[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [FYI] Fuer die Zeit der Kryptodebatte...
- To: debate@fitug.de
- Subject: Re: [FYI] Fuer die Zeit der Kryptodebatte...
- From: Rudolf Schreiner <ras@muc.de>
- Date: Mon, 1 Feb 1999 17:26:55 +0100 (MET)
- Comment: This message comes from the debate mailing list.
- In-Reply-To: <m106dg4-0003IjC@fwd15.btx.dtag.de>
- Sender: owner-debate@fitug.de
On Sat, 30 Jan 1999, Axel H. Horns wrote:
> Klar. Aber falls die "Bedarfstraeger" bei der grossen Krypto-Debatte
> endgueltig den kuerzeren ziehen sollten (was ja ueberhaupt noch
> nicht ausgemacht ist), dann werden diese anderen Zugaenge zum
> Klartext mehr in das Zentrum des Interesses ruecken.
Genau. Und "andere" Zugaenge gibt es eine Menge, nicht nur Tempest. Man
kann z.B. fuer ECommerce in allen Variationen starke Crypto
problemlos erlauben, wenn man ohnehin auf die Anbieter Zugriff hat.
Und das haben die "Bedarfstraeger."
> Natuerlich ist
> eine gesetzliche Krypto-Kastration in Kombination mit einem
> flaechendeckenden Surveillance-System à al ECHELON oekonomisch
> unschlagbar, wenn man die Kosten pro abhoerbarem Subjekt betrachtet.
Noch besser ist es, gleich Hintertuerchen in Systeme einzubauen. Das
wurde auch durchaus schon gemacht. Wenn man erwischt wird, nennt man es
meist "Fernwartung."
Man muss auch Krypto-Software nicht kastrieren (im Sinne von offizieller Key
Recovery oder Beschraenkung der Schluessellaenge), um sie leicht
"zugaenglich" zu machen. Ein paar klitzekleine, auch von paranoiden
Spezialisten fast nicht aufzufindende "Modifikationen" reichen auch. Was
macht eine Firma, die von der Regierung unter Druck gesetzt wird? Wem
GEHOERT eigentlich die Krypto-Firma. (Du weisst sicher, auf was ich
anspiele...)
Dagegen hilft nur der Quelltext.
> Nur wenn dieser Weg versperrt ist, werden die von mir angesprochenen
> oekonomisch unattraktiveren Alternativen interessant.
Man muss unterscheiden zwischen dem "Staubsauger" a la Echelon und der
gezielten Behandlung von "Einzelkunden." Du musst die interessanten
Kommunikationsteilnehmer erst finden. Dazu macht man zuerst mal eine
Trafficanalyse, also wer mit wem redet. Dadurch kannst Du schon einen
Grossteil der gesamten Kommunikation als uninteressant verwerfen. Wenn
meine Grossmutter, weit ueber 80 Jahre alt, mit ihrer Schwester
telefoniert, ist das der NSA wohl keinen zweiten Blick wert. Genauso
uninteressant duerfte der groesste Teil des HTTP-Verkehrs sein.
In der naechste Stufen bei der restlichen Kommunikation der Content
gescannt. Hier stoert Krypto die Arbeit. Auf dieser Stufe gibt es
aber zum Brechen der Verschluesslung keine Alternative, weil Du
immer noch zu viele Daten hast. Um den "Bedarf" an dieser Stelle zu decken,
kannst Du nicht mit Deinem Tempest-Equipment durch die Stadt fahren. Du
willst ja nicht nur schon bekannte Ziele ueberwachen, sondern auch nach
bestimmten Kriterien neue Ziele entdecken.
Wenn Du eine Liste mit Zielen hast, dann kannst Du, abhaengig vom Grad
des Interesses des Bedarfstraegers, gezielte Massnahmen treffen, um an
die gewuenschten Informationen zu kommen. Und sogar hier ist Tempest
immer noch ziemlich weit hinten auf der Liste. Einbrueche, Bestechung,
Erpressung, herkoemmlicher Lauschangriff sind weit oekonomischer.
Ich glaube, dass in der Zukunft starke Krypto erlaubt bleibt, aber so
unattraktiv gemacht wird, dass sie kaum jemand verwenden will. Z.B. mit
irgendwelchen buerokratischen Tricks. "Man" kann z.B. fuer bestimmte
Bereiche, die staatlicher Kontrolle/Lizensierung unterliegen,
irgendwelche Zertifizierungen fordern. Und zertifiziert ist natuerlich
nur "zugaengliche" Software.
Rudi