Wie der Clipper-Chip ausgetrickst werden kann:

Ein scheinbar korrektes LEAF kann gefälscht werden




Das sogenannte Law Enforcment Access Field (LEAF) soll es den Strafverfolgungsbehörden ermöglichen, mit dem Clipper-Chip verschlüsselte Kommunikation zu entschlüsseln, sofern ihnen auf gerichtlichen Beschluß die beiden Komponenten des unit key des sendenden Chips ausgehändigt worden sind. (Siehe hierzu die Technische Beschreibung des Clipper-Chips.) Im Mai 1994 fand jedoch Matthew Blaze - ein zu diesem Zeitpunkt 32jähriger Informatiker, der für die AT&T Bell Labs arbeitet und von der NSA mit der Überprüfung des Clipper-Chips beauftragt worden war - heraus, daß es möglich ist, ein scheinbar korrektes LEAF zu fälschen und somit die Entschlüsselungsmöglichkeit zunichte zu machen.

Matthew Blaze: Protocol Failure in the Escrowed Encryption Standard

Diese Nachricht schlug ein wie eine Bombe. Am 2.Juni 1994 erschien ein Artikel über Blaze's Entdeckung auf der Titelseite der New York Times und erregte landesweites Aufsehen. Eine elektronische Kopie dieses Artikels wurde im über das Internet erhältlichen elektronischen Journal Computer underground Digest in dessen Ausgabe 6.49 vom 5.Juni 1994 veröffentlicht. (Die über diesen Link zu erreichende CuD-Ausgabe enthält 7 Artikel. Der erste gibt den Text aus der New York Times wieder; die beiden folgenden sind Kommentare zu diesem Thema, die der Journalist Brock N. Meeks in seinem Internet-Newsletter CyberWire Dispatch veröffentlicht hat.)

Auf welche Weise die durch das LEAF gegebene Abhörmöglichkeit umgangen werden kann, beschreibt unter anderem auch ein Artikel, der am 13.Juni 1994 in der Zeitschrift Newsweek erschien (elektronische Kopie hier). Der Ansatzpunkt liegt in der Art und Weise, wie der Clipper-Chip eine Datenübermittlung beginnt. Vor der Übertragung wird zunächst der session key und aus diesem dann das LEAF erzeugt. Dieses wird am Beginn der Kommunikation an den empfangenden Chip übermittelt. Dieser wiederum muß das LEAF als gültig erkennen, bevor er die Nachricht dekodieren kann.

Blaze hat gezeigt, daß zwei Benutzer von Geräten, in die der Clipper-Chip eingebaut ist, durch entsprechende Zusammenarbeit diese Kontrolle umgehen können. Wie Greg Woods (ein Mitarbeiter des National Center for Atmospheric Research) in einem Kommentar über Blaze's Entdeckung schreibt, bedarf es dazu lediglich spezieller Software. Insbesondere muß der Chip selbst nicht modifiziert werden. Beide Seiten könnten dabei auch weiterhin von den Verschlüsselungsmöglichkeiten des Chips profitieren.

Bei einer solchen Kommunikation würde der Absender die Übermittlung des LEAF unterbinden, indem er es aus der Nachricht löscht, bevor sie gesendet wird (aber nach der Verschlüsselung). Der Empfänger würde dann ein gefälschtes LEAF erzeugen, daß dem Clipper-Chip eine korrekte Übermittlung suggeriert und ihn zur Entschlüsselung der kodierten Nachricht veranlaßt. Das echte LEAF wird auf diese Weise niemals gesendet, und damit könnten die Strafverfolgungsbehörden weder die Kommunikation entschlüsseln noch Sender und Empfänger identifizieren.

Noch bedeutsamer ist, daß für einen Absender einer mit dem Clipper-Chip verschlüsselten Nachricht sogar die Möglichkeit besteht, ein vollständiges, gefälschtes LEAF zu erzeugen, daß von einem empfangenden Clipper-Chip als korrekt anerkannt wird. In diesem Fall wäre nicht einmal die Kooperation des Empfängers erforderlich. Eine mit einem derartigen gefälschten LEAF versehene Kommunikation würde vom empfangenden Chip korrekt entschlüsselt, böte aber den Strafverfolgungsbehörden auch bei Kenntnis des unit key des sendenden Chips keine Möglichkeit zur Entschlüsselung.

Die Möglichkeit, ein scheinbar korrektes LEAF zu fälschen, beruht darauf, daß die Überprüfung des LEAF auf Gültigkeit nur auf einer 16-bit-Checksumme beruht. Man benötigt damit im Durchschnitt lediglich 2^16 = 65536 Versuche, um ein ein LEAF mit gültiger Checksumme zu erzeugen, das zwar den session key enthält, aber nicht den unit key des verschlüsselnden Clipper-Chips. Ein heutiger PC würde dafür lediglich etwa 42 Minuten benötigen. (Man beachte: Das Wort "heutiger" steht dabei für den technischen Stand von Mitte 1994, so daß man jetzt, 2 Jahre später, von einer Reduzierung dieser Zeit um bis zu die Hälfte ausgehen kann.)

Zunächst schien es so, als seien die Entwickler des Clipper-Chips bei der NSA von Blaze's Entdeckung überrascht. Sprecher der NSA versuchten, die Angelegenheit herunterzuspielen: Bei der vorgesehenen Benutzung des Clipper-Chips könne das Fälschen des LEAF gar nicht durchgeführt werden, da es sich bei Telefongesprächen um Echtzeit-Kommunikation handele. Diese Möglichkeit bestehe lediglich bei E-Mail-Kommunikation (die aber einen wesentlichen Teil dessen darstellt, was die NSA gerne abhören würde!).

Außerdem sei die Methode, ein gefälschtes LEAF zu erzeugen und zu senden, umständlich und daher nicht sehr praktikabel. (Damit hat die NSA unbestreitbar recht: Es gibt deutlich einfachere Methoden, ein erfolgreiches Abhören durch die Strafverfolgungsbehörden zu verhindern - zum Beispiel eine zusätzliche Verschlüsselung mit einem leistungsfähigen kryptographischen Software-Programm. Womit für die NSA natürlich erst recht nichts gewonnen wäre!)

Bereits einen Tag nach dem Erscheinen des erwähnten Artikels in der New York Times stellte sich etwas unglaubliches heraus: Wie ein Regierungssprecher zugab, hatten die Entwickler des Clipper-Chips bei der NSA hatten bereits seit Monaten von der Möglichkeit gewußt, die Abhörmöglichkeit zu umgehen. Der Geheimdienst hatte jedoch mit voller Absicht die Öffentlichkeit nicht informiert.

Brock N. Meeks veröffentlichte am 3.Juni 1994 eine Ausgabe seines Internet-Newsletters CyberWire Dispatch, die in der öffentlichen Diskussion eine erstaunlich geringe Beachtung fand. In diesem Text, der den Titel Jacking in from the "We Knew It All Along" Port trägt, zitiert Meeks einen Kryptographie-Experten der NSA, der ihm anonym interne NSA-Informationen über den Umgang der Clipper-Chip-Entwickler mit dieser heiklen Information zukommen ließ.

Offenbar war sich jeder in der zuständigen NSA-Abteilung bewußt, daß das Design des Chips einen beträchtlichen Fehler enthielt. Vollkommen bewußt ging die NSA das Risiko ein, den Chip trotzdem auf den Markt zu bringen, obwohl niemand sagen konnte, ob, wann und von wem der Fehler entdeckt werden könnte. Der Geheimdienst vertraute blind darauf, daß seine Experten das Problem früher oder später beheben würden, bevor irgendjemand etwas bemerken würde. Die Entdeckung von Matthew Blaze zeigte, daß die NSA sich in dieser Einschätzung der Situation gründlich geirrt hatte.

Das Vorgehen der NSA in dieser Angelegenheit wurde von allen Seiten heftig kritisiert. Insbesondere die Industrie, die die Annahme des Clipper-Chips bis dahin nicht geundsätzlich verweigert hatte, vertraut seither der NSA nicht mehr, da ein derart unprofessionelles Verhalten ein gravierendes Sicherheitsrisiko bedeutet. Was wäre, wenn es noch einen weiteren, vielleicht sogar noch schlimmeren Fehler im Design des Clipper-Chips gäbe, den die NSA nicht veröffentlicht oder gar nicht erst bemerkt hat? Die Sicherheit der mit dem Chip verschlüsselten Kommunikation wäre nicht mehr gegeben.

Auch die Industrie nimmt inzwischen eine ablehnende Haltung gegenüber dem Clipper-Chip ein, und er wird keineswegs als Verschlüsselungs-Standard akzeptiert, was die Regierung eigentlich erreichen wollte. Insofern stellte Blaze's Entdeckung eine Wende in der Entwicklung dar, denn ohne die Ablehnung der Industrie wäre es den Bürgerrechtsorganisationen wahrscheinlich nicht gelungen, die großangelegte Einführung des Clipper-Chips zu verhindern.


Zur Clipper-Chip-StartseiteZur Clipper-Chip-Startseite



Zum letzten Anti-ArgumentZurück zum letzten Anti-Clipper-Argument: Ungeeignet für die Kriminalitätsbekämpfung



Zur DiskussionZurück zur Diskussion über den Clipper-Chip



Zu den DiskussionsbeiträgenZu den ausgewählten Beiträgen zur Diskussion über den Clipper-Chip