«US-Politik behindert Mailverschlüsselung»

Maurer:Klar nutze ich E-Banking. Die von den Banken verwendeten Systeme sind technisch sicher. Das Problem sind vielmehr die PC-Benutzer, die sich unsicher verhalten oder die zwischengeschaltete Attacken nicht erkennen und einschätzen können. Hier herrscht noch Aufklärungsbedarf.

Ich behaupte nicht, die Systeme der Schweizer Finanzwelt seien absolut sicher. Dafür müssten nicht zu rechtfertigende Summen investiert werden. Die Banken handeln durchaus pragmatisch und schauen bei den Aufwendungen für Security auch auf die Konkurrenz. Aber als jemand, der selbst schon Gutachten für Banken erstellt hat, stelle ich fest: Die Systemabsicherung in der Schweiz hat einen guten Stand.

Sicherheit ist ein Schwerpunkt an der ETH und es gibt Kooperationen zwischen der ETH und der Wirtschaft. So sind IBM und Credit Suisse an der Finanzierung des ZISC (Zurich Information Security Center) beteiligt. Ich habe auch Kollegen, die angewandte Forschungsprojekte im Bereich Sicherheit haben. Ich selbst habe viele Kontakte zur Wirtschaft, aber eher im Bereich Knowhow-Transfer. In der eigent-lichen Forschung überwiegt in meiner Gruppe die Grundlagenforschung, deren Anwendungen in der Zukunft liegen. Daher sehe ich meine Forschungsgruppe nicht primär als Beratungsfirma für die Wirtschaft, weshalb ich Mitarbeiter auch nicht nach ihren Qualifikationen als Berater auswähle. Meine Gutachten für Banken habe ich nicht als ETH-Vertreter, sondern als Privatmann erstellt.

Sehr. Praktisch ist überall Verschlüsselungstechnik am Werk. Wenn Sie etwa mit Ihrer EC-Karte beim Bankomaten Geld beziehen, läuft diese Kommunikation chiffriert ab. Ein Beispiel, das belegt: Kryptographie ist dann am wirksamsten, wenn sie der Benutzer nicht spürt.

Nein. Auch in der Finanzwelt werden viele Mails unverschlüsselt verschickt. Meine These ist: Es liegt nicht an den Algorithmen. Die sind längst vorhanden und ausgereift. Vielmehr gibt es Institutionen, sprich Geheimdienste, die nicht wollen, dass der E-Mail-Verkehr abgesichert wird. Vor allem die US-amerikanische Regierung und Politik haben dies bislang verhindert. Sonst könnte man heute E-Mails problemlos verschlüsseln und ein standardisiertes Verfahren wäre in allen E-Mail-Programmen integriert. Auch sollte, meiner Vermutung nach, das langjährige Exportverbot von PGP (Pretty Good Privacy) nicht primär den Export verhindern. Der fand so oder so statt. Vielmehr bestand die Strategie wohl darin, die Teilnahme der US-amerikanischen IT-Industrie am Standardisierungsprozess zu verhindern. Aus denselben Gründen fehlt auch der politische Wille, ein globales System für die Verwaltung der öffentlichen Schlüssel aufzubauen. Das Fehlen einer weltweiten Public Key Infrastructure (PKI) ist der zweite Hemmschuh, weshalb sich Verschlüsselung beim E-Mail-Verkehr noch nicht durchgesetzt hat. Dabei zeigt das Beispiel SSL (Secure Socket Layer), dass man sich durchaus auf Standards einigen kann. Jeder verwendet SSL, wenn er online einkauft, und zwar ohne dass er sich dessen bewusst ist. Genau so sollte E-Mail-Verschlüsselung künftig auch ablaufen.

Hier muss zunächst klar sein, dass es zwei Typen von PKI gibt. Erstens jene für den Austausch von Schlüsseln. Deren Problematik habe ich ja gerade angesprochen. Zweitens jene für digitale Signaturen ...

Ja. Aber was heisst das? So wie diese Gleichstellung heute rechtlich wie technisch verstanden wird, hinkt der Vergleich mit der klassischen Unterschrift. Ich habe mich intensiv mit dem Thema befasst und komme zum Schluss: Es ist zu simpel, einfach per Gesetz die Gleichstellung einzuführen. Dazu hat das Konzept noch zu viele logische Ungereimtheiten. Hauptgrund: Eine handschriftliche Unterschrift gibt es in der physischen Welt. Die digitale Signatur hingegen ist nur eine Abfolge von Bits und existiert in diesem Sinn nicht in der realen Welt. Sie können nicht feststellen, von welcher Smartcard so ein Bitstring erzeugt wurde. Der Richter hat nur eine Zahl vor sich - und nicht eine Unterschrift, bei der er Sie noch fragen kann, ob Sie diese tatsächlich geleistet haben. Bei der digitalen Signatur geht das nicht, denn die haben Sie ja nicht wirklich erzeugt. Sie haben vielleicht an einem Punkt mit der Maus auf «OK» gedrückt. Aber das ist nicht die Frage des Richters. Diesbezüglich muss noch nachgebessert werden. Darum arbeitet die Forschung an Verfahren, bei denen schluss-endlich irgendetwas physisch Fassbares vorliegt.

Er hat natürlich recht. Aber wir müssen zwei Schlüsselarten auseinander halten: die symmetrischen und die asymmetrischen Verfahren. Die symmetrische Verschlüsselung, bei welcher nur Sender und Empfänger den Schlüssel kennen, ist sehr sicher.

Der 128-Bit-AES-Schlüssel gleicht einem Zahlenschloss mit 128 Rädchen. Theoretisch müssen alle 2 hoch 128 möglichen Zahlenkombinationen durchprobiert werden, um ihn zu knacken. Dafür müssten alle Computer dieser Welt Milliarden Jahre lang rechnen. Und selbst wenn dies gelingen würde, könnten Sie einfach einen 256-Bit-Schlüssel nehmen, bei dem es mehr Möglichkeiten gibt als Elementarteilchen im Universum existieren.

Die Public-Key-Verfahren indes basieren darauf, dass es viel einfacher ist, Primzahlen miteinander zu multiplizieren, als die dadurch erhaltene Zahl wieder in ihre Faktoren zu zerlegen. Das stimmt zwar - aber Sie können nie ganz sicher sein, dass nicht irgendein Mathematikgenie ein Verfahren findet, mit dem sich die Zahlen schneller als heute denkbar faktorisieren lassen. Sollte dies geschehen, erleben wir einen Krypto-GAU. Denn ein beträchtlicher Teil der Wirtschaft basiert auf öffentlichen Schlüsseln. Digitale Signaturen beispielsweise würden dann wertlos.

Wir suchen nach Alternativen zur Faktorisierung. Dazu gehört beispielsweise das Elliptische-Kurven-Kryptosystem, das auf diskreten Logarithmen basiert und daher mit kleineren Schlüsseln die gleiche Chiffrierleistung erbringt. Dennoch ist das Verfahren mit der Faktorisierung entfernt verwandt. Für einen Quantencomputer - sollte es ihn je geben - wäre es ein Leichtes, diese Krypro-syteme zu knacken. Darum forschen wir zusätzlich an Systemen, die von ihrer Anlage her selbst von Quantencomputern nicht geknackt werden können. Wir wollen ein System beschreiben, das beweisbar auch mit aller nur erdenklichen Rechenkraft nicht zu knacken ist.

Eine Möglichkeit ist die Verwendung von Information, die auch einem Angreifer nur teilweise zugänglich ist. Etwa die von Quasaren im All ausgesandten Signale, die auf der Erde nur mit einer gewissen Fehlerrate empfangen werden können. Dadurch kann ein beweisbar sicherer Schlüssel erzeugt werden. Ein weiteres Thema ist die Quanten-Kryptographie, also das Ausnutzen der Eigenschaften der Quantenphysik für die Chiffrierung. Und natürlich arbeiten wir daran, konventionelle Chiffrierverfahren zu entwickeln, für die wir nicht nur den heuristischen, sondern den mathematischen Beweis erbringen können, dass ein Angreifer Jahrmilliarden brauchen würde, um den Code zu knacken.