine schlechte Variante eines schlechten Algorithmus, für den die US-Geheimdienste mit Sicherheit von Anfang an eine Hintertür wünschten.
Für amerikanisches „Top Secret“-Material wird zumindest AES mit 256 Bit benutzt, an Stelle von AES 128 wie beim Kanzler-Handy. Experten analisierten vor über 10 Jahren für die Europäische Union den AES-Algorithmus und beschwerten sich über die geringe Zeit, die ihnen zur Verfügung gestellt wurde, sowie über die Fokussierung auf Performance an Stelle von Sicherheit [1]. Selbst nach kurzer Untersuchung ergaben sich bei den vorgeschlagenen Versionen von AES signifikante Schwächen. [2] Einer der Kandidaten für die engere Auswahl stammte von IBM. Der Konzern fertigte frühzeitig Supercomputer wie den IBM 7950 Harvest im Jahr 1962 für die Codebrecher der NSA.
Ein weiterer Kandidat wurde gemeinsam von der Cambridge University, der Universität von Haifa in Israel und der Universität von Bergen in Norwegen entwickelt. Cambridge ist fest in der Hand des Britischen Geheimdienstes MI6, der dort u.a. neue Mitglieder rekrutiert. Der ehemalige MI6-Chef Sir Richard Dearlove ging nach seinem Rücktritt nach Cambridge und wurde dort der Boss eines University Colleges. [3]
Die Universität von Haifa ist Mossad-Territorium. Unabhängige Wissenschaftler äußerten für die amerikanische Behörde NIST ihre Zweifel an Serpent:
„Die Sicherheit ist nur heuristisch. Die Autoren liefern ein heuristisches Argument für eine Version von Serpent die auf 8 Runden reduziert wurde und wählten ungewöhnlich große 32 Runden um Vertrauen in die Sicherheit zu gewinnen. Ein weiterer Anlass zu Besorgnis ist die unklare Herkunft der substitution boxes. Dies könnte die Kontroverse um versteckte Hintertüren aufflammen lassen.“
Die AES-Variante, die sich letztendlich durchsetzte und auch auf Merkels „sicherem“ Handy läuft, ist entworfen um sehr sicher zu sein gegenüber altbackenen „approximation“-Angriffen wie lineare und differentiale Kryptoanalyse. Da die Vaariante aber sehr algebraisch ist, tauchten neue algebraische Angriffsmethoden auf. Die Schwäche von Rijndael sind effektive Angriffs-Algorithmen.
Nicolas Courtois und Josef Pieprzyk untersuchten, wie man Angriffstechniken verbessern könnte und schufen einen neuen Ansatz für den Angriff namens XSL. Courtois und Pieprzyk demonstrierten einen Angriff gegen AES 256, konnten aber noch nicht vollständig den Algorithmus brechen. Zuerst war die NSA zurückhaltend in ihrer Bewertung von der AES-Variante, im Juni 2003 wurde er plötzlich überraschend für sämtliche US-Behörden empfohlen.
Schneier und Ferguson schrieben in ihrem Buch „Practical Cryptography“ über AES:
„Wir trauen der Sicherheit nicht so recht. Kein ander block cipher den wir kennen hat eine dermaßen simple algebraische Repräsentation. Wir wissen nicht ob dies zu einem Angriff führt, aber dass man es nicht ausschließen kann, ist Anlass genug um skeptisch zu sein gegenüber der Verwendung von AES.“
AES scheint übermäßig abgesichert worden zu sein im Hinblick auf differentielle oder lineare Kryptoanalyse, jedoch von der Perspektive algebraischer Angriffe aus, handelt es sich um eine extrem schlechte Verschlüsselung.
Die NSA soll in der Vergangenheit sogar eingegriffen haben in privatwirtschaftliche Verschlüsselungstechnologie wie von der Crypto AG, deren Gründer einst für Behörden arbeiteten. Diese Produkte wurden von Staaten und Konzernen weltweit benutzt. Die Denkweise innerhalb der NSA muss notwendigerweise lauten: NIEMAND innerhalb der US-Regierung darf Geheimnisse vor der Chefetage besitzen.
Die künstlichen Schwächen in AES zu finden ist harte Arbeit. Wer sie von vorneherein kennt, kann hingegen die abgefangenen Daten wohl innerhalb von Minuten entschlüsseln. Die Nutzer von AES sind immer noch naiv genug, ihren Traffic gerade wegen der Verschlüsselung in dem Traffic-Meer hervorstechen zu lassen. Der leuchtet wie ein Weihnachtsbaum und die NSA spart sich so einen Haufen Zeit und Arbeit.
Helmut Kohl soll früher noch seinem Fahrer regelmäßig befohlen haben, an der nächsten Telefonzelle anzuhalten und 20 Pfennig bereitzuhalten. Statt sein Autotelefon zu benutzen, stand er von BKA-Leuten umstellt dann im Telefonhäuschen.
[1] http://www.cryptonessie.org
http://csrc.nist.gov/archive/aes/round2/comments/20000524-bpreneel.pdf
[2] https://recentr.com/2013/09/snowden-enthullt-die-gebrochene-verschlusselung-im-netz-und-traut-selbst-unsicheren-nsa-algorithmen/
