Den Trend zur Verschlüsselung galt es zu stoppen…

Noch ein Blick in die USA.

Ich hatte ja gerade einen Blog-Artikel darüber geschrieben, dass man auch Schweizer Firmen abgehört hatte, und dazu aus dem Artikel von Mehdi Atmani auf Republik.ch zitiert.

Darin ist mir so ein Satz, eigentlich sind es zwei, besonders ins Auge gefallen:

Nach dem Ende des Kalten Kriegs fürchteten die amerikanischen Geheimdienste, dass die Sprach- und Datenkommunikation von Firmen zunehmend mit offenen Standard-Algorithmen verschlüsselt werden könnte; Verschlüsselungen also, die Open Source sind, damit für alle überprüf- und dadurch kaum manipulierbar. Diesen Trend galt es mit verschiedenen Mitteln zu stoppen – Infoguard war eines davon.

Und da sind wir dann schon wieder mittem im E.I.S.S. und bei meiner Arbeit. Denn das verschlüsselnde Telefon, das ich da gebaut hatte, beruhte ja auf offenen Standard-Algorithmen. Block-Chiffren, Betriebsarten und Hash-Summen waren Standard-Verfahren und unser Schlüsselverfahren in RFC 1824 offen beschrieben. Zumal wir das ja auch als Programmierübung in der Informatik IV-Vorlesung angeboten hatten.

Es wäre also ohne weiteres für jeden möglich gewesen, sich ein kompatibles Gerät selbst zu bauen oder eine bestehende Implementierung darauf zu prüfen, dass sie genau das tut, was beschrieben ist, und nicht mehr und nicht weniger.

Es hat sich ja auch immer wieder gezeigt, dass Verfahren mit Hintertür genau deshalb oft proprietäre Verfahren sind, die nicht offengelegt sind, damit man sie nicht überprüfen oder kompatibel, aber ohne Hintertür, nachbauen kann. Deshalb war beim Clipper-Chip die verwendete Chiffre, Skipjack, geheim, nicht offengelegt.

Hier nochmal zum Vergleich der Satz aus SPIEGEL 39/2010, Seite 30,31:

So ein Fachpersonal durfte keinesfalls auf den freien Markt kommen, das war die Direktive aus Bonn.

Da lief eine systematische, flächendeckende Sabotage von allem, was den Geheimdiensten nicht passte.

Deshalb ist es sehr interessant, sich mal die Quelle anzuschauen, die in diesem Artikel genannt wird, nämlich dieses Protokoll einer amerikanischen Regierungsanhörung zur Exportkontrolle von Software für den Massenmarkt vom 12. Oktober 1993. Im Text geben sie den Link als Suchanfrage „Switzerland” an, was als Ergebnis 8 Seiten liefert, während das ganze Protokoll leider 146 Seiten lang ist.

Was mir gleich als erstes auffällt, wie sie den DES loben und empfehlen, obwohl der DES damals schon gebrochen war. 1998 konnte man schon öffentlich ein Buch („Cracking DES”) kaufen, in dem die Baupläne für eine Maschine zum Brechen abgedruckt waren.

The security methods available to the commercial world in Russia are very sophisticated; and these bankers, in our experience, are much more securitv conscious than our U.S. counterparts. Our DES method works well, and most people are very happy with the way the security is handled in the United States. But we have had difficulty in trying to convince the Russians that DES is good enough.

Hähähä. Da waren die Russen schlauer.

Sie beschreiben dann zum Beispiel, dass andere im Vorteil sind, weil sie in verschiedenen Ländern DES-basierte Sicherheitssoftware bestellt haben, und die, beispielsweise die deutsche von Utimaco, vom amerikanischen Distributor innerhalb eines Tages zugeschickt bekamen. Sie fragten nach, ob der dazu irgendeine Exportgenehmigung in Deutschland einholen müsse. Nöh, gar nichts.

Very different than the situation we have in the United States. We have no indication that the products being shipped to the United States or the rest of the world from foreign manufacturers or distributors are in any way inferior to the products we have in the United States. In many cases, they are substantially better. But the results of our survey point to a much more ominous finding, the one that you were just referring to: Apparently the controls imposed by the U.S. Government on export of cryptographic products from the United States are far more restrictive than those imposed bv most other countries, including our major allies. The effect of this is most unfortunate in that it cripples the U.S. industry while our friends overseas are essentially free to export as they wish.

Das hat die ziemlich gewurmt, dass die amerikanische Festlegung auf DES und die Exportrestriktionen ihnen wirtschaftlich das Leben schwer machen.

Was sie dabei feststellen: Deutschland und andere Länder behaupten zwar, dieselben Exportrestriktionen wie die USA zu haben, faktisch haben sie sie aber nicht, die Testkäufe gingen schnell und bürokratiefrei durch.

Export controls do exist on encryption products among all of America’s major allies; however, the nature and severity of controls varies significantly. Britain and Japan, for example, control encryption as a dual use, not a munitions, item. Other countries, like France, Germany and Holland, have export controls on shipment of encryption products similar to those of the U.S.

However, It is very Inportant to note that with the exception of France, none of thees U.S. allies impose restrictions on the use of encryption within its own borders. As a result, data security markets within these countries are guaranteed to local producers because of the NSA-imposed embargo of products of U.S. producers.

Weil manche Länder, darunter Frankreich, Deutschland, Niederlande, innerländisch gar keine Beschränkungen oder Genehmigungsverfahren haben, während es kompliziert oder unmöglich sei, an US-Produkte zu kommen, weshalb die Märkte den inländischen Anbietern praktisch alleine gehörten und man da keine US-Produkte mehr verkaufen könne.

Da ging es also nicht nur um das Abhören, sondern auch darum, den Markt für amerikanische Produkte offen zu halten.

Und daraus entstand da ein erhebliches Problem: Einerseits wollten sie alles abhören. Andererseits hatten sie Handelsprobleme, wenn sie ihre eigene Software nicht anbieten können.

Telefone

Und dann kommt etwas überaus Seltsames.

Ab Seite 134 nämlich gibt es einen „A Primer on Telephone Surveillance for Human Rights Organizations” vom September 1993 von einem David Banisar, Privacy International. Darin geben sie die Rechtslage wieder, wie es in den einzelnen Ländern mit dem Telefongeheimnis aussieht.

There is a practical limit to the number of wiretaps that can be conducted at any one time. Because it is necessary to have a human listen to the conversation, labor and equipment costs create practical limits to surveillance. There are also technical difficulties in providing for a large number of taps. Recently, former members of the Soviet KGB disclosed that they could not tap everyone. They had the capability of wiretapping only 1,000 phone lines in Moscow and another 1,500 for the rest of Russia. It
was also recently disclosed that the East Germany police employed 10,000 people to conduct wiretaps and listen to conversations.

So weit, so gut.

Dann gibt es einen Abschnitt „Secure Phones”, Telefone mit Verschlüsselung.

Und darin heißt es

It may also be illegal to use such devices. Some countries, such as France and Germany, prohibit the use of encryption without providing the keys to the government. These devices are also very expensive, ranging from $1-2,000 each.

Ein Fehler?

Dass das in Frankreich so war, war mir damals bekannt. Von Deutschland aber nicht. Ich hätte auch bis heute nicht von so einem Verbot gehört.

Aber: Wenn wir immmer noch unter einem geheimen Besatzungsrecht standen und verschlüsselte Telefone ohne Schlüsselhinterlegung zwar nicht nach normalem, aber geheimem Besatzungsrecht verboten wären, würde das allerhand erklären. Wenn ich es aber nicht wusste, woher wusste es dann dieser Schreiber für Menschenrechtsorganisationen und warum konnte der das frei erzählen?

Fehler im Text oder Geheimnis?