Die ultimative Verschlüsselung!!1elf Marc Ruef | 05.03.2007 Kryptographie ist ein Thema, das zu bändigen ein ganzes Leben benötigt. Als ich Bruce Schneier in einem persönlichen Schriftwechsel danach fragte, ob und inwiefern eine überarbeitete Auflage seines Klassikers Applied Cryptography (http://www.computec.ch/_plugins/book_menu/showbook.php?0471117099) geplant sei, entgegnete er sinngemäss: "Das Thema ist so komplex (geworden), ich müsste einen Grossteil des Buchs umschreiben und wohl eine mehrbändige Serie herausgeben." Wenn selbst Bruce diese Meinung vertritt, werde sich auch die ganzen Hobby-Kryptologen dem nicht verwehren können. Doch Hobby-Kryptologen gibt es zuhauf. Einer meiner liebsten ist Detlef Granzow, der sich selbst das Pseudonym Kryptochef (mailto:kryptochef@austrosearch.net) verliehen hat. Auf seiner etwas "sonderbaren" Webseite (http://kryptochef.net) kündigt er eine kommerzielle Lösung zur unendlich starken Chiffrierung von Daten an. Welche Mechanismen eingesetzt werden, geht aus dem Beitrag nicht wirklich hervor. Da wird aber irgendetwas von fünffacher Voll Bit Verschlüsselung gefaselt... In verschiedenen Blogs und Foren finden sich Diskussionen zum Thema und Herrn Granzow. In veröffentlichten Mail-Wechseln werden unterhaltsame Details der Technologien an den Tag gelegt. So behauptet der Kryptochef, dass sein System unknackbar sei, da er auf den Einsatz von Algorithmen - er bevorzugt die falsche Schriftweise "Algorythmen" - verzichte. Entsprechend seien alle bekannten Kryptoanalysen unnütz. Interessant. Dass eine jegliche Funktion, von denen die praktische Informatik zu leben pflegt, als Teil eines Algorithmus verstanden wird, scheint ihn nicht zu stören. Einige Berichte zeugen davon, dass ein One-Time-Pad (OTP) zum Einsatz kommt. Dass ein solches bei einem zufällig gewählten Schlüssel wirklich "unknackbar" ist, mag stimmen. Dass aber für den Einsatz dessen ein Schlüssel, der mindestens so lange wie der Klartext sein muss, vorzuliegen hat, macht das System in der Praxis eher uninteressant. Will ich eine Festplatte mit 2 GByte Daten verschlüsseln, brauche ich einen 2 GByte langen Schlüssel. Wo lege ich diesen ab? Auf einer Diskette?! Sollte ich ihn auf der Festplatte ablegen, kann ich auch gleich auf die Verschlüsselung verzichten. Meines Erachtens ist die ganze Diskussion, das Produkt sowie dessen Hersteller ein zynischer Beitrag. Da werden einerseits die überheblichen Informatik-Studenten, die mal eben einen vermeintlich unknackbaren Algorithmus zusammengeschustert haben, auf den Arm genommen. Aber auch die vielen Laien, die sich durch Marketingsprüche und Fachjargon von gut verkaufter Scheinsicherheit überzeugen lassen. Ich denke, dass aber selbst Bruce auf die unsinnige Satire hereingefallen ist. Denn schliesslich schrieb er nicht vor langer Zeit bezüglich des Webauftritts folgendes (http://www.schneier.com/blog/archives/2006/06/the_doghouse_kr.html): "My head hurts just trying to read that." Mir selbst verlangt der Kryptochef lediglich ein Lächeln ab. Oder wer ist schon so verrückt und würde in der Anwerbung seines Produkts die folgende Äusserung zum Besten geben: "Mit einen kleinen Trick können sie Krypto auch für Handy SMS-Verschlüsselung einsetzen. Nachdem Sie ihre SMS-Datei verschlüsselt haben mit Krypto, können sie mit einen Hex-Editor die verschlüsselte Datei anschauen und die Hex-Werte nicht die Adressen) ins Handy übertragen und abschicken." Ich hab schon Mühe ein normales SMS zu schreiben, und nun soll ich dies auch noch in hexadezimaler Weise tun? 0x44 0x61 0x6D 0x6E! Leider werden nur die wenigsten wirklich etwas aus der Inszenierung lernen. Auch weiterhin wird es Hobby-Kryptologen geben, die ernsthaft ihre Super-Algorithmen geheimhalten wollen, um Sicherheit erreichen zu können. Und auch weiterhin wird es Käufer geben, die ein solches Zurückhalten von Informationen als Stärke eines Produkts empfinden. Vor allem, wenn auch in Zukunft vermeintliche Sicherheitsspezialisten in Wettberwerben auf schlechte Produkte (http://www.hackers-contest.de) losgelassen werden. Nur weil eine Schwachstelle nicht gefunden wurde, heiss es nicht, dass sie nicht da ist. Schwachstellen lassen sich umso schneller finden, umso mehr Informationen zur Verfügung stehen. Hat ein Produkt keine Schwachstellen, lässt es sich auch nicht durch alle Informationen dieser Welt kompromittieren. Wer Informationen zurückhält, versucht Schwachstellen auf einer falschen Ebene zu entgegnen.