Meine Merkliste Geteilte Merkliste PDF oder EPUB erstellen

5.2 Kryptografie | bpb.de

5.2 Kryptografie

/ 22 Minuten zu lesen

Bei der Kommunikation zwischen Menschen geht es nicht nur um Inhalte, sondern auch darum, wie Botschaften gesendet und empfangen werden ...

Einleitung

"Jemand, der ein Geheimnis auf irgendeine andere Weise niederschreibt als auf eine, die es vor der Öffentlichkeit verbirgt, ist verrückt." (Roger Bacon, ca. 1250)

Bei der Kommunikation zwischen Menschen geht es nicht nur um Inhalte, sondern auch darum, wie Botschaften gesendet und empfangen werden und welche Technologien dabei zum Einsatz kommen. Jeder Akt der Kommunikation basiert auf einem Muster der Einbeziehung und des Ausschlusses: sobald eine Nachricht allein an einen bestimmten Empfänger gerichtet ist, bedeutet das, dass andere ausgeschlossen sind. Botschaften können zwischen nur zwei Individuen ausgetauscht werden (eins zu eins), während alle anderen von der Kommunikation ausgeschlossen werden. Botschaften können auch an größere Gruppen gerichtet sein, wie bei Vorlesungen und Vorträgen, oder an die breite Öffentlichkeit wie bei Nachrichtensendungen. In elektronischen Kommunikationsnetzwerken wie Online-Diskussionsgruppen überwiegt zunehmend die Kommunikationsform many-to-many, "von vielen an viele" Teilnehmerinnen und Teilnehmer.

Bei der mündlichen Kommunikation von Angesicht zu Angesicht ist es immer noch relativ einfach zu kontrollieren, wer auf den Informationsaustausch zugreifen kann. Je mehr aber Kommunikation von der physischen Anwesenheit losgelöst und technologisiert wird, desto mehr Personen haben die Möglichkeit, auf Informationen zuzugreifen, die nicht für sie bestimmt sind. Um sicherzugehen, dass bei der Kommunikation von Angesicht zu Angesicht die Information den ausgewählten Rahmen nicht verlässt, genügt es zu flüstern oder sich in einen geschützten Raum zurückzuziehen. Bei der schriftlichen Kommunikation ist das bereits schwieriger, und daher ist es nicht weiter überraschend, dass sich die Kryptografie parallel zur Entwicklung der Schrift entfaltet hat. Bei den heutigen elektronischen Kommunikationsformen hat die Weiterentwicklung der Technologien auch zu einer Vervielfachung der Möglichkeiten geführt, die den nicht autorisierten Zugriff auf Informationen ermöglichen.

Die Demokratie ist an der Durchsetzung des öffentlichen Interesses genauso zu messen wie an der Wahrung der Privatsphäre des Einzelnen. Aus diesem Grund ist die Kryptografie, das Ver- und Entschlüsseln durch Codes und/oder Chiffren, eines der führenden Themen in der Auseinandersetzung mit den Möglichkeiten einer demokratischen Informationsgesellschaft.

Geschichte der Kryptografie

Ca. 1900 v. Chr.: Ägyptische Schriftgelehrte verwenden bei den Inschriften eines königlichen Grabes außergewöhnliche Hieroglyphen: vielleicht nicht das erste, aber zumindest das erste dokumentierte Beispiel schriftlicher Kryptografie.

405 v. Chr.: Dem griechischen General Lysander von Sparta wird eine verschlüsselte Botschaft geschickt, die auf der Innenseite des Gürtels eines Dieners befestigt ist. Der Text wird lesbar, wenn der Gürtel um einen Holzsstab, eine so genannte Skytale, gewickelt wird.

170 v. Chr.: Polybius entwickelt ein System, mit dem Buchstaben in numerische Zeichen umgewandelt werden können, die sogenannte Polybius-Tafel.

50–60 v. Chr.: Julius Cäsar entwickelt eine Verschlüsselungsmethode, die später die Cäsar-Verschlüsselung genannt wird. Dabei wird jeder Buchstabe des Alphabets um einen bestimmten Abstand verschoben. Wie bei Atbasch, einer traditionellen Form der hebräischen Substitutions-Geheimschrift, handelt es sich hier um eine monoalphabetische Substitution.

3. Jh.: Im Leiden-Papyrus werden alchemistische und magische Verfahren des antiken Ägyptens in griechischer Sprache verschlüsselt aufgezeichnet.

1250: Der englische Mönch Roger Bacon schreibt Verschlüsselungsanleitungen. Zu dieser Zeit ist die Kunst der Verschlüsselung in Klöstern ein beliebtes Spiel.

Ca. 1467: Erfindung der ersten polyalphabetischen Verschlüsselungsscheibe. Der Erfinder, Leon Battista Alberti, auch Vater der westlichen Kryptografie genannt, verwendet seine Scheibe zum Ver- und Entschlüsseln.

15./16. Jh.: Nahezu jede Regierung, insbesondere England und Frankreich, beschäftigt Leute zur Ver- und Entschlüsselung.


Verschlüsselungsscheibe von Giordano Bruno (1548–1600)

1585: Auf der Grundlage von Vorarbeiten von Leon Battista Alberti entwickelt Blaise de Vigenère ein neues Verschlüsselungsverfahren, bei dem jede einzelne Buchstabensubstitution auf der Grundlage eines anderen Geheimtextalphabets erfolgt, was die Entschlüsselung von der Kenntnis eines Schlüsselwortes abhängig macht. Die dabei verwendete Buchstabentabelle wird als Vigenère-Quadrat bezeichnet.

17. Jh.: Kardinal Richelieu erfindet ein Verschlüsselungswerkzeug namens grille, eine Karte mit Löchern, in denen Nachrichten auf Papier geschrieben werden können. Anschließend wird die Karte entfernt und die Leerstellen aufgefüllt, damit die Nachricht wie ein gewöhnlicher Brief aussieht. Der Empfänger muss im Besitz der gleichen Karte sein.
Der Englische Wissenschaftler, Magier und Astrologe John Dee arbeitet am antiken Alphabet von Enoch; er erarbeitet eine verschlüsselte Schrift, die bis heute noch nicht entschlüsselt werden konnte.

1605/1623: Sir Francis Bacon schreibt mehrere Bücher, die Ideen zur Kryptografie enthalten. Einer seiner wichtigsten Ratschläge ist es, die Verschlüsselung so durchzuführen, dass kein Verdacht geschöpft werden kann. Die Steganogramm-Methode, bei der dem eigentlichen Text ein anderer gewissermaßen übergestreift wird, sodass nicht erkennbar ist, dass es sich um eine verschlüsselte Nachricht handelt, eignet sich dazu am besten. Sie wurde oft in Gedichten angewendet. Im 20. Jahrhundert ist bei dem Versuch, die Sonette von Shakespeare zu entschlüsseln, der Verdacht aufgekommen, dass diese Texte ursprünglich von Francis Bacon verfasst worden sein könnten.

1671: Leibniz erfindet eine Rechenmaschine, die eine binäre Skala verwendet. Diese Skala ist heute die Basis für den ASCII-Code.

1844: Die Erfindung des Telegraphen stellt neue Ansprüche an die Kryptografie und macht sie wegen der Möglichkeit unbemerkten Abhörens auch immer notwendiger.

1861: Friedrich W. Kasiski führt eine Kryptoanalyse der Vigenère-Codes durch, die lange Zeit als nicht zu knacken galten.

1895: Die Erfindung des Radios verändert erneut die Aufgaben der Kryptografie und macht sie noch wichtiger.
Ein Mitarbeiter von AT&T, Gilbert S. Vernam, erfindet eine polyalphabetische Verschlüsselungsmaschine, die mit zufällig ausgewählten Schlüsseln arbeitet.
Arthur Scherbius patentiert eine Verschlüsselungsmaschine und versucht, sie an das deutsche Militär zu verkaufen, wird aber abgewiesen.

1923: Arthur Scherbius gründet eine Firma, um seine Enigma-Maschine zu bauen und an das deutsche Militär zu verkaufen.
Späte 20er/30er Jahre: Kryptografie wird zunehmend von Kriminellen für ihre Tätigkeiten verwendet (beispielsweise beim Schmuggeln). Elizabeth Smith Friedman entschlüsselt regelmäßig die Codes von Rum-Schmugglern.

1933–1945: Die Deutschen setzen Enigma als wichtigste Krypto-Technologie ein. Der Enigmacode wird von Bill Tutte, Max Newmann und Alan Turings, Codebreakers in Bletchley Park, England, geknackt.


Dechiffriermaschine Kolossus in Betchley Park, UK (1943)
© Andrew Hodges

Ca. 1930: Die Sigaba-Maschine wird in den USA erfunden, entweder von W. F. Friedman oder seinem Kollegen Frank Rowlett. Gleichzeitig entwickeln die Briten die Typek-Maschine, die der deutschen Enigma-Maschine sehr ähnlich ist.

1943: Colossus, ein Entschlüsselungs-Computer und der weltweit erste programmierbare Computer, kommt in Bletchley Park zum Einsatz.
1943–1980: Das Venona-Projekt der National Security Agency (NSA) der USA ist das am längsten andauernde Projekt seiner Art, das es jemals gegeben hat.

Späte 1960er Jahre: Das IBM Watson Research Lab entwickelt den Luzifer-Code.

1969: James Ellis entwickelt ein System mit getrennten öffentlichen und privaten Schlüsseln.

1971: Die Arbeit von IBM am Luzifer-Code und die Arbeit der NSA führen zum US Data Encryption Standard (DES).

1977/78: Der RSA-Algorithmus wird von Ron Rivest, Adi Shamir und Leonard M. Adleman entwickelt und veröffentlicht.

1991: PGP (Pretty Good Privacy) wird als Freeware im Internet veröffentlicht und definiert bald weltweit den neuesten Stand der Technik; sein Erfinder ist Phil Zimmermann.

1994: Bruce Schneider entwirft den Blowfish-Verschlüsselungsalgorithmus, ein 64-Bit-Blockcode mit einem bis zu 448 Bits langen Schlüssel.

90er Jahre: Arbeit an Quantencomputer und Quantenkryptografie.

1996: Frankreich lockert sein Kryptografiegesetz: zur Verwendung von Kryptografie ist eine Registrierung notwendig, sie kann aber von allen eingesetzt werden.
Die OECD veröffentlicht die Cryptography Policy Guidelines; ein Dokument, das Exportstandards für Verschlüsselung und uneingeschränkten Zugang zu Verschlüsselungsprodukten verlangt.

April 1997: Die Europäische Kommission erlässt eine Electronic Commerce Initiative, die sich für starke Verschlüsselung ausspricht.

Juni 1997: PGP 5.0 Freeware ist für die nichtkommerzielle Verwendung weitgehend verfügbar.

Juni 1997: Der 56-Bit-DES-Code wird von einem Netzwerk mit 14.000 Computern geknackt.

August 1997: Ein amerikanischer Richter bewertet die Exportrichtlinien für die Verschlüsselung als eine Verletzung der Redefreiheit.

März 1998: PGP kündigt seinen Plan an, Kryptografie-Produkte außerhalb der USA zu verkaufen.

April 1998: Die NSA erlässt einen Report über die Risiken von Key-Recovery-Systemen.

Juli 1998: Der DES-Code wurde binnen 56 Stunden von Forschern im Silicon Valley geknackt.

Oktober 1998: Die finnische Regierung stimmt der unbeschränkten Ausfuhr von starken Verschlüsselungssystemen zu.

Januar 1999: RSA Data Security etabliert weltweit den Vertrieb von Verschlüsselungsprodukten außerhalb der USA.

September 1999: Die USA verlautbaren, dass sie die Einschränkungen im Kryptografie-Export aufheben werden.

2000: Das Vorhaben der deutschen Regierung, die Freiheit der Kryptografie zu beschränken, trifft auf Widerstand.

2001: PGP wird von Network Associates gekauft. Der Kauf wird von dem Verdacht überschattet, dass das Unternehmen in die US-Geheimdienste involviert ist.

2001: Network Associates kündigt den Verkauf von PGP an.

Begriffe und Hintergrund der Kryptografie

"Die gesamte Natur ist nichts anderes als ein Code und eine Geheimschrift." (Blaise de Vigenère)

Obwohl die Beschaffung und der Schutz von Informationen im (Des-)Informationszeitalter stark mit den gesellschaftlichen Machtstrukturen verwoben sind, ist meist nur von "Sicherheits"-Fragen die Rede. In Artikeln, Nachrichten und politischen Reden wird der Begriff Sicherheit mit einer unglaublichen Häufigkeit verwendet. Heute spielt er – der früher nur von und für Militär und Polizei verwendet wurde – bei jedem politischen Thema eine wichtige Rolle. Sogar Entwicklungshilfe und Welternährungsprogramme sehen "Sicherheit" als Teil ihrer Arbeit.

Das Thema Informationssicherheit betrifft alle, ob jemand Informationstechnologien verwendet oder nicht. Informationen über Einzelpersonen zirkulieren weltweit; meistens handelt es sich dabei um sensible Informationen wie Bankunterlagen, Versicherungs- und medizinische Daten, Kreditkarten-Transaktionen und vieles mehr. Jede Form der persönlichen oder geschäftlichen Kommunikation ist davon betroffen, darunter Telefongespräche, Fax-Nachrichten und natürlich E-Mail, nicht zu vergessen Finanztransaktionen und Business-Informationen.

Während der Markt bereits vom elektronischen Informationsfluss abhängig ist und die digitalen Werkzeuge immer leistungsfähiger und ausgeklügelter werden, wächst auch die Sorge über eine Gefährdung der Privatsphäre. Mit der fortschreitenden Verbreitung digitaler Kommunikation steigt gleichzeitig auch ihre Anfälligkeit für Missbrauch. Es existieren zwei konkurrierende Elemente, die dem Begriff digitale Sicherheit einen bitteren Beigeschmack verleihen: das sind auf der einen Seite die wachsenden Möglichkeiten, moderne Technologien für kriminelle Zwecke zu verwenden – nicht nur, um Taten geheim zu halten, sondern auch um beispielsweise Finanztransfers zu manipulieren. Auf der anderen Seite stehen die Regierungen vieler Staaten, die bestrebt sind, sich mit der Rechtfertigung der Verbrechensbekämpfung Zugang zu allen Daten der Bevölkerung zu verschaffen.

Für diese problematische Situation wurde bis jetzt noch keine definitive Lösung gefunden, aber zumindest wurden einige Werkzeuge zur Verbesserung der Situation entwickelt: mit Hilfe von Kryptografie gibt es die Möglichkeit, all jene Daten zu verschlüsseln, die nicht allen zugänglich sein sollen, und den ausgewählten Personen zur Dechiffrierung einen Schlüssel zur Verfügung zu stellen.

Während der vergangenen 80 Jahre hat sich die Rolle der Kryptografie von einem rein politischen Werkzeug zu einem privaten und wirtschaftlichen Nutzwert mit bedeutender politischer Dimension gewandelt. Gleichzeitig war es notwendig, die Werkzeuge zu verbessern, die ursprünglich aus der Mathematik kamen, weswegen Kryptografie zunächst sehr kompliziert wirkt.

Nach einer relativ stetigen viertausend Jahre langen Entwicklung der Kryptografie hatten folgende Erfindungen großen Einfluss auf die Geschwindigkeit der weiteren Entwicklungen: der Telegraph, das Radio und der Computer. Es sind vorwiegend wirtschaftliche, politische und militärische Gründe, die hinter der Notwendigkeit der Kryptografie stehen. Dennoch wird die Kryptografie auch für private und persönliche Interessen eingesetzt.


Verschlüsseltes Telegramm an die deutsche Botschaft in Mexico (1917)
© US National Archives and Records Administration

Schlüsselsysteme

"Wenige falsche Ideen haben die Gedanken so vieler intelligenter Menschen beeinflusst wie die Überzeugung, dass sie eine unknackbare Chiffriermöglichkeit erfinden könnten, wenn sie es nur versuchten." (David Kahn)

Kryptosysteme mit symmetrischem Schlüssel
Es wird immer derselbe Schlüssel für die Ver- und Entschlüsselung verwendet. In diesem Fall müssen sich der Absender und der Empfänger der Nachricht vor der Verschlüsselung auf einen gemeinsamen Schlüssel einigen. Das wichtigste dabei ist, dass sich die beiden vertrauen. Genau das ist aber auch das größte Problem bei diesem System: Wie kann der Schlüssel ausgetauscht werden, ohne dass er in falsche Hände gelangen kann? In früheren Zeiten haben Boten oder Brieftauben diesen Schlüsselaustausch vollzogen.

Symmetrische Schlüsselsysteme sind in kleinen Bereichen sinnvoll. Wenn jedoch viele Leute über ein großes Gebiet verstreut sind und dem gleichen Netzwerk angehören, wird die Verteilung des Schlüssels kompliziert. Heute werden diese Kryptosysteme von anderen Schlüsseln kontrolliert, die auf höchst komplizierten mathematischen Algorithmen beruhen.

Einige symmetrische Schlüsselsysteme sind:

  • DES (Data Encryption Standard), der Standard bei Kreditkarten;

  • Triple-DES, eine Variation des DES, die den Klartext dreifach verschlüsselt;

  • IDEA (International Data Encryption Standard);

  • Blowfish.

DES und seine Nachfolger wurden viele Jahre hindurch und von vielen Menschen erfolgreich eingesetzt, ohne dass es je zu einem Einbruch kam, und sind entsprechend weit verbreitet.

Kryptosysteme mit öffentlichem oder asymmetrischem Schlüssel

"Das Beste ist es, einen einfachen, gut verständlichen Algorithmus zu verwenden, der auf der Sicherheit eines Schlüssels und nicht auf der eines Algorithmus basiert. Falls nun irgendjemand den Schlüssel stiehlt, kann einfach ein anderer hergestellt werden, und die Datendiebe müssen von vorne anfangen." (Andrew Carol) Bei Verschlüsselungssystemen mit asymmetrischem Schlüssel wird für die Ver- und Entschlüsselung jeweils ein anderer Schlüssel verwendet. Ein privater Schlüssel ist notwendig, der nur der betreffenden Person bekannt ist, und ein öffentlicher Schlüssel, der öffentlich zugänglich ist. Jede Person hat ihren persönlichen Schlüssel, der nie veröffentlicht wird. Er kommt nur bei der Entschlüsselung zum Einsatz. Die beiden Schlüssel sind mathematisch miteinander verbunden. Es ist aber trotzdem nahezu unmöglich, den privaten Schlüssel aus dem öffentlichen abzuleiten.
Um jemandem eine Nachricht zu senden, muss der öffentliche Schlüssel des anderen nachgeschlagen und die Nachricht damit verschlüsselt werden. Der Empfänger verwendet seinen privaten Schlüssel zur Entschlüsselung. Während es allen möglich ist, eine Nachricht mit dem öffentlichen Schlüssel zu verschicken, muss der private Schlüssel absolut geheim bleiben. Beispiele der Systeme mit öffentlichem Schlüssel sind RSA und PGP.

RSA (Rivest, Shamir and Adleman)
RSA ist wahrscheinlich eines der beliebtesten Krypto-Systeme, die einen öffentlichem Schlüssel verwenden. Mit Hilfe von RSA werden Botschaften verschlüsselt und digitale Signaturen bereitgestellt. RSA (Rivest, Shamir and Adleman) RSA ist wahrscheinlich eines der beliebtesten Krypto-Systeme, die einen öffentlichem Schlüssel verwenden. Mit Hilfe von RSA werden Botschaften verschlüsselt und digitale Signaturen bereitgestellt. Externer Link: www.rsa.com

PGP (Pretty Good Privacy)
PGP ist ein Verschlüsselungsprogramm mit öffentlichem Schlüssel. Es wird vorwiegend zur Verschlüsselung von E-Mails verwendet.Externer Link: www.pgpi.org
Externer Link: www.burks.de

Steganographie

Chiffren und Codes werden offen übermittelt. Alle können sehen, dass sie existieren. Bei Steganogrammen ist das nicht so. Steganographie ist die Wissenschaft, so zu kommunizieren, dass die Existenz des Geheimnisses, das ein Teil der Kommunikation ist, verborgen bleibt. Während der italienischen Renaissance und des Zeitalters Elisabeths I. in England war die Steganographie in der Politik und zu Unterhaltungszwecken sehr beliebt.

In der Literatur spielte die Steganographie eine bedeutende Rolle. Viele Steganographien aus dieser Zeit wurden erst vor kurzem entschlüsselt. Unter ihnen befinden sich einige Sonette von Shakespeare, die nun scheinbar belegen, dass der Schauspieler William Shakespeare nicht der Autor der berühmten Gedichte und Dramen war, sondern dass die Werke von Francis Bacon oder sogar Francis Tudor stammen könnten (s. "Geschichte der Kryptografie").

Digitale Wasserzeichen

Digitale Wasserzeichen sind eine Form der Steganographie: sie schützen digitale Multimediaprodukte. Sie setzen sich aus digitalen Codes zusammen, die in die Ursprungsdaten eingebettet sind. Sie versuchen, auf den ersten Blick unsichtbar zu sein, und es sollte praktisch unmöglich sein, sie zu entfernen. Bei der Erstellung eines Wasserzeichens wird eine Art Identifizierungsbild über das Originalbild gelegt (nichtdigitale Wasserzeichen wie auf Geldscheinen können gesehen werden, wenn das Papier gegen das Licht gehalten wird).

Obwohl Wasserzeichen primär dazu da sind, die großen Content-Besitzer beim "Schutz" ihres geistigen Eigentums zu unterstützen und vermeintlichem Kopiermissbrauch zu unterbinden, werden sie als etwas für die Allgemeinheit Notwendiges propagiert. Zunehmend werden Datensätze mit einem Wasserzeichen versehen, um sie auch im Internet einfach auffinden zu können und Nutzungsrechte geltend zu machen.

Digitale Signaturen, Zeitstempel etc.

Die meisten Computersysteme sind weit davon entfernt, sicher zu sein. Ein Mangel an Sicherheit könnte die Entwicklung neuer Informationstechnologien behindern. Es ist allseits bekannt, dass elektronische Transaktionen ein mehr oder weniger kalkulierbares Risiko in sich tragen. Viele Konsumenten bezweifeln, ob die Annehmlichkeiten des E-Commerce tatsächlich größer sind als seine Risiken.

Der Markt ist vom Konsumentenvertrauen abhängig. Um dieses zu gewinnen, wird eine weitere Anwendung der Kryptografie mit öffentlichem Schlüssel wichtig: die digitale Signatur, die verwendet wird, um die Authentizität des Versenders von Daten zu prüfen.

Dabei kommen ein spezieller privater und ein öffentlicher Schlüssel zum Einsatz, die die Signatur überprüfen. Das ist besonders wichtig, wenn sich die beteiligten Parteien nicht kennen. DSA (Digital Signature Algorithm) ist ein System mit öffentlichem Schlüssel, mit dem ausschließlich digitale Signaturen vorgenommen werden können, aber keine Nachrichtenverschlüsselung. Die digitale Signatur ist im privaten Sektor in der Tat das wesentlichste Werkzeug der Kryptografie.

Digitale Signaturen sind für die sichere elektronische Bezahlung notwendig. Dies ist eine von mehreren Möglichkeiten der Kryptografie, um die Daten beim Versenden zu schützen. Weitere Sicherheitsmethoden stecken diesbezüglich noch in der Entwicklungsphase, wie beispielsweise das digitale Geld (ähnlich wie Kreditkarten oder Schecks) oder digitales Bargeld, das den gleichen Grad an Anonymität bieten soll wie richtiges Bargeld und das bei den staatlichen Stellen nicht sehr beliebt ist, weil es viele Möglichkeiten für Geldwäscher und illegale Transaktionen bietet.

Grenzen der Kryptografie

Selbst mit den besten Methoden ist es unmöglich, ein absolut unknackbares kryptografisches System zu entwickeln. Zur Entschlüsselung eines Texts sind extrem viele Versuche notwendig. Die heutigen Computer würden mehrere hundert Jahre oder noch länger brauchen, um alle Möglichkeiten eines Codes auszuprobieren – und trotzdem kann der Code letztendlich geknackt werden, wie uns eines Tages die viel schnelleren Quantencomputer beweisen werden. Daher ist die Entscheidung für eine bestimmte kryptografische Methode letztlich eine Vertrauensfrage.

Für den durchschnittlichen Computernutzer ist es eher kompliziert, die Gefahren und technischen Hintergründe der elektronischen Datenübertragung zu verstehen oder sich darüber auch nur Gedanken zu machen. Die meisten Menschen, die über den eigenen Bedarf an Verschlüsselung nachdenken, sind darauf angewiesen, Spezialisten und den von ihnen verbreiteten Informationen zu vertrauen. Die Websites (und auch die Artikel und Bücher), die sich mit den Hintergrundproblemen des Themas beschäftigen, sind ebenfalls von Experten geschrieben, oftmals in der für sie so typischen wissenschaftlichen Sprache, die für Laien größtenteils unverständlich ist.

Die Tatsache, dass es schwierig ist, Gefahren zu erkennen und dass der Bedarf an Sicherheitsmaßnahmen etwas ist, was die meisten Menschen nur aus Medienberichten kennen, führt uns direkt zum Problem der unterentwickelten Demokratie im Bereich der Kryptografie.

Offensichtlich ist die Verbindung zwischen Kryptografie und Demokratie für viele Menschen nicht sichtbar. Die bereits erwähnten Medienberichte spezialisieren sich häufig auf die Berichterstattung über die Arbeit der Computer-Hacker (die mal als Verbrecher, mal als Helden präsentiert werden) und unterstreichen die Gefahr, dass es – wenn eine Kreditkarte oder andere wichtige Finanzdaten gestohlen werden – unter Umständen am eigenen Bankkonto zu missbräuchlichen Abbuchungen kommen kann.

Der Begriff Sicherheit spielt natürlich eine Rolle bei diesen Fragestellungen, unterscheidet sich aber hier wesentlich von seiner Bedeutung im Zusammenhang mit der Privatsphäre. Speziell diese zweite Bedeutung bezieht sich auf grundlegende Elemente der Demokratie.

Kryptografie und das Gesetz

"Die fundamentalen Rechte des Einzelnen auf Privatsphäre, inklusive Geheimhaltung der Kommunikation und Schutz der persönlichen Daten, sollten in den nationalen Richtlinien zur Kryptografie und in der Implementierung und Verwendung kryptografischer Methoden respektiert werden." (OECD-Richtlinien)

Key-Recovery-Systeme

Der Sinn der Kryptografie liegt also darin, ein System zu schaffen, in dem es unmöglich ist, die verschlüsselten Daten ohne den verwendeten Schlüssel wiederherzustellen. Das Problem verlorener Schlüssel und unzugänglicher eigener Daten war der Anlass zur Entwicklung von Key-Recovery-Systemen, mit denen Schlüssel wiederhergestellt werden können. Jedoch steigen mit der Möglichkeit, einen Schlüssel wiederzubeschaffen, auch die Möglichkeit des Missbrauchs, vor allem durch Geheimdienste und Polizei, die auf die Hinterlegung von Schlüsseln bei den Behörden drängen. In den letzten zwanzig Jahren haben endlose Diskussionen über das staatliche Verbotsrecht der privaten Kryptografie und dessen Notwendigkeit stattgefunden, da die Regierungen sich selten über die Vorteile der privaten Anwender Gedanken gemacht haben. Sie selbst sind davon überzeugt, dass sie essenzielle Daten über jede Art von Feind einfangen können, und streben daher den uneingeschränkten Zugang zu allen Schlüsseln an.

Die Liste der Verschlüsselungsanforderungen mit Key Recovery, Schlüsselhinterlegung bei Behörden oder Dritten (beispielsweise Firmen), die von Regierungsstellen vorgeschlagen werden, deckt sämtliche brandneue Entwicklungen und Erfindungen im Bereich der digitalen Technologie ab. Gleichzeitig hat die National Security Agency (NSA) hart an der Durchsetzung von Gesetzen gearbeitet, um die private Verwendung starker Verschlüsselung zu verbieten. Trotzdem muss selbst eine Organisation dieser Art zur Kenntnis nehmen, dass Key-Recovery-Systeme Schwachstellen haben. Dies zeigt sich im Zusammenhang mit dem US Escrowed Encryption Standard, ein Standard zur Hinterlegung von Verschlüsselung, der die Grundlage des Clipper-Chips war (s. unten). Der Grund für solche Schwachstellen ist die hohe Komplexität solcher Systeme.

In diesem Zusammenhang muss der strenge rechtliche Rahmen zur Verwendung von Kryptografie verstanden werden, der in großem Widerspruch zum globalisierten Kommunikationsfluss steht.

Regierungseinfluss

Organisationen wie die National Security Agency (NSA) sind derzeit mit nur geringen Einschränkungen in der Lage, jedes einzelne Individuum abzuhören – auch wenn sich die NSA bemüht, ein weniger furchterregendes Bild von sich zu verbreiten. Die Kryptografie kann diese Lauschzugänge theoretisch erschweren. Daher fordern geheimdienstliche und polizeiliche Organisationen so genannte backdoors in den Codes, die ihnen den Zugriff auf verschlüsselte Daten ermöglichen. Ein flächendeckendes Projekt, alle Kommunikationstechnologien mit einer Abhörschnittstelle, einem sogenannten Clipper Chip zu versehen, ist in den USA gescheitert.

Die Verschlüsselung gewährleistet bei der Datenübertragung die Privatsphäre, die notwendig ist, wenn Nachrichten ausschließlich vom Empfänger gelesen werden sollen. Wenn Regierungen um ihre Kontrollmöglichkeiten fürchten, führt das normalerweise zu strengeren Gesetzen. Die oft gehörte Vermutung, das Internet sei ein rechtsfreier Raum, wurde bereits als falsch widerlegt. Einige Bereiche werden vom Gesetz sehr klar kontrolliert. Einer davon ist die Kryptografie. Das Verbot der Kryptografie oder zumindest ihre Einschränkung wird als angemessene Maßnahme gegen das Verbrechen betrachtet beziehungsweise galt in der Vergangenheit uneingeschränkt als solche. Mittlerweile müssen auch staatliche Einrichtungen zugeben, dass sich diese Einschränkungen vorwiegend gegen die Bevölkerung statt gegen illegale Akteure wenden. Daher wurden in den letzten fünf Jahren die Gesetze in vielen Ländern geändert. Sogar die USA, ein Land mit sehr restriktiven Kryptografie-Regelungen, haben ihre Gesetze im Jahr 2000 liberalisiert.

Staatliche Regulierungen

Die neuen amerikanischen Regulierungen basieren auf der Überarbeitung des Wassenaar-Abkommens (Externer Link: www.wassenaar.org) aus dem Jahr 1998, wonach der lizenzfreie Export des 56-Bit-DES und ähnlichen Produkten nach einer technischen Überprüfung erlaubt ist. Dies gilt ebenso für Verschlüsselungsgüter und Software mit einer Schlüssellänge von bis zu maximal 64 Bits, die den Anforderungen des Massenmarktes entsprechen. Zu den Staaten, die von dieser neuen Regelung ausgenommen sind, gehören Libyen, Irak, Iran, Nordkorea und Kuba – Länder also, denen von der USA Förderung des Terrorismus vorgeworfen wird.

Dies ist der aktuelle Stand der Dinge in den USA, während in Deutschland das Thema Kryptografiegesetz noch auf der Tagesordnung steht. Bisher war es in Deutschland jedem selbst überlassen, eine elektronische Nachricht zu verschlüsseln oder darauf zu verzichten. Manche Organisationen befürchten aber, dass sich das bald ändern könnte. Im Februar 2000 wurde daher mit einer Aktion für die Entscheidungsfreiheit hinsichtlich Kryptografie demonstriert. Ein Argument der Regierung ist, dass Kryptografie nur von wenigen Menschen auch tatsächlich verwendet wird. Den Organisatoren der Aktion wurde daher vorgeworfen, letztendlich für einen massiveren Einsatz von Kryptografie zu werben.

Andere europäische Länder, wie z. B. Frankreich, haben liberalere Kryptografiegesetze. Österreich hat überhaupt keine Einschränkungen, was vermutlich aber eher auf ein Desinteresse der Regierung als auf eine Akzeptanz der Entscheidungsfreiheit zurückzuführen ist. Die (ehemaligen) Einschränkungen in den größeren Ländern haben die Entwicklung von noch sichereren Schlüsselsystemen beeinflusst und behindert. Unter anderem wurde dadurch die Schlüssellänge außergewöhnlich klein gehalten.
Die chinesische State Encryption Management Commission (SEMC) verkündete im März 2000, dass künftig nur die starken Verschlüsselungswerkzeuge registriert werden müssen. Was auf den ersten Blick sehr entgegenkommend wirkt, entpuppt sich auf den zweiten als Makulatur, denn damit bleibt weiterhin jede brauchbare Verschlüsselungsmethode wie PGP unter staatlicher Kontrolle.

Die Einschränkungen und Verbote von Kryptografie sind Teil des staatlichen Strebens nach Kontrolle, das sich mit großer Wahrscheinlichkeit im Namen der Verbrechensbekämpfung noch weiter ausbreiten wird.

Unter dem Vorwand, so besser gegen organisierte Kriminalität vorgehen zu können, versuchen Regierungen, immer mehr Kontrolle über ihre Bürger zu erlangen. Organisationen wie die NSA treten als wichtigste Verfechter derartiger Forderungen auf. Je mehr so genannte Sicherheitsmaßnahmen getroffen werden, desto mehr Kontrolle und weniger Freiheit ist damit für die Bürger gegeben. Doch Kriminelle sind in ihrer Verwendung von Computern und in ihrer digitalen Existenz flexibel. Die meisten Bürger sind dies jedoch nicht, und damit ist es die breite Bevölkerung, die unter den negativen Konsequenzen von Überwachungstechnologien zu leiden hat.

Natürlich kann Sicherheit auch in den Dienst der Bevölkerung gestellt werden, wenn beispielsweise die Kryptografie legalisiert und damit allen zugänglich gemacht wird. Es gibt einen eindeutigen Bedarf für sichere Verschlüsselung in den Bereichen E-Commerce, Zahlungsverkehr und Übertragung privater Daten, wobei es bei hierbei vorwiegend um den Zugang zu E-Mails oder passwortgeschützen Webseiten geht. E-Mails sind nichts anderes als elektronische Postkarten. Unverschlüsselt sind sie ebenso leicht zugänglich wie Briefe ohne Umschlag, und ihr Weg kann zurückverfolgt werden, ohne dass das Passwort bekannt ist. Das Überwachungssystem ECHELON etwa durchforstet den weltweiten E-Mailverkehr nach bestimmten Stichwörtern.

Regierungen, denen an der Bekämpfung der Cyberkriminalität gelegen ist, sind daher gut beraten, die Arbeit an den neuesten Verschlüsselungstechnologien zu unterstützen statt den Zugang einzuschränken.

Kryptografie und Demokratie

"Die vielfältigen menschlichen Bedürfnisse und Wünsche, die zwischen zwei oder mehreren Menschen nach einer Privatsphäre inmitten des Soziallebens verlangen, müssen überall dort, wo Menschen leben und schreiben, zwangsläufig zur Kryptografie führen." (David Kahn, The Codebreakers)

Im Zeitalter des "gläsernen Menschen", dessen Daten nicht nur von verschiedensten Institutionen gesammelt, sondern auch unter Verschluss gehalten werden und dabei unerreichbar, unkontrollierbar und für den Einzelnen nicht steuerbar sind, erlangt die Privatsphäre eine neue Bedeutung. Die Ironie hierbei ist, dass genau diejenigen, die Kryptografie zum Schutz der Privatsphäre fordern, denselben Forschern und Institutionen vertrauen müssen, die auch die Methoden zur Erschaffung des gläsernen Menschen entwickelt haben.

Beim Thema Teledemokratie wird klar, dass Kryptografie und Demokratie einen engen Bezug zueinander haben. Die Bevölkerung kann ihre Reaktionen auf bestimmte staatliche Institutionen und Entscheidungen bereits vielfach im Internet abgeben. Viele bürokratische Pflichten können ebenfalls über das Internet erfüllt werden. Am 8. Februar 2000 wurden die weltweit ersten Wahlen via Internet durchgeführt, die Wahlen des Studentenausschusses an der Universität Osnabrück. Das Projekt namens i-vote (Externer Link: www.internetwahlen.de), das eine Vorlaufzeit von 10 Monaten hatte, schrieb Geschichte. Um ein korrektes Ergebnis zu erzielen, wurden – ähnlich wie bei der digitalen Signatur – mehrere verschiedene Verschlüsselungsprozesse gleichzeitig eingesetzt. Des weiteren wurden eine Blende zur Anonymisierung der Stimme und ein virtueller Stimmzettel verwendet, der ebenfalls verschlüsselt werden musste, da einfache E-Mails zurückverfolgt werden können. Die Verwendung von Kryptografie in einer Teledemokratie hat sich als unumgänglich erwiesen. Aber wird dadurch im Gegenzug auch die Entwicklung der Kryptografie geöffnet und demokratisiert werden? Oder ist eher zu erwarten, dass staatliche Einschränkungen und Kontrollen dann noch weiter verschärft werden?

Der Algorithmus als Code nimmt die Verschlüsselung vorweg. Als Alan Turing an seiner als Turing-Maschine bekannt gewordenen Variation des Perpetuum mobile arbeitete, schwebte ihm ein Computer vor, dessen Konstruktion nicht unabhängig von den mit ihm durchgeführten Arbeitsprozessen sein sollte, sondern von diesen ständig beeinflusst und neu gestaltet wurde. Die Maschine wurde so gewissermaßen zu ihrem eigenen Algorithmus – was eine Neuinterpretation von Dialektik erforderlich machte. Nicht zuletzt deswegen hat die Turing-Maschine das philosophische Denken inspiriert.

Genau hier berührt die theoretische Arbeit zu Verschlüsselungssystemen die Frage nach der modernen Demokratie, die Unterscheidung zwischen privat und öffentlich, indem der Anwender immer Teil des technischen Arrangements wird: Die lange verwendeten Begriffe rund um Demokratie sind im Zusammenhang mit Kryptographie nicht mehr brauchbar. Man könnte sagen, das Internet sei eine private Angelegenheit. Mit demselben Anspruch auf Richtigkeit ließe sich das Gegenteil behaupten. Dennoch sind beide Sätze falsch. Niemals kann man im Internet gänzlich privat sein; ebenso wenig öffentlich im klassischen Sinne. Der virtuelle Raum lässt beides nicht mehr zu. Die ursprünglich gängigen Begriffe und deren ursprüngliche Bedeutungen lösen sich im virtuellen Raum bis zur Unkenntlichkeit auf.

Die Kryptografie, die zum Schutz der Privatsphäre eingesetzt wird, kann keine absolute Privatsphäre gewährleisten, da ihre Entwicklung beständig von der großen Gefahr eines Entschlüsselungsversuchs überschattet wird. Spätestens mit dem bereits entstehenden Quantencomputer werden die Muster der verschlüsselten Information nicht mehr sichtbar sein. Gleichzeitig scheinen die genauen Bedeutungen von sozialen Beziehungen zu verschwimmen. Die Demokratie braucht etwas, worauf sie sich stützen kann, einen Bezugsrahmen, genau wie sie das Private und das Öffentliche braucht. Dennoch entspringt der Bedarf an Kryptografie, Information und Entschlüsselung unserem Bedürfnis nach Privatsphäre einerseits und unserer Neugierde andererseits. Dabei gibt es einen wesentlichen Unterschied zwischen dem Schutz der Privatsphäre und der Geheimhaltung: "Die Privatsphäre ist für eine offene Gesellschaft im elektronischen Zeitalter notwendig. Privatsphäre ist nicht gleichzusetzen mit Geheimhaltung. Eine Privatangelegenheit ist etwas, bei dem man nicht will, dass es die ganze Welt weiß, aber eine geheime Angelegenheit ist etwas, von dem man nicht will, dass es irgendjemand weiß. Privatsphäre ist die Macht, sich der Welt selbstbestimmt und selektiv zu öffnen."

Zukunftsaussichten

Wissenschaftler arbeiten intensiv an der Entwicklung des Quantencomputers und an der Quanten-Kryptografie. Gleichzeitig ist es vorstellbar, dass in den nächsten Jahren auch eine Revolution in der Kryptografie auf uns zukommen wird. Wenn diese Meilensteine erreicht sind, werden unsere jetzigen Hardware- und Software-Werkzeuge im wahrsten Sinne des Wortes alt aussehen. Die Auswirkungen der neuen Werkzeuge auf die Kryptografie und auf demokratische Entwicklungen sind derzeit noch nicht absehbar; wir sollten uns gleichzeitig auf das Beste und das Schlimmste gefasst machen. Eine gewisse Portion Pessimismus und Verfolgungswahn sind wahrscheinlich die richtige emotionale Mischung, um diesen Entwicklungen zu begegnen, besonders seit den Ereignissen des 11. September 2001, die einer Politik Vorschub geleistet haben, die die Überwachung favorisiert. Dennoch ist noch offen, ob die Wissenschaft im Dienste der demokratischen Freiheiten arbeitet oder nicht.

Die zunehmende Geschwindigkeit in der Datenübertragung wird eine ebenso zunehmende Geschwindigkeit der Entwicklung von Verschlüsselungsmethoden erfordern. Wir leben in einer Gesellschaft, in der Arbeit und Privates immer stärker zusammenwachsen. Gegen diesen Prozess kann auch die Kryptografie nichts ausrichten. Die Fragen zum Schutz der Privatsphäre gehen über den technologischen Bereich hinaus und sind eng verbunden mit Menschenrechtsfragen, die letztlich den Kern wahrhaft demokratischer Politik ausmachen.

Fussnoten

Fußnoten

  1. Online-Dokumentationen: www.iwm.org.uk/online/enigma/eni-intro.htm, www.codesandciphers. org.uk/lorenz/fish.htm

  2. Für weitere Informationen zur Geschichte der Kryptografie vgl. http://cryptome.org/ukpk-alt.htm

  3. Mehr Informationen zu Steganographie: http://home.att.net/~tleary/

  4. http://www.epic.org/crypto/OECD/

  5. vgl. dazu: www.epic.org/crypto/clipper

  6. Weitere Informationen dazu unter: www.cdt.org/crypto/new2crypto/3.shtml. Die letzte Textversion der neuen amerikanischen Verschlüsselungsregulierung: www.cdt.org/crypto/admin/ 000110cryptoregs.shtml

  7. Mehr dazu: http://www.cdt.org/crypto/risks98/

  8. www.politik-digital.de/e-demokratie/forschung/wahlen.shtml

  9. Cypherpunk´s Manifesto, http://www.activism.net/cypherpunk/manifesto.html