« Dezember 2020 | Blog | August 2020 »

EU fordert Einhorn der Verschlüsselung

Samstag 28 November 2020   Kategorien: IT-Sicherheit, Physische Sicherheit, Politik   von Rainer W. Gerling

Einhörner haben bekannter Weise magische Fähigkeiten und die werden auch gebraucht, um die Forderungen der Europäischen Union aus der Entschließung des Rates zur Verschlüsselung "Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung" umzusetzen.

Die widersprüchliche Forderung aus dem Titel des Papiers verwenden das Wort Sicherheit in einer nicht synonymen Art. Das erste "Sicherheit" ist als Informations- und IT-Sicherheit gemeint. Wir schützen unsere Daten und Systeme durch Verschlüsselung. Das zweite "Sicherheit" ist im Sinne öffentlicher Sicherheit und Schutz vor Kriminalität gemeint. Dass "Terrorismus, organisierte Kriminalität, sexueller Missbrauch von Kindern" und andere schwere Cyberkriminalität zu bekämpfen ist, findet unser aller Zustimmung.

Nur die Vorstellung der Politiker man könne in die Verschlüsselung eine Art von Magie einbauen, so dass die Bösen durch die Verschlüsslung abgehalten werden, die Guten aber für einen rechtmäßigen, transparenten, notwendigen und verhältnismäßigen Zugang durch die Verschlüsselung nicht aufgehalten werden, das funktioniert nicht. Solche Lösungen können nur Einhörner finden und die gibt es ja bekannter Weise nicht.

Eine bekannte Lösung für eine (halb)staatliche Hintertür sind die TSA-Schlösser an unserem Gepäck. Nur die Berechtigten im Bereich der Sicherheitskontrollen an Flughäfen haben die erforderlichen Schlüssel. Und damit ist kein Missbrauch möglich. Dumm nur, das ein Foto der Schlüssel im November 2014 in der Washington Post in dem Artikel „The secret life of baggage: Where does your luggage go at the airport?” und damit im Internet erschienen ist, Dadurch existieren jetzt 3D-Druckvorlagen, die es jedem erlauben TSA-Schlüssel zu drucken. Details in meinem Kurzvortrag auf der 25. Konferenz "Sicherheit in vernetzten Systemen" des DFN-CERT.

Sicherlich wird die ETSI jetzt ihren kaputten Standard Enterprise Transport Security (ETS), als unsichere Alternative zu TLS 1.3, wieder ins Spiel bringen. Der ursprünglich mal eTLS genannte Standard hat sogar offiziell eine Schwachstellenummer: CVE 2019-9191. Dieser Standard bietet aber keine Lösung für das Problem, sondern entfernt lediglich Perfect Forward Secrecy aus dem TLS 1.3.

Die Frage ist nicht, ob eine Hintertür missbraucht wird, sondern nur wann eine Hintertür missbraucht wird!