Kryptografie dient der abhörsicheren Kommunikation. Dabei werden Nachrichten mathematisch so verschlüsselt, dass sie nur von den involvierten Parteien entziffert werden können. Sowohl für Bürger/-innen, Unternehmen als auch Behörden ist Verschlüsselung wichtig, um das Recht auf Privatsphäre sowie Geschäfts- und Staatsgeheimnisse wirksam vor neugierigen Augen zu schützen. Damit eine Verschlüsselungslösung als sicher gelten kann, muss sie Kerckhoffs’ Prinzip (siehe Wikipedia: de.wikipedia.org/wiki/Kerckhoffs’_Prinzip) genügen. Diese 1883 vom niederländischen Linguisten und Mathematiker Auguste Kerckhoffs definierte Maxime besagt, dass ein Verschlüsselungssystem in seinem Verfahren vollständig offengelegt sein muss, damit seine Sicherheit transparent geprüft werden kann.
Jahrhundertealtes Prinzip verletzt
Einzig die Schlüssel für die Entzifferung der Nachrichten dürfen geheim bleiben. Allerdings muss beim Verschlüsselungssystem nachvollziehbar sein, wie diese Schlüssel erzeugt werden. Ist eine Software zur Verschlüsselung komplett im Quellcode offengelegt – ist also das Rezept zur Erzeugung der gesamten Software öffentlich bekannt – kann Kerckhoffs’ Prinzip erfüllt werden. Um so mehr erstaunt es, dass die Zuger Firma Crypto AG sowie – wie jüngst gezeigt wurde – die Zürcher Firma Omnisec AG jahrzehntelang ein jahrhundertealtes Prinzip verletzen konnten: Die Funktionsweise der jeweiligen Produkte waren stets geheim. Es kam, wie es kommen musste: Schon Anfang 2020 wurde durch Recherchen von SRF-Rundschau, «Washington Post» und ZDF belegt, dass die Crypto AG unterwanderte Verschlüsselungsgeräte in alle Welt lieferte. Jüngst wurde von dem Online-Magazin «Republik», der SRF-Rundschau und der «Wochenzeitung» gezeigt, dass auch die Omnisec-Produkte unterwandert waren. Letzteres ist spionagehalber pikant, weil auch Schweizer Banken und Behörden diese unsichere Kryptografie nutzten. Mitte November hat Werner Salzmann der Sicherheitspolitischen Kommission (SIK) im Rahmen einer Crypto-AG-Pressekonferenz verlauten lassen, dass das Verteidigungsdepartement 2,2 Milliarden Franken einsetzt, um Kryptografielösungen im VBS zu erneuern. Es besteht die Gefahr einer massiven Fehlinvestition, falls wieder auf unsichere Kryptografie gesetzt wird. Ein Zugangsgesuch nach Öffentlichkeitsgesetz ist bei mir offen, um hier Licht ins Dunkel zu bringen.
Dabei ist Open-Source-Software zur Verschlüsselung nicht etwa inexistent. Ich selber arbeite am Projekt «pretty Easy privacy» (pEp): Diese Software wird im Kern in der Schweiz entwickelt. Es bestehen Gratis-Apps für automatisierte Ende-zu-Ende-Verschlüsselung von E-Mails (siehe Downloadseite: pEp.software). Mit derselben Kernsoftware lassen sich auch Finanztransaktionen innerhalb und zwischen Banken verschlüsseln. Die Verschlüsselung ist endgerätebasiert – es besteht keine Abhängigkeit von einer zentralen Plattform, was hochrisikohafte Abhängigkeiten und Angriffswege ausschliesst. Diese Dezentralisierung ist wichtig, weil Regierungen immer wieder dabei ertappt werden oder versucht sind, plattformbasierte Kommunikationssysteme – wie Whatsapp – zu unterwandern.
Online-Diskussion
Wollen Sie über sichere Verschlüsselungssoftware diskutieren? Treffen des CCC Zürich (www.ccczh.ch) sind zurzeit aufgrund von Covid-19 ausgesetzt. Täglich ab 20 Uhr findet aber ein «Cyberstammtisch» statt. Mehr Informationen dazu online unter www.twitter.com/cyberstammtisch. Auch Politiker/-innen dürfen gerne teilnehmen. (red.)