Verschlüsselungssoftware: Auch eine Hintertür mit neun Schlössern ist eine zuviel

Bei Zeit Online schreibt Digital-Redakteur Patrick Beuth über das wahnwitzige neue Produkt des US-Kryptologen David Chaum, welches anonyme, verschlüsselte Kommunikation ermöglichen soll und gleichzeitig Strafverfolgungsbehörden eine Hintertür zur Entschlüsselung bereitstellt. Das zuerst in einem Gespräch mit dem US-Technologie-Magazin Wired von Chaum vorgestellte Verschlüsselungsprogramm PrivaTegrity wurde seitdem von mehreren Kryptografie-Experten (1, 2, 3) kritisiert.

Verschlüsselungstechnologien werden immer wieder für Terrorismus und „Online-Kriminalität“ verantwortlich gemacht. Zuletzt in Folge der Pariser Terror-Anschläge – dort gaben Politiker und Medien verschlüsselten Messenger-Diensten für das Unentdeckt-bleiben der Attentäter die Schuld. Die Geheimdienste schlossen sich bereitwillig an: So forderten CIA-Direktor John O. Brennan und FBI-Chef James B. Comey die Hersteller von Verschlüsselungssoftware auf, ihren Diensten die technische Möglichkeit zu geben, verschlüsselte Kommunikationsinhalte zu entschlüsseln – mittels des Einbaus von Hintertüren (Backdoors).

Genau das ist in PrivaTegrity vorgesehen – nach Aussage Chaums als Kompromiss-Vorschlag um das Ausbrechen eines neuen Crypto-Wars zu verhindern. Patrick Beuth sieht das anders und warnt:

[A]uch ein verteiltes Key-Escrow-System [ist] prinzipiell ein System mit einem Schwachpunkt. Mehrere namhafte Sicherheitsforscher und Aktivisten haben das umgehend und unmissverständlich klargemacht: Chaum gaukelt einen Schutz vor Missbrauch vor, den er nicht garantieren kann. Der Aufwand für Kriminelle oder Geheimdienste, heimlich an die neun Schlüssel zu gelangen, mag hoch sein. Unmöglich ist es nicht. Eine Hintertür für die „Guten“ ist immer auch eine Hintertür für die „Bösen“ – und wer was ist, ist Ansichtssache.

David Chaum beschreibt zusammen mit den Mit-Entwicklern von PrivaTegrity in einem wissenschaftlichen Artikel, welcher hier abrufbar ist, die technische Funktionsweise detaillierter.

[Korrektur: Die missverständliche Überschrift „Auch eine Hintertür mit neun Schlössern hat neun zuviel“ wurde am 11.1.16 geändert.]

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

14 Ergänzungen

  1. Hatten die Pariser Attentäter nicht ordinäre SMS genutzt?
    Ist es nicht technisch unmöglich, bei SMS nicht den Inhalt mit zu vorratzuspeichern?
    Hatten die Franzosen keine VDS?

    1. Das spielt doch sowieso gar keine Rolle.
      Man kann hinterher nachlesen, was geschehen ist. Das hilft dann auch nichts mehr.
      Vorratsdatenspeicherung nutzt gar nichts.
      Dann holen sich die Attentäter eben am Tag des geplanten Anschlags ein Handy mit neuer Nummer, die wird dann gevorratsdatenspeichert, aber sicher nicht in Echtzeit überwacht.
      Und selbst wenn da „verdächtige“ SMSen ausgetauscht werden, dann geschieht das so kurzfristig, dass eine Handlung ohnehin nicht möglich wäre. Das sind Wunschträume.
      Als wären Attentäter so dämlich, Tage, Wochen oder Monate vorher ihre Pläne ausgiebig mit überwachten Chat- und Kommunikationsprogrammen auszuarbeiten und abzusprechen.
      *
      Das ist ein Punkt, bei dem ich nicht verstehe, wieso der in den ganzen Diskussionen als Kritik gar nicht aufgegriffen wurde. Bis heute nicht. Aber natürlich nicht, denn man will ja Vorratsdaten aller Bürger speichern.
      Es geht nicht um Terroristen, um die ging es nie. Es geht um Allmachtsphantasien eines schwer erkrankten Staates.
      *
      Und wer mit wem telefoniert hat, geht auch niemanden etwas an. Auch Attentäter telefonieren mit Freunden, dem Pizzaboten oder Verwandten, ohne dass die von den Ideen etwas wissen. Und all diese Personen haben ein Recht darauf, unerkannt und unbehelligt zu bleiben. Eben weil sie mit der Tat nichts zu tun haben. Stattdessen werden sie gerastert, gespeichert, ausgewertet. Alles ohne deren Wissen, wenn sie nicht gerade zusammengeschlagen und in Untersuchungshaft gesperrt werden.

  2. Warum sollte Qaida und ISIS Verschlüsselung mit Backdoor nutzen ? Die werden sich eben was eigenes programmieren oder OpenSource verwenden. Insofern sind diese ganzen backdoor Ideen doch völlig nutzlos da sie die wirklich kriminellen gar nicht betreffen werden.

    1. Kompromiss-Vorschlag um das Ausbrechen eines neuen Crypto-Wars zu verhindern

      Also Selbstmord aus Angst vor dem Tod. Wer soll das eigentlich benutzen?

  3. Der Titel des Artikels ist irreführend. Wieso „Auch eine Hintertür mit neun Schlössern hat neun zuviel“? Wird eine Hintertür dadurch besser, wenn sie weniger Schlösser hat? Müsste es nicht eher heißen „Auch eine Hintertür mit neun Schlössern ist eine zuviel“?

  4. Wer glaubt Backdoors schütze vor Terrorismus, der glaubt auch Hintertüren schütze vor Einbrecher.

  5. Als ob sich Terroristen oder andere Kriminelle hinter Verschlüsselung verstecken müssten.
    Wenn es Hintertüren gäbe oder Verschlüsselung verboten ist, dann nutzen sie eben andere Mittel und Wege. Die Wege werden dann vielleicht aufwändiger zu realisieren, aber sie werden diese Wege finden und auch nutzen.
    Hintertüren haben noch nie geholfen, im Besten Fall wird die Kriminalität verlagert.
    Aber erkläre das mal so einem erzkonservativen Polizeistaatsfanatiker – oder einem SPDler… auch kaum besser.

  6. Seit wann und wo gibt es „die Guten“? Selbst die angeblich (selbst erklärten) Guten halten sich nicht mal in halbwegs funktionierenden Demokratien immer an das geltende Recht, ganz davon zu schweigen, was mit solchen Hintertüren in Systemen wie der Türkei usw. gemacht würde. Was Aktivisten brauchen ist noch viel mehr und nicht weniger Schutz vor den angeblich Guten, denn die Guten sind nur per Definition gut.

  7. Truecrypt traue ich viel mehr!
    Damals gabs solche Hintertüren wahrscheinlich nicht, deshalb erzwang die NSA wohl die Schließung der Firma um die Sofware zu diskreditieren-
    Ich meine, die Schließung zeigt, wie verdammt gut Truecrypt immer noch ist!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.