next up previous contents index
Next: 4. Ein Blick auf's Detail Up: 1. Allgemeines Previous: 2. Überblick

Unterkapitel


   3. Schwachstellen PGPs

Es gibt keine Sicherheit ohne Schwachstellen. Auch PGP ist davon nicht ausgenommen und bietet einige Ansatzpunkte, wie der Schutz umgangen werden könnte. Die wichtigsten, an die Sie immer denken sollten:

Angriff besprochen in
Ihr privater Schlüssel fällt in fremde Hände 5.1, S. [*]
jemand verfälscht öffentliche Schlüssel [*], S. [*]
Sie löschen Ihre Dateien nicht gründlich genug 5.4, S. [*]
Viren und Trojanische Pferde 5.5, S. [*]
unbefugter Zugriff auf Ihren Rechner 5.6, S. [*]
elektromagnetische Abstrahlungen 5.7, S. [*]
Übergriffe auf Multi-User-Systemen 5.8, S. [*]
Überwachung ihres Datenverkehrs 5.9, S. [*]
Kryptanalyse 5.10, S. [*]

Vertrauen in Placebos und Wundermedikamente?

Wenn wir ein Verschlüsselungsprogramm betrachten, stellt sich die Frage: Warum sollte ich diesem Produkt vertrauen? Auch den Quellcode zu untersuchen hilft nicht viel weiter, denn die meisten Menschen kennen sich in den Grundlagen der Kryptographie nicht genug aus, um die Sicherheit zu beurteilen. Und selbst wenn, können sie immer noch nicht sicher sein, daß keine Hintertür eingebaut ist, die sie eventuell übersehen. (Hierzu ist die Besprechung des ARR-"Features" auf Seite [*] interessant.)

  Philip Zimmermann berichtet aus seiner Zeit am College von einem Erlebnis, das ihm klargemacht hat, wozu "Basteleien" in diesem Bereich allenfalls führen. Er erfand ein (seiner Meinung nach geniales) Verschlüsselungssystem. Es funktionierte so, daß ein Zufallszahlengenerator Zahlen ausspuckte, die zu den zu verschlüsselnden Zeichen addiert wurden. Somit wäre eine Häufigkeitsanalyse des entstehenden Textes ausgeschlossen, was ein Knacken des Codes unmöglich machen sollte. Einige Jahre später fand er eben dieses Schema in einigen Einführungswerken zur Kryptographie. Die Freude wurde jedoch schnell getrübt, denn es wurde dort als Beispiel für einen leicht knackbaren Code verwendet[*].

Dieses Beispiel zeigt, wie leicht es ist, einer trügerischen Sicherheit zu verfallen, wenn es um einen neuen Verschlüsselungsalgorithmus geht. Auch wenn die meisten Menschen dies nicht direkt nachvollziehen können, ist es extrem schwer, ein Schema zur Verschlüsselung zu entwickeln, das einem ernstgemeinten und mit entsprechendem Hintergrund durchgeführten Angriff standhält. Auch viele kommerzielle Produkte bieten - aufgrund der verwendeten Rechenvorschriften - keine ernstzunehmende Sicherheit. Gerade in punkto Sicherheit wird sehr viel minderwertige Ware verkauft.

Stellen Sie sich vor, Sie kaufen ein neues Auto, und eine Woche später sehen Sie die Aufzeichnung eines Crash-Tests, in dem die wunderschönen Sicherheitsgurte einfach reißen. Da kann es besser sein, gar keine Sicherheitsgurte zu haben, da Sie sich ansonsten in falscher Sicherheit wiegen. Dasselbe gilt für Software - wenn Sie sich auf schlechte Software verlassen, um die Vertraulichkeit Ihrer Daten zu gewährleisten, können Sie eine extrem böse Überraschung erleben. Oder - noch schlimmer - eventuell bemerken Sie nicht einmal, daß Ihre Daten von Unbefugten gelesen wurden, bis es zu spät ist. War Ihnen übrigens klar, daß Sicherheitsgurte nach jedem Unfall, soätestens aber nach zehn Jahren, gewechselt werden müssen, um Sicherheit zu gewährleisten?

   Aber auch die Verwendung bewährter Algorithmen bietet keine Sicherheit, wenn sie nicht kompetent eingesetzt werden. So empfiehlt beispielsweise die Regierung der USA die Verwendung des Federal Data Encryption Standard, DES[*], allerdings nur für kommerzielle Anwendungen - Informationen unter staatlicher Geheimhaltung dürfen damit nicht verschlüsselt werden. Aber das ist ein anderes Thema. Bei DES gibt es verschiedene Stufen von Sicherheit. Die schwächste, von der die US-Regierung abrät, ist die sogenannte ECB-Verschlüsselung (Electronic Codebook). Besser sind Cipher Feedback (CFB) oder auch Cipher Block Chaining (CBC).

Leider verwenden die meisten kommerziellen Produkte, die auf DES basieren, die ECB-Methode. In Gesprächen mit Autoren solcher Software stellt sich oft heraus, daß sie nie etwas von CBC oder CFB gehört haben, nicht einmal von möglichen Schwachstellen des ECB. Dabei sind die Programme, auf die Sie sich am wenigsten verlassen sollten, immer noch die, bei denen der Programmierer verschweigt, wie die Verschlüsselung funktioniert. Um fair zu bleiben, muß aber betont werden, daß diese Produkte normalerweise nicht von Firmen kommen, die sich auf Kryptographie spezialisiert haben.

Und falls Sie jetzt noch der eingebauten Verschlüsselung von WordPerfect, Lotus 1-2-3, MS Excel, Symphony, Quattro Pro, Paradox oder MS Word vertrauen - wenden Sie sich an die Firma AccessData (87 East 600 South, Orem, Utah 84058, USA, http://www.accessdata.com/), dort können Sie für 158 US-Dollar ein Softwarepaket erhalten, das eben diese Systeme entschlüsselt. Gekauft wird dieses Programm von Leuten, die ihr Paßwort vergessen haben, und von Strafverfolgungsbehörden. Der Autor des Programms, Eric Thompson, sagte übrigens, er habe einige Verzögerungsschleifen eingebaut, damit das Knacken des Paßwortes nicht so einfach aussieht wie es ist. Auch die PKzip-Verschlüsselung ist seiner Aussage nach einfach zu umgehen.

Verschlüsselungssoftware läßt sich mit Medikamenten vergleichen. In beiden Fällen kann die Wirksamkeit von größter Bedeutung sein. Ebenso wie Penizillin sieht man es einer Verschlüsselungssoftware nicht an, ob sie gut arbeitet. Jeder kann feststellen, ob sein Textverarbeitungssystem gute Arbeit leistet[*], aber woran erkennt der durchschnittliche Anwender, ob seine kryptographische Software gut verschlüsselte Dateien liefert? Ein Laie kann den Unterschied zwischen schlecht oder gut verschlüsselten Daten nicht erkennen.

Deshalb gibt es auch so eine Vielzahl schlechter Verschlüsselungsprogramme. Die "Verschlüsselung", die viele Programme quasi nebenbei anbieten, ist im Allgemeinen noch viel schlechter. Bei Verschlüsselungsprogrammen gibt es viel Pfusch. Aber im Gegensatz zu den Leuten, die Patentmedizin verhökern, wissen viele Programmierer offensichtlich nicht einmal, daß sie Quacksalberei betreiben. Diese Programmierer sind oft dennoch fähige Leute, aber die wenigsten haben auch nur ein einziges wissenschaftliches Buch über Kryptographie gelesen. Trotzdem glauben sie, sie könnten gute Verschlüsselungsprogramme schreiben. Und warum auch nicht? Verschlüsselung scheint zunächst einmal einfach machbar zu sein. Und die Programme scheinen auch ganz ordentlich zu arbeiten.

Jeder, der glaubt, er habe ein unknackbares Verschlüsselungsverfahren entwickelt, ist entweder ein unglaublich seltenes Genie, oder er ist naiv und unerfahren. Leider hat noch niemand einen Crash-Test für Verschlüsselungsalgorithmen erfunden - einen Code zu analysieren, ist eine recht zeitaufwendige Sache, die sich nicht automatisieren läßt und die im Allgemeinen erst dann lohnt, wenn ein Verfahren eine gewisse Verbreitung genießt. Aus diesem Dilemma gibt es einen Ausweg, nämlich den, nur analysierte und für gut befundene Verfahren einzusetzen. Glücklicherweise gibt es genügend davon.

  Brian Snow, ein hochrangiger Kryptograph der NSA, eines der US-amerikanischen Geheimdienste, sagte einmal, er würde keinem Verschlüsselungsalgorithmus über den Weg trauen, der von jemandem entwickelt sei, der nicht sehr viel Erfahrung mit dem Knacken von Verschlüsselungen hat. Eine durchaus sinnvolle Einstellung. Im Bereich der kommerziellen Softwareentwicklung scheint es fast niemanden zu geben, auf den dieses Kriterium zutrifft. Snow sieht das ähnlich: "Und das macht unseren Job bei der NSA um einiges einfacher." Gruselige Vorstellung.

      Auch die US-Regierung hat Wundermedizin verbreitet. Nach dem zweiten Weltkrieg verkaufte sie beispielsweise Enigma-Maschinen (die Verschlüsselungsgeräte der deutschen Wehrmacht im zweiten Weltkrieg) an Regierungen von Entwicklungsländern, ohne diesen zu sagen, daß diese Verschlüsselung während des Krieges von polnischen und britischen Mathematikern geknackt worden war[*]. Rivest, Shamir und Adleman haben 1977 den RSA-Algorithmus veröffentlicht, ohne zuvor zu versuchen, ihn zu patentieren, weil sie befürchten mußten, daß die US-Regierung ansonsten versucht hätte, die Veröffentlichung zu verhindern. (Das ist auch der Grund dafür, weshalb RSA nur in den USA patentiert ist. Das US-amerikanische Patentrecht gestattet es Erfindern, auch nach der Veröffentlichung ihrer Resultate einen Patentantrag einzureichen.) Auch die Entwicklung abhörsicherer Telephontechnik für die Allgemeinheit wurde durch die US-Regierung behindert.

Wir möchten dieses Kapitel mit einigen Worten Philip Zimmermanns aus der Anleitung zu PGP 2.6.2 beenden: "Ich bin von der Sicherheit von PGP nicht so überzeugt, wie während meines Studiums von der Sicherheit meines "genialen" Verschlüsselungsverfahrens. Wäre ich von PGP vollkommen überzeugt, wäre das ein schlechtes Zeichen. Aber ich bin ziemlich sicher, daß PGP keine ins Auge springenden Schwachstellen hat. Die Algorithmen, die in PGP verwendet werden, stammen von zivilen Kryptographen mit sehr gutem Ruf, und sie sind eingehend untersucht worden. Selbstverständlich ist der komplette Sourcecode erhältlich, so daß jeder, der programmieren kann (oder eine vertrauenswürdige Bekannte hat, die dazu in der Lage ist), das System durchleuchten kann. Der Quellcode ist über Jahre professionell entwickelt worden. Im übrigen arbeite ich nicht für die NSA. Ich hoffe, daß der Schritt, Vertrauen in PGP zu gewinnen, nicht zu viel Überwindung kostet."


next up previous contents index
Next: 4. Ein Blick auf's Detail Up: 1. Allgemeines Previous: 2. Überblick
Christopher Creutzig