© maxkrasnov, 123RF

Die Kryptografie bietet faszinierende Schutzmöglichkeiten, die aber noch nicht jeder Entwickler richtig und anwenderfreundlich einsetzt. Ein Gespräch über Stand und Perspektiven der Verschlüsselung.

Linux-Magazin: Heutige Verschlüsselung hat scheinbar ein Usability-Problem. So wird beispielsweise PGP für die E-Mail-Verschlüsselung wenig verwendet, weil es den meisten Anwendern als zu kompliziert erscheint. Wie lässt sich diese Hürde überwinden?

Tibor Jager: Es gibt hier leider zahlreiche Hürden zu überwinden. Eine davon ist, dass PGP nicht besonders gut in populären E-Mail-Clients unterstützt wird. Thunderbird, Outlook, Apple Mail und andere erfordern alle die Nachinstallation von Plugins. Einige davon funktionieren mittlerweile recht gut, aber meine persönliche Erfahrung ist, dass sich das beim nächsten Update des E-Mail-Programms schnell ändern kann. Dann muss der Anwender auch das passende Update des Plugins installieren. Auf Dauer wird das vielen zu beschwerlich. Es ist schade, dass die Entwickler der großen E-Mail-Programme hier kaum Out-of-the-Box-Unterstützung mitbringen.

Nun kann man sich fragen, warum das so ist. Ein Grund dafür ist, dass Standards wie PGP oder S/MIME meiner Meinung nach viel zu kompliziert sind. Das Problem ist hier interessanterweise überhaupt nicht die eigentliche Kryptografie, die im Fall von E-Mail-Verschlüsselung eher einfach ist (auch dann, wenn man moderne Angriffe wie E-Fail in Betracht zieht). Ich denke unnötig komplizierte, unübersichtliche und schwer zu verarbeitende Datenformate sind eher der Grund dafür, warum Entwickler von E-Mail-Programmen die Implementierung von PGP & Co. scheuen.

Häufig wird auch gesagt, dass Anwendern das Grundverständnis von Public-Key-Kryptografie fehlt. Aber man muss keine Kryptografie studieren, um E-Mail-Verschlüsselung zu nutzen. Einfache Dinge, etwa dass man den Public Key des Empfängers haben muss, um verschlüsseln zu können, darf man Anwendern durchaus zutrauen. Der Rest ist Aufgabe des User Interface und der darunterliegenden Komponenten.

Linux-Magazin: Zuweilen mindert das User-Interface ja kaum die Komplexität, sondern konfrontiert den Nutzer mit Entscheidungen, die ihn überfordern. So erlaubt zum Beispiel die Datenträger-Verschlüsselung Veracrypt die Auswahl unter den Algorithmen AES, Camellia, Kuznyechik, Serpent, Twofish sowie zahlreichen Kaskaden wie AES-Twofish oder AES-Twofish-Serpent. Was würden Sie da wählen? Und wie soll sich ein eher unbedarfter Anwender entscheiden?

Tibor Jager: Ja, genau das ist der Punkt. Solche Entscheidungen gilt es, dem Anwender abzunehmen. Die wenigsten Kryptografie-Experten sind in der Lage, die subtilen Unterschiede zwischen den verschiedenen genannten Algorithmen zu bewerten. Und für die Praxis haben diese Unterschiede in der Regel sowieso keine wesentliche Bedeutung. Das trägt also unterm Strich mehr zur Verwirrung bei als zur Sicherheit.

Ein gutes Vorbild liefert die Verschlüsselung in Whatsapp. Hier muss der Anwender überhaupt nichts entscheiden – nicht einmal, ob überhaupt verschlüsselt wird oder nicht, denn die App verschlüsselt einfach immer. Das erleichtert die Nutzbarkeit immens. Vollständige Sicherheit erreicht man zwar ohne Zutun des Nutzers auch hier nicht, denn die Authentizität von Whatsapp-Schlüsseln muss der Anwender manuell überprüfen. Aber selbst ohne diese Prüfung hat man noch Sicherheit gegen passive Angreifer, die nur den Netzwerkverkehr mitschneiden. In puncto “einfache Nutzbarkeit” ist das also schon vorbildlich.

Leider lässt sich dieses Konzept nicht automatisch auf andere Anwendungen übertragen. E-Mail zum Beispiel ist dezentraler organisiert als Whatsapp. Das erschwert etwa das Schlüsselmanagement deutlich. Es gilt also, geeignete Kompromisse zu finden.

Dass aber ein Festplatten-Verschlüsselungsprogramm einen Anwender wirklich selbst entscheiden lassen muss, ob er AES, Camellia-Kuznyechik oder Serpent-Twofish-AES nutzen möchte, sehe ich nicht. Ein einziger fest vorgegebener Algorithmus, zum Beispiel AES in einem guten Betriebsmodus zusammen mit einer öffentlich einsehbaren Spezifikation und Open-Source-Quellcode, würden deutlich mehr zur Sicherheit beitragen als eine noch so große Auswahl von Algorithmen.

Linux-Magazin: Aus der Politik sind zuweilen Forderungen nach Hintertüren in Verschlüsselungsverfahren zu hören, die es staatlichen Stellen oder Geheimdiensten erlauben sollen, verschlüsselte Beweismittel zu dechiffrieren. Was ist davon aus kryptologischer Sicht zu halten? Könnte man ein solches Verfahren noch als sicher betrachten?

Tibor Jager: Ja, hier wird oft von Sollbruchstellen oder einem sicheren Master-Key gesprochen, der in die Verschlüsselung eingebaut wird, um dann nur berechtigten staatlichen Stellen die Entschlüsselung zu erlauben. Ich verstehe, warum staatliche Stellen und Geheimdienste das gerne hätten, beim aktuellen Stand der Forschung ist das aber leider ungefähr so, wie sich ein Einhorn wünschen: Wir wissen heutzutage nicht, wie wir das realisieren sollen, ohne dabei die Sicherheit der Verschlüsselung signifikant zu schwächen.

Das Risiko, dass man durch Hintertüren in Verschlüsselungsverfahren ein völlig unsicheres Verfahren erhält, ist immens. Das staatliche Interesse ist natürlich in manchen Fällen nicht völlig unberechtigt, zum Beispiel wenn man an Terrorabwehr denkt. Demgegenüber steht allerdings die Gefahr der unberechtigten Massenüberwachung.

Wir versuchen hierfür tragfähige Kompromisse zu finden. Meine Gruppe arbeitet zum Beispiel an Ideen, die es möglich machen, den Einsatz von staatlichen Hintertüren nachvollziehbar zu machen. So könnte man auch öffentlich überprüfen, ob die Hintertüren nur legitimen Zwecken dienen.

Linux-Magazin: Wer beurteilt denn in diesem Szenario die Legitimität des Einsatzes? Das scheint doch eher eine juristische oder moralische als eine technische Frage zu sein.

Tibor Jager: Eine solche Beurteilung ist in der Tat Ermessenssache – und damit schwer bis unmöglich in Algorithmen abzubilden. Daher verfolgen wir einen anderen Ansatz. Die Idee ist, dass ein Master-Key nur dann benutzbar ist, wenn ein öffentliches Logbuch den Einsatz protokolliert. Dieses Logbuch listet auf, wer den Master-Key wann und warum benutzt hat. Nur vertrauenswürdige Personen, zum Beispiel Richter, können das Logbuch einsehen. Sie können dann bewerten, ob der Einsatz juristisch oder moralisch einwandfrei war. Im Fall eines Missbrauchs lassen sich die Master-Keys sperren. Interessanterweise ist diese Funktionalität mit modernen Techniken rein kryptografisch realisierbar.

Diese Grundidee lässt sich vielfältig anpassen. Zum Beispiel könnten mehrere Richter gemeinsam einen kryptografischen Master-Key erzeugen, mit dem nur die verschlüsselte Kommunikation zwischen zwei bestimmten Personen innerhalb eines bestimmten Zeitraumes entschlüsselbar ist. Eine Strafverfolgungsbehörde kann einen solchen Key bei den Richtern beantragen. Die Ideen sind also da, auch erste Realisierungen. Um das Ganze voranzutreiben, fehlen uns derzeit leider noch Ressourcen.

Linux-Magazin: Je mehr online kommuniziert wird, desto drängender wird sicherlich das Problem, die Nachrichten in Echtzeit schützen zu müssen. Welche Rolle spielt da die Performance der Geräte und Verfahren?

Tibor Jager: Wir verfügen heutzutage schon über Verschlüsselungsverfahren, die extrem effizient sind – so effizient, dass kaum eine Beeinträchtigung zu bemerken ist. Um Performanz muss man sich heute also nur noch in extremen Spezialfällen Gedanken machen, zum Beispiel bei den batterielosen RFID-Tags, die nur wenige Cent kosten dürfen. Auch ein zehn Jahre altes Smartphone verfügt über mehr als genug Rechenleistung, sodass der Einsatz von Verschlüsselungsalgorithmen keinen spürbaren Einfluss auf die User Experience hat.

Linux-Magazin: Mit dem kommenden Internet of Things drohen Abermillionen Geräte (Abbildung 1), die untereinander kommunizieren müssen, teils aber über nur geringe Rechenkapazität verfügen, schutzbedürftig zu werden. Hat die Kryptologie dafür die nötigen Methoden bereits parat?

Abbildung 1: Bald drängen Tausende Geräte in die Online-Welt, die alle auf Verschlüsselung angewiesen sind. ©123RF, aimage

Tibor Jager: Ja, die moderne Kryptologie stellt bereits heute faszinierende Techniken bereit, die viele Anwender in der Praxis aber leider noch viel zu wenig benutzen. Nicht nur zur Verschlüsselung, sondern auch, um andere Sicherheitseigenschaften zu erreichen. Zum Beispiel zum Schutz der Privatsphäre von Nutzern, die ja im Kontext von DSGVO wieder stark in den Fokus gerückt ist. Schade ist nur, dass viele Hersteller zu wenig Wert auf Sicherheit und Datenschutz legen.

Linux-Magazin: Eine der Möglichkeiten, bestimmte Informationen zu schützen, ist die Obfuszierung. Wie unverständlich kann man etwa Software damit heute machen?

Tibor Jager: Es gibt einige Lösungen, die von sich behaupten sicher zu sein. Ich kenne aber keine, die mit Methoden der modernen Kryptografie untersucht und für gut befunden wurde.

Wenn eine solche Obfuszierungs-Lösung noch nicht geknackt wurde, liegt das höchstwahrscheinlich daran, dass Kryptografen bislang einfach kein Interesse daran hatten, sie näher zu untersuchen. Ich glaube aktuell nicht daran, dass es heute schon kryptografisch sichere Software-Obfuszierung gibt.

Linux-Magazin: Für das One-Time-Pad ist bewiesen, dass es niemals zu knacken sein kann. Andererseits ist es für die tägliche Verwendung kaum praktikabel. Kann man als Anwender darauf hoffen, noch weitere Verfahren zu finden, die eine ähnlich hohe Sicherheit bieten, aber einfacher anzuwenden wären? Oder ist die Suche danach hoffnungslos?

Tibor Jager: Das One-Time-Pad bietet perfekte Vertraulichkeit, ist aber trotzdem nicht perfekt sicher: Es ist zwar mathematisch unmöglich, die verschlüsselte Nachricht herauszufinden – aber das reicht für viele Anwendungen nicht aus. Im Internet brauchen Sie auch die Sicherheit, dass ein Angreifer nicht in der Lage ist, eine gesendete unbekannte Nachricht zu verändern. Und das ist beim One-Time-Pad leicht möglich.

Aber wir haben heutzutage schon sehr starke Verschlüsselungsverfahren, die diese Nachteile nicht haben und trotzdem in der Praxis eine extrem hohe Sicherheit bieten. Das Problem ist nicht die Verfügbarkeit von sicherer Kryptografie, sondern eher, dass Kryptografie noch zu oft falsch eingesetzt wird.

Zu den üblichen Problemen beim Einsatz gehört, dass der Anwender im übertragenen Sinn versucht, mit dem Schraubendreher einen Nagel in die Wand klopfen. Aber auch subtilere Dinge können schiefgehen, etwa schlechte Zufallszahlen oder Programmierfehler, die auch für Experten nur sehr schwer zu entdecken sind.

Linux-Magazin: Kryptografie spielt auch auf speziellen Gebieten eine Rolle, mit denen dennoch jeder täglich zu tun hat, beispielsweise beim sicheren Bezahlen. Welche Fortschritte gibt es auf diesem Gebiet?

Tibor Jager: Für klassisches elektronisches Payment, etwa mit Kreditkarten, stehen mittlerweile robuste und seit vielen Jahren gut untersuchte Techniken zur Verfügung. Hier hat sich in den letzten Jahren auch nicht viel getan.

Ein innovativeres Thema sind Kryptowährungen und Blockchains. Hier werden die vorhandenen Lösungen ihren Versprechen aber leider noch nicht gerecht. Insbesondere der Energieverbrauch von Währungen wie Bitcoin, die auf Proofs of Work basieren, ist immens und erscheint mir auf Dauer untragbar, wenn wir an unsere Klimaziele denken.

Allein das Bitcoin-Netzwerk verbraucht aktuell mehr als 73 Terawattstunden pro Jahr und übertrifft damit den Energieverbrauch von Österreich. Es wird geschätzt, dass eine Bitcoin-Transaktion ungefähr so viel Energie wie 450000 Visa-Transaktionen benötigt. Auch wenn dezentrale Kryptowährungen wie Bitcoin von der technischen Seite her wirklich interessant sind, scheinen die Nachteile im Praxiseinsatz doch sehr schwerwiegend.

Linux-Magazin: Aktuelle Verschlüsselungsverfahren sind meist deshalb sicher, weil der Aufwand, sie zu brechen, für einen Angreifer zu hoch wäre. Nun zeichnen sich am Horizont Quantencomputer ab, deren Rechenkapazität sich vervielfachen könnte. Welche Verschlüsselungsverfahren wären dann noch sicher?

Tibor Jager: Quantencomputer rechnen nicht unbedingt schneller als klassische Computer, aber völlig anders – nicht mit Bits und Bytes, die klar definierte Zustände wie 0 und 1 haben, sondern mit Qubits, die dank der seltsamen Eigenschaften der Quantenmechanik auch mehrere Zustände zugleich haben können. Das erlaubt es, Algorithmen auszuführen, die auf einem klassischen Computer nicht laufen würden.

Erste Erfolge bei der Konstruktion von Quantencomputern gab es schon, aber die sind eher klein, können also nur auf wenigen Qubits rechnen (unter 100). Falls es irgendwann möglich sein sollte, zuverlässige Quantencomputer mit 10000 Qubits und mehr zu konstruieren, dann hätte dies dramatische Auswirkungen für viele kryptografische Verfahren, die wir heutzutage in der Praxis benutzen. Ob man das jemals schaffen wird, ist zwar umstritten, aber auf jeden Fall sollten wir uns sicherheitshalber darauf gut vorbereiten.

Bei rein symmetrischen Verfahren, wie man sie etwa bei Festplatten-Verschlüsselung einsetzt, ist Sicherheit gegen Quantencomputer-Angriffe noch eher leicht zu erreichen. Hier genügt es – nach aktuellem Stand der Forschung –, die Schlüssellänge zu verdoppeln. Statt AES-128 käme dann AES-256 zum Einsatz, um ungefähr das gleiche Sicherheitsniveau zu erreichen wie gegen klassische Angreifer ohne Quantencomputer.

Bei digitalen Signaturen, Schlüsselaustausch und Public-Key-Verschlüsselung sieht das leider völlig anders aus. Hier lassen sich eigentlich alle Verfahren, die wir heutzutage im Internet nutzen, im Banking und so weiter, brechen. Hier müssen wir dringend Alternativen finden. Das ist ein aktives Forschungsthema, und es gibt eine Reihe von vielversprechenden Kandidaten für sichere Post-Quantum-Verfahren.

Nicht vergessen sollte man jedoch, dass die kryptografische Trickkiste auch heute schon interessante und robuste Techniken bereitstellt, mit denen man sich in vielen Anwendungen bereits jetzt vor Quantencomputer-Angriffen schützen kann. Ich denke da zum Beispiel an das Timestamping von digitalen Signaturen. Wer das richtig macht, kann auch in 30 Jahren noch kryptografisch beweisen, dass eine Signatur schon heute erstellt wurde – in einer Zeit, bevor Quantencomputer eine praktische Bedrohung darstellten. Selbst dann, wenn das Verfahren in 30 Jahren völlig unsicher sein sollte.

Linux-Magazin: Quantencomputer werden auch als Mittel zur Verschlüsselung in der Quantenkryptografie gehandelt. Wie funktioniert das?

Tibor Jager: Für Quantenkryptografie ist noch nicht einmal ein Quantencomputer erforderlich. Die Idee der Quantenkryptografie ist es, sich die seltsamen Eigenschaften der Quantenmechanik zu Nutze zu machen, etwa für einen Schlüsselaustausch. Das geht auch mit klassischen Computern und ein wenig Zusatzhardware.

Einerseits sind diese Techniken hochinteressant, da es möglich ist, einen kryptografischen Schlüssel so auszutauschen, dass es physikalisch unmöglich ist, den Schlüsselaustausch abzuhören. Andererseits sind diese Verfahren bislang nur für Spezialanwendungen praktisch nutzbar, denn sie benötigen eine direkte Sichtverbindung oder ein direktes Lichtwellenkabel ohne Router oder Switches.

In einem Netzwerk, das dem heutigen Internet ähnelt, ist das also nicht einsetzbar. Insofern wird Quantenkryptografie wahrscheinlich vorerst eine Nischenlösung bleiben. Die oben erwähnten Post-Quantum-Verfahren setzen sich da wohl eher durch.