Re: Re(2): [ox] Sicherheit (was: Wettlauf mit der Zeit)
- From: Robert Gehring <zoroaster snafu.de>
- Date: Sat, 22 Sep 2001 17:50:45 +0000
Am Samstag, 22. September 2001 13:57 schrieben Sie:
Hallo Robert und Mitleser,
On Sat, Sep 22, 2001 at 01:20:47PM +0000, Robert Gehring wrote:
Wenn jetzt immer behauptet wird, die Attentäter hätten verschlüsselt
kommuniziert, deshalb wären ihre Pläne dem CIA/der NSA im Vorhinein
unentdeckt geblieben, dann frage ich, wieso haben die nicht gemerkt, daß
da eine erkleckliche Zahl von Leute, die gelegentlich mit Terrorismus in
Beziehung gebracht wurden, über Monate und Jahre hinweg verschlüsselt
kommuniziert hat? Der Schluß kann nur lauten: Die CIA/NSA haben es nicht
gemerkt. Der Schluß kann nicht lauten: Die konnten es nicht lesen.
Womöglich haben die Terroristen gar keine Verscklüsselung benötigt, da
CIA und NSA und BND und wer weiß welche Dienste alles sonst noch im Spiel
sind, nichts gemerkt haben. Und das hatte nichts mit fehlendem Geld oder
Befugnissen zu tu, sondern mit der Arbeitsweise und den -durch die Ziele
vorgegebenen- Perspektiven.
Ich will zunächst nur anmerken, dass es technische Verfahren gibt, die eine
Erkennung verschlüsselter Kommunikation tatsächlich unmöglich machen
("Steganographie").
Über die Effektivität von Steganographie läßt sich diskutieren. Die ganzen
"geknackten" Wasserzeichenverfahren usw. zeigen, daß es noch erhebliche
Probleme mit derartigen Verfahren in ihren unterschiedlichen Ausprägungen
gibt.
[Das folgende soll Dir nicht widersprechen, sondern aus einem weiteren
Blickwinkel ergänzen.]
Allerdings gibt es Verfahren, die wesentlich interessanter sind, z.B.
sogenannte `subliminal channels' in digitalen Signaturverfahren, über die man
_unmerkbar_ und -für Außenstehende- _effektiv nicht nachweisbar_ kleinere
Mengen an Daten auf ganz `legalem' Wege (innerhalb der systemimmanenten
Redundanz) transferieren kann [vgl. Menezes/Orschot/Vanstone: Handbook of
Applied Cryptography, S.485, CRC Press, Boca Raton, 1997]. Das ist schon seit
-spätestens- 1993 bekannt und ließe sich vermutlich grundsätzlich auf alle
möglichen Kommunikationsverfahren ausdehnen. Dem Erfindungsreichtum sind
(fast) keine Grenzen gesetzt.
Dergleichen kann im Internet von einem x-beliebigen Ort der Welt aus
verbreitet werden. Ob das ein Signal ist, irgendwo eine Bombe zu werfen, eine
Uhrzeit, ein Deckname oder ... _wer_ will das wissen, der nicht eingeweiht
ist? Diese Art von Problem hat in der modernen Kommunikationsflut zu einer
extremen Asymmetrie geführt, die man _anerkennen_ und _sich bewußt machen_
muß. Eine Kritik, die das ignoriert geht an der Sache vorbei und ist
letztlich gefährlich, weil es falsche Aktionen nach sich zieht und
Unterlassungen an anderer Stelle.
Bestimmte Wege der Problemlösung sind versperrt, ob einem das gefällt, oder
nicht. Man muß nach anderen Wegen suchen, auch wenn das neue -und mehr-
Anstrengungen fordert.
Ein Verbot oder eine Einschränkung von starker Kryptographie werden nichts
ändern, sind lediglich Scheinlösungen: Man könnte damit "die Dummen" fangen.
Aber "die Dummen" sind es nicht, die derartige Angriffsszenarien planen
(können). "Die Schlauen", die dazu in der Lage sind, lassen sich doch nicht
durch irgendein Gesetz zum Kryptoverbot in ihren Handlungen einschränken. Sie
ließen sich ja auch nicht daran hindern, Flugzeuge zu entführen - obwohl das
verboten ist. Stattdessen würde man es ihnen leichter machen, an bestimmte
Informationen heranzukommen - Flugpläne, Zugangscodes, falsche Identitäten,
Adressen, ...
Auf die ganze Problematik wies am 16.09.2001 auch Klaus Brunnstein
(Informatiker an der Uni Hamburg) im Berliner tagesspiegel hin: (zu
Carnivore, Echelon etc.) <<Das sind nur Instrumente, mit denen Sie die
Gutartigen überwachen können. Das sind aber nicht die Gefährlichen, nämlich
bösartige Spezialisten.>>
Das ist wie mit den Schlössern: Schlechte Schlösser laden zum Einbruch ein.
Und ohne Schlösser braucht es nicht mal mehr einen Einbruch ... In dem Fall
bemerkt man allerdings vielleicht auch gar nicht mehr [so schnell], ob und
was abhanden gekommen ist ... "Wer hat noch eine Kopie vom Zugangscode?"
Es ist kreuzgefährlich, sich in einer Scheinsicherheit zu wiegen, die man
durch irgendwelche unrealistischen Verbote und Abhörmaßnahmen erzeugt. Jeder,
der sich etwas intensiver mit IT-Sicherheit befaßt, wird um diese Erkenntnis
nicht herumkommen.
Im Ganzen gesehen, stellt sich das Problem so dar: Wenn man ein System X mit
einem bestimmten Komplexitätsgrad vollständig schützen will, dann muß man
darin _jeden_ Fehler finden und beseitigen. Wer dagegen solch ein System
stören will, muß nur _einen_ Fehler finden und ausnutzen. Je höher die
Komplexität des Systems, so mehr Fehler/Unsicherheiten enthält es. Die
Komplexität zu erhöhen -z.B. durch neue Abhörgeräte etc.-, bedeutetet also
zur gleichen Zeit, den potentiellen Angreifern in die Hände und gegen die
potentiellen Systemschützer zu arbeiten. Da die Fehlerzahl in der Regel
geometrisch und nicht linear mit dem Komplexitätsgrad wächst (wg. der
mehrseitigen Interaktionsmöglichkeiten), verschafft man den potentiellen
Angreifern nur immer schneller neue Angriffsmöglichkeiten, während man den
Schutzaufwand automatisch immer schneller in die Höhe treibt - bis er
irgendwann jenseits der Grenzen des Machbaren angelangt ist.
Fazit: Technik"regulierung" wird nicht die Lösung sein können. Die wird man
anderweitig suchen müssen, in einem -herzustellenden- Konsens, die
Schwachstellen nicht zu mißbrauchen. Und solchen Konsens wird man mit Gewalt
nicht herbeiführen können, denke ich.
Gruß, Robert
--
Von/From: Dipl.-Inform. Robert Gehring
E-Mail: rag cs.tu-berlin.de
privat: zoroaster snafu.de
________________________________
Web-Site: http://www.oekonux.de/
Organisation: projekt oekonux.de