spektrum.de/Spektrum der Wissenschaft, 28. April 2016 - Link
Seit dem iPhone-Hack durch das FBI und der Einführung der Ende-zu-Ende-Verschlüsselung von Whatsapp fragen sich viele, wie sicher Verschlüsselung ist und wie sie überhaupt funktioniert. Hier die zehn wichtigsten Fakten zum Thema – und ein kleines Rätsel, das einiges verdeutlicht.
1. Wie funktioniert Verschlüsselung historisch und heute?
Wer in seiner Kindheit Detektiv gespielt hat, ist sicher schon einmal mit einem der ganz klassischen Verschlüsselungsverfahren in Berührung gekommen, vergleichbar mit dem von Julius Cäsar: dieser entwickelte 50 v.Chr. eine Methode, mit der jeder Buchstabe durch denjenigen ersetzt wurde, der 13 Stellen später im Alphabet vorkam. Auf diese Weise wird ein Text unleserlich. Diese später „Cäsar-Verschlüsselung“ genannte Methode basiert auf einer symmetrischen Verschlüsselung: der Text wird auf die gleiche Weise ver- wie entschlüsselt. Der Haken solcher Methoden: Alle Beteiligten müssen die Information bekommen, wie der Text verschlüsselt wurde – und diese muss möglichst sicher weitergegeben werden. Denn sobald der Feind sie bekommt, ist die Verschlüsselung wertlos. Man musste sich also persönlich treffen (was freilich 50 v.Chr. noch der Normalfall war), die Information austauschen und hoffen, dass alle dicht halten. Sobald ein Leck den Schlüssel weiter verriet, war er wertlos und musste geändert werden: auch darüber mussten alle wieder informiert werden, wieder auf einem sicheren Weg.
Das alles ist im Internet-Zeitalter nicht denkbar: man möchte sich nicht erst persönlich treffen, Schlüssel sollen durch den Äther geschickt werden können – wo sie nicht sicher sind vor dem Feind. Deshalb wird heute die asymmetrische Verschlüsselung angewendet: Daten werden mit einem Schlüssel verschlüsselt, der öffentlich zugänglich ist, und mit einem privaten Schlüssel entschlüsselt, den nur der Empfänger der Nachricht hat. Als Bild kann man sich das vorstellen wie eine Kiste, die mit einem geöffneten Vorhängeschloss versehen ist: jeder kann etwas in diese Kiste hineintun und das Schloss ohne Schlüssel zudrücken. Nur der Empfänger aber kann es mit seinem Schlüssel öffnen.
Mathematisch funkioniert das vereinfacht gesagt über Berechnungen, die in eine Richtung sehr leicht, in die andere hingegen eher schwierig zu lösen sind: beispielsweise die Multiplikation von Primzahlen. Der öffentliche Schlüssel ist das Ergebnis der Multiplikation. Um die Daten zu entschlüsseln, braucht man aber die beiden Ausgangszahlen: diese sind der private Schlüssel. Schon bei kleinen Zahlen ist der Unterschied deutlich spürbar. Testen Sie selbst: welche beiden Primzahlen muss man multiplizieren, um auf das Ergebnis 899 zu kommen? Taschenrechner ist natürlich erlaubt. Der „Hinweg“ ist natürlich viel einfacher zu lösen. (Ergebnis siehe Ende des Artikels)
2. Was bedeutet Ende-zu-Ende-Verschlüsselung?
Bei der Ende-zu-Ende-Verschlüsselung werden die Daten beim Sender verschlüsselt und erst beim Empfänger wieder entschlüsselt. Sollten sie unterwegs abgefangen werden, sind sie unlesbar. Und auch der Anbieter selbst, auf dessen Servern die Daten liegen, hat sie nur in verschlüsselter Form vorliegen: sollten also Behörden beispielsweise beim Anbieter deren Herausgabe fordern, kann dieser nur wertlose verschlüsselte Daten herausgeben.
Das Gegenstück dazu ist die Transport-Verschlüsselung, auch Punkt-zu-Punkt-Verschlüsselung genannt. Diese nutzt beispielsweise die Initiative „E-Mail made in Germany“, was immer wieder auf Protest stößt: Schließlich verkauften die Anbieter ihre Verschlüsselung in Folge der NSA-Affäre als besonders sicher und innovativ, obwohl nur der Weg zwischen den einzelnen Punkten – beispielsweise zweier Geräte in einem Rechnernetz - gesichert ist. Auf den Servern der Anbieter hingegen liegen die Mails nach wie vor unverschlüsselt vor. Web.de beispielsweise weist lapidar daraufhin, dass die Kunden für eine Ende-zu-Ende-Verschlüsselung PGP (Pretty Good Privacy) verwenden sollten – ein Verschlüsselungsverfahren, das vielen Privatpersonen zu umständlich ist. (http://web.de/e-mail-made-in-germany/verschluesselung/)
3. Welche Faktoren machen eine Verschlüsselung sicher?
Heutzutage ist weniger die Verschlüsselung an sich das Problem, sondern die richtige Anwendung und eine gute Implementierung: ein Verschlüsselungsalgorithmus kann noch so gut sein, aber wenn er schlecht in Maschinensprache übersetzt ist, hat er Lücken. Die nächste große Hürde sind Fehler in der Nutzung: Verschlüsselung funktioniert nur, wenn man auch den richtigen Schlüssel nutzt (s. Man-in-the-middle-attack), was man eigentlich nachprüfen müsste, indem man den Kontakt persönlich trifft oder auf einem anderen Wege verifiziert, dass der Schlüssel auch zu der Person gehört, von der man es vermutet. Objektive Faktoren, die eine gute Verschlüsselung ausmachen, sind außerdem: eine Ende-zu-Ende und nicht nur eine Transportverschlüsselung, die der Anbieter selbst nicht durchbrechen kann; die Möglichkeit, Kontakte zu verifizieren und ein Verfahren, das verhindert, dass ein Angreifer mit gestohlenen Schlüsseln Kommunikation aus der Vergangenheit entschlüsseln kann. Außerdem ist jede Maßnahme, den Code überprüfbar zu machen, ein gutes Zeichen: vom Audit bis zur Veröffentlichung des Quellcodes (s.u.)
4. Wie sicher ist die Whatsapp-Verschlüsselung?
Whatsapp verschlüsselt nun auf der Grundlage des Signal-Protocols: Signal ist der Messenger, den auch Eduard Snowden empfielt. Anders als Signal ist Whatsapp aber keine Open-Source-Software, weshalb die Güte der Verschlüsselung von außen schwer zu überprüfen ist. Experten könnten zwar den Quellcode direkt aus der App auslesen – das ist aber verboten. Von daher hilft hier eigentlich nur Vertrauen, sagt Kryptografie-Experte Michael Backes von der Uni des Saarlandes. Damit kann man angesichts Whatsapp und Facebook so seine Probleme haben. Auf eines kann man allerdings vertrauen: die Sorge vor dem schlechten Ruf, die den Druck wiederum erhöht: „Irgendjemand wird die App reverse engineeren, als wieder in lesbaren Quellcode umwandeln“, sagt Backes, „wenn es grobe Fehler gibt, ist es ein Reputationsproblem.“ Deshalb könne man guter Dinge sein, dass alles wie angekuendigt implementiert wurde. Grund zu Misstrauen gibt allerdings der bisherige Umgang von Whatsapp mit Verschlüsselung: Als Experten des Heise-Verlages vor etwa einem Jahr die damals schon angekündigte Ende-zu-Ende-Verschlüsselung untersuchten (http://www.heise.de/security/artikel/Der-WhatsApp-Verschluesselung-auf-die-Finger-geschaut-2629020.html), wies sie massive Lücken auf: Damals wurden nur Nachrichten zwischen Android-Geräten chiffriert verschickt. Zudem konnten Nutzer nicht überprüfen, welche Nachrichten verschlüsselt wurden und welche nicht. Das scheint nun ausgemerzt: Die Experten testeten auch die aktuelle Whatsapp-Verschlüsselung (http://www.heise.de/security/artikel/Test-Hinter-den-Kulissen-der-WhatsApp-Verschluesselung-3165567.html) und befanden: „Unsere Beobachtungen zeigen, dass verschiedene Clients tatsächlich wie versprochen ver- und entschlüsseln. Die von uns unternommenen Versuche dies zu umgehen oder auszutricksen, schlugen fehl.“ Whatsapp betont zudem in seinem Whitepaper, dass selbst wenn der private Schlüssel von einem Nutzer von dessen Smartphone gestohlen werden sollte, der Täter damit nicht im Nachhinein früher übertragene Nachrichten entschlüsseln kann. https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf Auch die Electronic Frontier Foundation hat die Whatsapp-Verschlüsselung getestet und Whatsapp in ihrer „Secure Messaging Scorecard“ (https://www.eff.org/secure-messaging-scorecard) fast Bestpunktzahl gegeben: einen Punkt Abzug gibt es für den fehlenden offenen Quellcode. Ein Blick auf die Karte lohnt sich: Facebook-Chat bekommt nur zwei von sieben Punkten, ebenso wie Google Hangout; Skype rangiert mit nur einem Punkt unter den unsichersten Messengern. Signal gehört mit der vollen Punktzahl zu den sichersten.
5. Wovor schützt die Verschlüsselung nicht?
So sehr sich Whatsapp bemüht, mit der neuen Ende-zu-Ende-Verschlüsselung auf der „guten Seite“ zu stehen, so wenig schützt diese davor, ausgespäht zu werden: Whatsapp durchsucht auch weiterhin regelmäßig die Adressbücher seiner Nutzer auf der Suche nach Telefonnummern anderer Whatsapp-Nutzer (https://www.whatsapp.com/legal/#Privacy), diese Daten landen auf den Servern von Facebook.
Und auch die Metadaten sind nicht geschützt: Whatsapp und damit Facebook weiß beispielsweise, wer wann mit wem Kontakt hatte. Das kann auch für Geheimdienste im Zweifel interessanter sein als der Inhalt der vielen Chats, der aufwendig auszuwerten ist. Auch diese Metadaten lagern auf den Facebook-Servern in den USA, wo Ermittlungsbehörden die Herausgabe erzwingen können. Wie viel diese Metadaten jenseits vom Inhalt der Gespräche über unser Leben verraten, zeigt ein berühmtes Experiment des Grünenpolitikers Malte Spitz in Zusammenarbeit mit Opendatacity und Zeitonline http://www.zeit.de/datenschutz/malte-spitz-vorratsdaten : Seine Gewohnheiten, Vorlieben, all seine Wege und Kontakte: daraus kann man ein ziemlich perfektes Persönlichkeitsprofil erstellen - sehr viel einfacher, als über die komplizierte Auswertung der Textdaten von Chats.
Wer zudem ein iPhone nutzt und die automatische Synchronisation mit der iCloud nicht abgeschalten hat, lädt nach wie vor die unverschlüsselten Sicherungskopien seiner Whatsapp-Gespräche auf die Appleserver in den USA.
Und auch wenn die Gefahr nicht allzu groß ist, das wohl kaum jemand in großem Stil Whatsapp-Nutzer ausspähen will, schützt das System nicht automatisch vor Manipulation: wer seinen Schlüssel nicht persönlich über das Einscannen des QR-Codes austauscht, ist nicht sicher vor so genannten „Man-in-the-middle“-Attacken.
6. Was ist eine Man-in-the-middle-attack?
Dieser Angriff nutzt die zentrale Schwachstelle moderner Verschlüsselung aus: Die Nutzer, die miteinander kommunizieren, müssen sicher sein, dass der ihnen übertragene Schlüssel auch zur entsprechenden Kontaktperson gehört. Im Internetzeitalter trifft man sich aber meist nicht persönlich: der Schlüssel wird mit der Nachricht mitgeschickt. Unterwegs ist er aber angreifbar: Hacker fangen dafür Schlüssel und Nachricht auf dem Übertragungsweg ab und tauschen den öffentlichen Schlüssel gegen ihren eigenen aus, um das Paket dann weiter an den Empfänger zu schicken. Äußerlich sieht man der Nachricht nicht an, dass sie manipuliert wurde, schließlich kommt sie vom richtigen Sender. Der Empfänger antwortet und verschlüsselt die Daten mit dem Schlüssel, der ihm geschickt wurde – vermeintlich der des Senders. Der „Mann in der Mitte“ fängt wiederum beides ab, entschlüsselt mit seinem privaten Schlüssel und verschlüsselt mit dem öffentlichen Schlüssel des ursprünglichen Senders (den er ja abgefangen hatte): bei dem kommt eine korrekt verschlüsselte Nachricht an: auf diese Art merken die beiden Kontaktparteien nicht einmal, dass sie ausgespäht werden – schließlich sieht alles so aus, als habe es seine Richtigkeit. Wer diese Gefahr umgehen will, muss sich entweder einmal im „richtigen“ Leben treffen und die Schlüssel austauschen: Whatsapp und Threema lösen das mittels eines QR-Codes, den man vom Smartphone des anderen einscannt: darin ist der öffentliche Schlüssel codiert. Oder mittels eines Fingerprints, einer elektronischen Prüfsumme der Schlüssel in wenigen Zeichen, die man beispielsweise telefonisch vergleichen kann. Es ist eine Ironie der Geschichte, dass die Sicherheit uns im digitalen Zeitalter zwingt, klassische analoge Kontakte zu unterhalten. Das kann aber auch Spaß machen: seit mehr als 20 Jahren feiern Computerfreaks so genannte Zertifizierungsparties, auf denen sie ihre Schlüssel austauschen. Vielleicht schwappen diese via Whatsapp ja nun auf die jüngere Generation über und ersetzen die Facebook-Party.
7. Wie hat das FBI das iPhone geknackt? Und sind iPhones nun sicher oder nicht?
Die Posse zwischen Apple und dem FBI um das iPhone hat viele bewegt. Was in der Berichterstattung allerdings oft durcheinander geworfen wurde, ist die Frage, was genau Apple hätte tun können und sollen, und was das für die Sicherheit anderer iPhones bedeutet. Merkmal einer guten Verschlüsselung ist ja, dass der Anbieter selbst diese nicht knacken kann: und das kann Apple auch nicht. Was der Konzern allerdings nach dem Willen des FBI hätte tun sollen, ist, eine Sicherung außer Kraft zu setzen: das iPhone war in diesem Fall verschlüsselt mit einem Passwort oder Pincode. Durch so genannte „Brutforce-Attacken“, also das Ausprobieren Millionen verschiedener Passwörter, hätte dieser möglicherweise geknackt werden können. iPhones haben dagegen zweierlei Sicherheitsmaßnahmen: die Software verzögert die Zeit, mit der neue Passwörter getestet werden können, mit zunehmender Anzahl an Fehlversuchen. Nutzer können auch einstellen, dass der Speicher nach zehn Fehlversuchen automatisch gelöscht wird. Ob der Attentäter diese Funktion aktiviert hatte, ist unbekannt. Die Gefahr, den Speicher zu löschen, hielt das FBI jedenfalls vom wilden Rumprobieren ab.
Apple weigerte sich, ein Programm zu schreiben, das diese Maßnahme umgeht – aus gutem Grund: Apple-CEO Tim Cook schreibt in einem offenen Brief (http://www.apple.com/customer-letter/), das FBI habe „nach etwas gefragt, was wir schlicht nicht haben und nach etwas, was wir zu gefährlich finden, um es zu entwickeln“: Die Sicherheit wäre für alle schlechter geworden. Ein anderer Weg wäre gewesen, die Daten über das Backup in der iCloud zu bekommen: dort sind sie zwar auch verschlüsselt, aber mit einem Schlüssel von Apple. Der Konzern hätte hier also helfen können – wenn er gewollt hätte – und die Daten entschlüsseln. Das betrifft auch alle anderen Apple-Kunden: Wer seine Daten in der iCloud speichert, hat weniger Sicherheit. Diese Option fiel aber auch flach, da der Attentäter die Backup-Funktion seit einigen Monaten abgestellt hatte (bzw sie aus anderen Gründen nicht mehr funktioniert hatte).
Nach aktuellen Informationen hat das FBI die Lösung nun von Hackern gekauft, die eine Sicherheitslücke im System des betreffenden iPhones entdeckt hatten. Man kann nur hoffen, dass sich Apple diese Information auch gekauft oder selbst gefunden hat, um die Lücke in zukünftigen Geräten zu schließen. Zumindest behauptete der Konzern kürzlich, andere Modelle ließen sich auf diesem Weg nicht knacken.
8. Wieso ist ein offener Quellcode gut? Verhindert er Hintertüren in jedem Fall?
Vielen Messengern fehlt im Test der Electronic Frontier Foundation (https://www.eff.org/secure-messaging-scorecard) der Punkt „Is the code open to independent review?“: Den Quellcode offen zu stellen, gilt als zentrale Sicherheitsmaßnahme, da nur so Experten und gutwillige Hacker die Güte der Verschlüsselung überprüfen können. Sie können nicht nur testen, ob wirklich keine Hintertür für Geheimdienste eingebaut ist, sondern auch nach anderen Schwachstellen suchen und die Software so stetig verbessern. Viele Unternehmen weigern sich aus teils verständlichen Gründen, weil die Software ihr Kerngeschäft ist und sie aus ihrer Sicht unter das Betriebsgeheimnis fällt. Das muss also nicht bedeuten, dass diese etwas zu verbergen haben.
„Ein offener Sourcecode hilft dramatisch bei der Sicherheit“, sagt der Kryptograph Michael Backes. Andererseits ist er natürlich auch keine Garantie dafür, dass es keine Hintertüren gibt: "Es gibt keine perfekt funktionierende Möglichkeit, einen Code automatisch auf Hintertüren oder andere Schwachstellen zu prüfen." Bleibt nur die freiwillige Fleißarbeit der Hacker-Community: schließlich sieht man Codezeilen Probleme auch nicht auf Anhieb an. Zumal diese umfangreich sein können: so bestehe Microsoft Windows beispielsweise aus fast 100 Millionen Zeilen Programmcode – wo soll man da anfangen? Backes nutzt schwierige Fälle auch als Prüfungsaufgaben: „Man kann manchmal nur fünf Zeilen Code lange anschauen, und man findet das Problem immer noch nicht.“
9. Gibt es die absolut sichere Verschlüsselung?
Informatiker betonen immer wieder, dass vor Geheimdiensten überhaupt nichts sicher ist. Dem stimmt auch Michael Backes zu, betont aber, dass es nicht an der Verschlüsslung liegt: „Ist diese auf dem bestem Stand der Kunst, ist sie nicht knackbar.“ Wenn von einer gehackten Verschlüsselung die Rede sei, sei entweder ein Schlüssel abgefangen oder eine Hintertür eingebaut worden.
Geheimdienste wählen ansonsten oft den einfacheren Weg über die Hardware: kleine Programme, die direkt mitlesen, was der Nutzer schreibt oder liest, sind schnell installiert. Wer einen Laptop in den USA bestellt, kann nicht sicher sein, dass dieser nicht beispielsweise beim Zoll manipuliert wird. „Eine Festung bringt nur etwas, wenn sie nicht auf Sand gebaut ist“, sagt Backes: selbst die beste Verschlüsselung ist nutzlos, wenn der eigene Computer der Gegner ist.
10. Gibt es eine Lösung für den Cryptowar?
Seit jeher gibt es den Streit zwischen Anhängern zweier Theorien: Ist Sicherheit wichtiger oder Privatsphäre? Nutzt es der Gesellschaft mehr, wenn die Daten aller geschützt sind, oder sollte man die eigene Privatsphäre nicht so wichtig nehmen, um den Schutz vor Terroristen zu erhöhen? Dafür kann es keine Lösung geben. Wer die Daten-Sicherheit erhöht, kann nicht ausschließen, dass das auch von Terroristen genutzt wird. Und wer sie lockert, nimmt in Kauf, dass unbescholtene Bürger ausgespäht werden.
Ausgerechnet einer der Pioniere der Kryptografie, David Chaums, hat vor Kurzem eine scheinbare Lösung angekündigt: ein Tool zur anonymen verschlüsselten Kommunikation, das schneller und sicherer ist als die Anonymisierungssoftware Tor – allerdings mit einer Hintertür.(http://www.chaum.com/projects/privategrity/privategrity.html) Noch ist nicht allzu viel darüber bekannt, wie Privategrity genau funktionieren soll. Spannend ist allerdings, wie Chaums die Hintertür kontrollieren will: Insgesamt neun Akteure bestehend aus demokratischen Regierungen sollen nur gemeinsam darüber beschließen können. Sie sollen den Schlüssel gemeinsam verwalten: nur wenn neun Server in neun verschiedenen Ländern zusammenarbeiten, die jeweils von einem der neun Akteure verwaltet werden, ist eine Entschlüsselung möglich. Kritiker warnen allerdings, dass der Missbrauch trotzdem nicht ausgeschlossen ist. Das löst nicht die Frage Privatsphäre versus Sicherheit, ist aber vermutlich der weitestgehende Kompromiss.
(Ergebnis des Rätsels vom Anfang: 29 mal 31)