Inhalt
Wegbringen:
Edward Snowdens Enthüllungen über den Zugang der Regierung zu persönlichen Daten haben den Verdacht aufkommen lassen, wie sicher "verschlüsselte" Daten wirklich sind.
Im Mai 2013 begann Edward Snowden mit der Veröffentlichung seines wegweisenden Dokuments, das unsere Wahrnehmung verschlüsselter digitaler Kommunikation erschüttern sollte. Sicherheitsexperten, Personen, die sich auf Verschlüsselung verlassen, und selbst die Entwickler von Verschlüsselungsanwendungen haben jetzt Bedenken, dass es möglicherweise unmöglich ist, der Verschlüsselung wieder zu vertrauen.Was ist nicht zu vertrauen?
Es ist ein kompliziertes Problem, vor allem, weil es den Anschein hat, dass die Mathematik hinter der Verschlüsselung immer noch solide ist. Was im vergangenen Jahr in Frage gestellt wurde, ist die Art und Weise, wie die Verschlüsselung implementiert wurde. Organisationen wie das National Institute of Standards and Testing (NIST) und Microsoft sind in Gefahr, angeblich Verschlüsselungsstandards zu kompromittieren und mit Regierungsbehörden zusammenzuarbeiten.Im November 2013 veröffentlichte Snowden Dokumente, in denen NIST beschuldigt wurde, seinen Verschlüsselungsalgorithmus geschwächt zu haben, damit andere Regierungsbehörden die Überwachung durchführen können. Als NIST beschuldigt wurde, unternahm sie Schritte, um sich zu verteidigen. Laut Donna Dodson, NISTs wichtigster Berater für Cybersicherheit in diesem Blog, haben "Nachrichtenberichte über durchgesickerte Verschlusssachen in der Kryptografie-Community Besorgnis über die Sicherheit von NIST-Kryptografiestandards und -Richtlinien ausgelöst. NIST ist auch zutiefst besorgt über diese Berichte, von denen einige dies getan haben die Integrität des NIST-Standardentwicklungsprozesses in Frage gestellt. "
Das NIST ist zu Recht besorgt - das Nichtvertrauen der Kryptographie-Experten der Welt würde die Grundlage des Internets erschüttern. NIST hat seinen Blog am 22. April 2014 aktualisiert und öffentliche Kommentare zu NISTIR 7977: Entwicklungsprozess für NIST-Kryptografiestandards und -Richtlinien hinzugefügt, Kommentare von Experten, die sich mit dem Standard befasst haben. Hoffentlich können NIST und die kryptografische Gemeinschaft eine annehmbare Lösung finden.
Was mit dem riesigen Softwareanbieter Microsoft passierte, war ein bisschen nebulöser. Laut Redmond Magazine haben sowohl das FBI als auch die NSA Microsoft gebeten, eine Hintertür zu BitLocker, dem Verschlüsselungsprogramm des Unternehmens, einzurichten. Chris Paoli, Autor des Artikels, interviewte Peter Biddle, Leiter des BitLocker-Teams, der erwähnte, dass Microsoft von den Agenturen in eine unangenehme Position gebracht wurde. Sie fanden jedoch eine Lösung.
"Während Biddle es ablehnt, eine Hintertür einzubauen, hat sein Team mit dem FBI zusammengearbeitet, um ihnen beizubringen, wie sie Daten abrufen können, einschließlich der Sicherung der Verschlüsselungsschlüssel von Benutzern", erklärte Paoli.
Was ist mit TrueCrypt?
Der Staub hat sich fast um Microsofts BitLocker gelegt. Im Mai 2014 schockierte das geheime TrueCrypt-Entwicklungsteam die Kryptografiewelt und gab bekannt, dass TrueCrypt, die führende Open-Source-Verschlüsselungssoftware, nicht mehr verfügbar ist. Jeder Versuch, auf die TrueCrypt-Website zuzugreifen, wurde auf diese SourceForge.net-Webseite umgeleitet, auf der die folgende Warnung angezeigt wurde:Noch vor der Veröffentlichung des Snowden-Dokuments hätte diese Art der Ankündigung diejenigen schockiert, die sich beim Schutz ihrer Daten auf TrueCrypt verlassen. Fügen Sie fragwürdige Verschlüsselungspraktiken hinzu, und der Schock wird zu ernsthafter Angst. Open-Source-Befürworter, die auf TrueCrypt setzen, sehen sich nun der Tatsache gegenüber, dass TrueCrypt-Entwickler jedem empfehlen, Microsofts proprietäres BitLocker zu verwenden.
Unnötig zu erwähnen, dass die Verschwörungstheoretiker damit einen großen Tag hatten. Es gibt viele verschiedene Meinungen zu den Gründen für die Entscheidung. Experten wie Dan Goodin und Brian Krebs dachten zunächst, die Website sei gehackt worden, aber nach einigen Überprüfungen wiesen beide diesen Gedanken zurück.
Zwei populäre Theorien, die sich dieser Diskussion anschließen:
- Microsoft hat TrueCrypt gekauft, um die Konkurrenz auszuschalten (BitLocker-Migrationsanweisungen haben diese Theorie beflügelt).
- Der Druck der Regierung zwang die Entwickler von TrueCrypt, die Website zu schließen (ähnlich wie bei Lavabit).
Dieser Mangel an Vertrauen in den Kodex hält bis heute an. Die Tatsache, dass Kryptographen TrueCrypt (IsTrueCryptAuditedYet) einer intensiven Prüfung unterziehen, ist ein hervorragendes Beispiel für die weiterhin bestehende Unsicherheit.
Worauf können wir vertrauen?
Sowohl Edward Snowden als auch Bruce Schneier haben gesagt, dass Verschlüsselung immer noch die beste Lösung ist, um neugierige Augen von sensiblen persönlichen und Unternehmensinformationen fernzuhalten.
Snowden sagte während seines SXSW-Interviews mit dem ACLU-Cheftechnologen Christopher Soghoian und Ben Wizner von der ACLU: "Die Quintessenz ist, dass Verschlüsselung funktioniert. Wir dürfen Verschlüsselung nicht als eine arkane, dunkle Kunst betrachten, sondern als grundlegenden Schutz für die digitale Welt. "
Snowden gab dann ein persönliches Beispiel. Die NSA hat hart gearbeitet, um herauszufinden, welche Dokumente er durchsickerte, aber sie haben keine Ahnung, einfach weil sie seine Dateien nicht entschlüsseln können. Bruce Schneier ist auch in Sachen Verschlüsselung alles in allem. Dennoch milderte Schneier seine Unterstützung mit einer Warnung.
"Closed-Source-Software ist für die NSA leichter als Open-Source-Software zu öffnen. Systeme, die sich auf Master-Secrets stützen, sind für die NSA entweder rechtlich oder im Geheimen anfällig", sagte er.
Mit ein wenig Ironie wurde Schneiers Kommentar auch vor dem Ausblenden von TrueCrypt und bevor die TrueCrypt-Entwickler damit begannen, die Verwendung von BitLocker vorzuschlagen. Die Ironie: TrueCrypt ist Open Source, während BitLocker Closed Source ist.