Zum Inhalt

Trendthemen

Was waren eigentlich die CryptoWars?

F-Secure Deutschland

24.04.18 6 Minuten Lesezeit

F-Secure lädt Kollegen dazu ein, ihr Wissen und ihre Einblicke mit uns zu teilen. Weitere Posts von Fennel Aurora, Cyber Security Consultant bei F-Secure gibt es hier

In einem vorigen Artikel habe ich die CryptoWars gegen die US-Regierung in den 1990ern angesprochen. Einige Leute haben mich kontaktiert und mir mitgeteilt, dass hier eine genauere Erklärung nötig ist. Fragt einfach und ich liefere diese Erklärungen nach. Hier ist sie, eine kurze Geschichte der CryptoWars der 1990er und der Kryptografie generell.

Krypto meint in diesem Fall Kryptografie und nicht Kryptowährungen wie BitCoin. Die Kryptografie umfasst eine Sammlung interessanter Wege, die eigenen Daten vor neugierigen Augen zu schützen. Das funktioniert, indem die Informationen in unlesbares Kauderwelsch verändert werden (der Prozess wird Verschlüsselung genannt). Wenn die Kryptografie erfolgreich ist, ist es ab dann nur noch für euch und diejenigen, denen ihr es erlaubt, möglich, das Kauderwelsch wieder in lesbare Informationen umzuwandeln (durch den Prozess der Entschlüsselung).

Die Menschheit nutzt Kryptografie seit mindestens 2.500 Jahren. Zunächst denkt man natürlich an Generäle oder Diplomaten, die Kryptografie nutzen, um Schlachtpläne oder Regierungsgeheimnisse geheim zu halten, aber von Anfang an haben ganz normale Leute die Techniken genutzt. Mesopotamische Kaufleute nutzten Krypto, um ihre hochgeheimen Soßen zu schützen, Liebende im antiken Indien nutzen Krypto, um ihre Nachrichten zu schützen und Mystiker des alten Ägypten nutzen Krypto für ihre ganz persönlichen Geheimnisse.

Allerdings war Kryptografie nicht wirklich fortschrittlich bis in die 1970er Jahre. Sogar die technisch und logistisch eindrucksvollen Enigma Maschinen der Nazis, die damit ihre ekelhaften Pläne verschleierten, sind am Ende nur Versionen der einfachsten Art der Verschlüsselung: Chiffrierung durch Austausch. In den meisten Fällen funktionierte einfache Kryptografie gut, weil die meisten Nachrichten zeitkritisch waren. Selbst wenn man es schaffte, eine Nachricht abzufangen, dauerte es eine Zeit die Verschlüsselung zu erkennen und zu knacken und wenn man damit fertig war, war es im Normalfall zu spät, die Informationen waren veraltet.

Der Zweite Weltkrieg veränderte die Kryptografie aus verschiedenen Gründen. Erstens hatte sich das Radio als Massenmedium durchgesetzt und das bedeutete, dass das Abfangen von Nachrichten sehr leicht funktionierte und die Ermittlungsarbeit früherer Zeiten nicht mehr notwendig war. Der zweite Grund waren Computer. Zunächst beschrieb ein Computer nur viele Frauen, die in Reihen saßen und langweilige mathematische Berechnungen durchführten. Dann begann das Zeitalter der Computer wie wir sie heutzutage kennen, die die Entschlüsselung ungemein schneller machten. Der dritte Grund war die Konzentration von Macht und Geld, die von allen Supermächten eingesetzt wurde (England, Frankreich, Deutschland, Russland) und dies führte zu einer Professionalisierung und starken Vergrößerung der zu diesem Zeitpunkt noch neuen und kleinen Geheimdienste, die wir heute kennen und fürchten.

Das Ergebnis dieses Zuflusses von Mensch und Geld in die staatlichen Überwachungssysteme der reichsten Länder der Erde (besonders spürbar beim sterbenden britischen Empire und dann später beim inoffiziellen amerikanischen Machtapparat) war eine neue Weltordnung, in der diese Regierungen davon ausgingen, dass sie alles abfangen und lesen konnten, was sie wollten. Zum ersten Mal in der Geschichte hatten Regierungen die Technologien und die Ressourcen, um fast jedes Gespräch mitzuhören und praktisch jeden Code zu knacken.

In den 1970ern kam eine neue Technologie auf, die diese historische Anomalie herausforderte: Public Key Cryptography, im Geheimen entwickelt von britischen Spionen bei GCHQ und später öffentlich weiterentwickelt von einer Reihe amerikanischen Forschern  wie Merkle, Diffie, Hellman, Rivest, Sharmir und Adleman. Alle Formen der Kryptografie vor dieser Erfindung basierten auf der Geheimhaltung des Algorithmus. Oder anders gesagt: Die Kryptografie funktionierte, indem es eine magische Formel gab, die nur ihr und eure Freunde kannten. Wenn böse Jungs es schafften eure Methode in irgendeiner Form zu erkennen, war es kein Problem, die Nachrichten zu entschlüsseln.

Das Ganze ist bekannt als „Sicherheit durch Unklarheit“ und war ein großes Problem ab den 1940ern. Um das Problem zu lösen, druckten Geheimdienste weltweit abertausende Blätter mit zufälligen Nummern aus (Einmalblätter), die durch diplomatische Kuriere zu Botschaften und zu Spionen weltweit gebracht wurden. Public Key Kryptografie änderte das: Die Erfindung machte es möglich, dass man seinen öffentlichen Schlüssel mit der ganzen Welt teilen konnte, ebenso alle Details darüber, wie die Verschlüsselung funktionierte, und die eigenen Geheimnisse waren trotzdem sicher. Ab sofort musste man nur noch den eigenen geheimen Schlüssel sichern, ohne dass man ihn jemals mit jemanden teilen musste. Auf einmal war es egal, ob jemand eine Enigma Maschine stahl und herausfand, wie sie funktionierte, das würde nicht bei der Entschlüsselung helfen.

Und da dies alles normale mathematische Forschung war, landeten Details in Abhandlungen und konnten sich so über die ganze Welt frei verbreiten. Das Monopol der Regierungen der USA und der UK auf totale Überwachung geriet ins Wanken. Was machten die Regierungen also? Sie versuchten ihre Forschungen zu verstecken und behandelten alle betreffenden Papiere und Studien als „Munition“. Es wurde illegal, diese „Kriegswaffen“ außerhalb der USA ohne Erlaubnis der Regierung zu exportieren, genau wie es bei Panzern oder Militärflugzeugen der Fall ist.

Diese absurde Situation hielt bis in die 1990er Jahre an, als dann zwei Erfindungen des Internet-Zeitalters das Monopol auf starke Kryptografie unhaltbar machten. Praktisch zeitgleich erfand Zimmermann ein Programm (PGP), das Public Key Kryptografie einfach für Normalanwender zu nutzen machte und ihnen ermöglichte, ihre E-Mails und Dateien zu schützen. Netscape brachte die ersten SSL Protokolle, um die Verbindung von PCs zu Webseiten zu schützen. In beiden Fällen versuchte die US-Regierung weiterhin zu zensieren und diese Möglichkeiten zu stoppen. Zimmermann wurde ständig gesetzlich bedroht und Netscape wurde dazu gezwungen, eine Version von SSL für den Export mit dramatisch schwächerer Sicherheit zu entwickeln. Es blieb weiterhin illegal, diese Programme außerhalb der USA herunterzuladen, zu nutzen oder überhaupt zu sehen.

Aber die Zeit der Wende war gekommen. Administratoren bauten Spiegelserver auf, damit jeder Zugriff auf die Programme außerhalb der USA hatte. Manche begannen, Kopien des Algorithmus als Zeichen des Protests auf ihre Websites zu stellen. Oder sie trugen T-Shirts mit dem funktionierenden Code (5 Zeilen Perl genügen). Oder sie druckten den Algorithmus auf Poster und hängten sie in Universitäten und Innenstädten auf. Ganz nach der Tradition des zivilen Ungehorsams forderten Geeks weltweit die Regierungen heraus, sie zu stoppen oder einzusperren. Sowohl die EFF (Electronic Frontier Foundation) und das EPIC (Electronic Privacy Information Center) entstanden als Organisationen im Rahmen dieses Kampfs um grundlegende (digitale) Rechte.

Am Ende musste sich die US-Regierung geschlagen geben. Ende der 1990er wurden die absurden Munitionsgesetze soweit gelockert, dass sie zwar immer noch existierten, sie aber erlaubten, dass normale Menschen sich endlich online durch Kryptografie schützen konnten. Jetzt waren sie geschützt, wenn sie bei Amazon online einkauften und mussten sich nicht sorgen, dass Kreditkartendaten und andere persönliche Daten während des Vorgangs geklaut wurden. Jetzt konnten sie endlich E-Mails in Briefumschlägen senden und mussten keine für alle lesbaren Postkarten mehr dafür benutzen.

Das ist allerdings nicht das Ende der Geschichte. Wie in viel zu vielen Fällen gilt das Motto: „Wenn Gerechtigkeit zu lange nicht angewendet wird, wird sie verweigert“. Das gesamte Internet wird systematisch in den letzten zwei Jahren durch die tolle Arbeit von LetsEncrypt durch Verschlüsselung geschützt. Allerdings haben wir fast 20 Jahre lang unsere Browserhistorie und unsere Suchanfragen per Postkarte verschickt, und das SSL-Protokoll für den Export, das die US-Regierung Netscape in den 90ern aufgezwungen hat, ist direkt verantwortlich für die Existenz der DROWN Attacke, die heutzutage Systeme in Gefahr bringt.

Gleichzeitig – weil es so viele rechtliche Gefahren gab – hat sich E-Mail-Verschlüsselung nie wirklich durchgesetzt. Wir mussten bis vor einigen Jahren warten, dass die Idee die Kommunikation von Jedem durch Kryptografie zu schützen, im Mainstream ankam – auch dank solcher Anwendungen wie Signal. Und trotz alldem versuchen die US- und UK-Regierungen weiterhin, den generellen Schutz für den normalen Bürger zu bekämpfen, egal ob sie dafür von jedem, der etwas von Kryptografie versteht, ausgelacht werden.

 

F-Secure Deutschland

24.04.18 6 Minuten Lesezeit

Leave a comment

Oops! There was an error posting your comment. Please try again.

Thanks for participating! Your comment will appear once it's approved.

Posting comment...

Your email address will not be published. Required fields are marked *

Hervorgehobener Artikel

Zugehörige Beiträge

Newsletter modal

Vielen Dank für Ihr Interesse am F-Secure Newsletter. Sie erhalten in Kürze eine E-Mail zur Bestätigung des Abonnements. Falls Sie keine Nachricht bekommen haben sollten, überprüfen Sie bitte auch Ihren Spam/Junk Ordner.

Gated Content modal

Klicken Sie jetzt bitte auf die Schaltfläche unten um auf das angeforderte Dokument zuzugreifen – Vielen Dank für Ihr Interesse.