Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Unerlaubte Algorithmen kommen überall zum Einsatz

Gegen Steganografie hat die Kryptopolizei keine Chance

04.04.1997

Um ein komplettes Verbot von Kryptografie geht es nur noch wenigen politischen Hardlinern. In der Regel verlangen Sicherheitsexperten eine behördliche Zulassung von kryptografischen Systemen, damit Polizei und Verfassungsschutz bei entsprechender richterlicher Verfügung Zugriff auf chiffrierte Daten erhalten.

Diskutiert wird unter anderem die Frage, ob und bei welcher "Vertrauensinstanz" ein Schlüssel wirklich sicher hinterlegt werden kann (Key-escrow-Verfahren). Sollen Behörden, Diensteanbieter oder die Hersteller der Kryptoprodukte selbst den Schlüssel aufbewahren? Es ist kaum anzunehmen, daß beispielsweise eine Bank das Sicherheitsrisiko eingehen würde, ihre sensibelsten Daten Dritten zugänglich zu machen. Das Electronic-Commerce-Geschäft würde also einen schweren Rückschlag erleiden.

Die Genehmigung bestimmter Kryptoverfahren dürfte ebenfalls ins Leere greifen, da unerlaubte Kryptoalgorithmen, die per Internet von überall her bezogen werden können, kaum unter Kontrolle zu bringen sind. Allerdings könnten Polizei und Geheimdienste dies erkennen, Gesetzesbrecher ließen sich - zumindest theoretisch - dingfest machen. Doch soll man wirklich einen Kriminellen genauso bestrafen wie jemanden, der seine Geschäfte im Internet mit einem eigenen Kryptosystem verschlüsselt und damit unbewußt die Behörden in Atem hält?

Die Gesellschaft für Mathematik und Datenverarbeitung (GMD), St. Augustin, hält eine staatliche Kontrolle von Kryptografie schlicht für undurchführbar. Überall auf der Welt seien Basisanwendungen wie "Pretty Good Privacy" (PGP) oder Software mit mathematischen Basismechanismen über das Internet zu beschaffen.

Diese hätten auch das Exportverbot der USA mit Leichtigkeit überwunden und gehörten bereits zur Standardausrüstung vieler Internet-Benutzer.

Behördliche Kontrolle läßt sich auch durch den Einsatz steganografischer Verfahren umgehen, mittels derer geheime Nachrichten versteckt übertragen werden. Daten werden dabei - verschlüsselt oder unverschlüsselt - in eine Hülle (zum Beispiel Bilddatei) eingebettet, ohne daß dies für den Betrachter erkennbar wäre. Die Veränderungen vollziehen sich auf Pixelebene; selbst Hochleistungsrechner spüren gut verborgene Nachrichten nur in Ausnahmefällen auf. Eine Regulierung würde hier ins Leere greifen, da eine Kontrolle unmöglich wäre.

Steganografie wird nicht nur zur verschlüsselten oder unverschlüsselten Übertragung geheimer Nachrichten verwendet. Urheber von Bildern, Musik oder Texten können auf diese Weise verborgene, schwer erkennbare Copyright-Informationen an ihre Dokumente anbringen.

Angesichts dieser Möglichkeiten, jede staatliche Kontrolle zu umgehen, urteilt die GMD: "Das Ergebnis eines Kontrollgesetzes wäre, daß der gesetzestreue Bürger, den das Gesetz ja gar nicht treffen soll, sich brav der Kontrolle unterwirft und damit allen Schutz verliert, während der Kriminelle ohne Furcht vor Strafverfolgung verborgen kommuniziert. Das Gleichgewicht zwischen gesetzestreuen Bürgern und Kriminellen würde zugunsten der Kriminellen verändert."

Im jüngsten Bericht des obersten Datenschutzbeauftragten von Schleswig-Holstein heißt es sogar: "Eine Reglementierung der Verschlüsselung würde gegen das verfassungsmäßige Verhältnismäßigkeitsprinzip verstoßen, weil es gesetzestreuen Bürgern die Chance zum Schutz ihrer Privatphäre nehmen würde, ohne daß Gesetzesbrecher gehindert wären, solche Verbote nach Belieben zu umgehen." Niemand müsse bei der Polizei seinen Wohnungsschlüssel oder gar ein "Verzeichnis seiner häuslichen Verstecke" hinterlegen, um etwaige Hausdurchsuchungen zu erleichtern. Auch dürfe man in Briefen durchaus eine Geheimsprache verwenden, die von der Polizei nicht zu entschlüsseln sei. Es sei nicht einzusehen, warum bei der Benutzung weltweiter Netze andere Grundsätze gelten sollten.

Stego-Beispiel

Folgender Text enthält eine verschlüsselte Nachricht: "Liebe Kolleginnen! Wir genießen nun endlich unsere Ferien auf dieser Insel vor Spanien. Wetter gut, Unterkunft auch, ebenso das Essen. Toll! Gruß, M. K." Die versteckte Botschaft läßt sich entziffern, indem man die Buchstaben bis zum nächsten Leerzeichen - also einschließlich Satzzeichen - zählt und folgende Regel anwendet: Ist die Anzahl ungerade, ergibt sich eine 0, sonst eine 1. Mit dieser Vorschrift ergeben die ersten acht Wörter die Zahlenreihe 01010011, was dezimal 83 entspricht und nach der ASCII-Tabelle den Buchstaben S ergibt. Die nächsten acht Wörter ergeben den Buchstaben O, die letzten acht Buchstaben erneut ein S. Aus dem Urlaubsgruß wird ein versteckter Hilferuf: SOS.

(Das Beispiel wurde folgender Web-Adresse entnommen: http://ttrip1.fh-worms.de/sem/ss96/steganografie/def.htm. Weitere Informationen über Steganografie sowie ein Verzeichnis der zur Verfügung stehenden Programme finden sich unter http://www.iquest.net/mrmil/stego.html sowie http://www.thur.de/ulf/stegano/).