- Überwachungsbehörden wie die NSA und das GCHQ treiben eine Abschwächung der Standardisierung voran: weg von bestehender ECC+PQ-Dual-Verschlüsselung hin zu reiner PQ-Verschlüsselung
- Diese Veränderung ist mit Verfahren innerhalb von Standardisierungsgremien wie der IETF TLS Working Group, mit Militärbudgets und mit Beschaffungsanforderungen großer Unternehmen verknüpft
- Viele Sicherheitsexperten und Praktiker betonen, dass die Beibehaltung von Dual-Verschlüsselung angesichts realer Bedrohungen und möglicher Fehler der naheliegende Ansatz ist
- Rund um die Einführung eines reinen PQ-Standards treten zudem gravierende Verfahrensprobleme auf, darunter rechtliche und prozedurale Anforderungen, die Definition von Konsens und unzureichender Umgang mit Einwänden
- Die Kaufkraft und der Einfluss einiger Organisationen wie der NSA führen letztlich dazu, dass schwache Standards normalisiert und die Risiken für das gesamte Sicherheitsökosystem erhöht werden
Einleitung: Warum Dual-Verschlüsselung (Hybrid) nötig ist und was der praktische Hintergrund ist
- Post-Quanten-(PQ)-Verschlüsselung wird zusätzlich zur bestehenden ECC-basierten Verschlüsselung als zusätzliche Sicherheitsebene eingeführt
- Beispiele: Google CECPQ1 (traditionelles ECC X25519 + PQ NewHope1024), CECPQ2 (ECC+NTRUHRSS701), CECPQ2b (ECC+SIKEp434)
- Aktuelle Browser verwenden laut Cloudflare bereits in mehr als der Hälfte der Fälle PQ, meist gleichzeitig mit ECC (hybrid/dual)
- Auch wenn PQ theoretisch stark ist, können neue Schwachstellen oder ein Zusammenbruch von Algorithmen auftreten; tatsächlich gab es bereits Probleme wie den öffentlichen Zusammenbruch von SIKE
- Dual-Verschlüsselung wirkt wie ein Sicherheitsgurt im Auto: ein realistischer Puffer gegen unbekannte Risiken oder Defekte
Einfluss und Ziele von NSA und GCHQ bei der Standardisierung
- NSA und GCHQ versuchen, statt ECC+PQ-Dual-Verschlüsselung einen abgeschwächten Standard mit reiner PQ-Verschlüsselung (ohne Hybrid) durchzusetzen
- Ähnlich wie bei Dual EC wiederholen sie Argumente mit dem Vorwand einer „Stärkung der Sicherheit“, obwohl diese logisch fehlerhaft sind; tatsächlich geht es darum, Schwachstellen einzuschleusen und den eigenen Einfluss zu vergrößern
- Die NSA nutzt Beschaffungsvorgaben für Militär und kritische staatliche Infrastruktur, um über Budgetentscheidungen Produkte und Services in Richtung reiner PQ-Verschlüsselung zu lenken
- Große Unternehmen wie Cisco, Google, IBM und Microsoft formalisieren oder unterstützen Implementierungen mit reiner PQ-Verschlüsselung im Einklang mit Anforderungen von Behörden wie der NSA
Das Argument des „Dogfooding“ und die Realität
- Schon bei der Abschwächung und Standardisierung von DES (56 Bit) nutzte die NSA Marketing à la „Wir verwenden DES selbst auch für nationale Geheimdienstinformationen“, um zusätzliches Vertrauen zu erzeugen
- Tatsächlich wurden wichtige Informationen jedoch mit mehrschichtigen Verfahren wie Triple-DES geschützt
- Auch heute betreibt die NSA beim Schutz wichtiger Daten zwei unabhängige Verschlüsselungsebenen, um Single-Point-of-Failure-Szenarien zu vermeiden
Verfahren zur Standardübernahme und der Fall IETF
- In der IETF wurde ein Entwurf zur Einführung von Hybrid (ECC+PQ) für TLS im März 2025 ohne nennenswerten Widerspruch angenommen
- Der Entwurf für reines PQ stieß dagegen bei mehreren Sicherheitsexperten auf Kritik wegen Sicherheit, WG-Charter und zusätzlicher Komplexität
- Wie beim Fall SIKE kann schon der Bruch nur einer Komponente die gesamte Sicherheit zunichtemachen
- Die von der NSA getriebene beschaffungsbasierte Einflussnahme verstoße gegen BCP 188 und gegen das Ziel der WG, die „Sicherheit zu verbessern“
- Hybrid ist die praktisch beste Wahl, weil es die Sicherheit erhöht, ohne nennenswerte reale Nachteile zu verursachen
Rechtliche/politische Verfahren und Anforderungen an Konsens
- Nach US-Recht müssen Standardisierungsgremien Offenheit, Ausgewogenheit der Interessen, ordnungsgemäßes Verfahren, Reaktionen auf Einwände und Konsens (concensus) erfüllen
- Nach Rechtsprechung des Supreme Court und OMB-Vorgaben bedeutet „Konsens“ nicht nur eine Abstimmung, sondern die faire Prüfung jeder Gegenposition, ausreichende Information und echte breite Zustimmung
- Im konkreten IETF-Fall ist ein Verhältnis von 22 Befürwortern zu 7 Gegnern kaum als allgemeiner Konsens zu werten
- Die zustimmenden Beiträge innerhalb der IETF waren meist sehr kurz, während substantielle und konkrete Antworten oder Diskussionen zu den Gegenargumenten weitgehend fehlten
Zusammenfassung der Risikofaktoren
- Einflussreiche Organisationen wie die NSA nutzen Budgetmacht und Mitarbeit in Standardisierungsgremien, um eingebaute Schwachstellen und industrielle Abhängigkeiten zu fördern
- Frühere Standardisierungsfehler wie Dual EC und SIKE können erneut schwerwiegende Sicherheitslücken und katastrophale Folgen nach sich ziehen
- Während sich Dual-Verschlüsselung faktisch als Standard etabliert, könnte die Einführung eines geschwächten Standards unter dem Vorwand von „Einsparung“ oder „Vereinfachung“ das gesamte Ökosystem gefährden
Fazit und Implikationen
- Erforderlich sind mehr Fairness und Transparenz bei Standardisierung sowie eine stärkere Förderung von Dual-Verschlüsselung, die den realen Marktanforderungen entspricht
- Es braucht mehr Wachsamkeit gegenüber der Möglichkeit einer flächendeckenden Schwächung der Sicherheit im Ökosystem durch aggressive Einflussnahme von Organisationen wie der NSA
- Damit sich fortschrittliche Praktiken zur Risikoreduzierung – etwa die breite Einführung von Dual-Verschlüsselung – verbreiten können, sind das aktive Interesse von Entwicklern und Unternehmen sowie wirksame Kontrollmechanismen entscheidend
1 Kommentare
Hacker-News-Kommentar
DJB kritisiert die Position der NSA seit 2022 fortlaufend (siehe: DJBs Blogbeitrag). Besonders überraschend ist, dass es tatsächlich Stimmen gibt, die nicht-hybriden PQ-Schlüsselaustausch in realen Anwendungen einführen wollen. Falls das nicht ein von der NSA bewusst so gestalteter Mechanismus ist, damit sie ihn leicht brechen kann, zeigt es jedenfalls ein enormes Vertrauen in einen erst seit Kurzem verfügbaren Mechanismus. Die Situation ist ungefähr so, als würde man sagen: „Jetzt, wo man Viren im Abwasser nachweisen kann, müssen Krankenhäuser keine potenziellen Infektionsfälle mehr melden.“ Noch gefährlicher ist das, weil die Ziele mancher Beteiligter womöglich dem Interesse aller anderen völlig entgegenlaufen. DJB weist in seinem Text von 2022 darauf hin, dass die NSA öffentlich im Wesentlichen nur auf „die sehr wenigen Fälle, in denen vorschnell zusätzliche Sicherheitsschichten eingeführt wurden und Probleme verursachten“, verwiesen und Vertrauen in den NIST-PQC-Prozess bekundet hat.
Bei diesem Thema gibt es viel Diskussionsstoff. A) Cyber-Regierungsbehörden sollte man niemals blind vertrauen. B) Die NSA ist nicht so, wie man sie sich gemeinhin vorstellt; sie ist wirklich ein bizarrer Wilder Westen, das sage ich mit eigener Erfahrung. C) In der Kryptographie geht es um weit mehr als nur Sicherheit oder Nachrichtenaustausch; manchmal weiß man nicht einmal, dass etwas — vielleicht sogar ein Lebewesen — entschlüsselt werden kann. D) Die NSA ist wirklich, wirklich schmutzig in ihrer Vorgehensweise, fast schon eine digitale CIA, und agiert überall als Cyber-Spion, auch in Tech-, Telekom- und Herstellerunternehmen. E) Den Empfehlungen der NSA sollte man niemals folgen / ihre Kultur ist auf Ausnutzung ausgerichtet.
Ich würde gern verstehen, was mit „etwas — vielleicht sogar ein Lebewesen — kann entschlüsselt werden“ gemeint ist.
Statt nur zu sagen, man solle der NSA nicht vertrauen, hätte ich gern eine Begründung dafür, warum man stattdessen Ihnen selbst vertrauen sollte.
Es wirkt seltsam, öffentlich Alarm zu schlagen, ohne zu erwähnen, dass die Beschwerde offiziell bereits vor drei Tagen zurückgewiesen wurde (siehe: offizielles IESG-Dokument).
Mit Respekt gegenüber Ihnen und dem Autor: Das Zurückweisungsschreiben geht auf die Kernprobleme praktisch gar nicht ein und beschränkt sich im Wesentlichen auf „kein Verfahrensfehler“ und „wenn Sie Widerspruch einlegen wollen, reichen Sie ihn formal korrekt erneut ein“. So eine Reaktion schafft eher noch weniger Vertrauen.
Für die Vollständigkeit des Protokolls finde ich es gut, dass es öffentlich ist. Bei solchen Themen darf man nie vergessen, dass es eine lange Geschichte davon gibt, dass Menschen, die auf „geschwächte Verschlüsselung“ abzielen, nicht so leicht aufgeben.
Die Sache ist ziemlich besorgniserregend, und ich habe Respekt davor, dass DJB dagegen ankämpft. Eine Frage ist für mich allerdings, wer überhaupt ein praktisch relevantes Ziel wäre, das wichtig genug ist, damit die NSA sich dafür interessiert.
Technisch versierte Ziele würden ohnehin hybriden Schlüsselaustausch verwenden,
gewöhnliche Nutzer oder technisch weniger versierte Ziele haben wegen Überwachungsprogrammen wie PRISM ohnehin kaum noch einen Nutzen von Verschlüsselung,
also fragt man sich, was die NSA eigentlich wirklich beabsichtigt.
Die meisten Organisationen übernehmen einfach die Standard-Sicherheitseinstellungen ihrer Cisco-Router oder Webbrowser. Die NSA verlangt zunächst, dass auch Protokolle unterstützt werden, die nicht vollständig sicher sind, und sobald sie verbreitet genug sind, sorgt sie per Compliance-Prüfung dafür, dass genau diese zum „Standard“ werden.
Selbst wenn nicht jedes Ziel mit Hintertür-Technik abgedeckt werden kann, wäre es schon ein Riesenerfolg, wenn 30 % des Marktes sie nutzen. Nachrichtengewinnung ist ein Zahlenspiel: Wenn man das Netz nur weit genug auswirft, fängt man irgendwann viele Ziele ein.
In Kombination mit QUANTUMINSERT besteht das Risiko, dass selbst Menschen, die ursprünglich stärkere Verschlüsselung genutzt hätten, für Downgrade-Angriffe anfällig werden.
Ich wünschte, es würde konkret erklärt, was genau mit „besorgniserregend“ gemeint ist.
Heißt das nicht, dass 99 % des weltweiten TLS-Verkehrs gefährdet wären?
Auch der enthusiastische Drang, RSA durch ECC zu ersetzen, wirkt in derselben Weise verdächtig. Es kam mir sehr merkwürdig vor, wie plötzlich ein lange bewährter Algorithmus gleichzeitig als nicht mehr vertrauenswürdig, schwer zu implementieren, langsam und nicht mehr zeitgemäß dargestellt wurde — nach einem allzu offensichtlichen Muster.
Schon der Gedanke an solche Versuche lässt mich über die bestehende doppelte Verschlüsselung noch eine dritte Schicht legen wollen.
Die Behauptung „Post-Quanten-Algorithmen könnten sogar mit heutigen Computern gebrochen werden“ läuft praktisch darauf hinaus, „Security Through Ignorance“ zu bieten. Ist diese Verschlüsselung sicher? Niemand weiß es! Warten wir einfach ab, bis das Ergebnis da ist.
Es scheint hier ein Drama aus mehreren miteinander verflochtenen Ereignissen zu geben, aber unabhängig davon hat mich dieser Beitrag zu dem Gedanken gebracht, dass wichtige Standards nicht von Regierungen festgelegt werden sollten. Wer sollte dann den Standardisierungsprozess übernehmen? Die Linux Foundation? Derzeit scheint sich kryptomathematisches Talent im Ethereum-Ökosystem rund um Zero-Knowledge-Proofs (ZK-Proofs) zu sammeln. Wenn Vitalik einen Wettbewerb wie NIST veranstalten würde, würden sicher alle hinschauen. Am dringendsten braucht man wohl eine Struktur, die Angreifer dafür belohnt, mit Testdaten Verschlüsselung anzugreifen, bevor sie in der Praxis ausgerollt wird. Ideal wäre es, wenn Kryptographie bereits vor der Standardisierung unter Angriff steht. Auf Ethereum-Seite scheint man solche Bounty-Modelle gut zu betreiben. Wenn Kryptographie-Experten über ethische Offenlegung tatsächlich bezahlt werden, sinkt der Anreiz, Ergebnisse an unethische Akteure zu verkaufen.
Erschreckend ist, dass jemand namens Wouters Bernstein mit einer sehr unfreundlichen und aggressiven CoC-Nachricht (Verhaltenskodex) unter Androhung eines Banns attackiert hat (siehe: Original-E-Mail). Eine paradoxe Erfahrung von „Vertraue dem Prozess“.
FIPS ist so etwas wie die letzte Bastion der Sicherheitsstandards.