Überwachtes Netz

viele Mathematiker dies durchaus im Sinne von »nicht mit realer Anwendbarkeit beschmutzt«.
    Gründlich irrten sich hier kluge Menschen, Kryptographie ist zur zentralen Technologien der digitalen Welt geworden und eine der wenigen Technologien, bei der Beschleunigung den Schwachen hilft. Die immer schneller werdenden Systeme bevorteilen in mathematisch nachweisbarer Weise den Verschlüsselnden gegen den Angreifer.
    Kryptographie ermöglicht durch Mathematik auf einer kleinerfingernagelgroßen Fläche oder in mit einer handvoll Programmzeilen, Daten sicher selbst gegen eine weltweite Geheimdienstzusammenarbeit zu verschlüsseln. Freie Software ermöglicht dies kosten- und hintertürenfrei.
    Pessimisten meinen, dass Kryptographie die letzte Brandmauer gegen eine umfassende Überwachung darstellen könnte, die allerdings in der Praxis häufig umgangen werden kann. Optimisten glauben, dass Kryptographie zu einer Stärkung des Einzelnen gegenüber den Staaten führt und damit eine wichtige Befreiungstechnologie darstellt.
    Nicht stärkste Kryptographie ist schwach.
    Die geringe Aufgeregtheit in der kryptographischen Forschung nach den Enthüllungen rührt daher, dass man seit jeher nur kosmische Konstanten als Grenze der Mächtigkeit des Angreifers für diskussionswürdig hielt. Konkret rechnet man schon immer mit einem Angreifer, der alle Nachrichten abhören kann und Milliarden Dollar zum Brechen der Verschlüsselung zur Verfügung hat.
    Nach Snowden wissen wir genauer, an welchen Kabelstellen abgehört wird und auf den Cent genau, wie viel Geld für Kryptoangriffe vorhanden ist. Nicht uninteressant, aber wissenschaftlich betrachtet nur eine Fußnote.
    Die »übertriebene Paranoia« der Theoretiker hat sich also mal wieder als die realistischste Einschätzung der praktischen Bedrohungslage erwiesen.
    Nach Snowden ist es sicher, dass kryptographische Verfahren, gegen die akademische Vorbehalte bestanden, wohl auch praktisch gegen mit Milliarden ausgestattete Gegner mehr als problematisch sind.
    Kaputt: RC4, SHA1 und RSA-1024
    Zentrale Sicherheitsbausteine des, eine sicher Web-Kommunikation garantierenden, TLS(SSL)-Protokols sind symmetrische, asymmetrische Verfahren und Hashfunktionen. In allen drei Bereichen müssen höhere Sicherheitsanforderungen gestellt werden.
    Nicht mehr verwendet werden sollte die bei TLS häufig als Standard verwendete RC4-Stromchiffre. RC4 ist ein Geniestreich von Ron Rivest. Es ist unglaublich elegant, schnell, mit wenigen Progammzeilen und sogar mit Spielkarten implementierbar. Die Kryptographieforscher stehen allerdings nicht nur mit ehrlicher Bewunderung vor einem derart schönen Algorithmus, er weckt natürlich auch den Ehrgeiz der Angreifer.
    Das Verfahren ist ganz anders konstruiert als gängige Algorithmen und deshalb können neue Angriffe einen Totalschaden herbeiführen, was bei alten, langweiligen Verfahren sehr unrealistisch erscheint.
    Nach Snowden können wir, insbesondere dank der Informationen zu Tor-Angriffen, davon ausgehen, dass die NSA hier vor wenigen Jahren einen Durchbruch erreichen konnte.
    Ähnlich düster sieht die Lage bei Hashfunktionen aus. Hashfunktionen sind wichtige Bausteine von kryptographischen Systemen, denen bisher relative geringe Aufmerksamkeit gewidmet wurden. Dies ist auch deshalb überraschend, da Schwächen von Hashfunktionen beispielsweise für das Fälschen von Zertifikaten ausgenutzt werden können, selbst wenn die eigentliche Signaturfunktion sicher ist.
    Hier gab es in der öffentlichen Forschung einige dramatische Durchbrüche. Fast alle in Anwendung befindlichen Hashfunktionen stammen von Ron Rivests MD4-Hashfunktion ab. Gegen MD4 gab es schon früh Sicherheitsbedenken, MD5 und SHA ergänzten Operationen zur Erhöhung der Sicherheit. MD4 ist inzwischen mit Bleistift und Papier brechbar. MD5 und SHA sind ebenfalls schon mit überschaubarem Aufwand angreifbar.
    Eine Analyse von Stuxnet ergab, dass die NSA über Techniken zum Angriff auf die MD4-basierte Hashfunktionen-Familie verfügt, die in der öffentlichen Forschung bisher nicht bekannt waren.
    Auch das inzwischen angewendete und bisher noch nicht gebrochene SHA2-Verfahren stammt aus dem Hause der NSA und ist ähnlich konstruiert. Das neue Hashverfahren SHA3 wurde in einem offenen transparenten Wettbewerb ausgewählt und ist bewusst völlig anders konstruiert.
    Im Bereich der Public-Key-Kryptographie halten führende Kryptographen schon seit vielen Jahren RSA mit einer Schlüssellänge von