FGSec Logo Cryptographic Key Recovery
Ein Beitrag zur Entspannung der Kryptographiediskussion

07.05.1999

Autorenteam:

U. Belser, B. Federspiel, Th. Kessler, Ch. Kobel, D. Maurer, R. Oppliger, M. Schnyder, A. Thorn, G. Trenta, H. Walter

Disclaimer:

Das vorliegende Dokument gibt ausschliesslich die Meinung der Autoren wieder und stellt keinen offiziellen Standpunkt der Schweizer Informatiker Gesellschaft (SI) oder der SI Fachgruppe Security dar. Angaben über Produkte und Hersteller stellen keine Empfehlung oder Bewertung dar.


Inhalt

Einleitung

Im Frühjahr 1997 stellen sich einige Mitglieder der Fachgruppe Security der Schweizer Informatiker Gesellschaft die Aufgabe, die Tauglichkeit verschiedener Initiativen zur Neuregelung der Anwendung kryptographischer Verfahren kritisch zu beurteilen. Sie gründen eine Arbeitsgruppe unter der Bezeichnung Key Recovery, die es sich zum Ziel setzt, ein Textdokument zu verfassen, das die komplexe Materie in anschaulicher Form erklären und damit zur Entspannung in einer recht heftig und polarisierend geführten Debatte beitragen soll.

Oftmals, so der allgemeine Eindruck, stehen sich in dieser Debatte Kontrahenten gegenüber, die nur unzureichend über die technischen Möglichkeiten und praktischen Konsequenzen moderner Kryptographie orientiert sind. Vielleicht vermag ein nüchterner Beschrieb der Key Recovery Verfahren, ergänzt durch juristische und gesellschaftliche Aspekte, ein wenig vom schlechten Ruf wegbringen, mit dem die kryptographische Schlüsselhinterlegung behaftet ist.

Selbstverständlich wäre aus Sicht der Anwender kryptographischer Verfahren ein vollständiger Wegfall von Exportbeschränkungen und anderen Hemmnissen die einfachste Lösung. Nach Ansicht der Arbeitsgruppe ist dies aber wenigstens kurzfristig eine unwahrscheinliche Entwicklung. Zu verhärtet dazu sind inzwischen die Fronten.

Es stellt sich die Frage, ob Key Recovery einen Beitrag zur Lösung des Interessenkonfliktes zwischen den Anwendern (Schutz vertraulicher Informationen) und Behörden (Strafverfolgung und Staatssicherheit) leisten kann. Anlass dazu sind Absichtserklärungen der US Administration, der Wirtschaft den für die Nutzung globaler Kommunikation unverzichtbaren Zugang zur kryptographischen Technologie zu ermöglichen und Wettbewerbsnachteile der amerikanischen Hersteller solcher Produkte zum Beispiel durch Exportrestriktionen zu beseitigen.

Im Bewusstsein um die technischen, rechtlichen und politischen Probleme von Key Recovery, und unter der Einschätzung, dass sich speziell die Regierung der USA einer vollständigen Liberalisierung des Handels mit kryptographischen Produkten widersetzen wird, will die Arbeitsgruppe Auswirkungen von Key Recovery speziell für die Wirtschaft untersuchen:

Welche Risiken und Nachteile muss eine Firma in Kauf nehmen, wenn sie Key Recovery als Preis für den Einsatz starker Kryptographie akzeptiert?

Die entsprechende Gesetzgebung ist im US Kongress hart umstritten. Dabei zeichnet sich ab, dass die Befürworter des Key Recovery dazu neigen, die Regulierung der Kryptographie durch neue Gesetzgebung eher einzuengen als zu lockern. So gibt es Anstrengungen, auch den sogenannten Domestic Use, die Anwendung der Kryptographie innerhalb der USA und weltweit durch amerikanische Firmen, einem Key Recovery Verfahren zu unterwerfen. Da diese Anwendungen bisher keinen Restriktionen unterworfen waren, opponieren amerikanische Firmen vehement gegen dieses Vorhaben.

Momentan scheinen Liberalisierungsbestrebungen wieder im Vordergrund zu stehen. Die Clinton Administration will Key Recovery Lösungen weiterhin bevorzugen, aber nicht mehr zwingend einfordern. Erste Entwürfe für Verordnungen geben dennoch Anlass zur Frage, ob die Umsetzung den Absichtserklärungen des Weissen Hauses gerecht werden kann. Verschiedenes deutet darauf hin, dass diese Verordnungen hauptsächlich auf die Wünsche der Strafverfolgung und des Staatsschutzes ausgerichtet sind.

Die ungewisse Situation verhindert, dass die für ein funktionierendes Key Recovery unabdingbare Infrastruktur aufgebaut wird. Nur wenige amerikanische Hersteller - ein Beispiel ist Lotus - bieten die für ihre kryptographischen Produkte notwendige Dienstleistung an, wobei die Gefahr besteht, dass die Recovery Information exklusiv der amerikanischen Rechtsprechung untersteht.

Heute - mehr als ein Jahr nach der Gründung der Arbeitsgruppe - zeichnet sich ab, dass der Kompromiss Key Recovery in absehbarer Zeit den Interessenkonflikt kaum zu lösen vermag, zumal die amerikanischen Vorstellungen auch bei der EU auf Skepsis stossen. Nur die weitere Entwicklung kann zeigen, ob Key Recovery langfristig doch noch einen Lösungsansatz bieten wird. Allenfalls können individuelle Regelungen für grosse Konzerne, basierend entweder auf einer Self Escrow Vereinbarung oder einer individuellen Exportlizenz unter Beteiligung eines Herstellers im Einzelfall Lösungen bieten.

Trotz dieses ernüchternden Befundes entscheidet sich die Arbeitsgruppe, ihren Beitrag zur Debatte zu veröffentlichen. Noch immer sind wir der Meinung, dass sich die Beschäftigung mit der Thematik lohnt, und sei es auch nur, weil man dadurch in die Lage kommt, sie besser zu verstehen und damit objektiver zu beurteilen.

Die Debatte um die Anwendung kryptographischer Verfahren zeigt schlussendlich, dass sich Informatikerinnen und Informatiker heute nicht mehr leisten können, im fachspezifischen Elfenbeinturm zu verharren. Vielmehr sind sie aufgefordert, ihre Technik in der Öffentlichkeit zu erklären und dazu Stellung zu nehmen!

Ausgangslage

Die Problematik

Die weltweite Kommunikation zwischen den vernetzten Datensystemen international tätiger Konzerne und im Internet ist ohne den Schutz der Vertraulichkeit durch Verschlüsselung nicht mehr zu verantworten. Anderseits vereitelt dieser Schutz den Zugriff der Strafverfolgungsbehörden und der Nachrichtendienste. Aus diesem Grund wenden verschiedene Staaten Exportkontrollen an, um die Verbreitung kryptographischer Produkte möglichst einzuschränken.

Seit einiger Zeit hat sich die Erkenntnis durchgesetzt, dass diese letztlich auf Verweigerung basierende Politik aus verschiedenen Gründen nicht mehr zweckmässig ist:

Deshalb suchen verschiedene Staaten nach einem Kompromiss, der wirtschaftlichen Schaden abwendet und zugleich die Interessen der Strafverfolgung und des Staatsschutzes angemessen berücksichtigt.

Besonders wichtig für die Anwender sind die Regelungen der USA, da wichtige Anbieter von Hardware und Software mit integrierten kryptographischen Produkten dort ihr Firmendomizil haben. Dabei zeigt sich, dass seit längerem gültige Vereinbarungen in letzter Zeit in mehreren Schritten modifiziert worden sind.

Die wichtigsten Änderungen in den US-Regelungen

Entsprechende Massnahmen sind in folgenden Bereichen eingeleitet worden:

Es folgt eine Auflistung der wichtigsten Änderungen1, wobei davon ausgegangen werden muss, dass Gesuche für Exportbewilligungen in der Regel von den Herstellern der zu exportierenden Güter gestellt werden, d.h. dass nicht der Anwender dieser Güter in direkten Kontakt mit den US-Behörden tritt, obwohl die Regelungen teilweise anwenderspezifisch sind.
 
  Frühere Regelung2 Neue Regelung
Zuständigkeit für Exportbewilligungen Aussenministerium Handelsministerium
Lizenztyp Allgemein erhältlich für schwache Kryptographie (40 Bit) 

> 40 Bit: 

Individuell für Benutzer und Verwendungszweck

Allgemein erhältlich für schwache Kryptographie (40 Bit) 

> 40 Bit: 

Bis 31.12.98: Allgemein erhältlich für 56 Bit Kryptographie3

Nach 31.12.98: Allgemein erhältlich für Key Recovery Produkte 

Individuell für andere Produkte

Benutzer mit Aussicht auf Lizenzerteilung Banken, US und kanadische Unternehmen und deren 100% Tochtergesellschaften Allgemein4
Generelles Verbot Unternehmen oder Repräsentanten von durch USA mit Embargo belegten Ländern. Keine Änderung.

Die erstaunlichste Konsequenz der neuen Regelungen ist, dass ab 1999 Exportlizenzen nur noch für Key Recovery Produkte gewährt werden sollen. US und kanadische Unternehmen könnten dabei ihre Privilegien verlieren. Allerdings zeichnet sich nach einer kürzlich erfolgten Presseerklärung des Weissen Hauses ab, dass die Clinton Administration nicht auf der Durchsetzung dieser Regelung beharren wird, wenn sie auch weiterhin Key Recovery Lösungen bevorzugt behandeln möchte.5

Wirkungsbereich der Exportlizenzen

Nicht wirksam sind die amerikanischen Exportbeschränkungen für in anderen Ländern hergestellte und nicht von amerikanischen Firmen vertriebene Produkte. Hier sind die jeweiligen Ursprungsländer zuständig. Als Richtlinien dient das Wassenaar Abkommen über Exportkontrollen, welches die nicht mehr existierenden COCOM Bestimmungen aus der Zeit des Kalten Krieges ersetzt hat. Da diese Richtlinien nicht auf Produktlisten basieren, ist in der Interpretation einiger Spielraum vorhanden. Andererseits verpflichten sich die Signaturstaaten, darunter auch die Schweiz, zur gegenseitigen Konsultation und verzichten auf die Erteilung von Exportgenehmigungen für Geschäfte, für die anderswo die Bewilligung bereits verweigert wurde. Dies schränkt den Spielraum unabhängig vom Herstellungsland ein, auch wenn eine liberalere Bewilligungspraxis, vor allem für die einheimische Industrie und ihre Tochterunternehmen im Ausland möglich ist.

Auf den ersten Blick könnte sich die Möglichkeit eröffnen, durch Rückgriff auf nationale Produkte das Problem der restriktiven Vergabe von Exportlizenzen zu umgehen. Dies trifft für wichtige Anwendungen nicht zu. Beispiele:

Diese Beispiele zeigen, dass nicht den Exportkontrollen der USA unterworfene nationale kryptographische Produkte den Anforderungen der vernetzten globalen Unternehmung nicht genügen können. Eine akzeptable Lösung des Problems der Exportrestriktionen ist deshalb unumgänglich.

Mögliche Lösungen

Für die Regelung der Kryptographie sind grundsätzlich drei Varianten mit verschiedenen Untervarianten möglich:

Beibehalten des Status quo

Das Festhalten an der gegenwärtigen Regelung der restriktiven Exportbewilligungen ist unserer Meinung nach auch mit einer etwas gelockerten Bewilligungspraxis keine Lösung des Problems: Die benötigte Technologie wäre einem bestimmten Anwenderkreis mit legitimen Interessen immer noch unzugänglich.

Allerdings wird in interessierten Kreisen in den USA das Beibehalten des Status Quo zuweilen jeder anderen Variante vorgezogen, weil eine Neuregelung den bisher geltenden freien Zugang zu kryptographischen Produkten für amerikanische und kanadische Firmen sowie die automatische Gewährung von Exportlizenzen für deren Tochtergesellschaften weltweit einschränken könnte. Diese Sicht lässt ausser Acht, dass gerade die wichtigsten Anwendungen nicht mehr innerhalb der Domäne der Unternehmung, sondern in einem globalen Markt liegen.

Völlige Freigabe

Gegner der Pläne der US Administration haben im Kongress Gesetzesvorlagen (zum Beispiel den Security and Freedom Through Encryption (SAFE) Act of 1997), eingebracht, welche allen Amerikanern das weltweite Recht Nutzung der Kryptographie einräumen und der Regierung Eingriffe wie die Hinterlegung von Schlüsseln ausdrücklich untersagen, dafür aber die unrechtmässige Verwendung für kriminelle Zwecke mit Gefängnis bedrohen. Exportlizenzen sind weiterhin notwendig, sind aber für kommerzielle Produkte zu erteilen, falls ein Produkte mit vergleichbarer Sicherheit von einem ausländischen Hersteller verfügbar ist.

Zweifellos ist dies die bevorzugte Lösung für einen weiten Teil von Benutzern, die andere Konzepte, vor allem die von der US Administration propagierte Lösung durch Key Recovery, überflüssig machen würde.

Etwas dazwischen (ein Kompromiss ...)

Die US Administration, unterstützt von weiteren Ländern, propagiert die Liberalisierung der Exportkontrollen verbunden mit der Auflage, dass entschlüsselte Daten aufgrund richterlicher Verfügungen der Strafverfolgung ohne Mitwirkung des betroffenen offengelegt werden müssen.

Es ist mit einer heissen Auseinandersetzung zu rechnen, da die Pläne der US Administration und die erwähnten Gesetzesinitiativen im Kongress gegensätzliche Ziele verfolgen. Wer sich letztlich im legislativen Prozess durchsetzt, bleibt abzuwarten.

Cryptographic Key Recovery - ein Kompromiss

Die erwähnte Kompromisslösung ist unter der Bezeichnung Cryptographic Key Recovery bekannt. Erste Versuche in diese Richtung wurden bereits 1993 unternommen: mit dem Clipper Vorschlag der amerikanischen Regierung.

Clipper

Der ursprüngliche Clipper Vorschlag basiert auf dem Konzept eines Hardware Chips mit fest installierter Identifikationsnummer und Master Key. Kenntnis des Master Keys erlaubt das Entschlüsseln aller mit diesem Chip verschlüsselten Daten. Der verwendete Skipjack Algorithmus wurde von der amerikanischen Regierung entwickelt und ist geheim.

Der Master Key jedes Clipper Chips wird in zwei Teilen bei Regierungsstellen hinterlegt, die auf richterliche Verfügung diese Information der Strafverfolgung oder anderen autorisierten Behörden ausliefert. Dieses Konzept der Schlüsselhinterlegung ist unter der Bezeichnung Key Escrow bekannt.

Verschiedene Merkmale dieses Vorschlages führten zu starker Opposition, zum Beispiel:

Die starke Opposition bewirkte, dass die Clipper Strategie nicht weiter verfolgt wurde.

Key Recovery

In der Folge wurden neue Vorschläge mit besseren Merkmalen entwickelt. Heute sind diese Konzepte unter dem Namen Key Recovery bekannt, da als ein wesentliches Merkmal nicht mehr notwendigerweise ein Master Key hinterlegt wird, sondern die Möglichkeit geschaffen wird, den geheimen Schlüssel mit spezifischen (unterschiedlichen) Techniken zu eruieren.

Key Recovery basiert auf den verschlüsselten Daten beigefügten Informationen im sogenannten Law Enforcement Access Field (LEAF). Diese genügen, um mit Hilfe von Recovery Agenten den Schlüssel und damit den Klartext zu ermitteln - selbstverständlich immer unter Einhaltung rechtsstaatlicher Prozeduren.

Folgende Merkmale beseitigen wichtige Vorbehalte gegenüber Clipper:

Key Recovery kann in verschiedenen Varianten realisiert werden, welche den Interessen der Benutzer und der Behörden unterschiedlich Rechnung tragen. Über 30 Verfahren wurden bereits entwickelt.

Ein minimaler Konsens ist Voraussetzung

Key Recovery ist ein Kompromiss zwischen der Forderung der Anwender nach Geheimhaltung und den Anliegen der Strafverfolgung und des Staatsschutzes. Das vorliegende Papier untersucht die Auswirkungen eines solchen Kompromisses auf die Anwender als Hilfe für das Abwägen von Vor- und Nachteilen, und möchte zu einer aktiven Teilnahme der Wirtschaft (und vielleicht sogar der einzelnen Bürgerinnen und Bürger) im gesetzgeberischen Prozess des Bundes anregen.

Damit Key Recovery funktionieren kann, ist allerdings ein minimaler gesellschaftspolitischer Konsens unabdingbar. Wir gehen davon aus, dass in der Gesellschaft ein solcher Konsens über notwendige Einschränkungen der Persönlichkeitsrechte besteht, der sich zum Beispiel in der Gesetzgebung über das Abhören von Telefonverbindungen widerspiegelt. Basierend auf diesem minimalen Konsens untersucht die Arbeitsgruppe die technischen, juristischen und wirtschaftlichen Aspekte von Key Recovery Verfahren.

Die sicherlich wichtige Diskussion, ob ein solcher Konsens für ein Gemeinwesen tragbar sei, d.h. die Diskussion über die Notwendigkeit und Ausgestaltung rechtsstaatlicher Eingriffe müssen wir dagegen berufeneren Gremien in Politik und Medien überlassen.

Anforderungen

Anforderungen der Anwender

Key Recovery ist ein Kompromiss, der sich nur durchsetzen kann, wenn die wichtigsten Interessen aller Beteiligten hinreichend gewahrt sind. Für die Anwender, vor allem die international operierenden Unternehmen, stehen der Schutz vor Industriespionage und die Wahrung von Geschäftsgeheimnissen, von vertraulichen Finanzinformationen bis zu Konstruktionsplänen und Ergebnissen aus Forschung und Entwicklung im Vordergrund. Durch rechtsstaatliche Verfahren und den Einbezug unabhängiger Organisation (Trusted Third Parties) werden diese Anforderungen auf den ersten Blick erfüllt: Die entschlüsselte Information wird nur aufgrund einer richterlichen Verfügung den berechtigten Behörden ausgeliefert. Damit sollte die Geheimhaltung gesichert sein. Mehrere Aspekte verdienen aber eine genauere Betrachtung.

Trusted Third Party: Der Anwender muss überzeugt sein, dass die mit der Abwicklung des Key Recovery beauftragten Treuhänder und sein Personal nur aufgrund einer rechtsgültigen Verfügung die ihnen anvertraute Information preisgeben. Weiter stellt sich die Frage der Haftung für Schäden, die aus widerrechtlicher Verwendung oder Weitergabe geheimer Information durch einen Treuhänder entstehen.

Technische Sicherheit: Das Key Recovery Verfahren darf die technische Sicherheit des kryptographischen Vertraulichkeitsschutzes nicht beeinträchtigen.

Internationale Kommunikation: Jeder Staat wird darauf bedacht sein, dass Trusted Third Parties unter seiner Jurisdiktion den Zugang zu allen Kommunikationen und gespeicherten Daten in seinem Hoheitsbereich ermöglichen. Damit wird die grenzüberschreitende Kommunikation zwischen zwei oder mehr Partnern potentiell vielen staatlichen Zugriffen unterstellt. Global operierende Konzerne werden fordern, dass durch den autorisierten Zugriff in einem einzelnen Land nicht alle weltweit übermittelten oder gespeicherten Daten offengelegt werden.

Verwendung der Schlüssel durch die Behörden: Die Behörden sollten aufgrund einer richterlichen Verfügung keine Informationen für die Wiedergewinnung der Schlüssel eines Anwenders, sondern nur die entschlüsselte Information erhalten.

Zeitliche Beschränkung: Zur Regelung des Zugriffs auf die Information gehört auch die zeitliche Beschränkung der Wirksamkeit richterlicher Verfügungen und die rückwirkende Einschränkung auf Informationen eines bestimmten Zeitraumes.

Wirtschaftsspionage: Das Vertrauen der Anwender in den Schutz vor Wirtschaftsspionage durch private wie durch staatliche Organisationen ist eine wesentliche Voraussetzung. Die Grenzlinie zu berechtigten Anliegen des Staatsschutzes dürfte dort unscharf sein, wo Geheimdienste für Wirtschaftsspionage eingesetzt werden. Es wird speziell darauf zu achten sein, dass die nationalen Regelungen den Geheimdiensten keine Hintertüren öffnen.

Anforderungen der Behörden

Die staatlichen Interessen müssen ebenfalls hinreichend gewahrt sein. Key Recovery leistet nur einen Beitrag zu den Zielen der Verbrechensbekämpfung und Staatssicherheit, wenn deren Anwendung durchgesetzt werden kann. Folgende Mittel können dazu eingesetzt werden:

Exportlizenzen: In Zukunft werden Exportlizenzen nur für auf Key Recovery basierende kryptographische Produkte erteilt werden. Wichtige Firmen entwickeln bereits entsprechende Produkte.

Verbote: Die Behörden könnten versucht sein, die Verwendung der Kryptographie ohne Key Recovery durch Verbote einzuschränken. Ein mögliches Mittel sind Auflagen an die Netzbetreiber, verschlüsselte Daten nur weiterzuleiten, wenn diese formell mit den Key Recovery Vorschriften im Einklang sind.

Technische Anforderungen: Die Durchsetzung staatlicher Interessen verlangt, dass die Verfahren für die Verschlüsselung gegen Manipulationen geschützt sind. Falls dies mit Softwareprodukten nicht erreicht werden kann, müsste dafür spezielle Hardware eingesetzt werden, welche die Umgehung oder Manipulation des Verfahrens verhindern.

Anforderungen an Recovery Agents: Bei Vorliegen einer rechtmässigen Verfügung muss der Recovery Agent die betreffenden Daten innert einer festgelegten kurzen Frist den Behörden zur Verfügung stellen.

Technischer Hintergrund

Definition von Key Recovery

Unter Key Recovery verstehen wir Techniken zur Wiedergewinnung eines Schlüssels, der zur Entschlüsselung von Nutzdaten notwendig ist. Dies kann durch einfache Hinterlegung einer Kopie des Schlüssels oder durch Informationen, die den verschlüsselten Daten beigefügt sind, erreicht werden. Ein simples Konzept ist das Verschlüsseln des Session Keys, mit dem die Kommunikation zwischen zwei Partnern gesichert wird, mit dem Public Key eines dritten Partners oder Beauftragten, dem sogenannten Recovery Agent. Falls notwendig kann der ausschliesslich den Partnern bekannte Session Key, der den Daten in verschlüsselter Form beigegeben ist, vom Recovery Agent mit dessen Private Key wiedergewonnen werden. Beim Recovery Agent kann es sich dabei um einen der Partner oder um einen Dritten handeln, dem beide vertrauen. Falls aber für die Wiedergewinnung die Mitwirkung einer unabhängigen Hinterlegungsstelle, einer sogenannten Trusted Third Party (TTP), angewandt wird, kann der Session Key auch ohne explizites Einverständnis der betroffenen Anwender ermittelt werden, z.B. aufgrund einer richterlichen Verfügung.

Klassifikation von Key Recovery Verfahren

Derzeit gibt es eine Reihe von technisch unterschiedlichen Verfahren zur Realisierung eines Schlüsselhinterlegungsverfahrens. Im folgenden beurteilen wir deren Vermögen, den Anforderungen der verschiedenen Interessengruppen zu entsprechen.

Aus technischer Sicht wollen wir Key Recovery in erster Linie als Funktionalität verstehen, die es ermöglichen soll, strenge kryptographische Verfahren auf den internationalen Datentransportnetzen einzusetzen. Ein zusätzlicher und wichtiger Nutzen dabei ist selbstverständlich auch, dass der Anwender verlorene Datenschlüssel wiedergewinnen kann. Für einige Anwender mag dieser Aspekt sogar Vorrang haben, besonders dann, wenn gespeicherte Daten betroffen sind.

Die Analyse der verschiedenen Ansätze wird durch Verknüpfungen einander bedingenden Merkmale erschwert. Wir versuchen, die Vor- und Nachteile besonders im Hinblick auf den Anwender zu bewerten.

Technische Alternativen

Die verschiedenen Ansätze unterscheiden sich hinsichtlich folgender Alternativen und Fragestellungen:

Angemessenheit und Eignung der unterschiedlichen Ansätze hängen auch von der Art und Weise ihres Einsatzes ab. Wichtige Fragestellungen in diesem Zusammenhang sind: Eigenhinterlegung versus Hinterlegung durch Drittpartei

Wem soll der Anwender vertrauen, wenn es darum geht, kryptographische Schlüssel zu hinterlegen?

Ein sogenanntes Self-Escrow Verfahren, bei dem die Schlüssel innerhalb der eigenen Organisation hinterlegt werden, hat offensichtliche Vorteile - insbesondere für die vertrauliche Kommunikation zwischen Gliedern eines grösseren Unternehmens oder für die Wiedergewinnung verschlüsselt gespeicherter Informationen.

Weil dabei die Regierung dem Anwender vertrauen muss, können wir davon ausgehen, dass solche Verfahren für kleinere Organisationen nicht in Frage kommen. Möglich wäre dagegen eine Art Lizenzierung von Fortune 500 Unternehmen durch staatliche Stellen, die zum Etablieren von Self Escrow berechtigen würde.

Probleme ergeben sich aber, wenn ein Self Escrow Verfahren zwischen den Unternehmen eingesetzt wird. Wenn wir davon ausgehen, dass ein solches unter Anwendung von Public Key Kryptographie realisiert wird - welches unbestreitbare Vorteile hätte, weil die betroffenen Parteien nur ein Minimum an gegenseitigem Vertrauen benötigen - würde das bedeuten, dass nur der Empfänger einer Nachricht in der Lage wäre, den Inhalt der Nachricht wiederzugewinnen. Es ist kaum anzunehmen, dass eine solche Konsequenz den staatlichen Stellen gefällt, die den Datenstrom zwischen den Organisationen kontrollieren möchten.

Weil die Alternative - nämlich dass staatliche Stellen Schlüssel in Verwahrung nehmen - den wenigsten Anwendern behagt, scheint es eindeutig am sinnvollsten, wenn eine unabhängige Stelle diese Aufgabe übernimmt, vorausgesetzt es kann eine solche etabliert werden, der alle Interessengruppen vertrauen.

Key Recovery versus Data Recovery

In einen Gerichtsfall verwickelte Anwender könnten ein berechtigtes Interesse daran haben, dass sie nur zur Wiedergewinnung von Daten zwangsverpflichtet werden können, die mit bestimmten Terminen verknüpft sind, nicht aber zur Herausgabe aller Daten.

Die Trennung der Funktionalitäten eines Schlüsselhinterlegungsverfahrens in die Wiedergewinnung der Schlüssel (= Key Recovery) und die Wiedergewinnung der verschlüsselten Daten (= Data Recovery) könnte zur Erfüllung dieser Anforderung verwendet werden.

Dabei erhält der unabhängige Data Recovery Agent den Schlüssel vom Key Recovery Agent und gleichzeitig die verschlüsselten Daten z.B. von der Staatsanwaltschaft. Nach der Entschlüsselung prüft er die Daten z.B. auf den Zeitpunkt ihrer Übermittlung und überreicht der Staatsanwaltschaft nur die geforderte Untermenge.

Ein solches Vorgehen erscheint kompliziert und hätte auch technische Konsequenzen in der Umsetzung des Verfahrens. Diese sind indessen nicht wesentlich schwieriger zu bewerkstelligen als die ohnehin komplexen Vorgänge in der Ausgestaltung von Public Key Infrastrukturen.

Hinterlegung durch mehrere Drittparteien?

Die Anzahl der für die Abwicklung des Key Recovery Vorganges beigezogenen Stellen ist sehr wichtig. Regierungen bevorzugen eine Lösung, bei der ein einziger Key Recovery Agent beigezogen werden muss, der zudem innerhalb des von der Regierung kontrollierten Raumes domiziliert sein muss. Die Konsequenz daraus ist, dass die Anwender gezwungen sind, ihre Schlüssel einer Vielzahl von nationalen Key Recovery Agents anzuvertrauen, welche alle einzeln in der Lage sind, die Schlüssel wiederzugewinnen.

Eine solche Vereinbarung ist für den Anwender absolut untragbar. Wesentlich sinnvoller ist das Splitting der Schlüssel zwischen mindestens zwei Key Recovery Agenten, wobei es alle Agenten braucht, um die Schlüssel wiederzugewinnen.

Technisch möglich sind auch sogenannte Threshold Schemes, wo eine bestimmte Anzahl (ein Schwellenwert) aus einer theoretisch unbegrenzten Anzahl von Key Recovery Agenten ihre Informationen kombinieren müssen, um eine Wiedergewinnung der Schlüssel zu ermöglichen. Weil ein solches System nur dann korrumpiert werden kann, wenn alle Agenten korrupt sind, scheint es am besten geeignet, die unterschiedlichen Interessen einander anzunähern.

Zusätzliche Schlüsselinformationen?

Es ist möglich, zwischen Key Recovery Verfahren zu unterscheiden, die jeder ausgetauschten vertraulichen Nachricht Schlüsselinformationen beifügen, oder solchen, die dies nicht tun.

Erstere verwenden einen Schlüssel pro Nachricht, der mit einer Kombination der öffentlichen Schlüssel der beteiligten Key Recovery Agenten verschlüsselt ist. Dieser ist mit zusätzlichen Informationen, die zur Identifikation des Senders und zum Verifizieren für staatliche Stellen verwendet werden können, im sogenannten Law Enforcement AccessField (LEAF) gespeichert.

Für Beispiele der mathematischen Techniken, die dieser Typus verwendet, sei auf die Webpage von Dorothy Dennings verwiesen, wo dreissig oder mehr Key Recovery Verfahren beschrieben sind.1

Digitale Unterschrift

Es ist wichtig, darauf hinzuweisen, dass Key Recovery Verfahren nur auf Chiffrierschlüssel, nicht aber auf Signaturschlüssel angewandt werden dürfen. Die Hinterlegung eines Signaturschlüssels hätte zur Folge, dass die Beweiskraft der digitalen Unterschrift verloren geht, weil der zur Bildung der digitalen Unterschrift benötigte Private Key nur dann Authentizität garantieren kann, wenn er nicht mehr als einmal existiert. Verlorene Signaturschlüssel sollen deshalb zurückgezogen (Revocation) und mit neu generierten und zertifizierten Schlüsseln ersetzt werden.

Die Konsequenz dieser Anschauung ist, dass in der Anwendung von Public Key Kryptographie (mindestens) zwei Schlüsselpaare pro Anwender erzeugt und verwaltet werden müssen, ein Schlüsselpaar für das Chiffrieren und eines für digitale Signaturen, vorausgesetzt natürlich, dass auf ein Key Recovery Verfahren nicht gänzlich verzichtet wird.

Mehrfachverschlüsselung und Steganographie

Schliesslich darf eine technische Schwäche von Cryptographic Key Recovery nicht unerwähnt bleiben. Vorderhand gibt es keine Lösung dafür, wie illegal verschlüsselte Informationen im Gewand eines legal angewandten Key Recovery Verfahrens erkannt werden können. Dass die Daten zwei- oder mehrfach verschlüsselt sind, würde erst dann bemerkt, wenn aufgrund eines richterlichen Beschlusses die Aufdeckung des Schlüssels und die Entschlüsselung der Daten vorgenommen würde.

Abgesehen von Verschlüsselung gibt es auch andere Methoden, geheime Nachrichten unauffällig in anderen Dateien zu verstecken (sogenannte Steganographie). Wer die dazu gehörende geheime Vereinbarung nicht kennt, kann möglicherweise auch nach der Entschlüsselung nicht erkennen, dass sich geheime Nachrichten in den Daten verbergen.

Wie jedes technische Problem werden allerdings auch diese beiden relativ bald eine Lösung finden. Bereits jetzt zeichnet sich ab, dass sie im Bereich der digitalen Mustererkennung liegt

Schlussfolgerung

Zusammenfassend kann man etwas überspitzt formulieren, dass jede nur denkbare Anforderung an ein Key Recovery Verfahren, was die technischen Aspekte betrifft (also Algorithmus, Schlüsselmerkmale und Key Management) erfüllbar ist - zumindest in der Theorie und weitgehend auch in der Praxis, wobei nicht vergessen werden darf, dass hohe Komplexität auch hohe Kosten bedeutet. Als Kehrseite der Medaille kann aber der Missbrauch des Key Recovery Verfahrens nicht zweifelsfrei ausgeschlossen werden. Das bedeutet, dass die Anwendung von Key Recovery starke Kryptographie einerseits schwächt, andererseits für verschiedenste Interessengruppen akzeptabel macht - ein Kompromiss eben!

Einige Produkte

Obwohl in der Theorie Dutzende von Key Recovery Verfahren beschrieben sind, haben nur wenige Produkte explizit ein solches implementiert.

Natürlich erfüllt ein traditioneller Key Server für ein symmetrisches Schlüsselmanagement (z.B. Kerberos) implizit die Recovery Funktionalität, ebenso wie eine Certification Authority, die ein RSA Schlüsselpaar generiert und den privaten Schlüssel speichert.

Ein Beispiel einer explizit definierten TTP-Funktionalität ist Stoplock KE, wie es bei Shell eingesetzt wird. Hier wird ein symmetrischer Master Key generiert und in (verschlüsselter) Kopie an die Recovery Stelle verteilt. Nortel's Entrust schliesslich ist ein Beispiel einer Certification Authority kombiniert mit Schlüsselhinterlegung.

Das Problem beider Ansätze ist, dass sie für den Hausgebrauch, d.h. für den Einsatz innerhalb einer Firma gedacht sind. Gerade die TTP-Funktionalität würde besser ausgestaltete Schutzmassnahmen benötigen, um das Mass von Vertrauen zu rechtfertigen, das bei einer öffentlichen Verwendung in sie gesetzt würde.

Das bekannteste Beispiel einer in das Produkt integrierten Key Recovery Funktionalität ist Lotus Notes. Von den 64 Bit Schlüsseln werden jeweils 24 Bit bei Lotus hinterlegt. Dieses Verfahren dient keinerlei praktischem Zweck, sondern der faktischen Schwächung der Schlüssel, um den Exportbestimmungen der US-Administration zu genügen.

Die erwähnten Beispiele zeigen recht deutlich das Spannungsfeld, in dem sich Key Recovery Produkte heute bewegen. Bis zu einem sinnvollen und marktgerechten Einsatz von Key Recovery sind noch zahlreiche Hürden zu bewältigen.

Juristische Aspekte

Grundrechtliche Überlegungen

Wie wir gesehen haben, gibt es keine technischen Argumente, die grundsätzlich gegen die Anwendung von Key Recovery sprechen. Sind aber die Voraussetzungen, von denen ausgegangen wird, auch aus juristischer Sicht haltbar?

Ausgangspunkt der Überlegungen muss auch hier der Interessengegensatz sein zwischen:

Zunächst weisen wir auf den Unterschied hin zwischen dem Bereich der gespeicherten Daten und dem Bereich der über Leitungen vermittelten Informationen. Der Unterschied ist juristisch und praktisch deshalb von Bedeutung, weil im zweiten Bereich der Zugriff auf die Informationen ohne Wissen der Betroffenen geschieht, während sie im ersten bei der Informationsbeschaffung in der Regel bewusst mitzuarbeiten haben. Im ersten Bereich können Personen oder Firmen durch untersuchungsrichterliche Verfügungen im Rahmen eines Verfahrens verpflichtet werden, aufgezeichnete Informationen herauszugeben. Als selbstverständlich wird dabei vorausgesetzt, dass die Informationen im Klartext herauszugeben sind, während die Problematik verschlüsselter Informationen hergebrachterweise kaum diskutiert wurde. Im Bereich der Telefongespräche existiert zumindest in der Schweiz eine gefestigte Praxis, wonach Telefone nur aufgrund untersuchungsrichterlicher Anordnungen überwacht oder gar abgehört werden dürfen. Auch hier gilt die Bemerkung, wonach zur Frage verschlüsselter Informationen noch kaum schweizerische Diskussionsbeiträge existieren.

Es fragt sich, inwieweit die gegensätzlichen Interessen - Verbrechensbekämpfung und Staatsschutz versus Privatsphäre - durch eine Key Recovery Infrastruktur ausgeglichen werden können?

Dazu wäre zunächst unabdingbar, zumindest auf nationalem Niveau eine Stelle - bzw. mehrere, zwischen welchen die Benutzer wählen könnten - zu finden, welche das Vertrauen aller geniesst. Dass diese Auswahl ein Problem darstellen kann, liegt auf der Hand, soll aber hier nicht diskutiert werden.

Wir prüfen bloss, ob den Zielen der Verbrechensbekämpfung und des Staatsschutzes mittels einer Key Recovery Infrastruktur zum Durchbruch verholfen werden kann. Zur Sicherung der genannten staatlichen Interessen wird wohl nur eine obligatorische Teilnahme am Schlüsselhinterlegungssystem in Betracht fallen. Denn im Rahmen eines Systems mit fakultativer Teilnahme wäre es ja möglich, dass gerade diejenigen, welche zu überwachen im staatlichen Interesse wäre, sich ausserhalb des Systems bewegen würden. Es stellt sich also die Frage, ob ein rechtlicher Zwang zur Hinterlegung von Schlüsseln (oder Teilen davon) legitimiert und wie er allenfalls durchgesetzt werden kann. Die Antwort auf beide Fragen ist im Lichte der heutigen und künftigen Verfügbarkeit von Verschlüsselungstechnologien zu suchen. Dabei gilt, dass Verschlüsselungstechnologie heute - im Gegensatz zum grössten Teil ihrer Geschichte - nicht mehr ausschliesslich in Geheimdienst- und Armeekreisen verfügbar ist. Es ist vielmehr davon auszugehen, dass ein grosser Teil der Entwicklung in universitärer Forschung geschieht. Auch die Prüfung der Resistenz von Verschlüsselungsverfahren geschieht inzwischen zu einem sehr grossen Teil öffentlich. Es ist daher festzustellen, dass starke kryptographische Verfahren heute für jedermann einfach erhältlich sind. Verschlüsselung ist softwaremässig machbar und die notwendigen Computerressourcen sind kostengünstig verfügbar. Es scheint undenkbar, die Beschaffung und den Einsatz von Programmen effizient zu kontrollieren. Wenn es in Zukunft möglich sein sollte, den Einsatz oder die Verfügbarkeit von Verschlüsselungsprogrammen zu erschweren, so wäre dies zunächst aus grundrechtlicher Sicht nur dann akzeptabel, wenn zuvor darüber ein gesellschaftlicher Konsens erzielt würde. Selbst dann gibt es aber bedeutende Zweifel an der Wirksamkeit solcher Beschränkungen:

  1. Die wirklichen Target Groups (organisierte Kriminalität, "Verfassungsfeinde" / Terroristen / Spionage) werden aufgrund finanzieller Ressourcen weiterhin die Möglichkeit haben, sich starke Verschlüsselungsmethoden zu beschaffen; es würden sich also bloss noch solche Leute einen Eingriff in ihre Privatsphäre gefallen lassen, welche gerade nicht zu den Kreisen gehören, welche überwacht werden sollen.
  2. "Radar-Analogie": Sollen alle Benutzer von Verschlüsselungstechnologie zum Teilnehmen an einer Key Recovery Infrastruktur angehalten werden, so kann dies nur mit einer gewissen Wirksamkeit geschehen, wenn Verstösse (= Nichtteilnahme) festgestellt und geahndet werden. Dies wiederum setzt voraus, dass gewisse Stichproben à la Radarfalle gemacht werden. Für solche Fälle bestehen mancherlei Unklarheiten: Wer soll berechtigt sein, solche Kontrollen durchzuführen? Welche Instanz kann die Trusted Third Parties zur Herausgabe von Geheimnissen verpflichten? Wie ist bei der Überprüfung bezüglich gespeicherter Informationen vorzugehen? Und schliesslich die wichtigste Frage: Entfaltet die Strafdrohung in Verbindung mit einer subjektiven Wahrscheinlichkeit, erwischt zu werden, gegenüber den wirklichen Target Groups überhaupt eine Wirkung?
  3. Abgesehen von einfacher Verschlüsselung gibt es auch Methoden, geheime Nachrichten unauffällig in anderen Dateien zu verstecken (Steganographie). Wer die dazugehörende geheime Vereinbarung nicht kennt, wird die geheime Nachricht möglicherweise gar nicht als solche erkennen. Anwendungen steganographischer Methoden lassen sich wenigstens bis heute mittels einer Key Recovery Infrastruktur nicht verhindern.
Als Schlussfolgerung ist festzuhalten, dass sich die gesetzten Ziele - zumindest diejenigen, welche offen ausgesprochen werden - durch einen rechtlichen Zwang zur Teilnahme an einer Key Recovery Infrastruktur nicht erreichen lassen.

Somit verstösst ein solcher Zwang gegen das Prinzip der Verhältnismässigkeit und ist damit als verfassungswidrig zu qualifizieren.

Zu befürworten ist daher allenfalls ein System mit fakultativer Teilnahme. Wir weisen immerhin auf die Gefahr hin, dass ein Zwang zur Teilnahme für den Durchschnittsbürger auch durch rein faktische Gegebenheiten entstehen kann. Eine derartige Einführung von Teilnahmezwang schiene besonders problematisch, weil für solch schwerwiegende Eingriffe in die persönliche Freiheit nicht bloss die normativen Voraussetzungen - sprich die rechtlichen Vorschriften - fehlen, sondern auch die öffentliche Diskussion darüber u.U. gar nie geführt wurde.

Organisations- und vertragsrechtliche Aspekte

Es gibt also grundsätzliche verfassungsrechtliche Bedenken gegen ein Key Recovery Verfahren, jedenfalls dann, wenn ein solches gesetzlich für obligatorisch erklärt werden sollte. Da sich diese Einwände juristisch nicht widerlegen lassen, basieren die nachfolgenden Ausführungen auf einem Modell, welches auf der Freiwilligkeit der Teilnahme beruht.

Ausgangspunkt der ganzen Key Recovery Idee ist der Umstand, dass insbesondere die USA die Möglichkeiten, sichere Verschlüsselungsprodukte ausserhalb der Vereinigten Staaten für kommerzielle Zwecke erwerben und nutzen zu können, davon abhängig macht oder machen möchte, dass es den Behörden mittels Key Recovery möglich ist, im Interesse der Staatssicherheit an den Klartext verschlüsselter Informationen heranzukommen. Die Problematik ist keineswegs technischer, sondern rechtlicher und organisatorischer Art. Global agierende Schweizer Unternehmen, wie Banken, Versicherungen usw., haben ein Interesse daran, starke Verschlüsselungsprodukte amerikanischer Anbieter einsetzen zu können.

Key Recovery als Möglichkeit für staatliche Stellen, auf verschlüsselte Informationen im Klartext zugreifen zu können, setzt in jedem Fall ein rechtsstaatliches Verfahren voraus, in welchem entschieden wird, welche Behörden zu welchen Zwecken und unter welchen Voraussetzungen auf verschlüsselte Informationen zugreifen können, sowie eine von den Behörden und den Informationsverarbeitern unabhängige Instanz, welche mittels Key Recovery die Daten entschlüsselt und den berechtigten Behörden zur Verfügung stellt. Auf ein solches Verfahren kann wegen des Ungleichgewichtes zwischen dem Staat und den privaten Unternehmen auch dann nicht verzichtet werden, wenn Key Recovery auf freiwilliger Basis erfolgt.

In bezug auf das Verfahren ist zu fordern, dass dieses mindestens den Anforderungen entspricht, welche für das Abhören von Telefongesprächen im Zusammenhang mit der Verbrechensbekämpfung und der Staatssicherheit gelten. Zwischenstaatlich wären ebenfalls die bereits heute geltenden Modalitäten für die internationale Rechtshilfe analog anzuwenden. Trotz der Globalisierung der Kommunikation ist es nicht denkbar, dass eine ausländische Behörde oder eine supranationale Organisation im Zusammenhang mit dem Key Recovery in der Schweiz aktiv würde.

Die als sogenannte Trusted Third Party bezeichnete Stelle, bei der die beteiligten Unternehmen und Institutionen ihre geheimen Schlüssel hinterlegen müssten, hat eine Scharnierfunktion zwischen den staatlichen Stellen und den beteiligten Unternehmen. Sie muss für beide Parteien gleichermassen vertrauenswürdig und damit auch von beiden Seiten unabhängig sein. Aus diesem Grund dürfte es nicht zweckmässig sein, diese heikle Aufgabe einer staatlichen Behörde oder einer rein privatrechtlich organisierten Institution zu übertragen. Die Trusted Third Party müsste eine Stellung haben, die vergleichbar ist mit derjenigen einer öffentlichen Urkundsperson. Die entsprechenden Rechtsgrundlagen müssten zuerst mit einem Bundesgesetz geschaffen werden. In einem solchen Key Recovery Gesetz wäre auch die Haftung der Trusted Third Party für Schäden aus einem Fehlverhalten zu regeln. Eine rein privatrechtliche Regelung auf der Basis von Verträgen (zwischen wem?) ist u.E. nicht möglich und würde letztlich wohl auch keinen Sinn machen.

In Anbetracht der Zeit, die in der Schweiz erforderlich ist, um in einem ordentlichen Gesetzgebungsverfahren die dargelegten unverzichtbaren Rechtsnormen zu schaffen, stellt sich die Frage, ob Key Recovery überhaupt die Lösung für das Problem sein kann. Die Annahme, dass das Problem infolge des technischen Fortschrittes auf diesem Gebiet längst nicht mehr existiert, bevor überhaupt die Weichen für die Gesetzgebung auf politischer Ebene gestellt sind, ist wohl mehr als berechtigt.

Gesellschaftspolitische Aspekte

Bevor wir unsere Untersuchungen im abschliessenden Kapitel zusammenfassen und zu einer vergleichsweise ausgewogenen Schlussfolgerung zu bringen suchen, sei uns ein kleiner Ausflug in die gefährlichen Gewässer der politischen Meinungsbildung erlaubt. Es geht uns bei der Schlüsselhinterlegung wie dem Helden mit der Hydra, schlägt man einen Kopf ab - sprich beseitigt man ein Hindernis - aufersteht gleich ein neues. Ein wenig Polemik tut also not, wenn diesem Ungeheuer auf welche Weise auch immer beigekommen werden soll!6

Ein amerikanischer Fall

Das US Exportverbot für starke Kryptographie hat eher ungünstige Auswirkungen für die amerikanische Exportindustrie gehabt und die Nutzung des Internets für Handels- und Finanzdienstleistungen erschwert, als dass es einen wesentlichen Beitrag zum Staatsschutz geleistet hätte. Kryptographische Lösungen sind heute bereits mit einfachen technischen und finanziellen Mitteln einsetzbar. Sofern Menschen Gedanken austauschen können, sind dem Wissen und somit auch der Kryptographie keine Grenzen zu setzen.

Das US Exportverbot für starke Kryptographie trifft amerikanische Produkte, welche starke kryptographische Funktionen als Bestandteil ihrer Funktionalität implementieren. Wer jedoch auf Vertraulichkeit nicht verzichten möchte, kann seine Daten auch mit europäisierten oder australisierten Versionen amerikanischer Produkte oder gar mittels nicht amerikanischer Programme wirkungsvoll schützen. Eine Marktlücke für nicht amerikanische Software mit integrierter Kryptographie oder gar einer kryptographischen Schnittstelle ist damit entstanden.

Das weisse Haus muss nun auf Druck der amerikanischen Industrie den Export amerikanischer Produkte mit starker Kryptographie erlauben. Es tut dies nur schrittweise und unter zahlreichen Vorbehalten. Der Key Recovery Mechanismus dient dabei als willkommenes Ablenkungsmanöver.

Die Achillesferse eines sicheren Systems

Mit der Implementation eines Key Recovery Mechanismus in starke Kryptographie wird in Tat und Wahrheit eine Hintertür in ein ansonsten extrem sicheres System eingebaut. Auch wenn versucht wird, eine solche Hintertür mit technischen und betriebsorganisatorischen Massnahmen zu schützen, besteht kein Zweifel daran, dass damit neue Angriffsmöglichkeiten zum Brechen des betroffenen Kryptosystems eingefügt werden.

Die kontrollierte Benutzung der Key Recovery Funktionen stützt sich im wesentlichen auf betriebsorganisatorische Massnahmen, deren Effektivität von der Ehrlichkeit und der Treue der involvierten Organisationen und ihrer Mitglieder abhängig ist.

Die menschliche Natur ist das schwächste Glied der Kette

Angesicht der höheren Interessen im Spiel, als auch der enormen Investitionen und des Know Hows, welches schon zum Versuch des Brechens eines sicheres Kryptosystems notwendig sind, ist die Bestechung der Schlüsselemente der Key Recovery Instanzen eine günstige und erfolgversprechende Möglichkeit, um an wertvolle vertrauliche Informationen zu gelangen.

Die Attraktivität einer solchen Tätigkeit ist um so grösser, wenn sie sich auf das Ausspionieren vertraulicher Informationen beschränkt, weil das Risiko entdeckt zu werden äusserst gering ist. Der Verdacht des Opfers erhärtet sich, wenn überhaupt, nur, wenn Fremde offensichtlich versuchen, die erfahrenen Informationen auszunutzen, um sich besondere Vorteile in irgendeiner Form zu erschleichen.

Staatlichen Interessen haben höhere Priorität

Die Charakteristik eines Rechtsstaats ist es, dass die Macht auf verschiedene unabhängige Instanzen verteilt wird, welche aufgrund Ihrer Aufgabe u.a. für eine gegenseitige Kontrolle sorgen. Nichtsdestotrotz können Missbräuche nicht ausgeschlossen werden, insbesondere wenn ausreichende Interessen für eine Kollusion vorliegen. Ein eklatanter Fall in der Vergangenheit war der Watergate Skandal in USA, wo Präsident Nixon persönlich involviert war. Es gibt genügend andere Fälle (siehe Fichenaffäre in der Schweiz), um zu beweisen, dass kein Staat, keine Gesellschaft und kein Mensch über jeden Verdacht erhaben sind.

Geheimdienste sind keine exklusiven Angelegenheiten totalitärer Regimes, sondern werden auch in demokratischen Ländern mit öffentlichen Geldern betrieben, zwar wohl im Interesse der Demokratie und zum Schutz der nationalen Interessen. Dennoch - die Kontrollen erweisen sich als schwierig, weil sie in offensichtlichem Konflikt mit den operativen Aspekten und den Erfolgsbedingungen eines Geheimdienstes stehen. Die Grenze zwischen Legalität und Illegalität ist ausserdem sehr dünn, und die Versuchung sehr gross, im Sinne des Mottos "Zweck heiligt die Mittel" zu handeln.

Unsere Informationsgesellschaft: ein Paradies für professionelle Informationsschnüffler?

Die immer breitere Anwendung der Telematik in unserer Gesellschaft hat den Sicherheitsdiensten, Industriespionen, wie auch dem organisierten Verbrechen bis anhin undenkbare Möglichkeiten geöffnet, welche einen weiteren Schritt zur Verwirklichung des klassischen Orwellschen Alptraums darstellen.

Die automatische Sammlung und Auswertung von Informationen ist heute wesentlich günstiger und effektiver als dies in der Vergangenheit mit dem Abfangen von Briefen und dem Abhören von Telefongesprächen der Fall war. Diese Tatsache wird eingestandenermassen von Sicherheitsdiensten wie der US National Security Agency (NSA) ausgenützt, um die Breite, das Ausmass, wie auch die Qualität von Überwachungsaktivitäten zu erhöhen. Es ist denkbar, dass die laufenden technologischen Fortschritten das systematische Ausspionieren jedes einzelnen Bürgers erlauben werden, und damit den Eingriff in jegliche Privatspäre möglich machen.

Kryptographie sorgt für die Wiederherstellung des früheren Gleichgewichtes

Die Kryptographie ist ein Mittel, um das oben geschildertes Missverhältnis zu korrigieren und das alte Gleichgewicht zwischen individuellen und öffentlichen Interessen als auch zwischen Wert und Preis der Information wiederherzustellen. Das Gleichgewicht wird erreicht, indem die Breite und das Ausmass der Überwachungen mit der Menge der für die Gewinnung von Informationen notwendigen Aufwendungen eingeschränkt wird. Die durch starke Kryptographie geschützten Informationen sind nicht mehr über Datennetze billig zu haben und können nicht mehr systematisch und unbehelligt gesammelt werden.

Kryptographie im Dienste der Stabilität unserer Gesellschaft

Unsere Informationsgesellschaft ist und wird immer mehr gegenüber Angriffen auf die Informationsinfrastruktur verletzlich. Kryptographie ist bezüglich der Nachrichten, welche über Netze auf ihrer Reise sind, mit einem gepanzerten Werttransporter vergleichbar.

Ausserdem spricht man heutzutage von elektronischem Geld, welches vergleichbare Qualitäten wie das physischen Geld besitzen soll. Elektronisches Geld wird mittels Kryptographie fälschungssicher gemacht, gerade so wie spezielles Papier, besondere Druckvorgänge und Hologramme das physische Geld fälschungssicher machen. Wird der kryptographische Schlüssel für die Herstellung von virtuellem Geld gebrochen, dann kann die von der betroffenen Nationalbank anerkannte Verpflichtung durch Dritte nach Belieben erhöht werden. Im schlimmsten Fall kann damit ein Staat destabilisiert und in den Ruin getrieben werden.

Es bleibt zu hoffen, dass alle Regierungen der Welt nun vernünftig werden und der Kryptographie ihren verdienten Wert und gerechte Stelle zuordnen. Staatsschutz kann weiterhin erfolgreich mit gewöhnlichen Mitteln ausgeübt werden. Die Beobachtung der realen Welt ist schliesslich nach wie vor eine wichtige Quelle wertvollster Informationen.

Key Recovery sollte deshalb - aus gesellschaftspolitischer Sicht - der freien Entscheidung des Einzelnen überlassen und bei Bedarf unter dessen alleiniger Verantwortung aufgesetzt werden. Schlussendlich gibt es dazu einen einleuchtenden Grund: wer möchte schon seine wertvollen Informationen wegen eines vergessenen Schlüssels endgültig verlieren!

Schlussfolgerungen

Cryptographic Key Recovery ist zu einer äusserst kontroversen Angelegenheit geworden. Hitzige Debatten werden geführt, Argumente ins Gefecht getragen, doch schlussendlich bleibt es dabei: ausserhalb der USA gibt es wenig Unterstützung für eine entsprechende Lösung.

Noch vor kurzem sah es anders aus: nicht wenige Fachleute glaubten, einen Schimmer Hoffnung darin sehen zu dürfen, die leidige Kryptographiefrage mit einem Kompromiss entspannen zu können, der allen beteiligten Parteien nicht allzu weh tun würde.

Unserer Meinung nach hätte Cryptographic Key Recovery tatsächlich das Potential für eine offene und nachvollziehbare Lösung des Konflikts zwischen den Anforderungen nach individueller Privatsphäre und den Anforderungen staatlicher Stellen nach Durchsetzung der Gesetze.

Gegenwärtig wird aber weiterhin der legale internationale Gebrauch starker Kryptographie durch ein Sammelsurium offizieller und informeller und überdies dauernd ändernder Regulativen eingeschränkt und behindert.

Die Anforderung

Viele Unternehmen hätten entschieden das Bedürfnis, starke kryptographische Verfahren zum Schutz ihrer globalen Kommunikationsverbindungen innerhalb der Organisation und zu ihren Kunden einzusetzen.

Dies wird in erster Linie durch Exportrestriktionen behindert, aber auch durch rigorose Einschränkungen in einigen Ländern wie Frankreich und China. Die Situation wird weiter kompliziert durch unterschiedliche Auslegung der Regelungen und undurchschaubare Bewilligungspraktiken.

Die komplexe Natur der Kryptographie trägt selber zur Konfusion bei. In der Praxis baut sich das Vertrauen in die Stärke eines Algorithmus erst über eine Reihe von Jahren auf. Wird ein Algorithmus von möglichst vielen Leuten über eine möglichst lange Dauer angewandt, ohne dass er gebrochen wird, wächst das Vertrauen in seine Stärke. Ironischerweise müssten deshalb Einschränkungen bewirken, dass sich das Vertrauen in die Stärke des betroffenen Algorithmus abschwächt. Andererseits sind gerade die Einschränkungen ein Hinweis darauf, dass es sich um einen starken Algorithmus handelt, weil sonst sein Gebrauch nicht eingeschränkt würde.

Alles in allem haben wir es - darin sind sich alle einig - mit einer unbefriedigenden Situation zu tun, die den wirkungsvollen und adäquaten Einsatz von Kryptographie erschwert und eine sachliche Bewertung der Qualität von kryptographischen Verfahren verunmöglicht. Dabei ist die Absicht global operierender Unternehmen eigentlich ganz vernünftig, ihre wertvollen Informationen so zu schützen, dass sie keine Gesetze jener Länder verletzen, in denen sie operieren.

Das Problem

Das Kernproblem von Cryptographic Key Recovery ist, dass mit technischen Mitteln ein Konflikt entschärft werden soll, der nicht technischer, sondern politischer Natur ist. Eine solche Lösung muss, wenn sie eine Chance haben will, alle beteiligten Parteien begeistern oder zumindest überzeugen, dass auch die Gegenpartei Federn lassen musste.

Die Ausführungen der OECD zu Key Recovery bieten dafür eine brauchbare Basis1 - mit Ausnahme allerdings eines wichtigen Punktes: der Anforderung nämlich, dass eine Kopie des hinterlegten Schlüssels innerhalb des Territoriums eines jeden Staates deponiert werden muss, der in die verschlüsselte Kommunikationsverbindung mit einbezogen ist.

Das bedeutet im Klartext, dass ein starkes kryptographisches Verfahren durch die Korruption eines einzigen einer ganzen Anzahl von Key Recovery Agents gebrochen werden kann. Ein Teilnehmer an einem solchen System müsste tatsächlich allen Agenten trauen, die in die Sache involviert sind. Eine solche Anforderung ist eindeutig nicht akzeptabel!

Die Lösung

Aus technischer Sicht steht eine Lösung im Vordergrund: der hinterlegte Schlüssel sollte entsprechend einem Threshold Scheme unter den Recovery Agents geteilt werden. Dies bedeutet, dass die Schlüsselinformationen zwischen z.B. sechs Agenten aufgeteilt sind, so dass jeweils vier von sechs genügen, um die Informationen aufzudecken.

Die kryptographischen Verfahren, die es für ein solches System braucht, existieren, warum also wird es nicht angewandt? Weil eben die Bildung einer autorisierten Gruppe von Recovery Agents ein politisches Problem ist.

Eine Lösung wäre vielleicht die Aufteilung der Welt in fünf oder sechs Blöcke wie z.B. USA, Europa, Russland, China und Unabhängige. Für ein Aufdecken der Informationen wäre dann die Kooperation von mindestens drei Vertretern notwendig.

Die Herausforderung

Solch eine Lösung erscheint aber momentan völlig utopisch. Wenn überhaupt, so müsste sie im Rahmen der UNO gefunden werden, und auch dann wäre sie noch aussergewöhnlich schwierig zu bewerkstelligen.

Es fehlt an Druck auf die Regierungen, sich zu einer solchen Vereinbarung zu verpflichten. Gerade diejenigen, die am meisten davon profitieren würden, die multinationalen Hersteller- und Anwender von High Tech Kryptographie scheinen in letzter Zeit erstaunlich ruhig, was die Thematik betrifft. Ohne eine effiziente Lobby wird es jedoch keine Fortschritte in der Sache geben!

Was bleibt...?

Im Kern bleiben wir bei der Aussage, dass ein Verbot starker Kryptographie ohne Einbettung von Key Recovery akzeptabel wäre, wenn sich die vereinigten Völker auf den legalen Einsatz eines offenen, nachvollziehbaren und vertrauenswürdigen Cryptographic Key Recovery Verfahrens einigen würden. Die technische Basis dazu ist vorhanden.

Dennoch stellen wir fest, dass man im Moment von einer einvernehmlichen Lösung weit entfernt ist. Weder ist der Druck der betroffenen Unternehmen für eine Wende in der Debatte gross genug, noch die Bereitschaft der Regierungen, insbesondere der USA, von ihren restriktiven Forderungen abzuweichen. Die Gefahr besteht, dass alle beteiligten Parteien sich mit der bestehenden Situation in der einen oder anderen Weise arrangieren.

Anhang: Grundbegriffe der Kryptographie

Dieser Anhang erklärt einige Grundbegriffe der Kryptographie für den Laien. Wir beschränken uns auf wichtige Konzepte und verzichten bewusst auf Details, die für den Fachmann von grundlegender Bedeutung sind.

Kryptographie in der Informatik

Kryptographische Verfahren werden in der Informatik für verschiedene Zwecke eingesetzt, z.B. für die Geheimhaltung des Inhalts übermittelter oder gespeicherter Daten, für die Prüfung der Integrität oder Echtheit von Meldungen, oder für die Abwicklung von Zahlungen im elektronischen Marktplatz (e-commerce). Diesen Anwendungen liegen Verfahren (Algorithmen) für die Transformation von Klartext in chiffrierten Text, und für die Wiedergewinnung von Klartext aus dem chiffrierten Text mit Hilfe eines Geheimnisses zugrunde. Abbildung 1 zeigt das Konzept dieser Verfahren.
Kryptographisches Grundverfahren

Abbildung 1: Kryptographisches Grundverfahren

Die Stärke des Schutzes wird unter anderem davon abgeleitet, wieviel verschiedene Schlüsselwerte möglich sind, oder, mit anderen Worten, von der Länge des Schlüssel.

Nach der Sequenz "verschlüsseln und entschlüsseln mit den korrekten Schlüsselwerten" muss der wiedergewonnene Text mit den Eingabedaten identisch sein.

Algorithmen

Wir unterscheiden zwei Arten von Algorithmen: Ein symmetrischer oder Secret Key Algorithmus verwendet für beide Operationen, Verschlüsseln und Entschlüsseln, den gleichen Wert (Schlüssel 1 = Schlüssel 2). Dieser Schlüssel muss von allen beteiligten, also vom Sender und vom Empfänger, geheim gehalten werden.

Ein asymmetrischer oder Public Key Algorithmus verwendet für das Verschlüsseln einen anderen Schlüssel als für das Entschlüsseln. Dabei kann aus dem Public Key (Schlüssel 1) der Private Key (Schlüssel 2) nicht bestimmt werden: Jeder kann mit dem öffentlichen Schlüssel (dem Public Key) Meldungen verschlüsseln, aber nur derjenige, der den geheimen Schlüssel (den Private Key) kennt, kann sie entschlüsseln.

Für die Geheimhaltung grösserer Datenmengen eignen sich vor allem symmetrische Algorithmen. Das wohl bekannteste Verfahren dieser Art ist der Data Encryption Standard (DES).

Asymmetrische Verfahren haben besondere Vorteile für alle Anwendungen, bei denen nicht davon ausgegangen werden kann, dass zwei Partner einer Kommunikation ein Geheimnis teilen, oder sich gegenseitig überhaupt bekannt sind. Dies trifft zu für zwei Partner, die noch nie eine verschlüsselte Meldung ausgetauscht haben, siehe

Abbildung 2: A will B eine vertrauliche Meldung übermitteln. Dazu verlangt er von B einen Schlüssel. B sendet einen Public Key Kp, dessen zugehöriger Private Key Ks er sicher verwahrt. A verschlüsselt die Meldung mit Kp. Nur B kann diese Meldung entschlüsseln, da nur ihm der Schlüssel Ks bekannt ist.

Vertraulichkeit ohne gemeinsames Geheimnis

Abbildung 2: Vertraulichkeit ohne gemeinsames Geheimnis

Schlüsselzertifikate

Bei einem Public Key Verfahren verschiebt sich das Problem von der Geheimhaltung eines gemeinsamen Geheimnisses zur Integrität des öffentlichen Schlüssels: Wer einen öffentlichen Schlüssel verwendet, muss sicher sein, dass dieser dem beabsichtigten Partner gehört. Eine Certification Authority für Public Keys stellt Public Key Zertifikate aus, deren Echtheit mittels der digitalen Unterschrift der Certification Authority geprüft werden kann. Das Konzept der digitalen Unterschrift ist in Abbildung 3 dargestellt.

Digitale Unterschriften

Wenn ein Public Key Verfahren die Eigenschaft aufweist, dass die Reihenfolge der Operationen vertauscht werden kann, dann kann der Algorithmus auch für digitale Unterschriften verwendet werden: Die Daten werden mit dem geheimen Schlüssel signiert. Diese digitale Unterschrift kann von jedermann überprüft werden, der im Besitz des öffentlich bekannten Public Keys ist.

Digitale Unterschrift

Abbildung 3: Digitale Unterschrift

Der Absender A verdichtet das digitale Dokument mit einer starken Einwegfunktion auf eine normalisierte Länge. Eine Einwegfunktion hat die Eigenschaft, dass es praktisch unmöglich ist, ein anderes digitales Dokument herzustellen, das den gleichen Hashwert wie das Original ergibt. A bildet die digitale Unterschrift durch Verschlüsseln des Hashwerts mit seinem Private Key und fügt diesen dem Dokument bei. Der Empfänger B berechnet ebenfalls den Hashwert und entschlüsselt die Unterschrift mit dem Public Key des Absenders A. Falls der berechnete mit dem entschlüsselten Hashwert übereinstimmt, wurde die digitale Unterschrift mit Kenntnis des Private Keys von A erzeugt.

Key Recovery

Unter Key Recovery versteht man Techniken zur Wiedergewinnung eines Schlüssels, der zur Entschlüsselung von Nutzdaten notwendig ist. Eine simples Konzept ist des Verschlüsseln des Session Keys mit dem Public Key des Recovery Agents. Falls für diese Wiedergewinnung die Mitwirkung einer unabhängigen Hinterlegungsstelle (Recovery Agent oder Trusted Third Party) nötig ist, kann der Schlüssel auch ohne Mitwirkung des Betroffenen ermittelt werden, zum Beispiel aufgrund einer richterlichen Verfügung.

Nur Vertraulichkeitsschlüssel, nicht aber Schlüssel für digitale Unterschriften, sollten der Key Recovery unterliegen, da sonst die Beweiskraft der digitalen Unterschrift verloren geht.

Referenzen

OECD: Cryptography Policy - The Guidelines and the Issues
http://www.oecd.org/dsti/sti/it/secur/prod/GD97-204.htm

Denning, Dorothy E: Homepage
http://www.cosc.georgetown.edu/~denning/crypto/

Denning, Dorothy E: A Taxonomy for Key Recovery Encryption Systems
http://www.cs.georgetown.edu/~denning/crypto/taxonomy.html

Denning, Dorothy E: Descriptions of Key Escrow Systems
http://www.cs.georgetown.edu/~denning/crypto/Appendix.html

European Parliament: An appraisal of Technologies and Political Control
http://jya.com/stoa-atpc.htm

UK Department of Trade and Industry: Paper on Regulatory Intent Concerning Use of Encryption on Public Networks
http://www.dti.gov.uk/CII/ENCRYPT/regpap1.htm

Hal Abelson et al, The Risks of Key Recovery, Key Escrow, and Trusted Third-Party Encryption
http://www.crypto.com/key_study/report.shtml

Threat and Vulnerability Model for Key Recovery
http://www.fcw.com/pubs/fcw/1998/0413/web-nsareport-4-14-1998.html

Glossar

Clipper Key Recovery Verfahren basierend auf Hardware mit einem in zwei Teilen hinterlegten Hauptschlüssel für Key Recovery.

COCOM Coordinating Committee on Multilateral Export Controls. Gremium für die Kontrolle des Exports in den ehemaligen Ostblock. Abgelöst durch das ® Wassenaar Arrangement.

Cryptographic Key Recovery siehe Key Recovery

Data Recovery Agent Organisation, welche bei der Wiedergewinnung von Daten bei Vorlage einer richterlichen Verfügung mitwirkt.

DES Data Encryption Standard, weit verbreiteter symmetrischer kryptographischer Algorithmus mit 56 Bit Schlüssel.

IDEA International Data Encryption Algorithm. Symmetrisches kryptographisches Verfahren.

Key Escrow® Key Recovery Verfahren basierend auf der Hinterlegung von Schlüsseln, welche zusammen mit dem Law Enforcement Access Field (® LEAF) das Entschlüsseln ermöglichen.

Key Recovery Agent Organisation, welche bei der Wiedergewinnung von Schlüsseln bei Vorlage einer richterlichen Verfügung mitwirkt.

Key Recovery Wiedergewinnung eines kryptographischen Schlüssels.

Law Enforcement Access Field siehe LEAF.

LEAF Law Enforcement Access Field. Verschlüsselten Daten zugeordnetes Feld, welches zusammen mit separat verwahrter Key Recovery Information des Entschlüsseln ermöglicht.

OECD Organisation for Economic Co-ordination and Development.

Public Key Infrastruktur Organisationen für die Bekanntgabe von ® Public Key Zertifikaten.

Public Key Verfahren Asymmetrisches kryptographisches Verfahren mit einem bekannten (public) und einem geheimen (private) Key.

Public Key Zertifikat Echtheitsbescheiningung für den Public Key eines bestimmten Anwenders. Zertifikate werden mit Hilfe einer ® Public Key Infrastruktur von vertrauenswürdigen Organisationen verteilt.

Recovery Agent Organisation, welche bei der Wiedergewinnung von Schlüsseln (® Key Recovery Agent) oder Daten (® Data Recovery Agent) bei Vorlage einer richterlichen Verfügung mitwirkt.

SAFE siehe "Security and Freedom Through Encryption"

Security and Freedom Through Encryption (SAFE) Act of 1997 Gesetzesvorlage im Kongress der USA mit dem Ziel einer weitgehenden Liberalisierung der Anwendung und des Exports kryptographischer Produkte.

Self Escrow Vorkehrungen für die sichere Verwahrung von Informationen für die Wiedergewinnung von Schlüsseln durch den Anwender selbst.

Session Key Für einen bestimmte Verbindung und für beschränkte Dauer vereinbarter Schlüssel, welcher nach dem Ende der Verbindung nicht mehr benötigt wird.

SI Schweizer Informatiker Gesellschaft.

Skipjack Algorithmus Geheimes, von der US Regierung entwickeltes kryptographisches Verfahren. Wird im Clipper Chip verwendet.

Steganographie Verstecken geheimer Informationen in unverdächtigen Daten, zum Beispiel einem digitalen Bild, so dass das Vorhandensein der geheimen Information nicht festgestellt werden kann.

Threshold Schemes Key Recovery Techniken bei denen die Mitwirkung von mindestens m von n Recovery Agents für die Wiedergewinnung von Schlüsseln oder Daten notwendig ist.

Trapdoor Geheime Hintertür in einem kryptographischen Verfahren, welches die Wiedergewinnung von Klartext ohne Kenntnis des Schlüssels ermöglicht.

Trusted Third Party Unabhängige Organisation, welche das Vertrauen der beteiligten Anwender und der interessierten staatlichen Stellen als Recovery Agent geniesst.

TTP siehe Trusted Third Party

Wassenaar Arrangement The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods. Übereinkunft über die Erteilung von Exportbewilligungen für konventionelle Waffen und "Dual-Use Goods", zivile Güter, welche auch für militärische Zwecke nutzbar sind.

Autoren

Urs Belser, Fürsprecher, Safe + Legal AG, Bollwek 21, CH-3011 Bern, safelegal@compuserve.com

Beat Federspiel, Berater für Informationstechnologie, Mischelistrasse 15, CH-4153 Reinach, bf@iprolink.ch

Thomas Kessler, lic. phil., Leiter Payserv Security Engineering, CH-8021 Zürich, ket@telekurs.com

Chistoph Kobel, Zürcher Kantonalbank, Informatik Sicherheit, Postfach, CH-8010 Zürich, christoph.kobel@zkb.ch

Daniel Felix Maurer, lic. phil., IT Sicherheitsberater und Informatikarchitekt, In&Out AG Informatikberatung, Technoparkstr. 1, CH-8005 Zürich, dfm@inout.ch

Rolf Oppliger, Dr. phil.nat., Bundesamt für Informatik (BFI), Sektion Informatiksicherheit, Monbijoustrasse 74, CH-3003 Bern, rolf.oppliger@bfi.admin.ch

Michael Schnyder, lic.iur, dipl. Informatiker, michael.schnyder@bk.admin.ch

Anthony Thorn, M. A. (Cantab.), IT Sicherheitsberater, AT Systems & Services, Ringstrasse 5, CH-6332 Hagendorn, athorn@spectraweb.ch

Giampaolo Trenta, Dipl. Informatiker Ing. ETHZ, IT Revisor bei der UBS, Schwergewicht UNIX Operating System und Network Security. UBS, Bahnhofstrasse 45, CH-8021 Zürich, giampaolo.trenta@ubs.com

Hugo Walter, IT Sicherheitsbeauftragter bei der Credit Suisse, CS CITA 32, Postfach, CH-8070 Zürich, hugo.walter@credit-suisse.ch

Fussnoten

  1. Quellenangabe: Siehe Referenzen.
  2. Die Tabelle vergleicht nicht aktuelle gegenüber weniger aktuellen Anpassungen, sondern möchte den grundsätzlichen Wechsel in der Haltung der US gegenüber früheren Jahren verdeutlichen
  3. Für Hersteller, die sich zur Realisierung von Key Recovery Produkten innert längstens zwei Jahren (bis spätestens 31.12.98) verpflichten. Individuelle Lizenzen ohne Erleichterungen für andere Herstelle
  4. Für 56 Bit Kryptographie mit Key Recovery, restriktive individuelle Lizenzen für starke Kryptographie ohne Key Recovery
  5. Statement of the Press Secretary of the White House vom 16. September 1998
  6. Es sei uns erlaubt, darauf hinzuweisen, dass sich nicht alle Mitglieder der Arbeitsgruppe mit der Stossrichtung des vorliegenden Kapitels einverstanden erklären konnten. Wir beschlossen jedoch, den umstrittenen Beitrag im Sinn der Diskussionsförderung dennoch zu veröffentlichen.