Handelsblatt

MenüZurück
Wird geladen.

15.05.2014

10:41 Uhr

Verschlüsselungstechnologie

Vertrauen durch Wettbewerb

VonHanno Böck

Für Verschlüsselungstechnologien wurden lange Zeit viele Standards der Behörde NIST eingesetzt. Durch die NSA-Affäre hat der Ruf der Behörde gelitten. Kann man ihren Standards noch vertrauen?

Nach den NSA-Enthüllungen stellt sich die Frage nach der Sicherheit der von der US-Behörde NIST gesetzten Verschlüsselungsstandards. dpa

Nach den NSA-Enthüllungen stellt sich die Frage nach der Sicherheit der von der US-Behörde NIST gesetzten Verschlüsselungsstandards.

Die US-Behörde NIST (National Institute of Standards and Technology) genoss lange Zeit einen guten Ruf unter Kryptographen. Komplexe Verschlüsselungsverfahren wie SSL oder PGP nutzen an vielen Stellen Bausteine, die durch das NIST standardisiert wurden. Das Kalkül: Was gut genug für die US-Regierung ist, ist auch gut genug für die private und geschäftliche Kommunikation. Doch das war vor der NSA-Affäre.

Eine kleine Notiz in den Veröffentlichungen des Whistleblowers Edward Snowden hat dem Ruf des NIST erheblich geschadet. Demnach hat die NSA in der Vergangenheit versucht, die Standardisierung von sicheren Verschlüsselungsalgorithmen zu sabotieren und Algorithmen mit geheimen Hintertüren zu etablieren. Seitdem fragt die Fachwelt sich, welche Standards davon betroffen sind.

Bekannt ist, dass das NIST in vielen Fällen mit dem Geheimdienst zusammenarbeitet. Das ist sogar gesetzlich festgeschrieben. Das NIST muss sich bei der Standardisierung von der NSA beraten lassen. In vielen Fällen geschieht die Zusammenarbeit auch ganz offen. Zahlreiche Standards des NIST sind von Personen geschrieben, die bekanntermaßen NSA-Mitarbeiter sind.

Doch was ist die Alternative zu Standards einer Regierungsbehörde? Die Antwort darauf hat das NIST im Grunde selbst längst gegeben. Ende der 90er Jahre war klar, dass der damals aktuelle Data Encryption Standard (DES) nicht mehr sicher genug war. Es bestand also der dringende Bedarf für einen neuen Verschlüsselungsstandard, um DES zu ersetzen.

Anders als früher sollte dieser jedoch nicht im Geheimen entwickelt werden. Das NIST startete 1997 einen öffentlichen Wettbewerb. Kryptographen aus aller Welt waren dazu aufgerufen, Vorschläge für den neuen Standard mit dem Namen AES (Advanced Encryption Standard) einzureichen. Diese Vorschläge wurden auf mehreren Konferenzen öffentlich diskutiert und verbessert. Am Ende wählte das NIST 2001 den Algorithmus Rijndael, der von den beiden belgischen Kryptographen Joan Daemen und Vincent Rijmen entwickelt wurde.

Zwar gab es auch an dieser Entscheidung leise Kritik. Besonders der Microsoft-Mitarbeiter Niels Ferguson, der selbst zusammen mit anderen einen konkurrierenden Vorschlag eingereicht hatte, zweifelte lange an der Sicherheit des neuen AES-Standards. Doch selbst Ferguson sagt heute: „AES hat den Test der Zeit bestanden. Ich sehe den Prozess der Wettbewerbe für Algorithmen als eine der wichtigsten Innovationen in der Kryptographie. Ein Prozess um neue Algorithmen zu erstellen, denen wir vertrauen können.“

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×