Für schlechte Kryptografie wird oft der Begriff Snake Oil (Schlangenöl) verwendet. Ab heute präsentiere ich zehn Beispiele, die zum Glück schnell wieder verschwunden sind.

In meinem Buch “Kryptografie – Verfahren, Protokolle, Infrastrukturen” gab es bis zur vierten Ausgabe ein Kapitel über “Schlangenöl”. So nennt man besonders schlechte Verschlüsselungstechnik. Der Begriff kommt aus den USA und bezeichnete dort ursprünglich schlechte Medizin. Das Schlangenöl-Kapitel entwickelte sich schnell zum Lieblingskapitel vieler Leser, ich wurde sehr oft darauf angesprochen. Doch zum Glück sprach sich im Lauf der Jahre herum, wie Kryptologie richtig funktioniert, und so ist Schlangenöl heute fast nur noch historisch uinteressant. In der aktuellen Version des Buchs ist das Kapitel daher nicht mehr enthalten.

Die krassesten Beispiele für Schlangenöl gab es etwa zwischen 1995 und 2000, als das Internet noch neu war und sich die moderne Kryptologie noch nicht ausreichend verbreitet hatte. Zahlreiche Anbieter drängten damals mit äußerst seltsamen Krypto-Lösungen auf den Markt, während in Kryptologie-Diskussionforen ein “revolutionäres” Krypto-System nach dem anderen veröffentlicht wurde. Aus dieser Zeit stammten zehn Schlangenöl-Beispiele, die ich in meinem Buchkapitel vorstellte. Hier sind die ersten drei davon (den Rest gibt es in den nächsten Postings):

Beispiel 1: Verschlüsselung durch Nichtexistenz

Eine seltene Perle von Schlangenöl produzierte im November 1999 eine Firma mit Sitz in der Nähe von Berlin. Sie kündigte ein Produkt mit dem Namen Cryptec an. Cryptec verwende ein “Verschlüsselungssystem […], das den Menschen als Individuum und seine Arbeit absolut schützt”. Die Funktion dieses revolutionären Verschlüsselungssystems wurde wie folgt beschrieben: “Die Information wird zunächst mit der neuen Cryptec-Technologie verschlüsselt und die Datenmenge ungleich geteilt. Ein Teil dieser Datenmenge wird direkt an den Empfänger geschickt. Der andere Teil der Information wird nach der Verschlüsselung millionenfach komprimiert und zu einem separaten Server verschickt. Von dort aus wird dieser zweite Teil der Information zum gewünschten Empfänger gesendet. Nur der kann die Information decodieren. Die verschlüsselte Information weist durch die Cryptec-Technologie keinerlei Oberflächenstruktur auf. Unbefugte können so keine Rückschlüsse auf den Ursprungstext schließen.” Schon bei diesem pseudowissenschaftlichen Gefasel läuten bei jedem Kryptologen die Alarmglocken. Doch es kam noch besser: “Die Informationen werden vor dem Zugriff durch Dritte geschützt, indem sie nicht mehr existieren.” Interessant ist auch folgender Hinweis: “Dabei weiß nicht einmal der berechtigte Nutzer, wohin die Informationen explodiert sind.”

Um auch wirklich kein Fettnäpfchen (oder sollte man sagen Schlangenölnäpfchen) auszulassen, protzte der Hersteller dann auch noch mit einer gigantischen Schlüssellänge: 57.000 Bit betrug diese und war damit größer als alles, was derzeit in Verwendung ist.

Die gesamte Cryptec-Mitteilung roch dermaßen penetrant nach Schlangenöl, dass es sich eigentlich nur um einen Scherz handeln konnte. Ein Anruf bei der Anbieter-Firma bestätigte diesen Eindruck jedoch nicht. Eine Dame, die meinen Anruf entgegennahm, versuchte mich zu überzeugen, dass es sich tatsächlich um ein erstklassiges Produkt handelte. Über die dahinter stehende Technik konnte sie mir jedoch nichts sagen und versprach mir den Rückruf eines Kollegen. Auf diesen Rückruf warte ich heute noch.

Beispiel 2: Ein besonders schlechter Angriff auf das RSA-Verfahren

Auch in der Kryptoanalyse entpuppte sich ab und zu eine scheinbar geniale Methode bei näherer Betrachtung als Schlangenöl. Im Dezember 1998 wurde ich beispielweise auf eine deutsche Webseite hingewiesen, auf der ein Angriff auf das RSA-Verfahren beschrieben wurde. Zur Erläuterung des Angriffs waren nicht mehr als ein paar Zeilen notwendig. Hatte der Autor – ein Mann, den in der Krypto-Szene niemand kannte – tatsächlich die wichtigste kryptografische Entdeckung der letzten zwei Jahrzehnte gemacht?

Immerhin musste man dem beschriebenen Angriff bei näherer Betrachtung eines zugute halten: Er funktionierte. Die Sache hatte jedoch einen Haken: Der Angriff sah vor, dass man alle in Frage kommenden Schlüssel durchprobierte. Mit anderen Worten: Der besagte Angriff war nichts anderes als die vollständige Schlüsselsuche. Bei den 1.024 Schlüsselbits, die für RSA damals meist verwendet wurden, hatte dieser Angriff zweifellos den Goldenen Schlangenölnapf für eine besonders schlechte Attacke verdient.

Beispiel 3: Inkrementelle Base-Shift-Algorithmen

Ein weiteres typisches Beispiel für Schlangenöl ist die Familie der inkrementellen Base-Shift-Algorithmen. Ein Mitglied dieser Familie wurde von einem Produkt namens Encryptor 4.0 verwendet, dessen Herstellerfirma diese revolutionäre Form der Verschlüsselung erfunden hatte. Schade nur, dass kein Kryptograf je etwas von einem inkrementellen Base-Shift-Algorithmus gehört hatte und dass über die genaue Funktionsweise nichts bekannt wurde. Immerhin einen Vorteil hatte die Sache: “Durch diesen einzigartigen Algorithmus”, brüstete sich der Hersteller auf der Webseite, “sind wir in der Lage, die US-Exportbestimmungen für Krypto-Technik zu erfüllen und Ihnen gleichzeitig die höchste mögliche Sicherheit zu geben.” Dass man – jedenfalls als diese Zeilen geschrieben wurden – die US-Exportbestimmungen nur mit vergleichsweise schlechten Krypto-Produkten erfüllen konnte, war dem Hersteller wohl entgangen.

Kommentare (23)

  1. #1 Christian Berger
    17. August 2013

    Schön, aber bitte nicht den Kryptochef vergessen. 🙂

    • #2 Klaus Schmeh
      17. August 2013

      Ist das der, der sich auch Depplef Ganzdoof nennt? Den habe ich (noch) nicht auf meiner Liste.

  2. #3 Chemiker
    17. August 2013

    Also so historisch finde ich die Snake Oils gar nicht:
    http://kryptochef.net/indexh2e.htm

    • #4 Klaus Schmeh
      17. August 2013

      Stimmt, aber ganz so schlimm wie vor 15 Jahren ist es nicht mehr.

  3. #5 Fliegenschubser
    17. August 2013

    “Verschlüsselung durch Nichtexistenz”

    made my day 😀

  4. #6 Freejack
    18. August 2013

    Kennt man bei 1 und 3 die verwendeten Algorithmen, und kann sagen warum die schlecht sind, sprich wie man diese erfolgreich angreifen kann?

    • #7 Klaus Schmeh
      18. August 2013

      Nein, meines Wissens wurden die Algorithmen nicht veröffentlicht. In der modernen Kryptografie erwartet man aber, dass Verfahren offengelegt werden, weshalb die Produkte schon allein deshalb fragwürdig sind.

  5. #8 Christian Berger
    18. August 2013

    Was ist eigentlich mit dem Codan Verfahren? Die verschlüsseln Sprach dadurch, dass die sie mit einer Impulsantwort falten. Auf der Gegenseite hat man dann die entsprechende “inverse” Impulsantwort mit der ebenfalls gefaltet wird. Beides übrigens im Zeitbereich, FFT wird zumindest im Patent nicht erwähnt.
    Die Firma wirbt damit, so 10^10000 unterschiedliche Schlüssel zu haben, und dass man die ja unmöglich durchprobieren kann… Es sei denn man hat Elektrotechnik studiert und kennt die Fourier Transformation, durch die die Verschlüsselung eine einfache Multiplikation wird.

    • #9 Klaus Schmeh
      18. August 2013

      Codan kenne ich leider nicht. Ist das Schlangenöl?

  6. #10 Christian Berger
    18. August 2013

    Ich hab beim Schreiben dieses Kommentars festgestellt, dass Codan anscheinend die analogen Verschlüsselungssyteme nicht mehr vermarktet.

    Codan ist ein Australischer(?) Hersteller von Funkgeräten, auch für das Militär. Die sind auf Kurzwelle spezialisiert. Jetzt wollen die da natürlich verschlüsseln, aber digitale Signale in der notwendigen Bandbreite für Sprache zu verschicken ist nicht trivial. Deshalb haben die, wie so viele andere Firmen analoge Sprachverschlüsselungssystem gemacht.

    Im Prinzip läuft das alles auf Schlangenöl hinaus. Die einfachsten sind eine simple Invertierung des Spektrums, andere spalten das Spektrum in mehrere Bereiche und vertauschen die, und Codan macht halt eine Faltung. So richtig harte Verschlüsselung ist nichts davon.
    Bei Codan kommt aber noch ein Punkt dazu, warum das wirklich vom Militär gekauft wird. Die Verschlüsselung taugt zwar nichts, aber es gibt einen Nebeneffekt, dass Störsignale im Zeitbereich verwischt werden. Das macht die Benutzung der Funkgeräte angenehmer.

    Ich denke, es ist die Werbung die daraus Schlangenöl machte.

    • #11 Klaus Schmeh
      18. August 2013

      Danke für die Info.

  7. #12 Kryptonoob
    Ruhrgebiet
    19. August 2013

    Der Kryptochef ist ja der absolute Hammer.
    Allein schon das Lesen der in lupenreinem Englisch verfassten Beschreibung ist ein Brüller!
    Das erinnert mich stark an toll übersetzte Fernost-Bedienungsanleitungen 🙂

  8. #13 Kryptonoob
    Ruhrgebiet
    19. August 2013

    Edit: Das Deutsch ist ja genauso nett.
    Wer hat sich das Ganze denn ausgedacht?

  9. #14 Hanno
    19. August 2013

    Ein ganz heisser Kandidat waer ja meiner Ansicht nach De-Mail.

    • #15 Klaus Schmeh
      19. August 2013

      Das werden einige Leute nicht gerne hören.

  10. #16 Chemiker
    19. August 2013

    Beim Kryptochef habe ich eigentlich nie so genau heraus­finden können, ob der ein Spinner, ein Betrüger oder ein Kabarettist ist.

    Ich glaube, die oben verlinkte Web­seite gibt es schon seit 2000 oder so. Für ein Kunst­projekt ist das schon er­staun­lich lange. Wäre eine eine auf betrü­geri­sche Art operie­rende Firma, dann wäre er in der Zwischen­zeit wohl schon in Grund und Boden geklagt worden (voraus­gesetzt, er hätte auch nur einen einzigen Kunden aquiriert).

    Aber lustig ist er auf jeden Fall. Ein echter Vollbit.

  11. #17 H.M.Voynich
    23. August 2013

    “Das werden einige Leute nicht gerne hören.”

    Sind das Leute, auf die man Rücksicht nehmen müsste? Und wenn ja, warum? 😉

  12. #18 Kryptokracher
    OWL
    17. Januar 2015

    Nr. 5 (“Kryptochef”) lebt weiter: http://m-t-p.de/ !!!
    *LOL*

  13. #19 Olli
    7. Februar 2015

    im Gegensatz dazu hat er aber einen Download und auch die Funktonsweise ein wenig erklärt – vielleicht wird das mal was weil ist ja Beta

  14. #20 Alexander
    20. Februar 2016

    Ich hab´ als Kind wohl auch mal Schlangenöl produziert, und zwar als Fingerübung zum Knacken von Passwörtern auf dem C64. Das Ganze war in Basic geschrieben und produzierte eine Zufallsreihe, die dem Rechner als Passwort angeboten wurde.

    Dann wurde die Zeit gemessen (ich glaube in Millisekunden), die das Zielprogramm brauchte, um zu erkennen, dass die Eingabe falsch war und dies auch anzeigte. War bereits das erste Zeichen kein Treffer, kam die Meldung (so die Theorie) schneller als wenn erst das Zweite, Dritte etc. nicht übereinstimmte. Alle falschen Zeichen wurden nacheinander verändert, bis schließlich das richtige Wort feststand.

    Vermutlich funktionierte es nur in der Theorie, denn ich habe es – soweit ich mich erinnere – nie wirklich ausprobiert. Andererseits, Basic war ja damals extrem einfach. Wer weiß? 😉

    • #21 Klaus Schmeh
      20. Februar 2016

      War der C64 passwortgeschützt? Oder ging es da um den Zugang zu einer Mailbox? Oder boten Erweiterungen wie GEOS oder The Final Cartridge einen Passwortschutz?

  15. #22 Alexander
    24. Februar 2016

    Es ging um private Bereiche des C64, also in etwa Entsprechungen von heutigen Mailboxen, wenn ich mich recht erinnere.