Vor ein paar Wochen hatte ich das Vergnügen, einem Vortrag von Adi Shamir beizuwohnen. Adi ist das "S" in RSA, dem weit verbreiteten Public-Key-Verschlüsselungssystem, zu dem er 1977 beigetragen hat. Adi verbringt ein Sabbatical am Krypto-Labor der ETH Zürich.
In seinem Vortrag über die Kryptografie nach Snowden hob Adi einige interessante Aspekte hervor. Er hatte sich die Zeit genommen, Tausende von Originaldokumenten zu lesen, die Edward Snowden an die Öffentlichkeit gebracht hat. Anders als die meisten hat sich Adi Shamir nicht auf Snowdens Verleger Glen Greenwald gestützt. Stattdessen arbeitete er sich sorgfältig durch alle Dokumente. Dabei interessierte ihn die Frage: Kann die NSA bekannte kryptographische Algorithmen knacken?
Die Antwort lautet nein. Die NSA kennt offensichtlich keine Methoden, um häufig verwendete Algorithmen wie AES, RSA oder RC4 zu knacken. Verschlüsselung funktioniert! In einigen Dokumenten beschwert sich die NSA sogar über den zunehmenden Einsatz von starker Kryptographie. Aber in den Dokumenten wird auch klar, dass die NSA, wenn sie den Algorithmus nicht knacken kann, über andere Wege zum Ziel zu gelangen versucht.
Zum Beispiel via Verschlüsselungsschlüssel, genau gesagt, via die Schlüsselgenerierung. Sobald ein Angreifer den Verschlüsselungsschlüssel oder Teile davon kennt, ändert sich die Gleichung. Dann würde es nicht mehr Jahrhunderte dauern, um mithilfe sämtlicher Computer der Welt eine Nachricht zu entschlüsseln. Stattdessen wäre es möglich, dieselbe auf einem gängigen Supercomputer in nur wenigen Tagen oder sogar Stunden zu entschlüsseln.
Adi Shamir empfiehlt dringend, bei der Verschlüsselungsschlüsselerzeugung nicht auf große Organisationen zu vertrauen. Dabei verweist er auf einen der letzten Passwort-Diebstähle, nämlich Millionen von gestohlenen SIM-Karten-Passwörter. Wenn ein Angreifer eine solche Liste hat, benötigt er nicht einmal mehr einen Supercomputer. Aber wenn man sich bei der Verschlüsselungsschlüsselerzeugung nicht auf Dritte verlassen kann: Wie kann man dann sichere Schlüssel generieren? Die Antwort lautet: Man muss es selber machen.
Um sichere Schlüssel zu generieren, benötigt man ein vertrauenswürdiges Gerät, das man selber kontrolliert. Dieses muss die Schlüssel mithilfe eines natürlichen stochastischen Prozesses erzeugen, zum Beispiel mit thermischem Rauschen. Das Gerät muss sicherstellen, dass Schlüssel und Passwörter nur unter normalen Betriebsbedingungen erzeugt werden. Dafür sollte man keinen Computer verwenden. Eine Maschine, deren Verhalten vorhersehbar ist, kann keine echte Zufälligkeit erzeugen. Erwarten Sie auch niemals von einer Software, dass sie echte Zufallszahlen generieren kann. Stattdessen müssen Sie ein dafür vorgesehenes Gerät wie ein Hardware Security Modul verwenden.
Securosys baut solche HSM. Unsere Primus HSM generieren sichere Schlüssel, Passwörter und Zertifikate mithilfe unterschiedlicher zufälliger Quellen. Mehrere (Manipulations-) Sensoren sorgen dafür, dass das HSM unter kontrollierten Betriebsbedingungen bleibt. Ausserdem wird der private Schlüssel jedes HSMs nur vom Inhalber an seinem Standort generiert. So kann nur der Kunde auf das HSM zugreifen, und nicht einmal Securosys ist dies möglich; es gibt keine Hintertüren!
Gemäss Adi Shamir sind vertrauenswürdige Passwörter, Schlüssel und Zertifikate ein Muss für sichere Netzwerke. Die HSM von Securosys werden in der Schweiz entwickelt und hergestellt. Securosys ist eine unabhängige Firma. Bei unseren Geräten hat der Kunde die volle Kontrolle über sein Gerät.
Robert Rogenmoser, CEO Securosys