Inhaltsverzeichnis:
Im Mai 2013 begann Edward Snowden mit der Veröffentlichung seines wegweisenden Dokuments, das unsere Wahrnehmung verschlüsselter digitaler Kommunikation erschüttern sollte. Sicherheitsexperten, Personen, die sich auf Verschlüsselung verlassen, und selbst die Entwickler von Verschlüsselungsanwendungen haben jetzt Bedenken, dass es möglicherweise unmöglich ist, der Verschlüsselung wieder zu vertrauen.
Was kann man nicht vertrauen?
Es ist ein kompliziertes Problem, vor allem, weil es den Anschein hat, dass die Mathematik hinter der Verschlüsselung noch solide ist. Was im vergangenen Jahr in Frage gestellt wurde, ist die Art und Weise, wie die Verschlüsselung implementiert wurde. Organisationen wie das National Institute of Standards and Testing (NIST) und Microsoft sind in Gefahr, angeblich Verschlüsselungsstandards zu kompromittieren und mit Regierungsbehörden zusammenzuarbeiten.
Im November 2013 veröffentlichte Snowden Dokumente, in denen NIST beschuldigt wurde, seinen Verschlüsselungsalgorithmus geschwächt zu haben, damit andere Regierungsbehörden die Überwachung durchführen können. Als NIST beschuldigt wurde, unternahm sie Schritte, um sich zu verteidigen. Laut Donna Dodson, NISTs wichtigster Berater für Cybersicherheit in diesem Blog, haben "Nachrichtenberichte über durchgesickerte Verschlusssachen in der kryptografischen Community Besorgnis über die Sicherheit von NIST-Standards und -Richtlinien ausgelöst. NIST ist auch tief besorgt über diese Berichte, von denen einige dies getan haben die Integrität des NIST-Standardentwicklungsprozesses in Frage gestellt. "
NIST ist zu Recht besorgt - das Nichtvertrauen der Kryptographie-Experten der Welt würde die Grundlage des Internets erschüttern. NIST hat seinen Blog am 22. April 2014 aktualisiert und öffentliche Kommentare zu NISTIR 7977: NIST-Entwicklungsprozess für kryptografische Standards und Richtlinien hinzugefügt, Kommentare von Experten, die sich mit dem Standard befasst haben. Hoffentlich können NIST und die kryptografische Gemeinschaft eine annehmbare Lösung finden.
Was mit dem riesigen Softwareanbieter Microsoft passierte, war ein bisschen nebulöser. Laut Redmond Magazine haben sowohl das FBI als auch die NSA Microsoft gebeten, eine Hintertür zu BitLocker, dem Laufwerkverschlüsselungsprogramm des Unternehmens, einzurichten. Chris Paoli, Autor des Artikels, interviewte Peter Biddle, Leiter des BitLocker-Teams, der erwähnte, dass Microsoft von den Agenturen in eine unangenehme Position gebracht wurde. Sie fanden jedoch eine Lösung.
"Während Biddle es ablehnt, eine Hintertür einzubauen, hat sein Team mit dem FBI zusammengearbeitet, um ihnen beizubringen, wie sie Daten abrufen können, einschließlich der Sicherung der Verschlüsselungsschlüssel von Benutzern", erklärte Paoli.
Was ist mit TrueCrypt?
Der Staub legte sich fast um Microsofts BitLocker. Im Mai 2014 schockierte das geheime TrueCrypt-Entwicklungsteam die Kryptografiewelt und gab bekannt, dass TrueCrypt, die führende Open-Source-Verschlüsselungssoftware, nicht mehr verfügbar ist. Jeder Versuch, auf die TrueCrypt-Website zuzugreifen, wurde auf diese SourceForge.net-Webseite umgeleitet, auf der die folgende Warnung angezeigt wurde:
Noch vor der Veröffentlichung des Snowden-Dokuments hätte diese Art der Ankündigung diejenigen schockiert, die sich beim Schutz ihrer Daten auf TrueCrypt verlassen. Fügen Sie fragwürdige Verschlüsselungspraktiken hinzu, und der Schock wird zu ernsthafter Angst. Open-Source-Befürworter, die TrueCrypt unterstützen, sehen sich nun der Tatsache gegenüber, dass TrueCrypt-Entwickler jedem empfehlen, Microsofts proprietäres BitLocker zu verwenden.
Unnötig zu erwähnen, dass die Verschwörungstheoretiker damit einen großen Tag hatten. Es gibt viele verschiedene Meinungen zu den Gründen für die Entscheidung. Experten wie Dan Goodin und Brian Krebs dachten zunächst, die Website sei gehackt worden, aber nach einigen Überprüfungen wiesen beide diesen Gedanken zurück.
Zwei populäre Theorien, die sich dieser Diskussion anschließen:
- Microsoft hat TrueCrypt gekauft, um die Konkurrenz auszuschalten (BitLocker-Migrationsanweisungen haben diese Theorie beflügelt).
- Der Druck der Regierung zwang die Entwickler von TrueCrypt, die Website zu schließen (ähnlich wie bei Lavabit).
Dieser Mangel an Vertrauen in den Kodex hält bis heute an. Die Tatsache, dass Kryptographen TrueCrypt (IsTrueCryptAuditedYet) einer intensiven Prüfung unterziehen, ist ein hervorragendes Beispiel für die weiterhin bestehende Unsicherheit.
Worauf können wir vertrauen?
Sowohl Edward Snowden als auch Bruce Schneier haben gesagt, dass Verschlüsselung immer noch die beste Lösung ist, um neugierige Augen von sensiblen persönlichen und Unternehmensinformationen fernzuhalten.
Snowden sagte während seines SXSW-Interviews mit dem ACLU-Cheftechnologen Christopher Soghoian und Ben Wizner von der ACLU: "Die Quintessenz ist, dass Verschlüsselung funktioniert. Wir dürfen Verschlüsselung nicht als eine arkane, dunkle Kunst betrachten, sondern als grundlegenden Schutz für die digitale Welt. "
Snowden gab dann ein persönliches Beispiel. Die NSA hat hart gearbeitet, um herauszufinden, welche Dokumente er durchsickerte, aber sie haben keine Ahnung, einfach weil sie seine Dateien nicht entschlüsseln können. Bruce Schneier ist auch in Sachen Verschlüsselung alles in allem. Dennoch milderte Schneier seine Unterstützung mit einer Warnung.
"Closed-Source-Software ist für die NSA leichter als Open-Source-Software zu öffnen. Systeme, die sich auf Master-Secrets stützen, sind für die NSA entweder rechtlich oder im Geheimen anfällig", sagte er.
Mit ein wenig Ironie wurde Schneiers Kommentar auch vor dem Ausblenden von TrueCrypt und bevor die TrueCrypt-Entwickler damit begannen, die Verwendung von BitLocker vorzuschlagen. Die Ironie: TrueCrypt ist Open Source, während BitLocker Closed Source ist.
