initiativ

periodika

Archiv

adressbuch

kampagnen

suche

aktuell

Online seit:	Mon Jun 11 11:45:12 2001

Inhalt

Der kleine Abhörratgeber

PCs, Bildschirme und Kabel

Computernetze und elektronische Post

Datenverschleierung

Der Rest des Buches beschäftigt sich nun größtenteils mit den verschiedenen Methoden der Informationsverschleierung. In aller Regel müssen für die Datenübermittlung ja Kanäle benutzt werden, die auch unerwünschten Schnüfflern offen stehen, bzw. die oft sehr einfach zu knakken sind. Können Nachrichten leicht aufgefangen werden, liegt es auf der Hand, den Informationsaustausch für ungebetene Gäste unverständlich zu machen. Im folgenden werden wir traditionelle wie moderne Möglichkeiten der Text- und Sprachverschleierung beschreiben und deren Zuverlässigkeit behandeln. Zunächst erklären wir die klassischen Methoden, weil auf deren Prinzipien auch die moderneren, digitalisierten Varianten basieren.

Ältere Geheimschriften

Geschriebene Nachrichten zu kodieren, ist ein jahrhundertealtes Verfahren. Schon Julius Cäsar vertraute seinen Boten nicht, über die er seine Anweisungen und Botschaften den verschiedenen Adressaten zukommen ließ. Deshalb veränderte er in der Nachricht jedes »a« in ein »d«, jedes »b« in ein »e« usw. Gelangte er an das Ende des Alphabets, so begann er einfach wieder von vorn. Nur diejenigen, die diese Regel, »gehe im Alphabet drei Stellen weiter«, kannten, waren in der Lage seine Nachrichten zu verstehen. Cäsar benutzte vermutlich immer eine Austausch-Regel, wechselte jedoch die Anzahl der Stellen, die weitergeschoben werden mußten. Die von ihm angewandte Regel würde heute als »Algorithmus« bezeichnet werden, die Anzahl der zu versetzenden Stellen wäre der Schlüssel. Der Originaltext hieße heute »Klartext«, die bearbeitete Nachricht wäre ein »kodierter« Text. Kodieren ist das Umsetzen der tatsächlichen Nachricht in eine verschlüsselte, die dann entsprechend wieder »dekodiert«, entschlüsselt werden muß. Verschleierungsmethoden heißen Kryptosysteme. Es gibt Kryptosysteme für Text und auch für Sprache, die sich Kryptographen ausdenken. Krypto-Analytiker sind ihrerseits wieder diejenigen, die sich darauf spezialisiert haben, den Code zu knacken.

Cäsars Methode ist ein Beispiel des Substituierungssystems: Nicht die Reihenfolge der Buchstaben in seiner Nachricht wurde verändert, sondern die Buchstaben selbst. Bei anderen Methoden werden sogenannte Permutationen angewendet, das heißt, daß nicht die Buchstaben selbst, sondern deren Reihenfolge geändert wurden.

Bereits am Ende des 19ten Jahrhunderts wurde die Tabellen- oder Scheibenmethode erfunden. Bei dieser Idee kamen schnell auch spezielle Chiffrier- oder Entschlüsselungsmaschinen zur Anwendung. Die Buchstaben des Alphabets wurden, willkürlich (zufällig) gemischt, auf den Rand einer runden Scheibe geschrieben. Danach wurde noch eine Reihe solcher Scheiben hergestellt, bei denen das Alphabet bei jeder Scheibe in einer anderen Form durcheinander gebracht worden war. So entstanden verschiedene Scheiben mit jeweils unterschiedlichen Tabellen.

Abbildung 9.1: Chiffriermaschine

Diese Scheiben wurden in der vereinbarten Reihenfolge, dem Anfangsstand, nebeneinander auf eine Achse geschoben, um die sie sich drehen konnten. Die Nachricht wurde erstellt, indem die verschiedenen Scheiben gedreht wurden. Der verschlüsselte Text kam zustande, indem jede Scheibe in einer bestimmten Häufigkeit in eine vereinbarte Richtung gedreht wurde (Schlüssel). An der Stelle, an der erst der Klartext stand, befand sich nun der chiffrierte Text. Bei längeren Nachrichten mußte dieses Verfahren selbstverständlich wiederholt werden. Zu diesem Zweck wurde der Klartext in Blöcke geteilt, die so groß waren wie die Anzahl Scheiben der Maschine. Je Buchstabenblock wurde dann dieselbe Drehung angewendet. Heutzutage würde dies »Blockverschlüsselung« heißen. Die Entschlüsselung erfolgte in der umgekehrten Reihenfolge, Sender und Empfänger mußten also über dieselbe Maschine verfügen.

Im Zweiten Weltkrieg benutzten die Deutschen einen auf diesem Grundprinzip basierenden Apparat mit fünf Scheiben, die Enigma. Sie änderten regelmäßig die Schlüssel. Für die Alliierten war es äußerst schwierig, die Nachrichten zu entschlüsseln, bis sie eines Tages in den Besitz eines Enigma-Apparats und des (möglichen) Anfangsstands kamen. Mit Hilfe eines Computers, der damals unter größter Geheimhaltung zum Knacken feindlicher Codes entwickelt worden war, konnten alle möglichen Schlüssel innerhalb relativ kurzer Zeit ausprobiert werden. Nach dem Krieg verkauften die Amerikaner »Dritte-Welt«-Ländern Enigma-Apparate und »vergaßen« dabei zu erwähnen, daß das System bereits geknackt worden war. Bei der Enigma war der Besitz des Geräts, und damit die Kenntnis des Algorithmus', zum Entschlüsseln des Codes von großer Bedeutung. Gegenwärtig ist die Geheimhaltung eines Algorithmus sehr viel weniger wichtig. Mathematiker haben bewiesen, daß Kryptosysteme so anzufertigen sind, daß das Kennen des Algorithmus oder der Besitz des Kryptoapparats nicht dazu führen muß, daß das System geknackt wird.

Eine weitere Verschlüsselungsmethode aus der Zeit von vor dem Computer ist wahrscheinlich osteuropäischer Herkunft. Bei dieser Methode werden Buchstaben des Klartexts mit Zahlen ausgetauscht. Danach werden die Zahlen einer mathematischen Bearbeitung unterworfen. Diese Methode könnte noch bei Spionen in Benutzung sein, die ihren Computer verloren haben.

Die Spionin und ihre Chefin besitzen ein identisches Heft in Streichholzschachtelgröße. Auf dem Umschlag des Heftes stehen die Buchstaben des Alphabets und noch ein paar Zeichen, hinter denen eine Zahl steht, mit der sie ausgetauscht werden müssen. Im Rest des Hefts, das einen langen Schlüssel darstellt, stehen lediglich fünfstellige Zahlenreihen.

Abbildung 9.2: Codebuch

Wenn die Spionin die Nachricht: »with love« chiffriert, wandelt sie erst mit Hilfe des Umschlags des Hefts »with love« in Zahlen um, zum Beispiel w=8, i=7, t=22, h=16 usw. Das Ergebnis gruppiert sie in Fünferreihen, die letzte Reihe ergänzt sie nötigenfalls mit Nullen.

w	i	t	h	l	o	v	e
8	7	22	16	13	27	19	9

Das ergibt also: 87221 61327 19900

Danach wählt die Spionin aus dem Buch eine Seite. Die erste Zeile beginnt zum Beispiel mit: 95342 53308 34160.

Die Zahlen schreibt sie unter ihre »Zahlennachricht«:

VERSCHLÜSSELN	ENTSCHLÜSSELN
87221 61327 19900 »with love«	72563 14625 43060 Code
95342 53308 34160 Schlüssel	95342 53308 34160 Schlüssel
72563 14625 43060 Code	87221 61327 19900 »with love«

Die beiden Reihen addiert sie, ohne die Zehnerstellen zu übernehmen, also so, daß 8+9=7 ergibt und nicht 17, 5+7=2 und nicht 12 usw.^9.1 Wenn sie sich davon vergewissert hat, daß sie sich nicht verrechnet hat, schickt sie das Ergebnis ihrer Chefin, die, wie gesagt, genau dasselbe Heft besitzt. Die verwendete Schlüsselseite wird nach Verwendung vernichtet.

Die Entschlüsselung erfolgt nach dem umgekehrten Verfahren. Anstatt die Zahlen nun zu addieren, wird der Schlüssel vom Code substrahiert. Sollte das Ergebnis negativ sein, wie bei 7-9, so verfährt die Cheffin so, als ob dort 17-9 stehen würde. So erhält sie »with love« in Zahlen, die sie mit Hilfe des »Umschlags« wieder in die ursprüngliche Nachricht umsetzen kann.^9.2

In Wirklichkeit war die ganze Operation noch komplizierter: Sicherheitshalber wurde die kodierte Nachricht mit unsichtbarer Tinte auf den Brief geschrieben und man kritzelte danach darüber irgendeinen nichtssagenden Text.

Beachtenswert ist, daß bei dieser Methode je Buchstabe und nicht wie bei der Enigma je Buchstabenblock eine bestimmte Bearbeitung erfolgte. Dieses Verfahren würde nun Stromverschlüsselung genannt werden. Auch ist der verschlüsselte Text länger als der Klartext, während er bei der Enigma genau dieselbe Größe besitzt.

Es wäre möglicherweise nicht einmal so schwer, dieses System zu knacken, wenn die Spionin eine bestimmte Seite, also den Schlüssel, nicht nur einmal verwenden würde. Methoden, bei denen der Schlüssel nach Benutzung aufgegessen, verbrannt oder auf eine andere Art und Weise vernichtet wird, gehören zur »one-time-code-pad«-Kategorie. Die Sicherheit des Systems beruht nicht nur auf der einmaligen Benutzung des Schlüssels. Von essentieller Wichtigkeit ist auch die Tatsache, daß der Schlüssel im voraus nicht einkalkuliert werden kann. Dies funktioniert lediglich auf der Grundlage, daß aus ein paar Zahlen des Schlüssels keine Schlüsse hinsichtlich des Rests der Zahlen des Schlüssels gezogen werden können. In solch einem Falle heißt so ein Schlüssel »random« (zufällig). In der Praxis ist das Zustandebringen eines zufälligen Schlüssels eine äußerst komplizierte Angelegenheit.

Digitale Verschleierung

Mit dem Auftauchen des Computers haben sich die Möglichkeiten von Code-Knackern vergrößert, aber auch die der verschlüsselnden Personen sind nahezu grenzenlos geworden. Nicht nur die Rechenkapazität des Computers, sondern auch die Tatsache, daß er einen Text in Einsen und Nullen speichert, Bits genannt, erweitert die Möglichkeiten (zum Beispiel A=1000001). Code-Knacker können bei ihren Bemühungen nun weniger sprachspezifische Methoden benutzen. Auch neue mathematische Erkenntnisse führten dazu, daß immer komplexere Algorithmen in Computerprogramme (Software) oder elektronische Schaltungen (Hardware/Chips) »eingebaut« werden konnten. Substituierungen, Permutationen, Tabellen und mathematische Bearbeitungen kommen in unterschiedlichen Kombinationen in den derzeit zu unterscheidenden Verschlüsselungsprogrammen vor.

Die modernen digitalisierten Kryptosysteme sind in diverse Verschlüsselungsmethoden einzuteilen. Es gibt Block- und Stromverschlüsselungen, mit denen gegenwärtig die Bearbeitung je »Block bits« oder »je Bit« gemeint ist. Methoden also, bei denen ein Originalbit in einen anderen Bit umgewandelt wird, und Methoden, bei denen der Klartext und der verschlüsselte Text nicht genauso lang sind. Bei manchen Kryptosystemen wird der Schlüssel mit Hilfe einer bestimmten Methode aus dem Klartext abgeleitet, bei anderen wird er unabhängig von diesem hergestellt. Es gibt Systeme, bei denen der Schlüssel nur einmal benutzt wird und Systeme, die einen identischen Schlüssel mehrmals verwenden.

Ferner kann ein Unterschied zwischen den erwähnten herkömmlichen Verschlüsselungsmethoden, mit nur geheimen Schlüsseln, und einem völlig anderen Konzept, das die Welt seit Mitte der siebziger erobert, und zwar »public key« (öffentlicher Schlüssel), gemacht werden. Wir werden uns diesem Thema später noch einmal widmen. Und um es alles noch komplizierter zu machen, kann gesagt werden, daß in der Praxis allerlei Kombinationen von Kryptoprinzipien verwendet werden.

Außer der Einteilung hinsichtlich der verwendeten Technik, auf der Kryptosysteme basieren, können sie in bezug auf Zuverlässigkeit, Benutzerfreundlichkeit, die Computerzeit, die sie in Anspruch nehmen, den Preis usw. beurteilt werden. Ohne den Anspruch erheben zu wollen, daß wir alles umfassend behandeln können, werden wir nun die Qualität einer Reihe einfach anzuschaffender Systeme unter die Lupe nehmen. Eine gewisse Relativierung ist jedoch angemessen: Was heute sicher als sicher gilt, braucht das morgen nicht mehr zu sein.

»One-way-code-pad«-Stromverschlüsselung

Als nicht zu knackende konventionelle Kryptosystemen gelten die Stromverschlüsselungssysteme, die über einen Schlüssel verfügen, der genügend zufällige Eigenschaften besitzt, mindestens genauso lang wie die Originalnachricht ist und darüber hinaus einmalig benutzt wird. Wir werden diese sogenannten »random«-Schlüssel nun unter die Lupe nehmen. Wir gehen dabei von der Tatsache aus, daß Krypto-Experten in der Regel über die Rezepte (in Hardware- oder Softwareform) verfügen, mit denen der Schlüssel hergestellt wird. Trotzdem soll es unmöglich sein, den gesamten Schlüssel zu bestimmen, auch nicht, wenn durch eine Panne Teile des Schlüssels bekannt wurden. Es geht also um die Frage, wie ein solcher »random«-Schlüssel angefertigt wird.

Das Rauschen eines UKW-Radios, die Strahlung der Sonne und ein Lottoergebnis beispielsweise sind zufälliger Art, weil sie keiner Formel unterliegen. Auch bestimmte elektronische Bestandteile, wie Dioden und Transistoren, können ein willkürliches Rauschen erzeugen. Solche Komponenten werden aus diesem Grunde denn auch bei manchen Hardware-Schlüsselerzeugern verwendet. Eine andere Methode zur Anfertigung hardwaremäßiger Schlüssel ist die Verwendung sogenannter Schubregister, die besonders in Sprachverschleierungsgeräten benutzt werden. Eine richtige »random«-Wirkung ist damit allerdings niemals zu erzielen.

In Softwarerezepten zum Erzeugen eines Schlüssels kann am besten die menschliche Unberechenbarkeit als willkürliche Quelle benutzt werden.

Denkbar wäre in diesem Zusammenhang zum Beispiel der Moment, an dem jemand am Computer ein bestimmte Handlung verrichtet (Computeruhr), an die Tasten auf der Tastatur, die jemand wählt, an den Zeitraum, der zwischen unterschiedlichen Tastenanschlägen liegt u.ä. Je mehr unvorhersehbare Momente, desto besser. Auch mit dieser Methode bleibt es jedoch schwer, eine völlige »random«-Wirkung zu erzielen.

Es wäre jedoch falsch, sich auf Programme zu verlassen, die zur Erzeugung eines Schlüssels nur Faktoren benutzten, die zwar sehr undurchschaubar oder kompliziert erscheinen, aber tatsächlich laut einer Reihe ziemlich einfacher Regeln funktionieren, wie die Zeit, die ein Computer benötigt, um eine bestimmte Berechnung auszuführen oder eine Datei auf der Festplatte zu speichern.

Die Unvorhersehbarkeit des Schlüssels ist auf jeden Fall für die Sicherheit einer Methode von großer Bedeutung. Um einen verschlüsselten Text zu erhalten, genügt die sogenannte »XOR«-Bitoperation^9.3, die bei vielen Verschlüsselungsmethoden Anwendung findet. Das XOR-Prinzip bedeutet, daß ein Bit aus der Nachricht mit dem entsprechenden Bit aus dem Schlüssel verglichen wird. Weichen die Bits voneinander ab, dann wird in den verschlüsselten Text an dieselbe Stelle eine »1« gesetzt. Sind sie gleich, so kommt in die kodierte Nachricht eine »0«. Mit derselben Bitoperation erhält man auch wieder die ursprüngliche Nachricht. Zum Beispiel:

VERSCHLÜSSELN (XOR)	ENTSCHLÜSSELN (XOR)
1101011 Klartext	1001010 Verschlüsselter Text
0100001 Schlüssel	0100001 Schlüssel
1001010 verschlüsselter Text	1101011 Klartext

Ist der Schlüssel zufällig genug, eignet sich diese simple Operation tatsächlich zur Verschlüsselung.^9.4 Das System ist sicher, weil Code-Knacker nicht viel mehr anstellen können, als alle möglichen Schlüssel auszuprobieren. Die Anzahl vorstellbarer möglicher Schlüssel ist natürlich fast unendlich groß, infolgedessen benötigt sogar ein leistungsstarker Computer der gegenwärtigen Generation fast endlose Berechnungen. Ein sicheres System also, aber durchaus mit einer Menge lästiger Nachteile.

Das Verschlüsseln und Senden großer Dateien von der Festplatte wird relativ viel Zeit beanspruchen. Das ist natürlich äußerst unangenehm, wenn es häufiger gemacht werden muß. Darüber hinaus wird zur Kommunikation je Person immer ein anderer Schlüssel benutzt, während möglicherweise mit vielen Leuten kommuniziert wird. In diesem Falle muß ein ganzer Stapel Disketten vor unbefugtem Zugriff geschützt werden. Der Schlüssel muß dabei erst auf eine sichere Art und Weise ausgetauscht werden. Für Regierungen und finanzkräftige Organisationen ist dies wahrscheinlich kein großes Problem, aber für uns? Noch unangenehmer wird es, wenn irgendetwas mit der Kommunikation schief geht. Wenn nur ein einziges Bit abhanden kommt, so muß der »Klartext« erneut kodiert und geschickt werden.

Kurzum, solche Systeme sind nicht gerade sehr benutzerfreundlich. In manchen Situationen sind solche Unannehmlichkeiten vielleicht in Kauf zu nehmen. So benutzte in El Salvador die Widerstandsbewegung FMLN ein solches System, ebenso wie auch diverse andere lateinamerikanische Guerillagruppen.

»One-way-code-pad«-Stromverschlüsselung: »digital random«

»Digital random« besteht aus Software und einem Hardware-Schlüsselerzeuger (110-250V). Die Software eignet sich lediglich für DOS-Geräte. Der Schlüsselerzeuger ist ein Kasten mit elektronischen Schaltungen, der an den Computer gekoppelt werden kann. Das Prinzip des Schlüsselerzeugers basiert auf dem Rauschen, das mit Hilfe einer Zener-Diode zu erzeugen ist. Dieses Rauschen wird verstärkt und digitalisiert. So werden einzigartige Reihen willkürlicher Bits hergestellt. Der Erzeuger ist so entworfen worden, daß er gegen Lichtnetz- und andere Störungen unempfindlich ist. Der Bitstrom aus dem Erzeuger wird über ein Softwareprogramm gesteuert. Es ist möglich, das Ergebnis hinsichtlich Zufälligkeit und, in verschlüsselungstechnischer Hinsicht, schwacher »random«-Reihen, das heißt mit einer ungleichmäßigen Verteilung des Spektrums, zu kontrollieren (für ersteres Run-Test und Chi-Quadrattest und letzteres die Spektralanalyse). Die Herstellung von Schlüsseln beschäftigt einen Computer dann übrigens stundenlang. Das Verschlüsselungsprogramm gründet sich auf der XOR-Operation, die wir oben erläutert haben. Selbiges Programm entfernt nach dem Senden einer Nachricht automatisch den verwendeten Teil des Schlüssels. Nach unserem Wissensstand sind mit Hilfe dieses Systems kodierte Nachrichten noch nie in die falschen Hände geraten. Kosten: etwa 1000 DM für Software, Erzeuger, Kabel usw., Informationen sind über Backslash erhältlich.

Blockverschlüsselung: DES

Zur dubiosen Kategorie zählt unserer Ansicht nach die Standard-DES-Verschlüsselung. DES ist die Abkürzung für »Data Encryption Standard«, die als Chip geliefert wird und auch als Softwareprogramm erhältich ist (z.B. pc-DES). DES wurde in den siebziger Jahren von IBM entwickelt. Laut Gerüchten zwang die »National Security Agency« (NSA) den Betrieb, das System absichtlich mit Schwachstellen auszurüsten. Die NSA ist der US-amerikanische militärische Abschirmdienst und wurde 1952 eingerichtet und ist als einer der wichtigsten Abhör- und Verschlüsselungs- bzw. Entschlüsselungsdienste der Welt anzusehen. Allein schon für das Abfangen internationaler Kommunikation soll der Dienst jährlich etwa 30 Milliarden Dollar ausgeben.

1971 wurde DES in den USA zum Standard hochgejubelt. Genehmigt von einer Regierung, die ihre Geheimnisse übrigens nicht DES anvertraut! Augenblicklich ist dieser Algorithmus im kommerziellen Bereich zur Sicherung der Datenkommunikationen die (noch) am meisten benutzte Methode. Elektronische Briefe, gespeicherte Daten und Sprache können mit DES verschleiert werden.

DES ist ein zur Ver- und Entschleierung von Blöcken von 64 Bit entworfenes Blockverschlüsselungssystem. Der verwendete Schlüssel ist ebenfalls 64 Bit lang, es werden jedoch lediglich 56 Bit wirklich benutzt.^9.5 Tatsächlich besteht der Algorithmus aus einer Aneinanderreihung unterschiedlicher Bearbeitungen: in den meisten Fällen auf Tabellen basierende Permutationen und Substituierungen. Für die zu unterscheidenden Bearbeitungen werden meistens wechselnde Schlüssel verwendet, die aus einem Hauptschlüssel abgeleitet sind.

Die Entwurfskriterien, auf der sich die diversen Schritte bei DES gründen, sind geheim. Die Funktion ist lediglich in Form wenig übersichtlicher Tabellen freigegeben worden. Dadurch ist es schwer, herauszufinden, von welchen analytischen oder mathematischen Funktionen die diversen Verarbeitungsphasen festgelegt werden. Wissenschaftler haben natürlich bereits allerlei Versuche unternommen, DES auseinanderzunehmen, hatten jedoch nur für einzelne Bestandteile des Algorithmus Erfolg. Viele schließen jedoch nicht aus, daß es doch noch eine »Hintertür« gibt, die es ermöglicht, aus dem verschlüsselten Text den Klartext abzuleiten.

Exkurs: Der DES Algorithmus und DES-»modes«

Das DES-System kann auf vier verschiedene Arten und Weisen (»modes«) funktionieren.

Die simpelste Methode (ECB = »electronic code book«) läuft darauf hinaus, daß der DES-Algorithmus für jeweils 64 Bit Klartext benutzt wird, dabei besteht keinerlei Zusammenhang mit den vorherigen Blöcken. Dies ist die schwächste Methode. Bei einer weiteren Möglichkeit (CBS = »cipher block chaining«) erfolgt, bevor die DES-Verschlüsselung beginnt, bei jedem folgenden Block erst mit dem vorherigen bereits verschlüsselten Block eine XOR-Operation (eine sogenannte modulo 2 Addition). Der erste Block wird um modulo 2 mit einem zufälligen Schlüssel, initialer Vektor genannt, addiert. Solch ein initialer Vektor ist auch für die dritte Methode (CFB = »cipher feedback«) erforderlich. Jetzt wird es jedoch noch ein wenig komplizierter: Die Eingabe für DES besteht nicht einfach aus einem Block mit 64 Bit Klartext oder »geXORdem« Text wie bei den oben beschriebenen Möglichkeiten. Es wird zwar ein Block aus 64 Bit eingegeben, dieser setzt sich nun jedoch völlig anders zusammen. Zur Erläuterung wählen wir als Beispiel für die Länge der Bitreihen, mit denen gearbeitet wird, 10, es hätte allerdings jede andere Zahl zwischen 1 und 64 sein können. Außerdem setzen wir voraus, daß der initiale Vektor auch 10 Bit lang ist, was nicht unbedingt so sein muß.

Der erste DES-Eingabeblock besteht aus (64-10) Nullen und 10 Bit initialem Vektor (IV). Von dem Ergebnis nach der DES-Bearbeitung werden die an der linken Seite stehenden 10 Bit genommen und um modulo 2 zu den ersten 10 Bit Klartext addiert (T1): Damit erhalten wir das erste Stück verschlüsselten Text von 10 Bit (C1). Der zweite DES-Eingabebefehl besteht aus (64-10-10) Nullen, 10 Bit IV und 10 Bit C1. Von dem Ergebnis nach der DES-Bearbeitung werden wiederum die ersten 10 Bit genommen und um modulo 2 zu den zweiten 10 Bit Klartext addiert (T2). Der dritte Eingabeblock besteht aus (64-10-10-10) Nullen, 10 Bit IV, 10 Bit C1 und 10 Bit C2. So geht das immer weiter. Im weiteren Verlauf der Bearbeitung werden immer die Bits an der linken Seite, also hintereinander die IV, C1 usw., aus dem Eingabeblock verschwinden, da mit immer mehr Blöcken mit 64 Bit gearbeitet wird. Wenn wir die »10« mit einer zufälligen Zahl »k« austauschen und kDES bedeutet, daß von der Eingabe der DES-Operation lediglich die ersten k-Bits genommen werden, so sieht das obenstehende als Formel folgendermaßen aus:

C1=T1 XOR kDES (0,IV)

C2=T2 XOR kDES (0,IV,C1)

C3=T3 XOR kDES (0,IV,C1,C2) usw.

Im OFB-»mode« (Output Feedback) werden auch k-Bit-Blöcke und der initiale Vektor zur Eingabe für DES benutzt. Der DES-Algorithmus wird in dem Falle jedoch nur dafür angewandt, um pseudozufällige Bitreihen zu erzeugen, die modulo 2 mit dem Klartext addiert werden und so den verschlüsselten Text ergeben. Daraus ergibt sich folgende Formel:

C1=T1 XOR kDES (0,IV) = T1 XOR Q1

C2=T2 XOR kDES (0,IV,C1) = T2 XOR Q2

C3=T3 XOR kDES (0,IV,C1,C2) = T3 XOR Q3 usw.

Trotz aller Möglichkeiten von DES kann angesichts der gegenwärtigen technischen Entwicklungen behauptet werden, daß die Schlüssellänge, nämlich 56 Bit, beim Standard-DES-Verfahren zu klein (geworden) ist. »Es ist möglich, mit einer Million Dollar ein Gerät zu bauen, das innerhalb von sieben Stunden jeden DES-Schlüssel finden kann. Das heißt, daß das Gerät durchschnittlich alle dreieinhalb Stunden eine DES-Verschlüsselung brechen kann ... Für zehn Millionen Dollar haben Sie eine Maschine, die dafür im Durchschnitt lediglich noch 21 Minuten benötigt und mit 100 Millionen sind das nur noch zwei Minuten ... Ich bin mir sicher, daß die NSA angesichts ihres Budgets es innerhalb von ein paar Sekunden kann!«^9.6 Während die bundesdeutschen Landeskriminalämter mehrere Wochen brauchen, um DES-Verschlüsselungen zu knacken, muß davon ausgegangen werden, daß versiertere Behörden, wie der Verfassungsschutz oder der BND, dazu kaum mehr als ein paar Minuten benötigen. Zur Erhöhung der Zuverlässigkeit wird deshalb DES-Hardware auf den Markt gebracht, bei der mehrmals verschlüsselt wird, manchmal mit Algorithmen, die nicht auf DES basieren, oder mit längeren Schlüsselreihen.

Mittlerweile sind in den USA Programe erhältlich, die es Menschen ermöglichen, die ihr DES Paßwort vergessen haben, dieses wiederzuentdecken. Verschlüsselungsprogramme, die DES benutzen sind PC-DES, PC-Secure und Norton Diskreet, um nur einige aufzuzählen. Wer auf DES vertraut ist selber schuld.

IDEA

Eine Alternative zu DES ist IDEA (International Data Encryption Algorythm). Auch mit IDEA können Texte, gespeicherte Daten und Sprache verschleiert werden. Es handelt sich um ein schweizerisches Produkt, das von Xuejia Lai und James Massey ausgetüftelt worden ist und als Hardware und Software erhältlich ist. Der Algorithmus, der im Gegensatz zu DES gut bekannt ist, basiert auf diversen mathematischen Bearbeitungen und besteht auch aus mehreren Schritten. Der verwendete Schlüssel ist hier 128 Bit lang. Im Durchschnitt ist IDEA doppelt so schnell wie DES.

IDEA ist zu neu, als daß man sich bereits definitiv über dessen Sicherheit äußern könnte. Die Erfinder haben jedoch ihr bestes gegeben, um das Rezept gegen alle bekannten möglichen Angriffstechniken der Code-Knacker zu immunisieren. In diversen akademischen und militärischen Kreisen wird nun daran gearbeitet, das System zu brechen. Unseres Wissens bisher erfolglos, dabei ist es jedoch noch die Frage, ob wir die ersten sein werden, die über einen eventuellen erfolgreichen Versuch in Kenntnis gesetzt werden.

Exkurs: Der IDEA Algorithmus

Der Algorithmus arbeitet mit Blöcken aus 64 Bit und verwendet einen Schlüssel von 128 Bit. In der IDEA-Software werden diese Schlüssel an Hand der Nachricht selbst erzeugt. Der IDEA-Algorithmus wird achtmal durchlaufen, der erste Eingabeblock aus 64 Bit ist der Klartext in Form von Nullen und Einsen. Der zweite Eingabeblock wird durch das Ergebnis der ersten Runde bestimmt, der dritte Eingabeblock ergibt sich aus dem Resultat der zweiten Runde usw. Die mathematischen Bearbeitungen, die innerhalb des IDEA-Rezepts verwendet werden lauten:

(a) XOR (modulo 2 Addition)

(b) Addition modulo $2^{16}$

(c) Multiplikation modulo 1+$2^{16}$

In jeder Runde wird der 64-Bit-Eingabeblock in vier Blöcke aus 16 Bit verteilt (X1, X2, X3, X4) und werden sechs Unterblöcke aus 16 Bit des Schlüssels verwendet (S1, S2, S3, S4, S5, S6). Insgesamt werden zum Schluß 52 Schlüssel-Unterblöcke benutzt worden sein, 6 je Runde und 4 zwecks einer letzten Bearbeitung des Ergebnisses der achten Runde. Die Schlüssel-Unterblöcke werden folgendermaßen hergestellt: Erst werden die 128-Bit-Schlüssel in 8 Blöcke von 16 Bit aufgeteilt. 6 für die erste Runde und nochmal 2 für die zweite Runde. Danach wird der Schlüssel 25 Bit nach links rotiert und wieder in 8 Blöcke von 16 Bit aufgeteilt. Von diesen werden vier für die zweite Runde und vier für die dritte Runde verwendet. Der Schlüssel wird dann erneut 25 Bit nach links rotiert und es werden abermals 8 Blöcke von 16 Bit erstellt. Dies wiederholt sich bis zum Ende des Algorithmus. In jeder Runde geschieht folgendes:

1) X1 und S1 werden multipliziert (c)

2) X2 und S2 werden addiert (b)

3) X3 und S3 werden addiert (b)

4) X4 und S4 werden multipliziert (c)

5) XOR-Operation (a) mit den Ergebnissen von Schritt 1 und 3

6) XOR-Operation (a) mit den Ergebnissen von Schritt 2 und 4

7) Multipliziere das Ergebnis von Schritt 5 und S5 (c)

8) Nun wird das Ergebnis von Schritt 6 und 7 addiert (b)

9) Multipliziere das Ergebnis von Schritt 8 und S6 (c)

10) Das Ergebnis von Schritt 7 und 9 wird addiert (b)

11) XOR-Operation (a) mit den Ergebnissen von Schritt 1 und 9

12) XOR-Operation (a) mit den Ergebnissen von Schritt 3 und 9

14) XOR-Operation (a) mit den Ergebnissen von Schritt 2 und 10

13) XOR-Operation (a) mit den Ergebnissen von Schritt 4 und 10

Die Ergebnisse von Schritt 11, 12, 13 und 14 sind die Ergebnisse einer Runde. Vor der Eingabe der folgenden Runde (außer bei der letzten Runde) werden die zwei inneren Bitblöcke ausgetauscht.

Nach der letzten Runde wird das Ergebnis wie folgt bearbeitet:

1) X1 und S1 werden multipliziert (c)

2) X2 und S2 werden addiert (b)

3) X3 und S3 werden addiert (b)

4) X4 und S4 werden multipliziert (c)

Die Ergebnisse dieser Berechnungen werden wieder zusammengefügt, damit ist der verschlüsselte Text fertig. IDEA besitzt dieselben vier Installations-Methoden (»modes«) wie DES.

»Public key«

In den 70er Jahren entstand ein neues Konzept innerhalb der Kryptologie, und zwar »public key«. Bei »public key« besitzt jede Person eine einzigartige Kombination zweier unterschiedlicher, jedoch zueinander gehörender Schlüssel, einen öffentlichen und einen privaten Schlüssel. Diese Schlüssel müssen so entworfen sein, daß das, was mit dem öffentlichen verschlüsselt ist, nur mittels des privaten entschlüsselt werden kann.

Zweck des Ganzen ist es, daß zum Beispiel Martin an Carola seinen öffentlichen Schlüssel über einen frei zugänglichen Kanal schicken kann. Carola kann ihre Nachricht an Martin mit diesen Schlüssel kodieren. Martin entschlüsselt die Nachricht mit seinem Privatschlüssel. Solange er den Schlüssel gut geheim hält, gibt es niemanden, der die Nachricht sonst noch lesen könnte.

Abbildung 9.3: So funktioniert PGP, wenn Carola eine Nachricht an Martin sendet.

Wenn es sich um ein gut aufgebautes System handelt und Carola auch Martin ihren öffentlichen Schlüssel übermittelt hat, kann Carola ihren Privatschlüssel wieder als Sicherheit dafür benutzen, daß sie es war, die Martin die Nachricht gesendet hat. Jeder Idiot, der Martins öffentlichen Schlüssel besitzt, kann ihm schließlich eine kodierte Nachricht schicken. Carola unterzeichnet zu diesem Zweck die besagte Nachricht erst mit ihrem privaten Geheimschlüssel und versieht sie gleichsam mit ihrer »digitalen Unterschrift«. Sobald Martin die Nachricht erhält, entschlüsselt er sie erst mit seinem Privatschlüssel und überprüft danach Carolas Unterschrift mit ihrem öffentlichen Schlüssel. Voraussetzung ist, daß Carolas öffentlicher und privater Schlüssel ein Schlüsselpaar sind.

RSA

Code-Knacker können bei »public key« eine zusätzliche Angriffstechnik anwenden. Sie können nämlich versuchen den privaten Geheimschlüssel auf irgendeine Art und Weise aus dem öffentlichen Schlüssel abzuleiten. Die meisten im Laufe der Zeit erfundenen Rezepte zur Anfertigung von Schlüsselpaaren erwiesen sich in diesem Punkt nicht resistent gegenüber Knackern. Das einzige Rezept, das für sicher erachtet wird, ist das sogenannte RSA-System, das nach seinen Entwicklern Rivest, Shamir und Adleman benannt worden ist. Das System basiert auf der Tatsache, daß es zwar einfach ist, zwei Zahlen, die nur durch sich selbst geteilt werden können, also Primzahlen, zu multiplizieren, daß es allerdings erheblich schwerer ist, aus der Summe wieder die ursprünglichen Primzahlen zu ermitteln. Wenn die Primzahlen groß genug sind, wird das sogar unmöglich.

Wenn das Produkt der Primzahlen einen Zahl aus bis zu 200 (Dezimal)zahlen ist, so dauert es mit der derzeitigen Rechengeschwindigkeit von Computern einige Millionen Jahre, um die ursprünglichen Primzahlen zu finden. Um etwas von der Sicherheit des RSA-Systems verstehen zu können, kannst du dir folgendes vorstellen:

Es werden zwei unendlich große Telefonbücher einer imaginären Stadt zusammengestellt. Das eine Buch wird nach Nummern sortiert und das andere nach Nachnamen. Das Telefonbuch mit Nachnamen wird veröffentlicht und selbst behältst du das Nummernbuch. Menschen, die dir das Wort »DOOF« schicken wollen, suchen im Namentelefonbuch einen Nachnamen, der mit D anfängt, zum Beispiel »Dänicken«, dann einen mit einem O, beispielsweise »Odenbach«, usw. Die Nachricht, die sie senden möchten, besteht danach nur aus den Telefonnummern von Dänicken, Odenbach und den anderen gewählten Leuten. Du besitzt das nach Nummern sortierte Buch und kannst die Nachricht entschlüsseln. Weil die Telefonbücher nahezu unendlich dick sind, ist das Sortieren des öffentlichen Buches nach Nummern ein unausführbares Unternehmen und es würde endlos dauern, zu versuchen, die richtige Telefonnummer zu finden.

Der große Vorteil von »public key« ist, daß der Austausch von Schlüsseln einfacher geworden ist und du nicht erst einen Kurier schicken mußt. Und es sind keine Stapel von Disketten vor Unbefugten zu schützen. Das große Problem beim RSA-Algorithmus liegt darin, daß der Verschlüsselungs- und Entschlüsselungsprozeß äußerst zeitraubend ist. In der Praxis benutzt denn auch niemand das RSA-System in seiner reinsten Form, allein schon aus dem Grunde nicht, daß konventionelle Schemen nicht schwächer zu sein brauchen als die »public-key«-Verschlüsselung. Das nachstehende Programm, PGP, benutzt denn auch eine Kombination aus »public key« und dem eher erwähnten IDEA.

Exkurs: Der RSA-Algorithmus

Der Algorithmus, der den Schlüssel anfertigen muß, selektiert erst zwei hohe Primzahlen a und b. Von diesen Primzahlen wird das Produkt n ermittelt. Also:

n = a x b

Danach wird eine Zahl e festgelegt, und zwar so, daß:

3<e<(a-1)(b-1)

und der größte gemeinsame Teiler von e und (a-1)(b-1) 1 ist, beziehungsweise e ist hinsichtlich (a-1)(b-1) die relative Primzahl.

Mit Hilfe der Zahl e wird Zahl d berechnet, und zwar so, daß:

d x e = 1 mod (a-1)(b-1)

ist, d ist also die Umkehrung von e. Der öffentliche Schlüssel besteht nun aus dem Zahlenpaar (e,n). Die Größen a, b, und d sind geheim. Das Erstellen des verschlüsselten Codes funktioniert folgendermaßen. Die Originalnachricht wird in Blöcke B geteilt, und verschlüsselt:

Code = $B^e \mod n$

Die Funktionsweise des Systems beruht auf der Tatsache, daß e zwar einfach aus d errechnet werden kann, dies umgekehrt jedoch nicht der Fall ist. Es ist nahezu unmöglich, d auf der Grundlage nur des öffentlichen Schlüssels (e,n) zu ermitteln. Um d zu errechnen müssen a und b auch bekannt sein.

PGP

»Pretty Good Privacy« (PGP) ist ein von Phil Zimmermann entwickeltes Software-Paket. Es wird vor allem zur Verschlüsselung von E-Mail benutzt, es lassen sich damit jedoch selbstverständlich auch Dateien verschlüsseln. PGP kostet nichts und erfreut sich mittlerweile weltweiter Beliebtheit.

PGP hat in den USA die Diskussion über das Verbot von - nicht seitens der Regierung genehmigten - Verschlüsselungssystemen angefacht. Es ist bereits länger so, daß Gesetzesdiener und Geheimdienste die Verbreitung guter Verschlüsselungsprogramme und Veröffentlichungen darüber behindern. 1991 gab es im US-Senat die Gesetzesvorlage 266, die glücklicherweise nicht verabschiedet wurde. In dieser sollte geregelt werden, daß alle Anbieter von Verschlüsselungstechniken Hintertüren einbauen, die es der Regierung ermöglichen, verschlüsselte Nachrichten wieder zu entziffern. Dementsprechend verärgert war die NSA wohl, als Phil Zimmermann sein PGP herausbrachte, er wurde mit einem Verfahren wegen Verstoß gegen den Export von Kriegswaffen, zu denen Kryptosysteme offensichtlich gehören, belangt. (Ein Spendenkonto für Phil Zimmermann findet sich auf der beiliegenden Diskette unter PGP.TXT).

Regierungen, Geheimdienste und Militärs scheinen sich nun bewußt zu werden, daß sie sich in einer Lage befinden, die lästiger ist als vor dem Computerzeitalter. Früher konnten sie noch in Briefschlitzen angeln, Briefe unauffällig mit Dampf öffnen, Telefongespräche abhören und aufzeichnen, was infolge des arbeitsintensiven Charakters dieser Maßnahmen gezwungenermaßen selektiv erfolgen mußte.

1993 wurde nach jahrelanger Vorbereitung durch die NSA eine neue Verschlüsselungstechnologie namens Clipper eingeführt. Kernstück ist ein Chip, der nach einem geheimgehaltenen Verfahren arbeitet. Die US-Regierung hat die Kommunikationsindustrie aufgefordert, diesen Chip in alle Geräte einzubauen, die eine »sichere« Kommunikation gewährleisten sollen, wie Telefone, Faxgeräte usw. Tatsächlich werden US Regierungsstellen bereits mit diesem von »AT&T« produzierten Geräten umgerüstet. Der Haken bei Clipper ist, daß jeder Chip seinen individuellen Schlüssel bekommt, und die Regierung erhält Kopien dieser Schlüssel.

Deshalb gibt es PGP. PGP ist kostenlos und kann an jede/n weitergegeben werden. Wenn sich PGP einbürgert, heißt dies, daß das Lesen (elektronischer) Post anderer Leute wieder eine zeitraubende Beschäftigung wird, die nicht im großen Stil eingesetzt werden kann, sollte es denn überhaupt gelingen, die Post zu lesen.

PGP verwendet die Algorithmen RSA, IDEA und wenn Nachrichten unterschrieben werden MD5.

Mit dem RSA Algorithmus erzeugt PGP ein Schlüsselpaar: einen öffentlichen Schlüssel, der verschickt werden kann und einen privaten Schlüssel, der gut geschützt zu Hause bleiben sollte. Der private Schlüssel ist zusätzlich mit einem Paßwort (Mantra) geschützt.

PGP erzeugt mit IDEA für jede Verschlüsselung einen zufällig ausgewählten Schlüssel, der nur ein einziges Mal verwendet wird, und verschlüsselt hiermit die Nachricht. Anschließend wird dieser Einmalschlüssel mit dem öffentlichen Schlüssel des Empfängers codiert und in die verschlüsselte Nachricht hineingeschrieben. Die Empfängerin kann nun mit Hilfe ihres privaten Schlüssels den Einmalschlüssel wieder herstellen und die gesamte Nachricht entziffern.

Außerdem können Nachrichten vom Verschickenden unterschrieben werden. Dazu benutzt PGP eine Methode, die MD5 (Message Digest 5) heißt. MD5 erzeugt aus einer Nachricht eine 128-bit Zahl, das ist sowas ähnliches wie eine Quersumme, die die Nachricht eindeutig bestimmt. Anschließend wird diese 128-bit Zahl mit dem privaten Schlüssel automatisch codiert und zusammen mit dem Datum, wann die Nachricht erstellt wurde, an die Nachricht angehängt. Beim Entschlüsseln wird diese 128-bit Zahl wieder entschlüsselt und das Programm überprüft automatisch, ob sie zu der Nachricht paßt. Damit ist die Überprüfung gewährleistet, daß die Nachricht auch tatsächlich vom Unterzeichnenden stammt. Das Handbuch zu PGP findet sich auf der beiliegenden Diskette.

Exkurs: Kritik an PGP

PGP ist eines der Systeme, die (noch) nicht zu knacken sein sollen. Es ist wohl möglich, daß ein Dritter den öffentlichen Schlüssel auf dem Weg zum Adressaten abfängt, ihn etwas bearbeitet und danach weitersendet. Wenn du mißtrauisch bist, mußt du den ursprünglichen Schlüssel mit dem angekommenen vergleichen.^9.7 Ferner behaupten manche Leute, daß die Art und Weise, mit der bei PGP Primzahlen gewählt und überprüft werden, verbesserungsfähig sei.^9.8

Aus dem Programmiercode soll abzuleiten sein, daß »unter den ungünstigsten Umständen« hinsichtlich einer gewählten Primzahl eine Wahrscheinlichkeit von 6,25% besteht, daß sie gar keine Primzahl ist. Weil je Schlüsselpaar zwei Primzahlen gewählt werden müssen, gibt es »im ungünstigsten Fall« also eine durchschnittliche Wahrscheinlichkeit von 12,5%, daß eine der beiden Zahlen keine Primzahl ist. Das Programm enthält zwar einen Test (Fermat's Little Theorem), um zu überprüfen, ob eine gewählte Zahl wirklich eine Primzahl ist, aber manche Zahlen (Carmichael-Nummern) entgehen dem Test. Obwohl nicht viele dieser Nummern existieren, ist es empfehlenswert, bessere Kontrolltests zu verwenden, als jene, über die PGP verfügt (und zwar Solovay-Strassen und Miller-Rabin). PGP ist völlig von den Primzahlen abhängig, deshalb ist vorgeschlagen worden, dem Nutzer selbst die Möglichkeit zu bieten, selbst die Primzahlen einzustellen. Die Antwort von Zimmerman auf diese Kritik läuft auf folgendes hinaus. Die Wahrscheinlichkeit, daß sich »die ungünstigsten Umstände« einstellen, ist an sich auch wieder sehr gering. Die wirkliche Wahrscheinlichkeit, daß eine Nichtprimzahl entsteht, ist sehr viel kleiner als die genannten Prozentsätze. Mit den besagten Prozentsätzen müßte auf dem eigenen PC innerhalb eines Abends eine Nichtprimzahl zu finden sein. Das entspricht nicht den Tests, die Zimmermann selbst und andere ausführten. Laut Zimmerman ist dabei die Wahrscheinlichkeit, daß eine Nichtprimzahl gewählt wird, die auch noch eine Carmichael-Nummer ist, und also von Fermats Test nicht erkannt wird, sehr gering.

Bist du jedoch nicht von Zimmermann überzeugt, so kannst du beim PGP-Programmcode (Quellcode), der völlig freigegeben ist, eine Änderung durchführen. Suche in der Datei »genprime.c« die Funktion »slowtest«. Die Prozentsatzeinstellung läßt sich dort leicht finden:

for (i=1); i<4; i++) {..}

Ändere »4« in eine höhere Zahl. Die Wahrscheinlichkeit einer Nichtprimzahl beträgt unter den ungünstigsten Umständen mit »4« $1/16$ ($16=2^4$). Nimmst du nun 10, was die Kritiker durchaus für sicher erachten, so verringert sich die Wahrscheinlichkeit einer Nichtprimzahl auf 1/1024 ( $1024=2^{10}$) beziehungsweise 0,1%. Den Ursprungscode mußt du danach erneut kompilieren. Die Zeit zur Anfertigung von Schlüsseln wird nun allerdings, je nach der Leistung des Computers, auf mehrere Stunden verlängert.

Es ist auch nicht weiter verwunderlich, daß die Befürworter eines Chiffrierverbots auch dafür plädieren, einen neuen Verschlüsselungsstandard einzuführen. DES ist veraltet, und ein neues genehmigtes Chiffriersystem wäre die Voraussetzung, ein Verbot anderer Systeme zu ermöglichen. Das System, daß sich dafür eignen würde, heißt »Skipjack« und ist in Form eines Chips, der »Clipper« genannt wird, erhältlich. Der Algorithmus, über den weiter nicht viele Einzelheiten in Erfahrung zu bringen sind, ist von der NSA entwickelt worden und funktioniert mit einem speziellen »Hauptschlüssel«, mit dem der 80-bit lange Schlüssel, der zur Kommunikation verwendet wird, chiffriert wird. Außerdem besitzt jedes Gerät, ein paar einzigartige Nummern, die auch mit den Nachrichten mitgesendet werden. Der Lieferant händigt diese Nummern zusammen mit dem Namen des Kunden den Regierungsbehörden aus. Die können anhand der Gerätenummer den Hauptschlüssel suchen. Um unerwünschter Nutzung einigermaßen vorzubeugen, wird der Hauptschlüssel in zwei Teile getrennt und von verschiedenen staatlichen Behörden gespeichert. Es sind beide Schlüsselteile erforderlich, um die verschleierte Information dennoch mithören zu können. Nur Regierungsfunktionäre mit Sonderbefugnis erhalten offiziell zu den beiden Hauptschlüsselteilen Zugang.

Auch die Deutsche Telekom bietet über ihre Tochterfirma Telesec einen Verschlüsselungschip an, mit dem dann elektronische Kommunikation (Telefon, Fax, Modem) verschlüsselt werden kann. Das Verfahren benutzt genauso wie PGP den RSA Algorithmus und MD5 zur Überprüfung. Der Haken bei der Sache ist, daß die Schlüsselpaare von Telesec erstellt und Kopien aufbewahrt werden. Das ist sicherlich eine feine Sache, falls du deine Chipkarte verlierst, aber wer noch alles Zugang zu den Daten der Telekom hat, haben wir schon weiter oben beschrieben. In der Werbung heißt es, »Auch hier gilt: Sicherheit durch Vertrauen«. Wir würden niemandem raten, jemandem zu vertrauen, der eine Kopie deiner Schlüssel besitzt.

Manche Menschen sehen es als ihr Recht an, ihre Privatsphäre so zu schützen, wie sie es selbst für passend halten. Deshalb lehnen sie eine Staatskontrolle über die Chiffrieranwendungen ab. Sollte jemals ein Gesetz zur Reglementierung von Chiffriermethoden in Kraft treten, so gibt es für diejenigen, die behördlichen Stellen nicht allzu sehr vertrauen, dennoch einen kleinen Lichtblick. Die Gesetzgeber laufen beinahe immer der technischen Entwicklung hinterher. In den USA beschäftigen sich zum Beispiel nun bereits Leute damit, PGP unsichtbar zu machen (Stealth-PGP). Bei dieser PGP-Variante wird es schwierig werden, zu beweisen, daß eine Verschlüsselung verwendet worden ist. Oder werden sie demnächst auch verbieten, einander Rauschen oder Blödsinn zu senden? Es gibt auch noch andere Möglichkeiten, um zu verhindern, daß von Datenverschleierung die Rede ist, indem beispielsweise Nachrichten in unsinnige Texte oder in Abbildungen versteckt werden.

Nachrichten in Abbildungen

Nachrichten in Abbildungen zu verstecken geht eigentlich noch einen Schritt weiter als das Unleserlich-Machen von Kommunikation. Diese Methode wird Steganographie genannt und betrifft zugleich das Verbergen der Tatsache, daß es sich um Kommunikation handelt. Das Computerzeitalter hat die Möglichkeiten in diesem Bereich erheblich erweitert. Das Prinzip, eine Nachricht in einer Abbildung zu verstecken, läuft darauf hinaus, daß jede Farbe in einer Abbildung in eine lange Bitreihe kodiert wird. Dabei »verwendet« jedoch nicht jede Farbe jedes Bit in der Reihe. In den Bits, die nicht oder weniger wichtig sind, können nun Bits, die ein Bestandteil der Nachricht sind, versteckt werden. Nur diejenige, die weiß, um welche Bits es sich handelt, ist in der Lage, die Nachricht zu lesen. Wenn solch eine Abbildung an einem öffentlich zugänglichen Ort, wie eine Nachrichtengruppe oder ein »Schwarzes Brett« (siehe Kapitel »Computernetze und anonyme elektronische Post«), angeboten wird, kann im Prinzip jeder sich die Abbildung holen. Außenstehende können aber nicht erkennen, ob in der Abbildung eine Nachricht versteckt ist. Grundsätzlich können Nachrichten auch in Sound-Dateien verborgen werden.

Steganographieprogramme wie Stealth und Hide and Seek können über die Mailbox BIONIC 0521-68000, Login Steganographie gesaugt werden.

Kennwortsicherung von Programmen

Es gibt viele Programme, die eigentlich nicht extra zur Verschlüsselung von Texten gedacht sind, diese zusätzliche Möglichkeit aber enthalten. Bekannte Beispiele dafür sind WordPerfect, gewisse Kalkulations- und Datenbankprogramme und das Kompressionsprogramm PKzip. Diese Programme besitzen die Möglichkeit, Dateien mit einem Kennwort zu sichern. Kennwort heißt im englischen »password«, um ein sicheres »password« zu erhalten, ist es allerdings sinnvoll, ein sehr langes zu nehmen, eine »passphrase«, auch »Mantra« genannt.

Das Handbuch von WordPerfect 5.1 behauptet zur Kennwortsicherung folgendes: »WPCorp besitzt keine Möglichkeit, die Sicherung Ihrer Dateien aufzuheben, wenn Sie Ihr eigenes Kennwort vergessen haben«. Das ist aber Blödsinn. Inzwischen haben mehrere Menschen herausgefunden, wie das System funktioniert. Die erste war Helen Bergen aus Australien, die einen Nachmittag herumpuzzelte und die Rückseite eines Briefumschlags benötigte, um die Sicherung zu knacken. Als sie dies WordPerfect Pacific mitteilte, antwortete die Gesellschaft, daß »WordPerfect ein solches Programm nicht besäße und infolgedessen nicht in der Lage sei, die Sicherung zu brechen«. Ferner behaupteten sie, daß »lediglich sehr wenig Leute in der Lage seien, solch ein Programm zu schreiben«.

Inzwischen ist das Knackprogramm WPCRACK auf jedem ernstzunehmenden elektronischen »Schwarzen Brett« zu finden. WPCRACK soll für Menschen erstellt worden sein, die das Kennwort eines Dokuments vergessen haben. Das Problem mit der Kennwortsicherung bei WordPerfect ist, daß die Methode der Sicherung sehr simpel ist.^9.9 Außerdem sind bestimmte Schriftzeichen an bestimmten Stellen in einem WP-Dokument immer gleich. Es ist natürlich der Traum eines jeden Krypto-Experten, den Original- und den verschlüsselten Text zu besitzen. Indem das WPCRACK-Programm diese Tatsache nutzt, kann es innerhalb weniger Sekunden das Kennwort »raten«. Andere Programme, die Kennwortsicherung von Dateien bieten, verwenden oftmals eine vergleichbare oder mitunter sogar eine noch einfachere Verschlüsselungsmethode.

Ein ernsthaftes Problem ist, daß Leute zumeist immer dasselbe Kennwort benutzen. Nehmen wir einmal an, daß du dasselbe Kennwort für deine WP-Dokumente und das Computersystem bei der Arbeit oder noch schlimmer PGP verwendest. Sobald mit Hilfe von WPCRACK das Kennwort deines WP-Dokuments geknackt wurde, ist der Rest auch bekannt.

Die meisten Kennwortmethoden taugen nicht viel, weil deren Ersteller keine Verschlüsselungsexperten sind. Einem Verschlüsselungsprogramm ist eigentlich erst zu trauen, wenn es von Menschen entwickelt worden ist, die sich auf dem Gebiet auch wirklich auskennen.

Kennwortsicherung von PCs und Festplatten

Im Handel sind eine Reihe von Programmen erhältlich, die den unerünschten Zugang zum Computer mit Hilfe eines Kennworts schützen. Manchmal ist diese Funktion sogar standardmäßig in den Computer eingebaut. Viele Menschen glauben, daß die Informationen im Computer damit auch verschlüsselt sind, was in der Regel aber nicht der Fall ist. Normalerweise wird in solchen Fällen das Starten des Computers verhindert, eine Blockade, die aber oft mit Hilfe einfacher Handlungen wieder aufgehoben werden kann. Unbefugte Neugierige können natürlich auch einfach die Festplatte aus dem Computer herausnehmen und sich diese mittels eines anderen Computers ansehen.

Für die meisten Kennwortsicherungen sind bereits Programme im Umlauf, mit denen die Sicherung aufgehoben werden kann. Computern mit einem AMI-BIOS-Chip und Programmen wie PC-Lock sind nicht zu trauen. Höchstens kann verhindert werden, daß deine Kinder auf dem Computer herumspielen.

Ein Programm, daß wohl erwähnenswert ist und auch tatsächlich die Daten auf dem Computer verschlüsselt, heißt SecureDrive. Es benutzt IDEA und bietet sogar die Möglichkeit, (in beschränktem Maße) mit PGP zusammenzuarbeiten. Mit SecureDrive ist es möglich, Teile der Festplatte zu verschlüsseln. Auch können einzelne Disketten gesichert werden. Mit dem auf DES basierenden, jedoch weniger zuverlässigen Norton Diskreet ist dies übrigens auch möglich.

Hast du viele Daten auf einer mit SecureDrive gesicherten Festplatte, dann möchtest du sicherlich auch hin und wieder ein Backup erstellen. Das solltest du dann auf Disketten machen, die auch mit SecureDrive verschlüsselt werden. Wenn SecureDrive einmal eingeschaltet ist, funktioniert es prima mit Backup-Programmen wie MS Backup. Du mußt jedoch wohl dafür sorgen, daß die normale, MS-DOS-kompatible Backup-Methode benutzt wird. Ist dies nicht der Fall, wird SecureDrive »übergangen« und werden die Daten unverschlüsselt auf den Backup-Disketten gespeichert.

Was du nicht tun solltest

Wir haben bisher Chiffriersysteme, die zur Verschlüsselung von Dateien und Festplatten benutzt werden, und deren Sicherheit und Zuverlässigkeit behandelt. Andere Kapitel haben dir bereits ersichtlich gemacht, daß es neben Code-Knackern auch noch Eindringlinge und Bildschirm- oder Kabelabhörer gibt. Diese Methoden sind in der Praxis häufig erfolgreicher und billiger. Kein Kryptosystem ist undurchdringlich. Du wirst dir immer die Frage stellen müssen: Was ist für meinen eifersüchtigen, ehemaligen Partner, neugierigen Nachbarn, das Finanzamt oder den Geheimdienst schwerwiegender? Die besonderen Informationen, über die ich verfüge, oder der finanzielle Aufwand, den sie aufbringen müssen, um die Daten ans Licht zu bringen? Wir werden dir im Nachstehenden ein paar Tips geben, mit denen du auf jeden Fall die Kosten Unbefugter hochtreibst.

• Lasse niemals geheime Schlüssel oder Kennwörter herumliegen. Für Kennwörter gilt: Der Name eines Freundes, der Oma oder deines Hundes liegt zu nahe. Du wählst am besten ein nicht existierendes Wort. Programme, welche die Möglichkeit bieten, Kennsätze einzugeben, sind besser. Das Knacken eines Kennwortes von sechs Zeichen, kostet einen wirklichen Hacker-Profi gerade Mal eine Minute, und entsprechende staatliche Stellen sind mit ihren Geräten womöglich noch schneller.

• Ein sicheres Kennwort zu haben ist wünschenswert. Unsichere Kennwörter sind dein Geburtsdatum, dein Name und ähnliches. Moderne Dechiffriercomputer sind in der Lage, in sehr kurzer Zeit den Wortbestand eines ganzes Lexikons als Kennwort auszuprobieren. Deshalb solltest du in ein langes Kennwort, Mantra, etwas Überlegung investieren. Einerseits solltest du das Mantra nirgends aufschreiben oder im Computer ablegen, andererseits mußt du es dir natürlich merken können.

  Man kann nun Berechnungen darüber anstellen, um wieviel ein Mantra sicherer wird, wenn es verschiedene Änderungen erfährt. Mit diesen Berechnungen wollen wir euch aber nicht quälen, stattdessen ein Beispiel: »Völker hört die Signale« ist nicht sehr sicher, es ist die Anfangszeile eines bekannten Liedes. Wenn du es aber veränderst, wird es sicherer: »Völker hört die Signale, auf zum letzten PC«. Besser ist es wenn noch Schreibfehler reingemacht werden: »Fölker gört dee Signall«. Noch besser sind Leerstellen, Zahlen und Sonderzeichen: »*1kär hrt diä ]gna1ä«. Letztlich sind der Phantasie keine Grenzen gesetzt.

• Bedenke, daß »Einbrecher« oder Viren die Chiffrierprogramme, Schlüssel, Kennwörter und Texte vernichten oder aus ihnen Informationen holen können. So gibt es beispielsweise die Möglichkeit, den Teil eines Chiffrierprogrammes, das nach dem Kennwort fragt (zum Beispiel PGP oder SecureDrive), mit etwas auszutauschen, das genauso aussieht und das Kennwort in einer kleinen Datei auf der Festplatte zu speichern. Ein Eindringling kann diese Datei finden und abrufen, ein »trojanisches Pferd«.

• Wenn du nur über einen Computer eines »Multi-user«-Systems oder einen Rechner, der an ein Local Area Network (LAN) angeschlossen ist, verfügst, berücksichtige, daß der Systemverwalter oder andere schlaue Nutzer sich zu deinen vertraulichen Dateien, Sicherungsprogrammen und Schlüsseln Zugang verschaffen können. Dies ist sogar möglich, während du damit arbeitest.

• Wenn du einen eigenen Computer besitzt, es jedoch nicht wünschenswert findest, daß andere sich zu Computer und Festplatte Zugang verschaffen können, so solltest du vertrauliche Dateien, Sicherungsprogramme und Schlüssel auf Disketten speichern. Auf diese Art und Weise kannst du den Zugang zu den Daten mit dir herumtragen. Diese Disketten (oder die Festplatte, wenn du sie trotzdem benutzen möchtest) kannst du wiederum mit beispielsweise SecureDrive schützen. Das Starten des Computers ohne die jeweilige Diskette ist dann nicht möglich.

• Egal welche Chiffriermethode du benutzt, für den Krypto-Experten ist es immer schwieriger, den Code zu knacken, wenn der Klartext vor dem Verschlüsseln erst komprimiert (also möglichst klein gemacht) worden ist. Bei PGP ist diese Möglichkeit integriert worden, viele im Handel erhältliche Programme machen jedoch dasselbe (PKZIP, LHARC, PKPAK). Wenn du die Code-Knacker wirklich völlig entnerven möchtest, solltest du deine Nachricht oder Datei hintereinander mit unterschiedlichen Verschlüsselungsprogrammen kodieren. Die beste Verschlüsselungsmethode ist in solchen Fällen zum Schluß zu verwenden, damit wird der verschlüsselte Text, der vorher entstanden ist, kodiert.

• Bedenke, daß die »nicht verschlüsselten Versionen« von Dateien, die du mühevoll verschlüsselt hast, nicht von jedem Kryptoprogramm automatisch auf eine nicht wiederherstellbare Art und Weise auf der Festplatte gelöscht werden. Die Befehle der Betriebsysteme zum Löschen von Dateien (delete), erzählen dem Computer lediglich, daß der Festplattenteil, an dem sich die Dateien befanden, wieder für andere Dateien zur Verfügung steht. Es gibt eine ganze Reihe von Programmen, die den Text wieder lesbar machen. Um eine Datei wirklich zu löschen, muß sie überschrieben werden. Bei PGP ist es möglich, diese Funktion einzustellen, die Datei wird mit Zufallszeichen überschrieben, allerdings nur einmal. Angeblich gibt es Hardwarelesegeräte, die in der Lage sind, eine einmal überschriebene Datei wiederherzustellen. Hast du wirklich Gründe paranoid zu sein, besorg dir das Programm »Norton Wipeinfo«, das Dateien viele Male überschreiben kann.

• Das Gleiche gilt natürlich auch für die Dateien, die du mit einem Textverarbeitungsprogramm erstellt hast. Microsoft Word, das Dateien mit der Erweiterung ».txt« abspeichert, sichert gleichzeitig immer die letzte Version zusätzlich als ».sik«-Datei. Selbst wenn du die ».txt«-Datei überschreibst, bleibt natürlich die ».sik«-Datei erhalten.

  Bei Word, das unter Windows läuft, werden die bearbeiteten Dateien in einer Auslagerungsdatei gespeichert. Diese Auslagerungsdatei ist schreibgeschützt, kann also nicht einfach so gelöscht werden. Dafür mußt du unter dem Symbol »386-erweitert« den »Virtuellen Speicher« anklicken und beim Typ Auslagerungsdatei »permanent« oder »temporär« wählen. Bei »permanent« enststehen dann die Dateien SPART.PAR und 386SPART.PAR. Diese kannst du dann überschreiben (beim Neustarten bringt Windows dann Fehlermeldungen, weil es diese Dateien nicht findet und fragt, ob es diese wieder neu einrichten soll). Bei »temporär« entsteht eine WIN386.SWP, die zwar von Windows nach Gebrauch gelöscht wird, aber eben nicht überschrieben. Außerdem legt Windows Dateien auf der Festplatte ab, die die Erweiterung ».tmp« haben, in denen immer wieder Fragmente von bearbeiteten Texten zu finden sind. Auch diese ».tmp«-Dateien solltest du regelmäßig überschreiben. Beim Überschreiben und Löschen der Auslagerungsdateien stürzt Windows auch gerne mal ab.

• Benutzt du Kryptosysteme nur für elektronische Briefe, so ist es sinnvoll, die zu verschlüsselnde Nachricht und den erforderlichen Schlüssel nie auf der Festplatte zu speichern. Das ist möglich, indem du eine scheinbare, eine »virtuelle« Platte (RAM-Platte) erzeugst, bei der ein Stück Speicher des Computers so tut, als ob es eine Festplatte wäre. Sobald du den Computer ausschaltest, verschwinden alle Informationen auf diesem Stück Speicherraum. Auf der diesem Buch beiliegenden Diskette findest du weitere Informationen.

• Egal, wie gut die Dateien gesichert sind, wenn du Nachrichten über den Computer zu einem anderen sendest, ist es immer möglich, herauszufinden, woher die Nachricht stammt und wohin sie gegangen ist. Es fällt also auf, daß du ein Kryptosystem benutzt oder nur manchmal oder lediglich an immer die gleiche Person verschlüsselte Nachrichten sendest!

• Folgende Programme befinden sich auf der mitgelieferten Diskette: PKUNZIP, PGP, SECURE DRIVE, (IDEA-source-code).

Literatur

FoeBuD e.V. Bielefeld, Christoph Creutzig, Abel Deuring (Hg.): PGP. Pretty Good Privacy, ISBN 3-9802182-5-2, 29,80 DM

Dr. Dob's Journal 12/93, »The IDEA Encryption Algorithm«

Internet: newsgroup sci.crypt: Frequently Asked Questions (FAQ) E. Bach, S. Bellovin, D. Bernstein, N. Bolyard, C. Ellison u.a.

Internet: anonymous FTP: Manual Pretty Good Privacy/Public Key Encryption for the Masses, Phil Zimmermann, 1993

James Bamford, The Puzzle Palace, Penguin Books 1982

PCs, Bildschirme und Kabel

Computernetze und elektronische Post

Inhalt

Der kleine Abhörratgeber