Die National Security Agency liest auch bei verschlüsselter Kommunikation mit – egal ob beim Mailen oder beim Online-Banking. Krypto-Experten hat das nicht überrascht. Denn die diskutieren schon seit Jahren auf ihren Fachkonferenzen, mit welchen Methoden Geheimdienste verschlüsselte Daten sehr schnell dekodieren.

 

Wer online Geld überweist, setzt dafür in der Regel die sogenannte Transportverschlüsselung ein. Der Bankkunde sieht das, weil die Web-Adresse seines Bankrechenzentrums, das die Online-Überweisung bearbeitet, nicht nur mit „http“ angegeben wird, sondern mit „https“. Das „s“ steht dabei für „secure“ oder „sicher“ und zeigt an, dass die Datenpäckchen an die Bank mit dem Verschlüsselungsprotokoll namens Transport Layer Security chiffriert werden.

 

Wer diese Transportverschlüsselung einsetzt, macht es den Geheimdiensten besonders leicht, die verschlüsselte Kommunikation mitzulesen. Denn bei der Transportverschlüsselung wird mit Zertifikaten gearbeitet. Das ist so eine Art Lizenz zum Entschlüsseln. Wer über ein solches Zertifikat verfügt, kann ungehindert mitlesen.

 

Die dafür notwendigen Zertifikate besorgen sich die Geheimdienste von den Zertifikatsherstellern, den sogenannten Trust-Centern. „Ich gehe davon aus, dass diese Trust-Center mehrheitlich technisch infiltriert sind“, meint der Professor Hartmut Pohl von der Sicherheitsberatung Softscheck in Sankt Augustin bei Bonn.

 

Online-Banking-Anbieter, DE-Mail-Provider und andere Web-Dienstleister setzen bei ihrer Verschlüsselung überwiegend auf Zertifikate, in deren Besitz auch die Geheimdienste, wie die NSA, das britische GHCQ oder der deutsche BND sind. Deshalb sind sicherheitsbewusste Anwender dazu übergegangen, ihre Daten mit einem extra Schlüssel zu kodieren, der dem Empfänger auf separatem Weg zugestellt wird.

 

Die dafür notwendige Kryptiersoftware basiert auf dem Advanced Encryption Standard, abgekürzt AES. Dieser Verschlüsselungsstandard ist vor mehr als zehn Jahren eingeführt worden, weil vor allen Dingen europäische Unternehmen dem von der National Security Agency entwickelten DES-Verschlüsselungsalgorithmus zunehmend misstrauten.

 

Doch schon kurz nach Einführung des AES-Algorihtmus kamen erste Zweifel an der Zuverlässigkeit dieses Verschlüsselungsstandards auf. Immer wieder wurde der Verdacht geäußert, die NSA habe in Advanced Encryption Algorithmen Hintertüren eingebaut, um verschlüsselte Kommunikation auch hier mitlesen zu können.

 

Die zuständigen Stellen in der amerikanischen Standardisierungsbehörde wollten diesen Verdacht bewusst nicht entkräften. Hinzu kam, dass die NSA den Druck auf das US-Handelsministerium verstärkte, den AES-Algorithmus nicht mehr für die Verwendung in Open-Source-Projekten freizugeben.

 

Der Hintergrund dieser Forderung liegt auf der Hand: Bei Open-Source-Projekten schauen viele Programmierer mit erheblichem Know-How auf den Quell-Code. Eine Hintertür fällt da leichter auf. Aber inzwischen wissen wir, dass auch hier Hintertüren möglich sind, Programmierfehler passieren oder Bugs wissentlich eingebaut wurden.

 

Inzwischen gibt es auch einige Hinweise von ehemaligen NSA-Mitarbeitern, wie die Entwickler des Geheimdienstes  Hintertüren in Verschlüsselungssoftware realisieren, die nach dem AES-Standard programmiert sind. Bei implementierter Verschlüsselungssoftware mit Hintertür haben die NSA-Entwickler direkten Zugriff auf die sogenanten Substitutionsboxen im Verschlüsselungsalgorithmus. Das sind Ersetzungstabellen.

 

Diese Ersetzungstabellen geben genau an, wie jedes Byte durch einen anderen Wert ersetzt wird. Ganz konkret geht der Verschlüsselungsalgorithmus so vor, dass jeder Buchstabe eines Textes, der verschlüsselt werden soll, mit mehreren Byte darstellt wird. Diese Byte werden in die Ersetzungstabelle geschrieben. Jeder Byte-Wert wird als Bruch dargestellt. Bei jedem Byte-Wert werden Zähler und Nenner vertauscht und dann multipliziert und noch einmal mit einem anderen Byte-Wert vertauscht. Alle Byte-Werte werden dann addiert. Das ergibt das Ergebnis des ersten Verschlüsselungsschrittes.

 

Der so verschlüsselte Text wird dann in weiteren Vertauschungsrunden byteweise ersetzt. Die NSA-Experten greifen nun die Methode, nach der Byte-Werte vertauscht und ersetzt werden, direkt an den Ersetzungstabellen ab. Das ist ausgesprochen vorteilhaft, weil bei der Verschlüsselung nach dem Advanced Encryption Standard der Schlüssel für diese Ersetzungen und Vertauschungen zwischen den Verschlüsselungsrunden gewechselt wird.

 

Wer die Methoden für das Vertauschen und Ersetzen an den S-Boxen genannten Ersetzungstabellen kennt und die Ersetzungswerte weiß, der verfügt über alle verwendeten und gewechselten Schlüssel. Die Geheimdienste haben mit dieser Methode also Zugriff auf diejenigen Programmteile der Verschlüsselungssoftware, die den Schlüssel errechnen.

 

Große Hoffnungen setzen einige Sicherheitsexperten deshalb auf die Quantenverschlüsselung. Denn nach den Gesetzen der Quantenphysik würde jeder Spion, der zum Beispiel die Leitung abhört und die Quantenbits abfängt, diese Quantenbits verändern oder erstören. Er würde deshalb bemerkt werden.

 

Doch auch hier sind die Geheimdienste schon eine Schritt weiter. Sie nutzen eine Sicherheitslücke bei den marktüblichen Quantenverschlüsselungsgeräten aus, die im Jahr 2010 erstmals von Forschern des Max-Planck-Instituts des Lichts in Erlangen vorgestellt wurde. Daraus haben die Experten für Quantenverschlüsselung bei der NSA eine regelrechte Angriffsstrategie entwickelt. Sie ähnelt den Hackerangriffen, mit denen beim Online-Banking Passwörter, Transaktionsnummern und andere Kontendaten erbeutet werden.

 

Der Sender schickt nämlich beim quantenkryptographischen Verfahren Photonen genante Lichtteilchen als Quantenbits über die Leitung, die vier unterschiedliche Polarisationszustände aufweisen. Der Empfänger misst die Polarisationszustände der Lichtteilchen, leitet daraus eine Bitfolge ab und vergleicht diese Bitfolge mit den ursprünglich vom Sender verschickten Quantenbits. Will ein Datenspion die Leitung abhören, muss er dafür einzelne Lichtteilchen abfangen und deren Polarisation messen. Durch diese Messung werden die Lichtteilchen aber verändert.

 

Damit der Empfänger nicht merkt, dass die Photonen abgefangen worden waren und manipuliert sind, blenden die NSA-Spione die Empfängerdetektoren regelrecht. Sie senden einen sehr hellen Blendpuls. Durch den hellen Blendpuls steht die Photodiode im Empfangsgerät unter einer Art Dauerbeschuss. Damit ist sie unempfindlich für einzelne Photonen geworden. Sie kann auch die Quanteneigenschaften einzelner Photonen nicht mehr erkennen.

 

Der Detektor im Empfangsgerät kann bedingt durch die Blendung nur noch als ganz normaler Lichtsensor arbeiten. Das aber nutzen die Datenspione von der NSA aus. Sie fangen einzelne Photonen vom Sender ab, rekonstruieren den Quantenschlüssel und schicken die Photonen dann weiter zum Empfangsgerät.

 

Das Empfangsgerät kann aber einzelne Photonen gar nicht mehr erkennen, weil es unter Photonen-Dauerbeschuss steht, so dass es die von den NSA-Spionen geschickten Quantenbits für die originalen Quantenbits des Senders hält. Damit haben die NSA-Lauscher aber den gleichen Schlüssel wie Sender und Empfänger, die verschlüsselte Daten mit Quantenkryptographie austauschen und können direkt mitlesen.

 

Auch zusätzliche Sicherungsdioden haben die NSA-Entwickler überlistet. Diese Dioden messen die Lichtleistung, die in das Empfängermodul einstrahlt. Damit soll überwacht werden, ob das System sich auf dem sogenannten Einzelphotonlevel befindet oder nicht. Auch oberhalb des Einzelphotonlevels lassen sich mit solchen Dioden verschiedene kritische Einstrahlsituationen sofort erkennen. In Verbindung mit einem Alarmsystem sollten auf diese Weise Angriffe mit Blendimpulsen dann abgewehrt werden. Doch ehemalige NSA-Mitarbeiter versichern, dass derartige Dioden vom Quantenkryptoteam einfach ausgeschaltet worden seien.