Sichere Verschlüsselung kann die NSA nicht knacken
In den Medien verbreitet sich die Meldung, dass selbst Verschlüsselung gegen die Überwachung der NSA nicht hilft. Das ist falsch. Mal abgesehen davon, dass genaue Informationen gar nicht bekannt sind, wird auch die NSA als sicher anerkannte kryptographische Verfahren nicht brechen können. Die Verfahren auf dem Niveau von RSA und AES sind weiterhin sicher und nicht zu knacken. Die Möglichkeiten auch der NSA sind begrenzt. Hunderte oder Tausende Mathematiker und Kryptologen irren nicht. Eher scheitern die Medien an einer sachlichen Berichterstattung bei diesem schwierigen Thema.
Dennoch sind die Möglichkeiten der NSA enorm. Sie werden mindestens auf folgende Möglichkeiten besitzen:
- Einholung kryptographischer Schlüssel von Firmen in den USA
- Brechen unsicherer kryptographischen Verfahren
- Aufkauf und Suche nach Sicherheitslücken
Die drei Punkte haben natürlich weittragende Konsequenzen, sind aber in Kreisen der IT-Security auch nichts neues. Der erste Punkt ist nur eine logische Konsequenz und dass man unsichere Verschlüsselungsverfahren brechen kann, ist nun wirklich keine Nachricht wert. Man kann natürlich auch Sicherheitslücken in Software suchen und/oder auf dem Schwarzmarkt einkaufen. Das ist auch nichts neues und es wäre eher verwunderlich, wenn Geheimdienste diese Möglichkeit nicht nutzen würden.
Offen bleibt jedoch die Frage, ob die NSA über bewusste Backdoors in Betriebssystemen und Software verfügt. Möglich ist alles. Ob es wahrscheinlich ist? Ich persönlich bezweifle es. Sicherheitslücken und Backdoors lassen sich in Open-Source-Software schwer verstecken und selbst bei reinen Closed-Source-Software-Produkten wie Windows können Sie sich finden lassen. Schwierig, aber nicht unmöglich. Bisher wurde von keinem Fall bekannt, der auch bestätigt ist. Sodass man eigentlich davon ausgehen muss, dass man bei einem Einsatz von z.B. Windows weiterhin auf der sicheren Seite ist.
Anders sehe ich es bei dem Themenfeld HSM (Hardware Security Modul), bei denen Verschlüsselung in Hardwarekomponenten durchgeführt wird. Hier gestalten sich die Analyse und der Nachweis von bewussten Lücken noch schwieriger. Wer ausreichend Paranoid ist, sollte den Einsatz von amerikanischen HSM-Produkten überdenken. Für den Privatmenschen spielt dieser Bereich jedoch keine Rolle.
Verschlüsselung ist sinnvoll. Daran kann auch die NSA nichts ändern.