The Risks of Key Recovery, Key Escrow and Trusted Third-Party Encryption

Hintergrund des Artikels: Politische Diskussion um Einschränkung kryptographischer Verfahren zur Erleichterung der Verbrechensbekämpfung durch Hinterlegung kryptographischer Schlüssel mit Zugriff durch Strafverfolgungsbehörden.

Ziel: Diskussion der technischen Implikationen, Risiken und Kosten solcher Vorschläge. [Keine juristische oder politische Stellungnahme.]

Autoren

• Hal Abelson [MIT, HP Internet Technology Group],
• Ross Anderson [Cambridge University],
• Steven M. Bellovin [AT&T Laboratories, »Firewalls ...«-Buch],
• Josh Benaloh [Microsoft Research],
• Matt Blaze [AT&T Laboratories],
• Whitfield Diffie [Sun, Miterfinder der asymmetrischen Kryptographie],
• John Gilmore [EFF],
• Peter G. Neumann [SRI, Risks Digest],
• Ronald L. Rivest [MIT, RSA],
• Jeffrey I. Schiller [MIT, Kerberos],
• Bruce Schneier [»Applied Cryptography«].

Begriffe

Key recovery:

Schlüssel wiederfinden [kritisch für wichtige Daten], inzwischen synonym für Zugriffsmöglichkeit durch Strafverfolgungsbehörden und Geheimdienste gebraucht - GAK = »Government Access to Keys«.

Key escrow:

Schlüssel [evtl. teilweise] bei Treuhänder hinterlegen.

Trusted third-party:

»Vertrauensstelle«, die Schlüssel zertifiziert, evtl. auch erzeugt und möglicherweise sogar aufbewahrt [auch als Sicherheitsdienstleistung für Schlüsselbesitzer].

Klarstellungen

• Endbenutzer brauchen Schlüssel-Backup nur für gespeicherte Daten, nicht für Kommunikation.
• Für Unterschriftsschlüssel ist Backup nicht nötig, nur Verfallsdatum.
• Schlüssel-Backup im Betrieb erfordert lokale Kontrolle, nicht externe.
• Schlüsselzertifizierung erfordert keine Preisgabe von Geheimnissen [zertifiziert werden öffentliche Schlüssel].
• Kompromittierung eines Zertifizierungsschlüssels vergleichsweise harmlos.

Anforderungen an alle »Key Recovery«-Systeme

• Zeitnaher,
• ubiquitärer
• und vom Benutzer unbemerkter Zugang zu Klartexten.

Diese Anforderungen führen zu folgenden Elementen:

• Mechanismus, zusätzlich zum Ver-/Entschlüsselungsmechanismus, der Zugang für Dritte erlaubt,
• einen (oder mehrere) Hauptschlüssel, dessen Sicherheit über lange Zeiträume gewährt sein muß.

Probleme ...

• Schlüssel für Authentisierung, Rechtsverbindlichkeit, finanzielle Transaktionen nicht unterscheidbar.
• Fehler im key-recovery-Mechanismus hätten katastrophale Folgen.
• Neue Risiken:
  • Schneller Pfad zum Klartext.
  • Mißbrauch durch Insider.
  • Neue, extrem lohnende Angriffsziele. Beispiel: Was kann man mit dem gestohlenen Schlüssel eines Richters anfangen?
• Jeder halbwegs sichere key-recovery-Mechanismus ist wesentlich komplexer als die eigentlichen kryptographischen Mechanismen.
  • Kryptographische Mechanismen nur bei äußerst gründlichem Design mit größtmöglicher Einfachheit und bei sorgfältigster Implementation sicher.
  • Alle bisherigen Vorschläge hatten fatale Lücken.
• Mengenproblem:
  • Tausende von kryptographischen Produkten.
  • Tausende von Agenten (vertrauenswürdigen Hilfskräften).
  • Zehntausende Strafverfolgungsbehörden (allein in USA).
  • Viele Millionen Teilnehmer ...
  • ... viel mehr persönliche Schlüssel ...
  • ... und noch viel mehr Sitzungsschlüssel.

... über Probleme

• Organisatorische Komplexität. Ablauf einer key-recovery-Aktion:
  • Authentisierung der anfordernden Behörde.
  • Authentisierung der richterlichen Anordnung.
  • Zuverlässige Identifikation von Zielpersonen und Daten.
  • Prüfung von Gültigkeitszeiträumen u. a. Nebenbedingungen.
  • Aufdecken des richtigen Schlüssels.
  • Sicherer Transfer der aufgedeckten Daten.
  • Sichere Protokollierung.
  ... unter Zeitdruck, aber mit extremen Sicherheitsanforderungen.
• Ungeheures Ausmaß an Vertrauen nötig.
• Wer trägt die Kosten? Kryptographie ist billig, Infrastruktur ist teuer, extrem sichere Infrastruktur ist extrem teuer.

Zusammenfassung

• Der Aufbau einer globalen Infrastruktur für die Schlüsselhinterlegung wird die IT-Sicherheit empfindlich schwächen ...
• ... und erhebliche Kosten für den Endbenutzer verursachen, ohne ihm zu nützen.
• Die nötige Komplexität übersteigt die bisherigen Erfahrungen und Kenntnisse bei weitem.
• Selbst wenn die Infrastruktur geschaffen werden könnten, wären Risiken und Kosten untragbar ...
• ... und außerordentlich hohes Vertrauen in Verantwortungsträger nötig.
• Die Schwierigkeiten sind in der Forderung nach Zugriffsmöglichkeiten durch Strafverfolgungsbehörden begründet und unabhängig von der technischen Umsetzung.