Verschlüsselung im Internet teilweise bereits unterminiert
Die neuesten Papiere, die Edward Snowden der Tageszeitung The Guardian zur Verfügung stellt, befassen sich mit den Methoden, die die NSA und der britische GCHQ anwenden, um Verschlüsselung im Internet auszuhebeln. Hierzu bedient man sich mit Erfolg verschiedenster Methoden.
Hierzu zählen unter anderem das Abgreifen von Daten entweder vor der Ver- oder nach der Entschlüsselung oder der Einbau von als Programmierfehler getarnter Hintertüren in kommerzieller Verschlüsselungssoftware. Der breite Angriff auf Verschlüsselungsmethoden zur Informationsgewinnung läuft bei der NSA im Rahmen des streng geheimen Projekts Bullrun; beim GCHQ in Großbritannien heißt das Programm Edgehill.
Der Guardian schreibt, NSA und GCHQ haben in umfassender Weise die Versprechen gebrochen, die Unternehmen ihren Kunden geben, wenn sie versichern, die Bank- und Gesundheitsdaten ihrer Kunden sowie ihre Kommunikation seien sowohl für Kriminelle als auch für Regierungen nicht zu entschlüsseln. Die Methoden, derer sie sich dazu bedienen, umfassen neben technischen Maßnahmen wie dem Einsatz von Superrechnern und Brute Force und dem Einbruch in Systeme, um noch oder schon wieder unverschlüsselte Daten anzapfen zu können, auch die Zusammenarbeit mit Internet-Unternehmen und Herstellern kommerzieller Software und der Versuch der Einflussnahme auf Standardisierungsprozesse im ihrem Sinne. Durch die Zusammenarbeit mit Softwareherstellern konnte die NSA angeblich Hintertüren in kommerzieller Crypto-Software platzieren. Die Existenz dieser Hintertüren ist nur der NSA bekannt, die Käufer der kontaminierten Produkte werden Dienst-intern als Gegenspieler (adversary) bezeichnet. Der Bericht nennt allerdings hierzu weder Firmen noch Produkte, da diese Fakten angeblich der höchsten Geheimhaltung unterliegen.
Die jetzt in Partnerschaft mit der New York Times ausgewerteten Snowden-Dokumente enthüllen außerdem, dass die NSA verschlüsseltes Material, dass in den letzten zehn Jahren gesammelt wurde, durch kürzlich gemachte technische Fortschritte nun entschlüsseln und auswerten kann. Weiterhin wurde bekannt, dass die NSA jährlich rund 250 Millionen US-Dollar für ein Programm namens SIGINT ausgibt, das Technologieunternehmen beeinflussen soll, ihr Produktdesign im Sinne der NSA anzupassen. Die britischen Kollegen vom GCHQ arbeiteten besonders hart an einer Methode, um die Datenflüsse der „großen Vier“ zu entschlüsseln. Hiermit sind Hotmail, Google, Yahoo und Facebook gemeint. Die Dienste legen bei ihren Fortschritten beim Angriff auf die Verschlüsselungsmethoden des Internet besonderen Wert auf Diskretion, was bis zur Warnung an Analysten reicht, keine Spekulationen über die Methoden der Dienste in dieser Hinsicht anzustellen.
Besonderes Augenmerk legen die Geheimdienste auf das Brechen von SSL und VPN sowie VoIP und 4G-Netze für Smartphones. Hierfür ist die NSA-Abteilung „Tailored Access Operation“ (TAO) zuständig, die bereits fertige Profile für verschiedene Router, Switches und andere Hardware verschiedener Hersteller mitbringt, wenn sich ein Dienstleister zur Mitarbeit bereit erklärt. Wenn keine Mitarbeit zu erreichen ist, wird versucht, Krypto-Schlüssel zu stehlen oder kleinere Firmen einzuschüchtern, wie dies vermutlich kürzlich beim E-Mail-Dienst Lavabit geschah.
Während die Dienste das Brechen von Verschlüsselung als unabdingbar zur Erfüllung ihres Auftrags ausgeben, warnen Sicherheitsexperten wie der renommierte Bruce Schneier, die Geheimdienste würde mit dem flächendeckenden Abgreifen von privaten Daten das Internet beschädigen, wenn er sagt: „Kryptographie stellt die Basis von Vertrauen Online dar. Das vorsätzliche Unterminieren der Online-Sicherheit durch kurzsichtige Lauschangriffe beschädigt das grundlegende Geflecht, aus dem das Internet besteht.“ Dass die Dienste sich darum keine Sorgen machen, geht aus internen Verlautbarungen hervor, in denen von „Niederlagen für Online-Sicherheit und Privatsphäre“ die Rede ist.
Noch funktioniert Verschlüsselung im Internet aber grundsätzlich, wie Edward Snowden in einer Fragestunde für Leser des Guardian im Juni versicherte. „Richtig implementierte, starke Verschlüsselungssysteme sind eines der wenigen Dinge, auf die man sich noch verlassen kann“, sagte Snowden.