Moderne Verschlüsselungsverfahren sind so sicher, dass selbst die allmächtige NSA keine Chance hat, sie zu knacken. In vielen Fällen nützt das aber nichts.

Das Buch Applied Cryptography von Brude Schneier aus dem Jahr 1996 galt lange als die Bibel der Kryptografie. Es bietet auf über 800 Seiten nicht nur eine große Sammlung an Fakten über das Thema, sondern ist auch in vorbildlicher Weise verständlich und übersichtlich geschrieben. So ist es auch kein Wunder, dass sich das Buch weltweit über 100.000 mal verkaufte, was angesichts des sehr speziellen Themas nun wahrlich nicht alltäglich ist.

Sicherheit ohne Kompromisse

Wenn es um die Sicherheit eines Krypto-Verfahrens geht, lässt Schneiers Buch keine Kompromisse zu. Dass eine Verschlüsselungsmethode selbst der milliardenschweren Dechiffrierungs-Maschinerie der NSA trotzen muss, steht für Schneier außer Frage. Meist spielen sich seine Vorstellungen sogar in noch viel höheren Sphären ab: So wird dem Leser beispielsweise vorgerechnet, dass man theoretisch einen Super-Computer bauen könnte, der eine bestimmte hochsichere Verschlüsselung an einem Tag knacken könnte – wenn es denn im gesamten Universum genügend Siliziumatome für eine solche Megamaschine gäbe. Superparanoiden, die an parallele Universen glauben, empfiehlt Schneier (wenn auch augenzwinkernd), diese Verschlüsselung gleich dreifach einzusetzen.

Solche Überlegungen ziehen sich durch das gesamte Buch. Schon in der Einführung zu Applied Cryptography heißt es: “Wenn ich einen Brief nehme, ihn in einen Tresor einschließe, den Tresor irgendwo in New York verstecke und Sie dann dazu auffordere, den Brief zu lesen, dann ist das keine Sicherheit. […] Wenn ich jedoch einen Brief nehme, ihn in einen Tresor einschließe und Ihnen den Tresor zusammen mit einem Konstruktionsplan und hundert weiteren, baugleichen Tresoren inklusive Zahlenkombination gebe, so dass Sie und die besten Tresorknacker der Welt den Schließmechanismus analysieren können und Sie dennoch den Tresor nicht öffnen und den Brief lesen können, dann ist das Sicherheit.”

Banner-Nicht-zu-knacken

Die Ansichten aus Schneiers Krypto-Bibel haben das Denken in der Kryptologie der neunziger Jahre wesentlich geprägt. Astronomische Sicherheitsstufen wurden damals zur Pflicht. Paranoia galt für Kryptografen als Berufsvoraussetzung, nicht als Krankheit. Ein Krypto-Verfahren kann gar nicht sicher genug sein, hieß die Devise. Diese Entwicklung hatte jedoch einen Nachteil: Es entstand der Eindruck, dass sichere Krypto-Verfahren automatisch eine hohe Sicherheit gewährleisten. Um in Schneiers Bild zu bleiben: Wenn selbst die weltbesten Tresorknacker einen Tresor nicht öffnen können, ist alles geregelt. Andere Aspekte wurden nicht betrachtet.

Das größte Sicherheitsrisiko sitzt vor dem Computer

Heute weiß man, dass die damalige Einschätzung viel zu optimistisch war und sich als eine Art kryptografische Utopie erwiesen hat. Dies zeigte sich spätestens, als Ende der neunziger Jahre immer mehr kryptografische Lösungen den Weg in die Praxis fanden. Nun stellten viele Experten erstaunt fest, dass bei deren Einsatz Probleme auftraten, die Schneier in seinem Buch erst gar nicht angesprochen hatte. So mussten sich die Entwickler von Verschlüsselungsprogrammen mit der Frage auseinandersetzen, wie man einen sorglosen PC-Anwender dazu bringt, seine Software überhaupt zu benutzen. Sicherheitsbeauftragte interessierten sich ohnehin weniger für Schlüssellängen und Dechiffrier-Methoden als etwa für das banale Problem, dass die Anwender ihr Passwort für die Verschlüsselungslösung aus Bequemlichkeit an den Monitor klebten.

Password-Syndrome

Die Kryptografie geriet also in eine Grundlagenkrise. Was, so lautet die Frage, bringt selbst das sicherste Verschlüsselungsverfahren, wenn es nicht auf angemessene Weise genutzt wird? Das größte Sicherheitsrisiko saß dabei meist vor dem Computer.

Typisch ist folgende authentische Begebenheit: Nachdem sich der Mitarbeiter eines Unternehmens schon seit längerem darüber geärgert hatte, dass er jeden Monat sein Betriebssystem-Passwort ändern musste und dabei die fünf letzten Passwörter nicht mehr verwenden durfte (dies war natürlich eine Sicherheitsmaßnahme), ließ er sich etwas einfallen. Er schrieb ein kleines Programm, das automatisch das Passwort fünfmal änderte und anschließend das ursprüngliche wieder einstellte. So konnte er dauerhaft immer mit dem gleichen Passwort arbeiten und sparte sich die lästigen Änderungen. Auf diese Idee zur Erleichterung der täglichen Arbeit war der besagte Mitarbeiter so stolz, dass er sie im Unternehmen verbreiten wollte. Er reichte sie deshalb beim betrieblichen Vorschlagswesen ein.

Verschlüsselung ist wie Teenager-Sex

Diese Mischung aus Ahnungslosigkeit und Desinteresse der Anwender ist auch heute noch das größte Problem in der Verschlüsselungstechnik. Obwohl längst zahlreiche Programme zur E-Mail-Verschlüsselung auf dem Markt sind, werden derzeit nur etwa 4 Prozent aller Mails verschlüsselt. Oder wie es der Bundestagsabgeordnete Thomas Jarzombek formulierte: „E-Mail-Verschlüsselung ist wie Teenagersex: Alle reden darüber und jeder denkt, der andere macht es. Doch tatsächlich machen es die wenigsten und bei denen läuft es auch noch schlecht.“

Dabei zählt die E-Mail-Verschlüsselung noch zu den populäreren Anwendungen der Kryptografie. Der Anteil der verschlüsselten Telefongespräche – egal ob mobil oder Festnetz – dürfte noch nicht einmal im Promille-Bereich liegen. Verschlüsselte Festplatten oder Dateien sind wohl etwas häufiger, aber sicherlich auch kein Massenphänomen. Halbwegs zufriedenstellend ist die Lage immerhin im World Wide Web, wo eine SSL-Verschlüsselung vertraulicher Daten üblich ist.

Auch die Politik ist hierzulande kein Vorbild, wie ein Artikel der FAZ belegt. Allzuviele unserer Volksvertreter halten es wohl wie Sahra Wagenknecht. Diese wird im FAZ mit der Vermutung zitiert, „dass die Geheimdienste die üblichen Verschlüsselungsprogramme ohnehin knacken können und auch nicht davor zurückschrecken, dies zu tun, wenn sie wollen“. Diese Vermutung dürfte falsch sein, wie beispielsweise die zahlreichen Fälle belegen, in denen die Polizei die “üblichen Verschlüsselungsprogramme” nicht knacken konnte. So bleibt die Erkenntnis: Die größte Schwäche der üblichen Verschlüsselungsprogramme ist, dass sie zu wenig genutzt werden.

Zum Weiterlesen: Die Grundlagenkrise der Kryptografie – Teil 2

Kommentare (19)

  1. #1 Harka
    21. August 2014

    Verschluesselung funktioniert. Selbst wenn Teile davon kompromittiert sind!
    Es sind die Massen an Plain-Text, die ohne jeglichen Aufwand abgefangen, gespeichert und verarbeitet/analysiert werden koennen, die das Problem sind. Z.B. schnorchelte m unsere beliebte 3-Buchstaben Agency 4 mal so viel Emails von Yahoo (unverschluesselt) ab als von Google (SSL)! Selbst die deutsche Enigma haelt heute noch tausende nicht geknackte Messages bereit, trotz des industriellen Aufwands von Bletchley Park und der Amerikaner vor nunmehr 60 Jahren.
    Wenn eine Message relativ schnell geknackt werden koennte (sagen wir im Sekunden-Bereich) heisst das noch lange nicht, dass dies auch noch trivial fuer die geschaetzten 90 Billionen Emails pro Jahr (und steigend!) ist!
    Verschluesselung ist im Grundwesen nicht eine technische Sache, sondern eine soziale. Genau wie Menschen miteinander ganz natuerlich gelegentlich in den Fluesterton uebergehen, sollte Verschluesselung eine ganz normale Sache als Ausdruck zwischenmenschlicher Kommunikation werden bzw. sein. Aus Respekt vor sich selbst und seinen Mitmenschen! 🙂

  2. #2 Harka
    21. August 2014

    Korrektur: Die NSA fing zehn mal so viele Messages von Yahoo ab, als von Google. Nicht nur vier mal.
    Quelle: Bruce Schneier, RSAC Talk

  3. #3 CM
    21. August 2014

    4% aller Emails verschlüsselt? Das halte ich für eine sehr optimistische Schätzung.

    Als sehr computeraffiner HPC Nutzer/Admin/Wissenschaftler, verschlüssel ich selber nicht. Warum? Weil es sonst niemand tut und es kompliziert ist auf allen möglichen Geräten die persönlichen Schlüssel synchron zu haben – wenn man keiner externen Agentur trauen mag.

    Insofern stimme ich meinem Vorredner zu – und fasse mich an die eigene Nase.

    • #4 Klaus Schmeh
      21. August 2014

      >4% aller Emails verschlüsselt?
      Diese Zahl stammt vom Institut für Internet Sicherheit (IFIS) in Gelsenkirchen (https://www.internet-sicherheit.de/). Das das IFIS sicherlich nicht alle Mail-Server der Welt untersuchen kann, ist die Stichprobe möglicherweise verzerrt. Ich würde auch eher von weniger ausgehen.

      >Weil es sonst niemand tut und es kompliziert ist
      Ich gebe zu, dass ich aus denselben Gründen ebenfalls selten verschlüssle.

  4. #5 Harka
    21. August 2014

    @CM, Klaus:

    Aus Interesse:

    Was sind denn die groessten Huerden etwas detaillierter?

    • #6 Klaus Schmeh
      21. August 2014

      Die größten Hürden bei der E-Mail-Verschlüsselung sind meiner Meinung nach:
      – Es gibt zwei unterschiedliche Formate (PGP und S/MIME).
      – Selbst bei gleichem Format gibt es noch Inkombatibilitäten.
      – E-Mail-Verschlüsselung ist nichtt selbsterklärend.
      – Oft muss man die gewünschte Software erst einmal installieren.
      – Alle Empfänger (oft sind es ja mehrere) müssen E-Mail-Verschlüsselung ebenfalls unterstützen.

  5. #7 Gerald Fix
    21. August 2014

    Ich erlaube mir die Frage, wie man denn sicher mit Passwörtern umgehen soll:
    Im Betrieb habe ich ungefähr ein dutzend passwortgesicherte Anwendungen. Die meisten fordern eine monatliche Änderung und verhindern eine Wiederholung nach weniger als drei Monaten. Wie merkt man sich das, wenn man kein System verwenden (Monat einbauen, fortlaufende Nummern), nichts aufschreiben und dann auch noch nicht-triviale Passwörter verwenden soll?

    • #8 Klaus Schmeh
      21. August 2014

      Letzendlich gibt es nur einen Weg:
      Man muss zunächst auf sicherere Methoden als Passwörter umstellen, z. B. Smartcards, USB-Tokens, Smarttokens. Da es auch keinen Sinn macht, 15 Karten oder Tokens mit sich herumzutragen, muss eine Karte / ein Token für viele unterschiedliche Anwendungen nutzbar sein (Single Sign-on). Letzteres ist zwar wiederum ein Sicherheitsrisiko, aber 15 unterschiedliche Passwörter / Tokens / Karten gehen nun einmal nicht.

  6. #9 Harka
    21. August 2014

    @Gerald: Eine gute Frage!
    Ich finde, ohne Aufschreiben geht es gar nicht mehr. Und das ist auch OK, wenn man die Sachen richtig aufbewahrt. Entweder elektronisch (verschluesselter “Password Safe”) oder old-style Papier. Ironischerweise ist das Papier wahrscheinlich am sichersten wenn man den Zugang kontrollieren kann. Z.B. ein Zettel im Portemonnaie ist bei den meisten Leuten ein sehr guter Ort, da man auf das sowieso aufpasst.

  7. #10 CM
    22. August 2014

    bzgl. #5 stimme ich Klaus in #6 im Großen&Ganzen zu. Meine favorisierten Clients (Thunderbird & Evolution, je nach System auf dem ich arbeite) bringen schon einige Funktionalität mit – die Schlüssel muss man dem Programm natürlich noch übergeben.

    Mich stört insb. der Aufwand zum Austausch der Schlüssel (man muss das Gegenüber überzeugen und das Thema war mal ‘ne nette Spielerei und erzeugt heutezutage(!) eher Augenrollen als Interesse) und das immer wieder (s.u.) Einspielen beider Schlüssel (ich bevorzug(T)e PGP) und das Aufbewahren.

    Eigentlich sollte ich sagen: Ich habe mal mehr verschlüsselt. berufliche Wechsel und damit einhergehend neue Computer drückten den Verschlüsselungsgrad auf 0 (in den letzten 2 Jahren). Jetzt neu anfangen ist technisch einfach, ein wenig aufwendig und sozial mühselig.

    Bzgl. Passwörter aufbewahren: Passwort Safe bei meinem Arbeitgeber, daheim: Papier bzw. eine versteckte (unverschlüsselte) Datei auf meinem Rechner (den ich nicht speziell sichere 🙂 ).

    Über die Zahl 4% habe ich auf den Seiten des ifis nichts zur Erhebung der Zahl finden können – ich unterstelle mal, dass sie die Zahl aller Mails vermindert um Spammail meinen, dennoch denke ich, dass die Zahl zu hoch ist, da
    a) meine Kontakte international sind
    b) ich über lange Zeit viele Mailinglisten computeraffiner Leute gelesen habe (derzeit weniger) und
    c) in verschiedene Welten (privat, akadem., Unternehmen) mailmäßig unterwegs bin.

    Nicht nur lag die Zahl stets deutlich drunter (bei b) nicht verwunderlich), auch war die Zahl signierter Mails sehr klein – und dass lässt auf die potentiellen Verschlüsseler schliessen.

    Fazit: Mailclients müssen diesbzgl. nutzerfreundlicher werden. Aber das hilft kaum, da Admins/Sicherheitsbeauftragte bislang wenig Druck erzeugen.

    • #11 Klaus Schmeh
      25. August 2014

      >Über die Zahl 4% habe ich auf den Seiten des ifis
      >nichts zur Erhebung der Zahl finden können
      Stimmt, diese Zahl hat mir Prof. Pohlmann vom ifis mündlich mitgeteilt.

  8. #12 Stefan Wagner
    https://demystifikation.wordpress.com/2014/08/23/gchq/
    23. August 2014

    Die geeignete Sicherung hängt sehr davon ab vor wem ich etwas sichern muss, und wie teuer das zu schützende Gut ist – auch wenn sich vieles schwer beziffern lässt.

    Nicht jedes Geheimnis muss in 10 Jahren noch halten – etwa die Geheimzahl meiner EC-Karte gilt eh nicht so lange.

    Viele Computernutzer haben teure Geheimnisse insofern, als sie nicht wollen, dass jemand auf ihre Kosten bei Ebay, Amazon, der Bahn u.ä. im Internet einkauft. Dieses Passwort an den heimischen PC-Monitor zu kleben ist aber ziemlich sicher; selbst ein Heizungsableser wird fast nie sowas ausspähen. Die Gefahr sind hier eher anonyme Angreifer im Netz, die mit Malware alle PCs abgrasen aber mich nicht persönlich im Visier haben.

    Wenn man kein Single ist sollte man das trotzdem unterlassen, denn wenn mit einem Account was passiert, verdächtigt man automatisch die Mitbewohner. 🙂

    Eine Überlegung zur Passworterneuerung habe ich bei Stackexchange niedergelegt und will sie hier nicht wiederholen:
    https://security.stackexchange.com/a/6215/4003 – es steckt etwas Arbeit drin. 🙂

    • #13 Klaus Schmeh
      23. August 2014

      >Eine Überlegung zur Passworterneuerung habe ich bei Stackexchange niedergelegt
      Interessant, danke für den Hinweis.

  9. #14 Heinz
    23. August 2014

    @Klaus
    > Es gibt zwei unterschiedliche Formate (PGP und S/MIME).

    Das sehe ich nicht als Problem. Ich kenne z.B. Niemanden, der ernsthaft mit S/MIME verschlüsselt, da es CA-basiert ist taugt das eh nichts.

    > Selbst bei gleichem Format gibt es noch Inkombatibilitäten.

    Ja, PGP/MIME wird nicht von allen unterstützt

    > – Alle Empfänger (oft sind es ja mehrere) müssen E-Mail-Verschlüsselung ebenfalls unterstützen.

    Gut das ist bei Verschlüsselung immer so, nichts e-Mail-spezifisches.

    Ich sehe allerdings noch das Problem, dass man einen Mailclient braucht – die Meisten rufen ihre Mails über das Webinterface ab und dann muss man die Schlüssel der verschiedenen Clients (Schlauphone und PC) auch noch synchronisieren.

    > – E-Mail-Verschlüsselung ist nichtt selbsterklärend.

    Ja, aber das Problem liegt woanders.
    Die Leute Beschäftigen sich nicht damit.
    Würden die sich mit Verschlüsselung/ITsec so gut auskennen wie mit Fußball oder ihrem Auto gäbe es das Problem nicht.
    Mich stört bei der Bedienung nur, dass Enigmail kein Drag and Drop (für Schlüssel) unterstützt. Viele Durchschnittlich anzunehmende User wissen dann gar nicht was sie tun sollen.

    • #15 Klaus Schmeh
      23. August 2014

      >Das sehe ich nicht als Problem. Ich kenne z.B. Niemanden,
      >der ernsthaft mit S/MIME verschlüsselt
      Ich schon. Für ein Unternehmen ist der PGP-Ansatz (jeder kann Zertifikate für jeden ausstellen, keine CA) nicht geeignet.

      >> – Alle Empfänger (oft sind es ja mehrere) müssen E-Mail-Verschlüsselung ebenfalls unterstützen.
      >Gut das ist bei Verschlüsselung immer so, nichts e-Mail-spezifisches.
      Das ist richtig, aber es ist eben ein Problem.

      >Ich sehe allerdings noch das Problem, dass man einen Mailclient braucht
      Das ist richtig.

      >Die Leute Beschäftigen sich nicht damit. Würden die sich mit Verschlüsselung/ITsec
      >so gut auskennen wie mit Fußball oder ihrem Auto gäbe es das Problem nicht.
      Das ist richtig.

  10. #16 Dr. Webbaer
    24. August 2014

    Die Kryptografie geriet also in eine Grundlagenkrise. Was, so lautet die Frage, bringt selbst das sicherste Verschlüsselungsverfahren, wenn es nicht auf angemessene Weise genutzt wird? Das größte Sicherheitsrisiko saß dabei meist vor dem Computer.

    Andere Sicht: Das größte Sicherheitsrisiko sitzt im Computer, als OS oder auf – Schichten der Software- und Hardware-Architektur meinend – tieferer Ebene.

    MFG
    Dr. W (der (bestenfalls: auch hier nur als interessierter Laie am Start) so etwas wie Crypto-Chips und Crypto-BIOSe erwarten würde)

    • #17 Klaus Schmeh
      24. August 2014

      >Sicherheitsrisiko sitzt im Computer
      In dieser Hinsicht ließe sich sicherlich auch einiges machen, aber selbst der beste Krypto-Chip könnte nicht gewährleisten, dass eine E-Mail so verschlüsselt wird, dass nur der Empfänger sie lesen kann.

  11. #18 Harka
    27. August 2014

    @Klaus:

    > Für ein Unternehmen ist der PGP-Ansatz (jeder kann
    > Zertifikate für jeden ausstellen, keine CA) nicht geeignet.

    Dem stimme ich nicht zu. PGP kann auch zentral in Firmen verwaltet werden; sowohl die individuelle Schluessel-Paare wie auch, wenn gewuenscht, ein verpflichtender Zusatz-Schluessel an den immer mitverschluesselt wird neben dem eigentlichen Empfaenger, damit E-Mail intern lesbar bleibt.
    Es ist also kein Thema von PGP, sondern eine reine Firmen-Policy Frage und wie sie technisch umgesetzt wird!

    > > > Alle Empfänger (oft sind es ja mehrere) müssen
    > > > E-Mail-Verschlüsselung ebenfalls unterstützen.

    > > Gut das ist bei Verschlüsselung immer so, nichts
    > > e-Mail-spezifisches.

    > Das ist richtig, aber es ist eben ein Problem.

    Ich gebe mal die Kehrseite:
    “Was? Um dieses E-mail Ding zu nutzen muss ich was installieren? Und dann noch ein Konto haben und ein Passwort ausdenken und Sachen irgendwo eintragen? Neh Du…zu kompliziert. Das E-Mail Zeugs wird sich so NIE durchsetzen!”” 😀

    Uebrigens das Gleiche mit Key-Austausch. “SOOOO kompliziert!!”
    Aber die meisten Leute die ich kenne sind, zum Glueck, absolut faehig, ein Attachment zu schicken.
    Die Frage ist also, warum geht es bei Katzen-Videos und Dokumenten (Files!), aber nicht bei einem PGP-Key (auch ein normales File!)?

    • #19 Klaus Schmeh
      27. August 2014

      >PGP kann auch zentral in Firmen verwaltet werden
      Ja, aber das hat viele Nachteile. PGP-Zertifikate lassen sich aber de facto nur für das Verschlüsseln von E-Mails einsetzen. SSL, VPN, Workflow-Signaturen, System-Login usw. erfordern dagegen X.509-Zertifikate. PGP funktioniert auch nicht mit Chipkarten (ich weiß, theoretisch geht’s, aber …). PGP kennt außerdem keine Certificate Usage, keine Policies, kein OCSP, keine Sperrlisten usw. Auch HSMs funktionieren normalerweise nicht mit PGP.