Überwachtes Netz

notwendigen Zufallszahlen nicht zufällig, sondern bekannt waren.
    Im EU-Parlament hat am vergangenen Donnerstag das erste Hearing zum Überwachungsskandal stattgefunden, das nächste ist bereits für kommenden Donnerstag angesetzt.
    Was nämlich bis jetzt über »Edgehill« und »Bullrun« bekannt wurde, ähnelt dem hier schon mehrfach als »Facebook-Überwachungstandard« und »Angriff auf die Blackberrys« beschriebenen Standardentwurf frappierend.
    Dieser Normentwurf stammt aus dem European Telecom Standards Institute und läuft unter dem Titel »Cloud Lawful Interception«, gesetzmäßige Überwachung in der Cloud. Um das auch bei einer verschlüsselten Verbindung zu bewerkstelligen, muss sie angegriffen werden, während beide Endgeräte gerade einen temporären »Session Key« aushandeln.
    »Deterministisch und monoton«
    Die für diesen Vorgang erforderlichen Zufallszahlen sind aber keine, sondern »eine deterministische und monoton ansteigende Quantität, wie ein Zeitstempel oder ein externer Zähler«. So heißt es in einem 2011 bei einer Konferenz der ETSI-Arbeitsgruppe 3GPP SA3LI zur Überwachung der Mobilfunknetze vorgestellten technischen Ansatz.
    Wenn der Netzbetreiber über denselben Generator von Pseudozufallszahlen verfüge wie die jeweilige Client-Anwendung – zum Beispiel ein Blackberry oder ein iPhone – dann sei es auf diese Weise seitens der Strafverfolger möglich, das »random secret« des jeweiligen Benutzers zu rekonstruieren. Damit ist die gesamte Kommunikation im Klartext verfolgbar, ohne dass der Schlüssel geknackt wurde.
    Unterminierte Standards
    Auch in den neuen, von Snowden veröffentlichten Dokumenten, finden sich Hinweise darauf, dass NSA/GCHQ die internationalen Standardisierungsgremien systematisch unterwandert haben, um die Entwicklung von Verschlüsselungssystemen zu unterminieren. Der Sekretär der zitierten Überwachungstruppe des European Telecom Standards Institute gehört der Einheit NTAC des britischen Militärgeheimdienstes GCHQ an.
    Von dort stammt auch eines der ersten ETSI-Diskussionspapiere zum Thema Verschlüsselung, nämlich darüber, mit welcher Methode der Schlüsselaufbau angegriffen wird. Die britische Regierung habe ein ähnliches Schema entwickelt wie das derzeit im ETSI diskutierte, schreibt Ian Cooper, Sekretär von 3GPP SA3LI, in einem Diskussionspapier vom 7. September 2010.
    »Niedrige Latenz«
    In beiden Fällen wird das eigentlich sichere »Multimedia Internet KEYing« (MIKEY) zum Schlüsseltausch kompromittiert. Die britische Variante MIKEY-SAKKE sei der im ETSI diskutierten Methode MIKEY-IBAKE unter anderem durch »niedrige Latenz« überlegen.
    Die beiden hier zitierten PDF-Dokumente enthalten noch eine Reihe weiterer Hinweise und werden deshalb hier zum »Peer-Review« zur Verfügung gestellt. Die »UK-Perspektive« ist tatsächlich die Perspektive des GCHQ.
    Der wichtigste Unterschied dabei ist offenbar, dass die im ETSI lange favorisierte Methode zwar mehr Rechnerkapazitäten braucht, aber zumindest oberflächlich mit rechtsstaatlichen Grundsätzen in Einklang zu bringen ist. Die Verschlüsselung wird erst dann durch eine »Man in the Middle«-Attacke kompromittiert, wenn dazu ein Auftrag ergangen ist, etwa durch die Entscheidung eines ordentlichen Gerichts.
    Durchbruch, aber »extrem fragil«
    Die von Cooper gepriesene überlegen niedrige Latenz der britischen Methode aber beruht ganz offensichtlich darauf, dass alle Schlüssel sofort kompromittiert wurden, sobald sie erstmals im Netzwerk aufgetaucht sind und sofort »auf Halde« gespeichert werden.
    Das GCHQ hatte diese Methode also Ende 2010 bereits operativ im Einsatz, zeitlich passt das genau zu den vom Guardian veröffentlichten Powerpoint-Folien, in denen der ominöse »Durchbruch bei der Entschlüsselung« allerdings technisch nicht näher ausgeführt wird.
    Dafür finden sich allerdings Hinweise darauf, dass »Bullrun« als »extrem fragil« angesehen werden müsse, allein das Bekanntwerden des Programms könne schon genügen, dass »diese Möglichkeit schlagartig verloren ginge«. GCHQ und NSA sind für diese Programme nämlich vollständig auf die Komplizenschaft des Netzbetreibers angewiesen. Ohne die aktive Mitarbeit der Telekoms bzw. der Mobilfunker würde keines der zitierten, komplexen Überwachungsschemata funktionieren.
    Aufwand
    Der enorme Aufwand wiederum wäre nur dann nicht nötig, hätte die NSA etwa den als sicher geltenden, globalen Verschlüsselungsstandard AES 256