Während ich letzte Woche noch darüber geschrieben habe, das der Einsatz Kryptografie in der Post-Snowden-Ära die einzig verbliebene Möglichkeit ist, sich etwas Ähnliches wie Privatsphäre zu bewahren, scheint dies im Lichte neuer Leaks nicht mehr uneingeschränkt zu gelten – wie der Guardian und die New York Times berichten, ist es der NSA und dem britischen GCHQ schon vor längerer Zeit gelungen, in die gängigsten Verschlüsselungsmethoden wie das zur sicheren Kommunikation im Web stark verbreitete SSL oder in VPN-Netzwerke einzubrechen. Auch Tor scheint beiweiten nicht so sicher, wie bislang gedacht.
Während die mathematischen Grundlagen der Verschlüsselung wohl ungebrochen sind, läuft der Zugang der Geheimdienste nach allen, was bislang bekannt ist (und ich verstanden habe) über die Server und die Algorithmen des Schlüsselaustauschs. Nicht die Kryptografie an sich, sondern ihre jeweiligen Implementierungen sind also „geknackt“.
Eine Forderung von Regierungsvertretern im „ersten Kryptowar“ (so die Bezeichnung der Debatte über Kryptografie-Regulierung in Kreisen des Chaos Computer Clubs (besonders von Andy Müller-Maguhn) in dieser Zeit, unter anderem hier) in den 1990er Jahren war ein sogenanntes „Key escrow„-Verfahren, durch welches die Hersteller von Verschlüsselungssoftware gezwungen werden sollten, („freiwillig“) Kopien aller Schlüssel bei einer staatlichen Stelle zu hinterlegen, damit der Staat auch im Informationszeitalter die Kommunikation seiner Bürger von Kriminellen abhören kann. Damals konnte keine offizielle Regelung eines solchen Verfahrens durchgesetzt werden, und um die Jahrtausendwende herum schien eine Regulierung von Verschlüsselung vom Tisch.