Barack Obama und das Problem mit Geheimnissen.

Wann/Date: 2010-10-26 19:00:00 – 2010-10-26 23:00:00
Ort/Location: Raum D, quartier 21, MQ Museumsplatz 1, 1070 Wien

Referenten: Rene Pfeiffer und Michael Kafka, beide Deepsec.

Vor der Einführung des Internets war die Absicherung von Unternehmensinfrastruktur und -kommunikation durch Schlösser, Alarmanlagen und dem Vertrauen in staatliche Post- & Telekomdienste gegeben.

In Zeitalter globaler Vernetzung, wo Kommunikationswege quer durch das Internet verlaufen und Infrastruktur in virtuellen Speichern und Clouds liegt muss Sicherheit und Vertraulichkeit durch eigenes Zutun, wie Verschlüsselung und Virenschutz erreicht werden. Statt Alarmanlagen schützen Firewalls vor Eindringlingen.

Metternich war legendär für seine fleißigen Beamten, die die Post durchstöbert und mitlesen haben. Im Zeitalter der Elektronik fehlen jedoch diese einfachen Lösungen, der Wunsch über seine Untertanen informiert zu sein blieb den Mächtigen jedoch.

Daher verlangen Regierungen und Geheimdienste jetzt nach Master Passwörtern für Verschlüsselungen und nach Hintertüren durch die Firewalls.

Aktueller Stein des Anstoßes ist der „Wiretapping Bill”, der von der Obama Administration gefordert wird. Man möchte in der Lage sein jegliche elektronische Kommunikation per Erlaß abhören zu können - transparent ohne Kenntnis von Sender und Empfänger. Das betrifft:

• E-Mails,
• transmittierte Dokumente,
• Skype,
• RIM Blackberry Geräte,
• soziale Netzwerke,
• Instant Messenger,
• Kommunikation mit Webservern,
• Cloud Storage,
• VPN Tunnel

und vieles mehr.

Das Gesetz macht dabei keinen Unterschied, ob ein Dienst Verschlüsselung einsetzt oder nicht. Wenn Verschlüsselung vorliegt, so sind Maßnahmen zu treffen, um das Abhören zu ermöglichen. Die Konsequenzen sind weitläufig, und das Gesetz steht Grundsätzen von Sicherheitsarchitekturen damit diametral entgegen.

Letztlich versucht die Obama Administration damit ein Konzept der Clinton Ära neu aufzulegen. Damals ging es um Hinterlegung von kryptographischen Schlüsseln („key escrow”) zwecks Zugriff durch Behörden. Key Escrow taucht immer mal wieder auf, aber letztlich sprechen sich die Kryptographen (Bruce Schneier, John Gilmore, Ross Anderson, Steven M. Bellovin, Ronald L. Rivest, et. al) immer dagegen aus, weil damit generell keine sichere Kommunikation mehr möglich ist

„A variety of „key recovery,” „key escrow,” and „trusted third-party” encryption requirements have been suggested in recent years by government agencies seeking to conduct covert surveillance within the changing environments brought about by new technologies. This report examines the fundamental properties of these requirements and attempts to outline the technical risks, costs, and implications of deploying systems that provide government access to encryption keys.”

Die EU empfahl daher schon 1999 Kommunikation entsprechend abzusichern und keine Möglichkeiten des Abhören mit einzuplanen.

* Hintergrundlektüre *

• Star Tribune: Wiretapped phones, now Internet?
• EU zu den Gefahren des Mißbrauchs von Überwachungstechnologien:
• Der Kryptograph Bruce Schneier zu „Key Escrow”
• Wikipedia.org: Key Escrow