Mitte Juni behauptete Edward Snowden in einem Chat mit Lesern des „The Guardian“ (Edward Snowden: NSA whistleblower answers reader questions), daß Verschlüsselung tatsächlich schützt.
Question:
Mathius1
17 June 2013 2:54pmIs encrypting my email any good at defeating the NSA survelielance? Id my data protected by standard encryption?
Answer:
Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it.
Die Unsicherheit der Endgeräte, nicht nur durch die eingebauten Hintertüren für die Geheimndienste (kastrierte Verschlüsselung durch teilweise bekannte oder eigene Schlüssel), ist schon lange bekannt, so daß Dienste ggf. auf die geheimen Schlüssel des Anwenders direkt zugreifen können.
Im April letzten Jahres haben einige Abgeordnete aus der der Fraktion „Die Linke“ eine kleine Anfrage unter dem Titel „‚Strategische Fernmeldeaufklärung‘ durch Geheimdienste des Bundes“ (Bundestagsdrucksache 17/9305 v. 05.04.2012) an die Bundesregierung gerichtet. Jetzt wurde beim DWN die Antwort dazu öffentlich. Praktisch alle Antworten zu den wesentlichen Fragen unterliegen der Geheimhaltung und letztendlich wurde nur zugegeben, was bereits dem anfrageauslösenden Bericht der PKG zu entnehmen ist: Der Deutsche Staat schnüffelt in der Kommunikation herum. Nur an einer Stelle (Antwort auf Frage 3, Seite 3 ) konnte man scheinbar Überraschendes entnehmen, nämlich zur Frage der Möglichkeit PGP und SSH zu entschlüsseln:
3. Ist die eingesetzte Technik auch in der Lage, verschlüsselte Kommunikation (etwa per SSH oder PGP) zumindest teilweise zu entschlüsseln und/oder auszuwerten?
Zu 3.
Ja, die eingesetzte Technik ist grundsätzlich hierzu in der Lage, je nach Art und Qualität der Verschlüsselung.
Hier steht jetzt zunächst Aussage gegen Aussage. Dennoch scheint mir die Antwort geschickt gewählt zu sein. Auf den ersten Blick sieht es so aus, als ob sie tatsächlich PGP und SSH im Klartext lesen können. Bei genauerem Hinsehen wird jedoch nur gesagt, daß ihre Technik prinzipiell zur Entschlüsselung geeignet wäre, nicht daß sie es tatsächlich auch können. Es könnte durchaus der Versuch sein, Unsicherheit zu verbreiten, um nicht zugeben zu müssen, daß man SSH und PGP nicht entschlüsseln kann. Wäre dem so, würden auch VPNs für die Dienste komplett transparent sein. Für die Dienste gilt dieselbe Mathematik und Physik wie für jeden Anderen auch, insofern ist es schwer vorstellbar, daß eine Entschlüsselung durch Berechnen der Schlüssel zum gegenwärtigen Zeitpunkt durchführbar ist. Anders sähe die Sache aus, wenn es den Geheimdiensten gelungen wäre die Kryptoszene zu unterwandern und den Code der Software zu manipulieren.
Abgesehen davon hilft Verschlüsselung nicht unbedingt gegen das Sammeln von Metadaten (Wann kommuniziert wer mit wem in welchem Umfang), sie schützt nur den Inhalt (Tor etc. sind nur sehr bedingt brauchbar). Wenigstens geht jetzt auf den Kryptoparties nicht der Gesprächsstoff aus.