Die Bedeutsamkeit der Kryptographie im Umgang mit sensiblen Daten ist mittlerweile im Bewusstsein vieler Menschen angekommen. Dieser Beitrag soll einen kurzen Überblick über die Gründe geben, warum man sich trotz bester Absichten und dem Wunsch nach sicherer Verschlüsselung häufig durch leere Marketingversprechen in falscher Sicherheit wiegt und worauf als Anwender zu achten ist.
Der Inhalt im Überblick
Military-Grade Encryption – Das US-Militär wird’s wohl wissen
Einige Hersteller diverser Produkte werben etwa mit der Verwendung von „military grade encryption“ (zu Deutsch etwa „Verschlüsselung nach militärischem Standard“). Gemeint ist hiermit die Verschlüsselung nach dem „Advanced Encryption Standard“ (AES), der durch das National Institute of Standard and Technology (NIST) im Jahr 2000 als der US-Amerikanische Standard für Verschlüsselung festgelegt worden ist. In diesem Zusammenhang wird manchmal auch von „AES-128“, „AES-192“ oder „AES-256“ gesprochen, wobei die angehangene Zahl die verwendete Schlüssellänge angibt und damit letztendlich den benötigten Aufwand bestimmt, einen solchen Schlüssel zu erraten. Wobei nach aktuellem Stand keine der drei genannten Varianten mit den aktuell verfügbaren Rechenkapazitäten zu knacken wäre. Ein 128-bit langer Schlüssel bedeutet effektiv 2128 mögliche Schlüssel, die es zu probieren gilt. Spätestens seit der Covid-Pandemie ist allgemein bekannt in welchen Dimensionen sich exponentielles Wachstum bewegt und dementsprechend riesig ist auch diese Zahl: 2128 = 340.282.366.920.938.463.463.374.607.431.768.211.456.
Das offene Fenster neben der verschlossenen Tür
Wenn aber doch die Verschlüsselung nach lang bekannten Standards in der Regel so schwierig zu knacken ist, wo genau bestehen dann Risiken? Das wohl häufigste Problem ist, dass diese Verschlüsselungsalgorithmen nicht im luftleeren Raum existieren. In der Regel sind sie nur ein kleiner Teil eines komplexen Systems, das außerhalb des eigentlichen Verschlüsselungsalgorithmus viel Fläche für potenzielle Angreifer bietet. Außerdem kann auch die konkrete Implementierung eines sicheren Verfahrens fehlerbehaftet sein, wodurch diese Implementierung dann eben nicht die Sicherheit des zugrundliegenden Verfahrens bietet.
So zeigte erst kürzlich der Sicherheitsforscher Matthias Deeg, dass ein vermeintlich sicherer Verbatim-USB-Stick („Verbatim Keypad Secure“), der ebenfalls mit der Verwendung von AES-256 warb, relativ schnell geknackt werden kann. Gelungen ist ihm dies durch das Finden einer Methode, mit der er automatisiert die vom Nutzer einzugebenden 5-stelligen PIN-Codes durchprobieren konnte, ohne diese tatsächlich auf dem USB-Stick selbst durchprobieren zu müssen (sog. offline Brute-Force-Attacke). Das Probieren von PIN-Kombinationen sollte eigentlich nach 10 fehlerhaften Versuchen zum Zurücksetzen des USB-Sticks führen, was ebenfalls nicht korrekt funktionierte. Alle möglichen Ziffernkombinationen eines 5-12 langen Zifferncodes, sind dann schnell durchprobiert.
Was ist dann noch sicher?
Da die Schwachstellen bei der Verwendung von Verschlüsselung in der Regel nicht in der Verschlüsselung selbst liegen, stellt sich die Frage, wodurch man als Anwender die Sicherheit eines Produktes oder Dienstes denn nun bewerten kann? Die Antwort auf diese Frage ist kompliziert. Man darf nicht dem Irrglauben anheimfallen, dass ein Produkt vollkommene Sicherheit bietet, nur weil es beispielsweise eine bestimmte Zertifizierung besitzt, einen besonderen Standard umsetzt oder mit einem möglichst technisch klingenden Schlagwort beworben wird. Auch wenn es stimmen mag, dass der entsprechende Standard, oder die entsprechende Verschlüsselung (wie hier die Verschlüsselung nach AES), für sich genommen durchaus sinnvoll ist. Insbesondere quelloffene Umsetzungen sind nach allgemeinem Konsens der Industrie zu bevorzugen, weil deren technische Umsetzung von anderen Experten eingesehen und damit auch gegengeprüft werden kann.
Abschließend lässt sich festhalten, dass die absolute Sicherheit in komplexen Systemen schlicht nicht existiert und das Herunterbrechen auf Schlagwörter in diesem Zusammenhang schädlich sein kann, weil sie dem Anwender ein falsches Gefühl der absoluten Sicherheit suggeriert.