Eine Gruppe internationaler Fachleute hat die US-Sicherheitsbehörde NSA in der Diskussion um zukünftige Verschlüsselungs-Standards zum (zumindest teilweisen) Einlenken gezwungen. Die von der NSA vorgeschlagenen Krypto-Standards wurden abgelehnt. Die Expertinnen und Experten fürchten, die NSA habe die Standards nicht ihrer technischen Qualität wegen vorgeschlagen, sondern weil sie womöglich die Mittel habe, diese Verschlüsselung zu brechen. Der Vorfall zeigt, wohin das unehrliche Verhalten von Regierungsbehörden und ihr verantwortungsloser Umgang mit dem Thema IT-Sicherheit führen.

„Simon“ und „Speck“ ernten Misstrauen

Eine Delegation von US-Verschlüsselungsfachleuten, darunter einige Angehörige der Behörde NSA oder ihrer Zulieferer-Firmen, setzt sich dafür ein, dass die „International Organization of Standards“ zwei neue Verschlüsselungs-Algorithmen mit den Codenamen „Simon“ und „Speck“ zum Standard erhebt. Diese Bemühungen stoßen jedoch in der Fachwelt auf erheblichen Widerstand. Grund dafür ist das Misstrauen des zuständigen Experten-Gremiums gegenüber der NSA.

Wie die Nachrichtenagentur Reuters unter Berufung auf E-Mails und Interviews berichtet, gehören dem fraglichen Gremium Fachleute unter anderem aus Deutschland, Japan und Israel an. Obwohl alle diese Länder grundsätzlich mit den USA verbündet sind, hegen rund ein Dutzend der beteiligten Kryptographie-Expertinnen und -Experten offenbar einiges Misstrauen gegen die NSA – was kaum verwundert angesichts der spätestens seit Edward Snowdens NSA-Leak bekannten Angewohnheit der USA, auch Verbündete auszuspähen. Die Fachleute befürchten, die NSA habe neue Verschlüsselungs-Werkzeuge womöglich nicht aufgrund ihres technischen Potentials vorgeschlagen, sondern weil sie wisse, wie diese zu umgehen seien.

Die NSA lenkt (teilweise) ein

Die fragliche Diskussion wird Reuters zufolge schon seit drei Jahren zwischen Fachleuten geführt. Da die Verhandlungen aber in geschlossenen Expertengesprächen stattfinden, wurde bislang nie öffentlich darüber berichtet.

Die NSA hat in der Diskussion ein Stück weit eingelenkt. Sie hat sich bereit erklärt, alle schwächeren Versionen der Verschlüsselungs-Werkzeuge aufzugeben. Lediglich die stärksten – und somit potentiell für Hacks am wenigsten anfälligen – Varianten sollen als neue Standards gefördert werden.

Krypto-Hintertüren? Für die NSA kein Neuland

Die Fachleute berufen sich in der Begründung ihrer misstrauischen Haltung vor allem auf die von Edward Snowden geleakten NSA-Interna. Diese belegen, dass die NSA die Umgehung und Schwächung von Sicherheitsstandards schon seit Jahren plant. Demnach beantragten NSA-Beamte unter anderem Finanzmittel, um „Schwachstellen in kommerzielle Verschlüsselungssysteme einzubringen“.

Die NSA hat entsprechende Absichten in Bezug auf „Simon“ und „Speck“ dementiert. Man wolle, dass kommerzielle Unternehmen auch die Regierung mit sicherer Software beliefern könnten, weswegen man sich für bessere Standards einsetze, und man gehe fest davon aus, dass „Simon“ und „Speck“ sicher seien, so die Behörde. Ob das allerdings die Zweifelnden überzeugen kann, bleibt mehr als fraglich.

Berechtigtes Misstrauen

In einer Zeit, in der Hintertüren in Verschlüsselungs-Standards weithin diskutiert werden, ist das Misstrauen der Fachleute gegenüber einer Behörde, die sich ohne konkrete Notwendigkeit für neue Standards in diesem Bereich einsetzt, gut zu verstehen. Gerade die USA haben sich in den letzten Jahren durch extrem unehrliches Verhalten in diesem Bereich ausgezeichnet, sei es durch das Geheimhalten von Software-Schwachstellen oder eben den Versuch, Verschlüsselungsstandards zu schwächen.

Dieses Verhalten hat schon das Vertrauen von Geschäftspartnerinnen und -partnern sowie Verbraucherinnen und Verbrauchern gegenüber US-Unternehmen, die häufig, freiwillig oder gezwungenermaßen, bei derartigen Aktionen mitwirken, nachhaltig geschwächt. Es verwundert nicht, dass dieses Misstrauen nun auch die US-Behörden selbst trifft.

Das geringere Übel

Das Verhalten der Expertinnen und Experten, die keinen von NSA-Beamten befürworteten Krypto-Standard unterstützen wollen, ist verständlich und klug. Allzu oft haben diese Behörde und ihre Verbündeten versucht, auf Kosten der allgemeinen IT-Sicherheit Möglichkeiten für Kontrolle und Spionage zu schaffen.

Zwar wäre es wünschenswert, dass die Behörden demokratischer Länder eine starke Verschlüsselung fördern. Solange ihnen jedoch bei diesen Bemühungen derart bedenkliche Hintergedanken unterstellt werden müssen, ist es nur recht und billig, ihre Beiträge mit Skepsis zu betrachten.

Letztendlich profitieren vom Verhalten der NSA so oder so nur IT-Kriminelle, sei es, weil Hintertüren vorhanden sind, die auch Kriminelle ausnutzen können, oder weil aufgrund der Tatsache, dass der NSA nicht vertraut werden kann, auf die Einführung eigentlich sinnvoller Neuerungen verzichtet wird. All das belegt nur aufs Neue, wie destruktiv die Geheimdienste und ihre Arbeitsweise für die freie Wissensgesellschaft sind. Das jedoch ist ein langfristiges Problem. Kurzfristig bleibt nur, sich so zu verhalten, wie es die internationalen Expertinnen und Experten gerade tun, und die Gelegenheiten für die Agentinnen und Agenten, Schaden anzurichten, gering zu halten. Verschlüsselung ist eines der wichtigsten Werkzeuge zur digitalen Selbstverteidigung. Hintertüren in Krypto-Werkzeugen sind dementsprechend gefährlich und auf jeden Fall zu vermeiden.

---

Image (adapted) „Security“ by pixelcreatures (CC0 Public Domain)

---

Artikel per E-Mail verschicken
Schlagwörter: Experten, IT, IT-Kriminelle, Krypto-Hintertüren, Krypto-Standards, Misstrauen, NSA, NSA-Leak, Sicherheitsbehörde, software, USA, Verschlüsselung, Verschlüsselung-Standards