“Dreckiger” Eingriff in E-Mail-Verschlüsselung vs. Key Escrow

Gerade hatte ich mich noch über SMTP-Nachlässigkeiten bei Thunderbird . Und jetzt passend dazu das:

Laut Heise gab es bei O2 Eingriffe in die E-Mail-Verschlüsselung. Man hat in manchen Fällen STARTTLS ausgehebelt. Und welcher Durchschnittanwender würde nicht das “TLS, wenn möglich” als die beste und unproblematischste Option ansehen?

Das Problem ist nicht ohne. Vor einiger Zeit habe ich bei der Nachverfolgung von Mail-Problemen bei einem Provider in Dresden festgestellt, daß der sogar alle E-Mails abfing, indem er jegliche Port-25-Verbindungen seiner Kunden in die Welt abfing und auf einen als transparenten Proxy geschalteten eigenen Mail-Relay umleitete. Das führte zu Streit, weil eine Mail nicht (rechtzeitig) angekommen war. Während beim Absender in den Logs stand, daß er zu einer bestimmten Uhrzeit die Mail beim Empfänger-Relay unter der IP-Adresse X abgeliefert hatte, gab es bei eben dieser Empfänger-Maschine keinen Log-Eintrag zu dieser Zeit. Denn tatsächlich war die Mail im Provider-Relay hängengeblieben, wärend aus Sicht des Senders eine normale TCP-Verbindung zum Empfänger zustandegekommen war.

Es zeichnet sich ja auch in immer mehr Bereichen ab, daß die staatliche Kommunikationskontrolle längst nicht mehr durch das Brechen der Verschlüsselung stattfindet (und die meisten Krypto-Forscher deshalb meilenweit am Problem vorbeiforschen), sondern daß immer mehr das Drumherum angegriffen wird, sei es durch Bundestrojaner, durch Downgrade-Attacken, Keylogger usw.

Ende der Neunziger Jahre war ich entschiedener Gegener von schwachen Verschlüsselungen, Key Escrow, Hintertüren usw. wie beim Clipper-Chip (Na, erinnert sich noch irgendwer an das Ding?). Was auch einer der Gründe für den Krypto-Streit mit Beth war, der damit ja unbedingt Geld machen wollte.

Heute, 10 Jahre später, sehe ich die Sache rückblickend etwas anders.

Die damals disktutierten Methoden wie Clipper, kurze Schlüssel, Kryptoverbote hatten zwar das “Schönheitsproblem”, daß sie sowieso nicht akzeptiert wurden und nicht durchsetzbar waren (also letztlich auch nicht funktionierten). Aber immerhin waren sie transparent, geradeaus und man wußte, wie der Hase laufen sollte. Es gab klare Regeln.

Heute nehmen immer mehr die “dreckigen” Methoden zu, bei denen Software unterwandert, Rechner infiltriert und Protokolle manipuliert werden. Free-Style, ohne Regeln. Kein substantieller Unterschied mehr zwischen den Vorgehensweisen von Staat und Hacker.

Man vergleiche die damaligen Äußerungen der Politik, die aus heutiger Sicht geradezu rührend lieb erscheinen mit den Parolen heutiger Politiker. Vor 10 Jahren hatte man wirklich noch die Sicherheit der IT-Infrastruktur mit auf der Wunschliste. Heute ist die Unsicherheit der IT fundamentaler Bestandteil der Politik, Lücken werden nicht mehr gestopft, es wird nicht mehr vor ihnen gewarnt, sondern sie werden auf dem Schwarzmarkt gekauft.

Wir hatten in den letzten 10 Jahren einen deutlichen Paradigmenwechsel in der IT-Sicherheit. Nur haben das noch nicht so viele mitbekommen.