Sind asymmetrische Verschlüsselungsverfahren „irgendwie“ sicherer?

Die NSA-Affaire beherrschte vor einiger Zeit viele Sendungen im deutschen Fernsehen. In einigen der TV-Diskussions-Runden wurde in sehr missverständlicher Weise der Eindruck erweckt, der heutige Einsatz "asymmetrischer" Verschlüsselungsverfahren zum geschützten Austausch von Informationen sei ein wichtiger Fortschritt und deshalb grundsätzlich sicherer als der Einsatz früherer "symmetrischer" Verfahren. Der so erweckte Eindruck ist nach meiner Meinung gerade im NSA-Kontext kritisch zu sehen.

In den TV-Sendungen wurde zwar mit viel Hingabe herausgearbeitet, dass man in asymmetrischen Verfahren mit privaten und öffentlichen Schlüsseln arbeitet. Was das sicherheitstechnisch bedeutet, wurde dann aber leider nicht mehr klargestellt. So blieb beim Zuschauer der vage Eindruck, dass ein Einsatz von modernen asymmetrischen Verfahren die Sicherheit grundlegend erhöhen würde.

Aber stimmt das? Ich liste mal ein paar Gegenargumente auf, die mir spontan einfallen:

  1. Die allermeisten praktisch eingesetzten asymmetrischen Verschlüsselungsverfahren kapseln intern symmetrische Verschlüsselungsverfahren

    Beispiele sind etwa PGP oder TLS. Gründe liegen hier vor allem in der erforderlichen Performance der Kryptierungs-/Dekryptierungsvorgänge - insbesondere wenn dauerhafte Datenströme zu verschlüsseln sind. Innerhalb des asymmetrischen Verfahrens wird dann entweder gleich der symmetrisch einzusetzende Schlüssel mit dem asymmetrischen Verfahren verschlüsselt und zwischen Sender und Empfänger ausgetauscht oder aber es werden Input-Daten für Verfahren zur Erzeugung des gleichen symmetrischen Schlüssels auf der Client- und der Server-Seite ausgetauscht. In der IT-technischen Praxis hat man es also mit sogenannten "hybriden Verschlüsselungsverfahren" zu tun. Ein asymmetrisch verschlüsselter Informationsaustausch leitet dann nachfolgend den Austausch oder die Behandlung symmetrisch kryptierter Daten ein.

    Es wäre also grundfalsch zu meinen, dass asymmetrische Verschlüsselungsverfahren symmetrische Verfahren in der Praxis ersetzen. Beide Methoden ergänzen einander vielmehr.

  2. Symmetrische und asymmetrische Verfahren sind gleichermaßen durch Backdoors oder durch den Einsatz schlechter/manipulierter Zufallszahlengeneratoren verwundbar

    Im Zusammenhang mit der zuletzt auch im Zusammenhang mit Geheimdiensten geäußerten Mutmaßungen bzgl. implantierter "Backdoors" in sicherheitsrelevanten Algorithmen und Verschlüsselungssystemen gilt: Dies kann beide Verschlüsselungsverfahren betreffen. Im Besonderen erfordern gerade asymmetrische Verfahren eine hohe Qualität bei der Erzeugung "zufälliger" Schlüssel. Da diese Schlüssel-Erzeugung auf speziellen Zufalls-Generatoren (plus verschiedenen Verfahren zum Salting/Peppering) beruht, schlagen dabei vorhandene oder implantierte Probleme mit der Zufallszahlengenerierung potentiell massiv zu. Gegen Manipulation auf dieser Ebene sind keine Krypto-Verfahren gefeit.

    Es ist daher umso wichtiger, dass grundlegende algorithmische Verfahren der Kryptographie - insbesondere zur Zufallszahlen-Generierung - offengelegt und durch unabhängige Experten einer Würdigung unterzogen werden können. Zudem sollten die in der Breite eingesetzten Codes zu solchen Verfahren "offen" sein. Dies gilt im besonderen für Sicherheitsverfahren, die in der Breite zur Verschlüsselung von Informationstransfers im Internet eingesetzt werden.

  3. Asymmetrische Verfahren erfordern eine zusätzliche Zertifikats- und zugehörige Verifizierungs-Infrastruktur

    Speziell asymmetrische Verfahren sind dem Risiko einer fehlerhaften Verbindung oder gar eines "Man-in-the-Middle"-Angriffes ausgesetzt. Ursache ist die Problematik der Überprüfbarkeit der Authentizität von verwendeten öffentlichen Schlüsseln:

    Woher weiß denn der Empfänger eines Public Key im Zuge eines elektronischen Schlüsselaustausches eigentlich, dass er z.B. bei einem Download von einem öffentlichen Key Server oder im Zuge eines Mail-Transfers tatsächlich den Schlüssels des gewünschten Gesprächspartners erhalten hat? Woher weiß er, dass der Schlüssel nicht abgefangen und durch einen anderen ersetzt wurde? Woher weiß er, dass er später mit dem gutgläubig empfangenen Schlüssel nicht zu einem System (verschlüsselt) Kontakt aufnimmt, das gar nicht dem System des von ihm gewünschten Partners sondern vielmehr dem eines Angreifers entspricht?

    Man erkennt: Es sind Zertifikate einer CA oder andere gründliche Prüfungen (z.B. im Rahmen eines "Web of Trust") erforderlich. Die Authentizität der Schlüssel ist vor deren Verwendung zu verifizieren. Das ist für den Privatmann allein nicht ganz einfach. Gerade bei privat betriebener Mailverschlüsselung mittels PGP wird dieses Thema oft zu schlampig behandelt.

  4. Auch bei asymmetrischen Verfahren müssen bestimmte Schlüssel - nämlich die privaten - vor Angriffen und Ausspähung geschützt werden.

    Der Einsatz von Public Keys nützt in dem Augenblick nichts mehr, wenn ein Angreifer in den Besitz des privaten Schlüssels gelangt. Natürlich wird der private Schlüssel in den meisten Krypto-Systemen selbst noch einmal unter Einsatz einer Passphrase verschlüsselt: Man muss als Anwender eine Passphrase angeben, bevor der private Schlüssel eingesetzt werden kann. Aber dennoch gilt:

    Die Sicherheit der gesamten Kommunikation hängt letztlich an der Sicherheit des privaten Schlüssels und damit nicht zuletzt massiv an der Unversehrtheit desjenigen Systems, auf dem der private Schlüssel elektronisch eingesetzt wird. Ist dieses System gehackt und lauscht dort ein Trojaner oder Key Logger mit, so ist jede Sicherheit dahin.

    Damit gelangen wir wieder zur alten Weisheit:

    Auch asymmetrische Krypto-Verfahren sind nur genau so sicher wie die Systeme, auf denen sie zum Einsatz kommen - also so sicher wie das IT-technische Umfeld. Und dort hängt dann alles letztlich noch an der Sicherheit einzelner Passwörter/Passphrases.

  5. Nach der Kompromittierung eines privaten Schlüssels kann kein Kommunikationskanal, der durch das asymmetrische Verfahren unter Einschluss dieses Keys geschützt wird, noch als sicher gelten.

    Davon sind je nach Art der ausgetauschten Information beide Kommunikationspartner des Kanals betroffen. Auch Signaturen, die auf dem Fingerprint des privaten Schlüssls beruhen, sind nicht mehr vertrauenswürdig.

    Hier wird ein weiteres, ganz handfestes praktisches Problem asymmetrischer Verschlüsselung deutlich:

    Man kann den Public Key zu einem kompromittierten Schlüssel-Paar zwar zurückziehen ("Revocation"). Aber wie erfahren alle betroffenen Kommunikationsparter, die den zum kompromittierten Pribvate Key zugehörigen Public Key verwenden, schnell genug von diesem Problem?

Nach diesen Punkten könnte man meinen, dass es bei asymmetrischen Verfahren gar nicht so viele Vorteile gegenüber symmetrischen Kryptierungsverfahren gäbe. Das stimmt so natürlich nicht:

Der entscheidende Vorteil asymmetrischer Verfahren ist die bessere Handhabbarkeit und die drastische Begrenzung der Anzahl geheimzuhaltender Schlüssel. Auch die Anzahl abzusichernder initialer elektronischer Schlüsseltransfers zwischen den Systemen der Kommunikationspartner nimmt in gleichem Maße ab.

Beispiel 1:
Nehmen wir an, jemand muss kryptierte Informationen mit 100 anderen Personen austauschen. Für alle Personen soll ein und derselbe Schlüssel in einem symmetrischen Verfahren zum Einsatz kommen. Dann müssen im Fall insgesamt 101 Personen auf sichere Weise in den Besitz dieses Schlüssels gelangen und ihn danach sorgfältig verwahren. Die Sicherheit der gesamten Kommunikation hinge in einem solchen Szenario zudem von der Sorgfalt aller Beteiligten ab.

Beispiel 2:
Nehmen wir wieder an, eine zentrale Person will kryptierte Infos mit 100 anderen Personen austauschen. Für jeden Kommunikationspartner soll diesmal aber ein individueller Schlüssel im Rahmen eines symmetrischen Verfahrens zum Einsatz kommen. Dann müssen diese 100 Personen je einen Schlüssel für die Kommunikation mit der zentralen Person auf sicherem Wege bekommen und ihn danach sorgfältig verwahren. Die Sicherheit hängt nunmehr pro Kommunikationskanal mit der zentralen Person jeweils von 2 Personen ab.

Aber: Wendet man nun dieses Verfahren auf jede der Personen an und will die Kommunikation aller mit allen ermöglichen, so explodiert die Anzahl der sicher auszutauschenden, zu verwaltenden und geheimzuhaltenden Schlüssel quadratisch mit der Anzahl der Personen.

In einem asymmetrischen Verfahren gibt jede Person dagegen nur einen Schlüssel (den öffentlichen) bekannt und sichert genau einen Schlüssel (den privaten). Damit steigt die Anzahl der sicher zu verwaltenden Schlüssel insgesamt nur linear mit der Anzahl der Kommunikationspartner. Anders gesagt:

Asymmetrische Verschlüsselungsverfahren machen Kryptographie beim Informationsaustausch vieler beteiligter Personen oder Systemen erst praktisch handhabbar.

Aber sie in einer Landschaft, über der die grundsätzlich Drohung einer möglichen Totalüberwachung und kompromittierter Kryptierungs-Verfahren oder Zufallszahlengeneratoren hängt, grundsätzlich als sicherer einzustufen, erscheint mir angesichts der oben genannten Punkte doch sehr verwegen.

Dabei wiegt vor allem die Tatsache besonders schwer, dass ein geknackter "Private Key" gleich die Kommunikation mit allen Partnern betrifft, die den zugehörigen "Public Key" benutzen. Der Vorteil der Handhabbarkeit zeitigt im Schadensfall auch flächendeckende Wirkung im betroffenen Kommunikationsumfeld er angegriffenen Person. Das ist bei symmetrischen Verfahren aber auch nicht anders, wenn nicht nur ein Schlüssel, sondern gleich das Computersystem, auf dem man die (vielen) zu verwaltenden (symm.) Schlüssel für die Kommunikationspartner verwahrt, betroffen ist.

Fazit:

Sicherheit und praktische Handhabbarkeit von Kryptoverfahren sind unterschiedliche, wenn auch nicht völlig unabhängige Dinge. Werden pro Kommunikationspartner individuelle Schlüssel in symmetrischen Verfahren eingesetzt, so ist die Sicherheit deshalb etwas geringer als in asymmetrischen Verfahren, weil es je Schlüssel 2 Angriffspunkte gibt, die gesichert werden müssen. Bei N kommunizierenden Personen müsste jede Person ggf. N-1 individuelle symmetrische Schlüssel sicher verwahren. Zudem sind die Schlüsselerzeugung und der sichere initiale Schlüsselaustausch zwischen den Kommunikationspartnern sowie die Schlüsselverwaltung selbst dann im Gegensatz zu asymmetrischen Verfahren kaum noch managbar - und das ist bereits für sich genommen ein Problem mit Auswirkungen auf die Sicherheit.

Vergleichbar wird die Sicherheit symmetrischer und asymmetrischer Verfahren aber insofern, als bei erfolgreichem Hacking des Computersystems einer Person in beiden Verfahren sofort alle Kommunikationspartner dieser Person direkt betroffen sind. Ein umfassendes Sicherheitskonzept, das die an der Kommunikation beteiligten Computersysteme, Software etc. einbezieht, ist daher Voraussetzung, um aus den unbestrittenen Vorteilen asymmetrischer Verfahren dauerhaft Nutzen für die Sicherheit zu ziehen.

Eine solide Risikoanalyse und -bewertung von IT-Kommunikationsverfahren im Sinne einer ISO 27000 wird sich also mit wohlfeilen und plakativen Statements zu asymmetrischen Verschlüsselungsverfahren nicht zufrieden geben.