Hadmut Danisch

Ansichten eines Informatikers

Kryptographie: American-built-and-backdoored or nothing

Hadmut
17.6.2016 23:28

Informationssicherheit?

Gibt es nicht.

Oh.

Wieder ein schönes Puzzlestück für die Klärung dessen, was mir und anderen Kryptoforschern in den 90er Jahren zugestoßen ist.

Ich habe es schon so oft geschrieben, aber weil immer wieder neue Leser dazukommen, die sich dann bei mir beschweren, wenn man Artikel wegen fehlenden Kontexts nicht verstehen kann: Die wesentliche Motivation und der Ursprung dieses Blogs bestehen in der Darstellung und Aufdeckung der Vorgänge um das von den Amerikanern auch an deutschen Universitäten durchgesetzte Verbot für starke Kryptographie außerhalb der USA. Der Professor, bei dem ich damals war, hatte Kontakte zum Direktor der Zentralstelle für das Chiffrierwesen und der entsprechenden Organisation beim Bundesnachrichtendienst (ich hatte ihn selbst kennengelernt und ein paarmal mit ihm gesprochen), der nach meinem heutigen Wissenstand massiv in die Institutsarbeit eingegriffen und Leute abgesägt hat, die in Kryptographie gefährlich werden konnten. Leute, die ungefährlich schienen (weil sie in Kryptographie kein Brüller waren oder in anderen Bereichen wie Firewalls oder Systemsicherheit forschten) konnten promovieren und an der Universität bleiben. Es bekamen dann sogar reihenweise Leute Krypto-Professuren, die nicht mal einfachstes Grundlagenwissen in Kryptographie hatten (zwei Professorinnen mussten gegenüber dem Gericht einräumen, dass sie als Prüferin oder Sachverständige nicht in Frage kamen, weil sie von dem Fach, für das sie Professorinnen wurden, überhaupt keine Ahnung hatten und nicht mal Grundlagenfragen beantworten konnten. Einer bekam den Doktor mit Auszeichnung und ziemlich schnell eine Professur, in dessen Dissertation einfach überhaupt nichts neues steht, und der nach Übernahme seiner Kryptoprofessur noch nicht mal in der Lage war, Primzahlen korrekt zu definieren.

Mit solchen Leuten hat man die deutsche Forschungsszene geflutet, völlig verblödet, und die Leute, die gut in Kryptographie waren, reihenweise rausgekickt und kaltgestellt. Als man mir damals die Promotion sabotierte, sagte mir sogar ein von der Universität beauftragter Professor in einem vertraulichen Gespräch, dass es der völlig egal sei, ob ich einen Doktor bekäme. Das Ziel sei, mich aus dem Forschungsbereich herauszuhalten und sicherzustellen, dass ich nicht mehr forschen würde. Welchen Grund könnte eine Universität für so eine Aussage haben?

Ich habe in letzter Zeit immer wieder mal Hinweise und Zurufe bekommen, dass an der Universität Karlsruhe (bzw. dem späteren KIT) einiges an Forschung für die amerikanische Regierung lief, wovon nur wenige wussten, und ich habe Hinweise bekommen, dass da noch weitere Forschungsergebnisse an anderen Instituten, die den Amerikanern nicht passten, einfach so und völlig spurlos verschwunden sind.

Nun weist mich ein Leser auf diesen elektrisierenden Artikel hin, in dem darüber berichtet wird, dass der CIA director John Brennan den US senatoren gesagt hat, sie sollten sich keine Sorgen darüber machen, ob Hintertüren in amerikanischen Crypto-Produkten die amerikanische Marktposition schwächen könnte. Es gäbe sowieso keine andere als die amerikanische, die man benutzen könnte.

CIA director John Brennan told US senators they shouldn’t worry about mandatory encryption backdoors hurting American businesses.

And that’s because, according to Brennan, there’s no one else for people to turn to: if they don’t want to use US-based technology because it’s been forced to use weakened cryptography, they’ll be out of luck because non-American solutions are simply “theoretical.”

Thus, the choice is American-built-and-backdoored or nothing, apparently.

The spymaster made the remarks at a congressional hearing on Thursday after Senator Ron Wyden (D-OR) questioned the CIA’s support for weakening cryptography to allow g-men to peek at people’s private communications and data.

Und ein zentraler Punkt darin ist ‘theoretical’.

Das ist zwar jetzt mehrdeutig und vielleicht nicht im wissenschaftlichen Sinne gemeint. Es könnte heißen, dass andere Länder nur theoretische Kryptographie machen. Und es könnte heißen, dass die Möglichkeit, dass sie Kryptographie machen, nur theoretisch war.

Es erinnert mich aber an einen seltsamen Umstand damals am Institut. Denn der Professor, Beth, legte immer größten Wert darauf, dass Kryptographie und Wissenschaft immer auf Theorie und Formeln-an-die-Tafeln-Schreiben begrenzt sei. Alles Praktische war ihm zuwider, wertlos, unerlaubt. Freilich war der Hauptgrund dafür, dass er einfach zu blöd dazu war und er nie Kryptologe oder Informatiker war. Er war Mathematiker, den in der Mathematik keiner haben wollte, und der sich in der Phase des damaligen Aufbaus der Informatik-Fakultäten eine Professur für Mensch-Maschine-Kommunikation geschnappt hatte (einer, der mit E-Mail überfordert war, mit jeder Technik auf Kriegsfuß stand und nicht mehr konnte, als Handgekritzeltes zu faxen), und der sich dann einfach selbst zum Kryptologen erklärte – weil man da Forschungsgelder bekam. Schon damals aber erklärte das nicht seine massive Aversion bis zur Sabotage des eigenen Institutes.

Ich habe damals, ich bin nicht mehr ganz sicher wann, das muss so um 1995 gewesen sein, ein verschüsselndes Telefon gebaut. Eigentlich für die ursprüngliche Version der Dissertation.

Freilich ein wüster Laboraufbau und nach dem damaligen Stand der Technik schwierig. Ich hatte mir irgendwo einen Fortran-Quelltext für einen der ersten verfügbaren Sprach-Codecs (Linear Prediction Coding) besorgt, und das ganze in C umgeschrieben, ein paar Fehler rausgemacht, es optimiert und auf Geschwindigkeit getrimmt. Hörte sich scheußlich an, aber verständlich. Man könnte nicht so wirklich gut erkennen, wer zu einem spricht, aber sehr gut verstehen, was er sagt. Es gibt längst viel bessere Codecs, aber den hatte ich halt damals greifbar und der passte in meine Anforderung, unterhalb von 9600 Bit/Sekunde zu bleiben. Eigentlich war der für 9600 geschrieben, aber ich hatte den auf ca. 8000 oder sowas in der Größenordnung runtergestutzt.

Denn damals hatten wir Modems, die zuverlässig bei 9600 liefen, und ich hatte damals für das Institut das erste D-Netz-Handy an der Universität besorgt (gab damals Zoff, weil noch nicht mal der Rektor eines hatte), das damals erste wirklich gebrauchstaugliche Nokia (weiß nicht mehr genau, 2110 oder sowas, das damals topmoderne rechteckige Gehäuse mit der ovalen Ausbuchtung um das Display und der Antenne zum Ausziehen. Weil es damals nämlich für das Ding eine topmoderne PCMCIA-Modem-Karte gab. Die nämlich konnte über das Handy – damals der letzte Schrei – Modem-Verbindungen zu einem Festnetz-Modem aufbauen, mit 9600 Bit pro Sekunde (wenn’s gut lief…). Und mit dem Ding habe ich des damals geschafft, von meinem frühen Linux-Notebook mit PCMCIA-Schacht über das Handy meine Sun-Workstation mit Modem anzurufen, und zwar entsetzlich blechern, und mit einem großen Linux-Notebook, aber verständlich und glatt zu telefonieren. Und zwar verschlüsselt mit unserem eigenen Kryptoverfahren Kathy/Selane (RFC1824).

War für die damalige Zeit der Brüller und nach bestem Wissen sicher, weil wir damals auch schon den Schlüsseltausch mit SmartCards implementiert und dafür extra eigene SmartCard-Reader entwickelt hatten. Andere haben sich damit eine goldene Nase verdient.

Beth ist ausgerastet.

Ich sollte das sofort beenden und damit aufhören. Telefonverschlüsselung dürfe ausschließlich analog, durch Sprachscrambler ablaufen. Weil er doch der große Fan der Fourier-Transformation sei. Ich solle gefälligst einen Aufsatz für das Handy bauen, der das Handy nicht größer macht, und der sich akkustisch über Lautsprecher und Mikrofon ankoppelt und das analog überträgt. Ich habe versucht ihm klarzumachen, dass das gar nicht funktionieren kann, weil das Handy im D-Netz nicht mehr analog überträgt, sondern durch einen Sprachcodec, und der eben nicht funktioniert, wenn man da was anderes reinquasselt als normale Sprache (tatsächlich kam es vor, dass die Frauen in irgendeiner Gegend der Welt jahrelang nicht mit D-Netz-Telefonen telefonieren konnten, weil deren Sprache nicht zum Codec passt. Es gab sogar mal eine – ich glaube dänisch oder so – Firma, die versucht hat, Handys per Akkustikkoppler zur Datenübertragung zu nutzen, die sind aber nicht über 1000 Bit pro Sekunde gekommen und haben das sehr schnell wieder aufgegeben.)

Wir haben uns damals alle überlegt, wieso Beth so reagiert hat. Eigentlich hätte er sich freuen müssen. Tolle Anwendung für das Instituts-Kryptoverfahren, noch dazu kommerziell verwertbar, und alle sicherheitsrelevanten Teile von uns voll selbst entwickelt, einschließlich der Langzahlarithmetik, und er war doch so geil drauf eine Firma zu gründen. Und dann hat man nen Brüller, der sich eindrucksvoll vorführen lässt (und das Blecherne machte die Sache nur umso eindrucksvoller und technischer), und er rastet aus, blockiert und weist an, das sofort wieder abzubauen und damit aufzuhören.

Damals konnten wir uns keinen Reim darauf machen. Wie kann man so dämlich sein? Beth war blöd. Sehr blöd. Aber nicht mal der war so blöd.

Heute kann ich das nur so verstehen, dass digitale Sprachverschlüsselung auf irgendeiner Verbotsliste stand und er oder die Uni dafür irgendwie Ärger bekommen oder Geld verloren hätten. Deshalb wohl die absurde Anweisung, sich auf Analog-Verschlüsselung zu beschränken.

Komisch auch die Veröffentlichungspolitik Beths. Ich durfte nie etwas veröffentlichen. Ist immer unter irgendwelchen Umständen blockiert, verhindert, abgesagt worden. Ich bin mal auf eigene Faust zu einer Konferenz nach Berlin gefahren. Ich Idiot habe dabei besagtes Handy mitgenommen. Beth hat das gleich verwendet, um mich da wieder zurückzuholen. Kaum war ich bei der Konferenz eingecheckt, musste ich gleich wieder abhauen. Auch die Instituspublikationen (EISS-Reports) durfte ich nicht auf den Webserver legen (und ich hatte damals einen der ersten Webserver weltweit), die durften nur physisch, per Post und nach vorheriger Einzel-Genehmigung Beths herausgegeben werden. RFC 1824 habe ich damals nur deshalb rausgekriegt, weil ich Beth davon nichts gesagt hatte und der schon angenommen war, bevor Beth das mitbekommen hatte.

Wir konnten uns das damals nicht erklären. Rückblickend kann ich es nur so interpretieren, dass ihm und damit dem Institut so vieles verboten war und der BND-Mann nicht aus Freundlichkeit vorbeikam, sondern um das Institut zu kontrollieren.

Brennan said this was needed to counter the ability of terrorists to coordinate their actions using encrypted communications. The director denied that forcing American companies to backdoor their security systems would cause any commercial problems.

“US companies dominate the international market as far as encryption technologies that are available through these various apps, and I think we will continue to dominate them,” Brennan said.

“So although you are right that there’s the theoretical ability of foreign companies to have those encryption capabilities available to others, I do believe that this country and its private sector are integral to addressing these issues.”

Terror-Abwehr.

Auch ein interessanter Aspekt zur zeitlichen Einordnung. Mich haben sie 1998/1999 abgesägt. Die Kryptokriege gingen so um 1994/1995 herum in eine heiße Phase. Die Bundesregierung wollte (sollte?) starke Kryptographie 1997 verbieten. Der erste Bombenanschlag auf das World-Trade-Center war 1993. 9/11 war 2001. Ich bin da voll in die kritische Phase rein. Und dann noch die Sache mit den 2+4-Verträgen.

We don’t think the CIA man has been paying attention, to put it generously. A study in February found there are 865 encryption products in use around the world supplied by developers in 55 countries. About a third of these packages came from the US, with Germany, the UK and Canada the next biggest suppliers.

Ein interessanter Punkt.

Ein Drittel von den USA, dann Deutschland als nächstgrößerer Anbieter. Das wirft Fragen auf. Nämlich nach deren Vertrauenswürdigkeit. Und ob der CIA-Mann da vielleicht richtiger liegt als die Zeitung glaubt.

Nevertheless, Brennan is right that the bulk of commercial encryption products in use by enterprises are supplied by American firms. The word he missed is “now.”

If US firms are mandated to install backdoors, sales of encryption products are going to change very quickly. Very few overseas companies are going to buy a broken encryption system that can be read by US intelligence, and a fair few US companies aren’t going to be wild about doing so either.

Kommt drauf an. Ob man es schafft, die abzusägen, die Konkurrenz werden können.