Ansichten eines Informatikers

Neue Informationen zur Kryptoaffäre

Hadmut
16.2.2020 13:59

Während die Sache hier schon wieder erledigt ist und totgeschwiegen wird (oder hat man hier nach den Kurzerwähnungen von Dienstag/Mittwoch hier in Deutschland nochmal etwas darüber gelesen?), brodelt es in der Schweiz jedenfalls heute noch weiter.

Telebasel schreibt:

Die Crypto-Affäre erschüttert weiterhin die Schweiz

Laut der Sonntagspresse sollen zahlreiche Bundesräte über die Spionagetätigkeit der Zuger Firma Crypto AG im Bilde gewesen sein. Wie die Sonntagspresse schreibt, legte FDP-Bundesrätin Karin Keller-Sutter dem Bundesrat einige Dokumente vor, die zeigen sollen, dass der ehemalige Justizminister Arnold Koller (CVP) in den neunziger Jahren bestens über die Abklärungen der Bundespolizei zur Crypto AG informiert gewesen war. Er habe auch über die Kontakte Kaspar Villigers zu einem Verwaltungsrat der Firma Bescheid gewusst. Zudem sei die «NZZ am Sonntag» im Zuger Dokumentationszentrum auf Briefe von Anfang 1994 gestossen, in denen der Waadtländer Jean-Pascal Delamuraz (FDP) und der Tessiner Flavio Cotti (CVP) auf die Machenschaften der Crypto AG hingewiesen worden waren. Die Schreiben stammen von einem Geschäftsmann, der in Iran mit dem Vertrieb der Crypto AG betraut und 1992 mit dem Schweizer Mitarbeiter Hans Bühler festgenommen worden war. Darüber hinaus sagte der frühere Chefentwickler der Firma, Peter Frutiger, gegenüber der «NZZ am Sonntag», dass er nach seinem Austritt aus der Firma die Schweizer Behörden über die Machenschaften der Crypto AG aufgeklärt habe. Laut der Westschweizer Zeitung «Le Matin Dimanche» waren auch die Zuger FDP-Politiker Georg Stucky sowie Rolf Schweiger über die Machenschaften unterrichtet.

Ich habe erst gerätselt, ob „Sonntagspresse” allgemein meint, was am Sonntag so an Presse erscheint, oder ein bestimmtes Blatt dieses Namens. Anscheinend ersteres.

Es zeichnet sich immer deutlicher ab, dass die Regierung der Schweiz sehr wohl von den Machenschaften gewusst hat.

Es wird zu klären sein, ob sie sie nur geduldet hat – womöglich aus Angst vor erheblichen Nachteilen, sollte man sich mit den USA, Deutschland und ferner den Briten anlegen – oder ob sie sie gebilligt oder sogar gefördert haben.

Ich hatte ja bisher das Problem, dass ich in dieser ganzen Großkrypto- und Geheimdienstaffäre viele Puzzlestücke hatte, aber noch nicht viel, was in die Zeit passt, als ich Mitarbeiter an der Uni und Kryptoforscher war. Das ist jetzt anders, weil es hier auch um Vorgänge ab 1994 geht. Und ich war von 1994 bis 1998 Mitarbeiter und Doktorand am Institut.

Zwei Querverbindungen nach Deutschland

Das ist in doppelter Hinsicht relevant.

Die eine ist, dass es ja gerade heißt, dem BND sei die Sache mit der Crypto AG 1993 zu heiß geworden, er sei ausgestiegen und habe seine Anteile an die CIA verkauft, die bis 2018 weitergemacht habe.

Es war aber so, dass der BND – mindestens in Form und Person von Otto Leiberich – auch danach noch Kryptographie manipuliert und sabotiert hat.

Die andere ist, dass ich diese Bundestagsanhörung von 1997 (damals noch in Bonn), bei der ich damals als Assistent Beths beteiligt war, etwas anders bewerte.

Die Enquete-Kommission hatte damals das Ziel verfolgt, starke Kryptographie zu verbieten. Beth war damals plan- und orientierungslos, und wusste nicht, was er dazu sagen könnte und sollte. Ich habe ihm damals als Ghostwriter wesentliche, vor allem die inhaltlichen Teile seiner schriftlichen Stellungnahme geschrieben. Die natürlich auf meiner Forschungsarbeit beruhten. Und wir haben damals mit mehreren Mitarbeitern Beth erklärt und eingetrichtert, was da zu sagen ist. Beth hatte das auch soweit verstanden und geschluckt und die schriftliche Ausarbeitung (das wird dort so verlangt) selbst dort eingereicht – mit Aussagen, die er später in meiner Dissertation als total falsch hinstellte.

Dort kam es natürlich vorab erst mal zu diversen Gesprächen, so eine offizielle Anhörung geht da auch nicht sofort los, man unterhält sich erst mal und wartet, bis alle eingetroffen sind. Ich war vor Ort dabei, wurde von Beth dann in seinem Vortrag auch mehrfach erwähnt und vorgestellt, aber er sagte dort plötzlich etwas völlig anderes, als wir vorher im Institut besprochen und in diese schriftliche Ausarbeitung geschrieben hatten, die er selbst vorgelegt hatte.

Wie oft passiert das, dass Leute als Sachverständige vor dem Bundestag aussagen und dabei das Gegenteil dessen sagen, was sie dort morgens noch als schriftliche Ausarbeitung vorlegen?

Alle anderen Sachverständigen hatten übereinstimmend gesagt, dass man Kryptographie nicht verbieten solle, weil schlecht für Wirtschaft, Bürgerrechte und so weiter. Und weil es – damals so das heiße Argument – Steganographie gäbe, man könne Informationen in Bildern und so weiter verstecken.

Beth jedoch preschte dort auf einmal vor, erklärte sich für den größten aller Kryptologen und erklärte, dass er das mit der Überwachung und Schlüsselhinterlegung machen könne, damit der Staat auf Kommunikation zugreifen könne, wenn man ihm nur ganz viel Forschungsgeld gäbe. Der hatte die Gelegenheit gewittert, sich aufzuspielen und das große Geld abzuzocken. Nicht nur aus Geltungsdrang, denn wenn vorher alle Sachverständigen das gleiche sagen (Kryptoverbot = schlecht), dann muss Beth natürlich was anderes sagen. Schema: Die sind alle blöd, ich bin hier das strahlende Genie. Vermutlich aber beruhte das auch auf einem der Gespräche, die er vorher geführt hatte, und die ich nur aus der Entfernung gesehen hatte, aber nicht dabei war. Ich weiß nicht, was gesprochen wurde.

Ich hatte mich aber vorher und hinterher natürlich auch mit allen möglichen Leuten unterhalten. Dabei und auch hinterher zu Beth sagte ich, dass das nicht richtig sei, dass ich das widerlegen kann. Denn aus informationstheoretischen Gründen muss man Verschlüsseltes nicht mal per Steganographie verstecken. Wenn man es richtig macht, kann (im optimalen Fall, der allerdings in der Praxis nur schwer zu erreichen ist, aber man kommt eben nahe dran) einem Datenstrom nicht ansehen, ob er verschlüsselt ist. Dass das im üblichen Fall geht, liegt daran, dass man es bisher über MIME-Type, Dateinamen, PGP-Header usw. explizit dranschreibt, dass es verschlüsselt ist. Schreibt man es aber nicht dran, wird es schwer.

Stark vereinfacht gesagt und auf verständlich gebügelt: Es gibt Nullen und Einsen. Es gibt aber keine zwei Arten, Klartext-Einsen und Verschlüsselte Einsen. Wenn da eine Eins vorbei kommt, kann man ihr nicht ansehen, ob sie Klartext oder Chiffrat ist, weil es eben nur eine Sorte Einsen gibt. Nullen genau. Fängt man also die Nachricht „1” ab, kann man nicht sagen, ob sie verschlüsselt ist oder nicht. Im Prinzip kann man das nun induktiv fortsetzen, immer weiter verlängern. Kann man von einer Nachricht x nicht sagen, ob sie verschlüsselt ist, kann man es auch von einer ein Bit längeren Nachricht nicht, also x0 und x1, sofern die gleichverteilt sind.

Oder nochmal anders gesagt: Wenn man einen Datenspeicher einsetzt, ob nun eine Festplatte oder eine Sendung, die n Bit fasst, dann hat man k=2n verschiedene Nachrichten, die man darstellen kann. Nun lässt man Staatsanwälte und Richter alle dieser k möglichen Inhalte danach bewerten, ob sie verboten sind. Das würde dazu führen, dass man m dieser k möglichen Nachrichten als verboten ansieht, und m < k wenn nicht jegliche Kommunikation/Speicherung verboten sein soll. Das führt aber nur dazu, dass man beim Füllen der Platte oder Schreiben der Sendung die m verbotenen Inhalte meiden und sich mit den (k-m) Nachrichten begnügen muss, die aber erlaubt sind. Faktisch hat man damit also nur erreicht, dass die Kapazität der Platte oder Sendung von n Bit auf log2(k-m) Bit reduziert werde. Man reduziert damit nur die Platten- und Übertragungskapazität, obwohl man doch (das ist jetzt Rhetorik, aber die funktionierte) schnellere Netzwerke wollte. Steganographie ist übrigens ein Spezialfall davon.

Und das Argument, dass man von den k möglichen Nachrichten einfach nur m verbieten und damit den Sender zur Nutzung von (k-m) Nachrichten zwingt, die man mit know how aber wie eine kleinere Festplatte oder kürzere Nachricht verwenden kann, leuchtete damals auch Juristen ohne IT-Kenntnisse ein. Die merkten, dass daran was nicht stimmen kann.

Das hatte damals einige Leute im Bundestag sehr erstaunt, dass ein Professor da aus der Reihe schert und ihnen die Lösung all ihrer Probleme für viel Geld verspricht, dabei aber nicht nur das Gegenteil aller anderen Sachverständigen sagt, sondern auch das Gegenteil seiner eigenen schriftlichen Ausarbeitung und seines eigenen Assistenten. Wer sich noch an den verstorbenen Professor Andreas Pfitzmann erinnern kann: Der war damals auch Sachverständiger und erzählte mir später in Dresden mal, dass etliche Abgeordnete nach Beths Aussage verwirrt und völlig verunsichert gewesen wären, was denn nun stimmt, und Beth sogar folgen wollten, auch mit Pfitzmann in Kontakt standen und Pfitzmann ziemlich lange damit beschäftigt gewesen sei, ihnen das wieder auszureden.

Bemerkenswerterweise hatte ich damals gar nicht vor, diese Erkenntnisse in die Dissertation zu schreiben. Erstens weil es inhaltlich nicht passte, denn eigentlich sollte das damalige E.I.S.S.-Team sieben Dissertationen schreiben, die zusammenpassen und ein Kompendium über die Arbeit des E.I.S.S. (Europäisches Institut für Systemsicherheit) bilden, und meine als jüngstem Mitarbeiter zwar zeitlich als die letzte erscheinen, aber Band 1 werden, und damit die Analyse eines Sicherheitsproblems beschreiben, um festzustellen, mit welcher der einzelnen, in den anderen Dissertationen beschriebenen Sicherheitsdisziplinen man weitermacht, um es zu lösen. Zweitens, weil es mir einfach zu schade für eine Dissertation war. Eine deutsche Dissertation in Informatik ist so gut wie eine Garantie, dass es niemals jemand lesen wird, nicht mal die Prüfer. In den Bibliotheken haften die Seiten der Exemplare auch nach Jahren und Jahrzehnten vom Beschnitt noch aneinander, weil nie jemand reingesehen hat. Vermutlich ist meine Dissertation die meistgelesene deutschsprachige Informatikdissertation aller Zeiten. Ich wollte das Kryptozeugs richtig publizieren.

Als wir nach der Anhörung wieder in Karlsruhe waren, wies mich Beth an, diese Erkenntnisse in ein eigenes Kapitel der Dissertation zu schreiben. Sei wichtig, damit gäbe es dann die Auszeichnung. Regierung und Bundestag und so. Das hat mir zwar nicht in den Kram gepasst, erschien mir aber auch nicht verfänglich, weil es eine typische Marotte Beths war, dass er sich von Doktoranden immer noch ein – oft völlig themenfremdes – Orchideenkapitel über etwas schreiben ließ, was er gerade wollte oder brauchte. Ein Kollege, der über Algorithmen für Computertomographie in der Medizin schrieb, aber privat mechanische Rechenmaschinen sammelte, musste ein Kapitel über mechanische Rechenmaschinen in die Diss schreiben. Völliger Blödsinn, aber man wollte es so. Deshalb fand ich das damals nicht alarmierend. Wieder halt mal eine von Beths Marotten. Macht man dann halt, um durchzukommen.

Und das war dann letztlich der Auslöser der Probleme. Ich hatte Beth mehrere Vorabexemplare gereicht, aber nie eine Antwort bekommen. (Vom später eingeladenen ursprünglichen Zweitgutachter bekam ich innerhalb von zwei Wochen das Exemplar mit zustimmenden und lobenden Randbemerkungen zurück.) Auch das war erst mal nicht ungewöhnlich. Ein anderer Doktorand, der versauert darüber war, dass Beth sich nie darum kümmerte, hatte mal ein Exemplar aus weit über 100 Seiten eingereicht, das nur die Überschriften enthielt und ansonsten leer war, weißes Papier. Beth hatte es erst nach vier Monaten gemerkt. Die Exemplare, die ich Beth gegeben hatte, waren aber komplett verschwunden. Weg. Ich habe sie nie wieder gesehen und Beth hatte sie auch nicht mehr. Offenbar beim BND. Otto Leiberich. Nicht lange danach kam es zu dem Vorfall mit der heimlichen Kopie meiner Workstation. Und dann bekam ich irgendwann auch eine Kopie eines Schreibens von Leiberich an Beth in die Hand, nachdem der auch mein Bundestagsgutachten bei Leibereich eingereicht hatte.

Was ich damals nicht so empfand, aber heute rückblickend im Vergleich zur DDR/Stasi so sehen würde: Beth war im Prinzip Spitzel des BND, der die eigenen Mitarbeiter bespitzelte, und dann wurde man – wie bei der Stasi – abgesägt, wenn man nicht passte.

Rückblickend bewerte ich das anders, vor allem dann, wenn man weiß, welche seltsame Rolle der Professor Ueli Maurer von der Schweizer Bundes-Uni ETH Zürich in der Sache spielte und man nun weiß, dass die Schweizer Bundesregierung in die Crypto-AG-Nummer eingeweiht war und die Aufdeckung damals verhindert wurde.

Wie schon gesagt: Ich komme mir gerade vor wie jemand, der nach 20 Jahren in seine Stasi-Akte schaut und dort liest, wer ihn bespitzelt und sabotiert hat.

Das amerikanische Kryptoverbot

Was man ebenfalls nochmal etwas anderes bewerten muss:

Die neunziger Jahre, gerade die Zeit, in der ich da (schon als Hiwi) geforscht habe, etwa 1989 bis 1998, waren die Zeit, in der die Amerikaner mit aller Macht versucht hatten, ein Kryptoverbot außerhalb der USA durchzudrücken. Für die USA selbst galt ein Exportverbot für Chiffren über 40 Bit, und die Webbrowser waren in der Exportversion alle auf 40 Bit kastriert. (Es gab Tricks, das wieder rückgängig zu machen.)

Man hatte damals versucht, den Clipper-Chip zu etablieren, ein Verschlüsselungschip mit nicht veröffentlichtem Verfahren, bei dem bei jeder Kommunikation ein LEAF (Law Enforcment Access Field, im Prinzip der Verschlüsselungsschlüssel so, dass er vom Staat gelesen werden kann) mitübertragen werden muss. Man wollte durchsetzen, dass jede Verschlüsselung damit erfolgen muss. Wer die lange Doku des Schweizer Fernsehens von dieser Woche gesehen hat: Da hat einer erwähnt, dass dort jemand aufgefallen war, dass etwas zusätzlich übertragen wurde, was nicht übertragen werden dürfte. Die Ähnlichkeit dieser Aussage zum Clipper-Chip fällt auf. Möglicherweise war also nicht die Verschlüsselung selbst schwach, sondern das Protokoll übertrug einfach noch zusätzlich den Schlüssel in einer für die CIA lesbaren Form.

Die USA verfolgten damals drei Taktiken:

  • Innerhalb der USA starke Verschlüsselung nur mit dem Clipper-Chip, also so, dass der Staat mitlesen kann.
  • Kein Expert starker Verschlüsselungsmethoden und -software aus den USA.
  • Verhindern, dass außerhalb der USA Verschlüsselung entwickelt wurde.

Es gab faktisch ein Monopol der USA, durchbrochen nur von den Russen (GOST). Die Chinesen waren damals noch nicht so vorne dran beim Computern.

Eine Ausnahme war die europäische Blockchiffre IDEA, die mir damals so gut gefiel, weil sie 16-Bit-Arithmetik pfiffig einsetzte. Und nicht amerikanisch war.

Und IDEA kam von – der ETH Zürich. Unterlag also nicht – zumindest nicht offiziell – der Kontrolle und Ausfuhrbeschränkung der USA.

Praktisch einsetzbar war IDEA aber nicht. Und zwar, weil IDEA patentiert wurde und man das nicht oder nur schwierig lizenzieren konnte. Man hatte den Eindruck, dass irgendwer einfach nicht will, dass man IDEA verwendet. Es war mal für einige Zeit der Standard in PGP. Danach lockerten die USA ihre Exportbeschränkungen und AES wurde publiziert.

Das nun ist alles offiziell bekannt und keine geheime Information.

Aber man wird es rückblickend nochmal überdenken und bewerten müssen.

Beispielsweise der Umstand, dass der BND 1993 aus der Crypto AG ausgestiegen sein soll, just als die Amerikaner mit dem Kryptoexportverbot erst machten.

Denn relevant wurde das durch zwei technische Entwicklungen: Pretty Good Privacy von 1991, was damals als Spielerei anfing, und stärker noch die Erfindung von HTTPS bzw. SSL, 1994 von Netscape für deren Browser erfunden. Damit, besonders mit HTTPS, stand plötzlich eine massentaugliche, und vor allem laientaugliche Verschlüsselung zur Verfügung. die sich schnell etablieren konnte, weil einfach zu benutzen.

Man könnte jetzt spekulieren, ob der BND da damals nicht freiwillig gegangen ist, sondern die Amerikaner ihn rausgeworfen haben, weil sie ja damals anfingen, das alles in den USA zu halten. Wenn ich das so rückblickend einordne, halte ich es für möglich und gedanklich naheliegend, dass die CIA dem BND oder Deutschland damals nicht mehr so traute und man sich da um Vertrauen bemühte. Bei der Bundestagsanhörung, die ich oben erwähnt habe, fiel mir nämlich auf, dass viele Abgeordnete ein Kryptoverbot wollten, aber nicht wussten, warum, und was das eigentlich ist und welche Wirkungen es hat. Ich hatte damals schon den Verdacht, dass die alle nur Attrappen sind, denen man gesagt hat, was sie wollen sollen, und die Hintermänner im Verborgenen bleiben.

Nachkriegsirritationen?

Man könnte den Gedanken haben, dass die Bundesrepublik bis zur Wiedervereinigung fest in der Hand der USA war und deshalb der BND in die Crypto AG-Nummer mit eingespannt worden war, die CIA dem BND nach der Wende aber nicht mehr so weit traute und ihn aus der Nummer schlicht rauswarf, und sich lieber auf seine „Five Eyes” (USA, Kanada, England, Australien, Neuseeland) verlies. Zumal ja auch die Bedrohungs- und Spionagelage nach Ende des kalten Krieges eine andere war. Es hieß ja damals, dass die Abhöranlagen nicht abgebaut wurden, sondern nur um 180° gedreht, damit sie nicht mehr den Osten, sondern den Westen belauschten.

Man könnte jetzt phantasieren, dass der CIA damals dem BND gesagt hat „Der Mohr hat seine Schuldigkeit getan, der Mohr kann gehen.” Dass der BND sich aus der Crypto AG nicht zurückgezogen hat, sondern rausgeflogen ist.

Und dass man damals von BND-Seite aus gekämpft hat, um wieder stärker beteiligt zu werden, deshalb diese Kryptoverbotsinitiative 1997 versucht hat.

Da würde es genau passen, dass man damals den pensionierten Kryptodirektor Otto Leiberich, der so tolle Vorträge hielt, zu uns ans Institut geschickt hat, er solle mal überwachen, dass die da am Institut keinen Scheiß bauen, der da nicht reinpassen würde.

Und dazu würde es auch passen, dass die da so auffällig viele Nullen in die IT-Sicherheitsprofessuren gesetzt haben, von denen garantiert nichts relevantes kommt.

Und genau da rein würde es passen, dass mir die Uni damals sagte, es gehe gar nicht um den Doktorgrad, es gehe darum, mich aus dem Forschungsbereich herauszuhalten.

Da rein würde es passen, warum Beth damals ausgerastet ist, als ich ein Kryptotelefon gebaut habe, und mir das verbot, anwies, sofort alles einzustellen und das abzubauen, und nur noch Analogverschlüsselung zu betreiben.

Und es würde passen, dass Beth mir damals sämtliche Konferenzversuche verbot, auch Publikationen auf dem Webserver, mich von einem Konferenzbesuch per Handy zurückpfiff, Forschungsergebnisse nur unter der Hand und unter vier Augen weitergeben wollte, und höllenstinksauer war, als ich deshalb eigenmächtig und aus Protest den RFC 1824 geschrieben habe. Und seitdem auch als nicht leicht zu kontrollierender Widerborst galt.

Wenn man jetzt weiß, dass die Schweizer Bundesregierung – ob nun volens oder nolens – in die Nummer Crypto AG eingeweiht und involviert war, und vielleicht still gehalten hat und sich willig besteigen ließ, um sich bei den Amerikanern lieb Kind zu machen, dann würde das hundertprozentig da hineinpassen, dass von Ueli Maurer von der ETH Zürich dieses Gefälligkeitsgutachten kam.