Moderne Irrtümer der Kryptografie Marc Ruef | 09.10.2006 Für den Ottonormalverbraucher, der mit seinem Windows-Kistchen im Internet surft und zwischendurch Emails schreibt, machen drei Dinge das Thema Computersicherheit aus: Viren, Verschlüsselung und Firewalls. Dabei wird so mancher Nutzer bei Gelegenheit das durch oberflächliche Magazine erworbene Halbwissen hinausposaunen. Ob der Kommentar nun Richtig war oder nicht, ist nicht wichtig: Hauptsache, man hat etwas gesagt. Das Thema Kryptografie ist ein Fachgebiet, von dem nur die wenigsten Leute wirklich Ahnung haben. Der Grund liegt darin, dass moderne Methoden ohne Algorithmen der höheren Mathematik gar nicht mehr funktionieren würden. Hat man zur Zeiten des Zweiten Weltkriegs eher "Hobby-Chiffrierungen" genutzt, deren Funktionsweise gar im Mickey Maus-Magazin illustriert wird, kommen heute raffinierte Funktionen zum Einsatz, die sich selbst im Umfang der Encyclopedia Britannica nicht einfach so mal eben schnell diskutieren lassen. Albert Einstein schrieb vor vielen Jahren, dass wenn man etwas einem 10-jährigen Kind nicht erklären kann, man es nicht wirklich verstanden habe. Obschon diese These sehr reduziert ist, mag ihre Kernaussage durchaus stimmen. So gibt es auch in der modernen Kryptografie einige grundlegende Konzepte, die selbst ein 10-jähriger zu begreifen in der Lage sein müsste. Das Kerckoff'sche Prinzip besagt, dass die Sicherheit einer Verschlüsselung einzig und allein von der Stärke und Geheimhaltung des Schlüssels abzuhängen hat. Die Methoden und Algorithmen der Chiffrierung könnten sodann publiziert werden, ohne dass jemand mit diesem Wissen entsprechend verschlüsselte Nachrichten in einem wirtschaftlichen Rahmen zu knacken in der Lage wäre. Es ist also wichtig, dass der Schlüssel möglichst komplex ist und geheim gehalten wird - Genauso wie es wichtig ist, dass kein schwacher Algorithmus zum Einsatz kommt, bei dem durch statistische Analysen Muster im Ciphertext erkennbar bleiben. In meinem beruflichen Umfeld bin ich als Spezialist angehalten, eine Vielzahl an höchst sensiblen Informationen durch kryptografische Methoden zu schützen. Der Versand eines Penetration Test Reports, in dem sämtliche Schwachstellen der Umgebung eines Kunden dokumentiert sind, darf nie und nimmer im Klartext erfolgen. Vermag ein Angreifer das Dokument abzufangen, kann er Schritt für Schritt in die Zielumgebung einbrechnen, ohne sich grosse Mühe machen zu müssen, die ausnutzbaren Schwachstellen selber zu identifizieren. Viele Kunden sind nicht in der Lage die Lösung PGP zu nutzen. Entweder gestaltet sich die Installation oder der Umgang mit den Schlüsseln zu kompliziert, oder in der Zielumgebung ist durch eine strikte Policy das Einspielen eigener Software gar nicht möglich. Sodann besteht die Möglichkeit, entweder eine selbstausführende PGP-EXE-Datei zu erstellen oder auf ein passwörtgeschütztes Archiv (z.B. WinZip 9 mit AES256) zu setzen. Die sensitiven Informationen werden sodann gepackt und in der Form des kryptografisch geschützten Formats an den Kunden geschickt. Dieser muss, damit er auf die Daten zugreifen kann, zuerst ein Passwort eingeben, um die Dateien entpacken zu können. Eine Sache, die durchaus zu bewerkstelligen ist. Vor allem, weil wir stets zu Beginn eines Projekts die Passwörter vorgängig abmachen und notieren. Quasi das Umsetzen eines traditionellen pre-shared Secrets. Viele Kunden sind sich der Wichtigkeit dieser Passwörter nicht bewusst, vergessen sie oder verlieren die Notizen dazu. Ein Entpacken ist somit nicht mehr möglich. Oftmals werde ich dann verwirrt Angerufen und mir mitgeteilt, dass man da ja beim Öffnen des Archivs nach einem Passwort gefragt werde. Im selben Atemzug sagen viele: "Haben Sie vergessen dieses in eben jenem Email zu vermerken?" Ein verschlüsselter Datenaustausch findet in erster Linie deshalb statt, weil verhindert werden will, dass Dritte die sensitiven Daten einsehen können. Eine fremde Person könnte durch Zufall oder mit Absicht in den Besitz des Archivs kommen. Ist dieses nicht durch ein Passwort geschützt, würde zeitgleich der Erhalt der sensitiven Informationen einhergehen. Wird das Passwort mit der Nachricht mitgeschickt, die die kryptografisch geschützten Dateien enthält, wäre die ganze Aktion umsonst. Zwar sind die Daten verschlüsselt - Der Angreifer könnte nun aber durch das Wissen um das Passwort eine Entschlüsselung umsetzen. In einem solchen Fall hätte man die Daten auch gleich unverschlüsselt schicken können. Einige Kunden begreifen diesen Zusammenhang. Und trotzdem folgen sie einem weiteren Irrglauben: "Können Sie das Passwort dann nicht in einem weiteren Email schicken?" Damit soll also quasi verhindert werden, dass der Angreifer im gleichen Atemzug in den Besitz der geschützten Daten sowie des für die Zugriffe zuständigen Passworts kommt. In der Theorie eine gute Idee - In der Praxis versagt sie aber zu 99,9 %. Ist ein Angreifer in der Lage, eine der beiden Nachrichten abzufangen und/oder einzusehen, wird er theoretisch auch die Möglichkeit haben, dies für die andere Nachricht zu tun. In einer elektronischen Welt können zwischen der Verarbeitung der beiden dedizierten Nachrichten wenige Millisekunden liegen. Der Angreifer kommt sodann trotzdem im gleichen Augenblick in den Besitz sämtlicher wichtiger Informationen. Dies ist ein simples Konzept. Vielleicht sollte es in den Grundschulen gelernt werden. Wahrscheinlich doch besser erst in der Oberstufe. Aber dennoch ist es ein wichtiges Element, um in unserer technologisierten Welt bestehen zu können. Im schlimmsten Fall können nämlich solche Irrtümer verheerende Folgen haben. Und der Bereich Computersicherheit, mit all seinen Unterbereichen (z.B. Netzwerke, Computerviren, Kryptografie), weist eine Vielzahl an populären Irrtümern auf. In einem Computerbuch vor 15 Jahren stand noch: "Computerviren können sich nur in ausführbaren Dateien einnisten und durch diese verbreiten." In der heutigen Zeit muss es aber dank komplexer Meta-Formate und Pufferüberlauf-Schwachstellen heissen: "Computerviren sind durch jedes von einer CPU interpretierte Bit denkbar." Die Zeiten ändern sich. Manchmal sogar so schnell, dass selbst die Experten nicht mitkommen. Oder warum sprechen selbst die aktuellen TCP/IP-Bücher von den veralteten Netzklassen und deklarieren diese als noch immer gültig? Einen modernen Irrtum auszurotten kann eine Lebensaufgabe darstellen.