[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [FYI] Fuer die Zeit der Kryptodebatte...



On Sat, 30 Jan 1999, Axel H. Horns wrote:

> Klar. Aber falls die "Bedarfstraeger" bei der grossen Krypto-Debatte
> endgueltig den kuerzeren ziehen sollten (was ja ueberhaupt noch
> nicht ausgemacht ist), dann werden diese anderen Zugaenge zum
> Klartext mehr in das Zentrum des Interesses ruecken. 

Genau. Und "andere" Zugaenge gibt es eine Menge, nicht nur Tempest. Man 
kann z.B. fuer ECommerce in allen Variationen starke Crypto 
problemlos erlauben, wenn man ohnehin auf die Anbieter Zugriff hat. 
Und das haben die "Bedarfstraeger."

> Natuerlich ist
> eine gesetzliche Krypto-Kastration in Kombination mit einem
> flaechendeckenden Surveillance-System ŗ al ECHELON oekonomisch
> unschlagbar, wenn man die Kosten pro abhoerbarem Subjekt betrachtet. 

Noch besser ist es, gleich Hintertuerchen in Systeme einzubauen. Das 
wurde auch durchaus schon gemacht. Wenn man erwischt wird, nennt man es 
meist "Fernwartung."
Man muss auch Krypto-Software nicht kastrieren (im Sinne von offizieller Key 
Recovery oder Beschraenkung der Schluessellaenge), um sie leicht 
"zugaenglich" zu machen. Ein paar klitzekleine, auch von paranoiden 
Spezialisten fast nicht aufzufindende "Modifikationen" reichen auch. Was 
macht eine Firma, die von der Regierung unter Druck gesetzt wird? Wem 
GEHOERT eigentlich die Krypto-Firma. (Du weisst sicher, auf was ich 
anspiele...)
Dagegen hilft nur der Quelltext. 

> Nur wenn dieser Weg versperrt ist, werden die von mir angesprochenen 
> oekonomisch unattraktiveren Alternativen interessant.

Man muss unterscheiden zwischen dem "Staubsauger" a la Echelon und der 
gezielten Behandlung von "Einzelkunden." Du musst die interessanten 
Kommunikationsteilnehmer erst finden. Dazu macht man zuerst mal eine 
Trafficanalyse, also wer mit wem redet. Dadurch kannst Du schon einen 
Grossteil der gesamten Kommunikation als uninteressant verwerfen. Wenn 
meine Grossmutter, weit ueber 80 Jahre alt, mit ihrer Schwester 
telefoniert, ist das der NSA wohl keinen zweiten Blick wert. Genauso 
uninteressant duerfte der groesste Teil des HTTP-Verkehrs sein. 
In der naechste Stufen bei der restlichen Kommunikation der Content 
gescannt. Hier stoert Krypto die Arbeit. Auf dieser Stufe gibt es 
aber zum Brechen der Verschluesslung keine Alternative, weil Du 
immer noch zu viele Daten hast. Um den "Bedarf" an dieser Stelle zu decken, 
kannst Du nicht mit Deinem Tempest-Equipment durch die Stadt fahren. Du 
willst ja nicht nur schon bekannte Ziele ueberwachen, sondern auch nach 
bestimmten Kriterien neue Ziele entdecken.
Wenn Du eine Liste mit Zielen hast, dann kannst Du, abhaengig vom Grad 
des Interesses des Bedarfstraegers, gezielte Massnahmen treffen, um an 
die gewuenschten Informationen zu kommen. Und sogar hier ist Tempest 
immer noch ziemlich weit hinten auf der Liste. Einbrueche, Bestechung, 
Erpressung, herkoemmlicher Lauschangriff sind weit oekonomischer.

Ich glaube, dass in der Zukunft starke Krypto erlaubt bleibt, aber so 
unattraktiv gemacht wird, dass sie kaum jemand verwenden will. Z.B. mit 
irgendwelchen buerokratischen Tricks. "Man" kann z.B. fuer bestimmte 
Bereiche, die staatlicher Kontrolle/Lizensierung unterliegen, 
irgendwelche Zertifizierungen fordern. Und zertifiziert ist natuerlich 
nur "zugaengliche" Software.

Rudi