Die (Un-)glaubwürdigkeit der Kryptographie
Von der (Un-)wissenschaftlichkeit einer Disziplin, in die hohes Vertrauen gesetzt wird und die hohe Maßstäbe für sich in Anspruch nimmt, aber weit davon entfernt ist, dessen würdig zu sein.
Es ist inzwischen über 10 Jahre her, daß ich die Universität und damit den Bereich kryptographischer Forschung verlassen habe. Seither treibe ich mich noch gelegentlich auf der ein oder anderen Konferenz herum, hatte besonders im Zusammenhang mit RMX damit zu tun und habe mich besonders in Zusammenhang mit meinem Promotionsstreit und der Aufdeckung von Korruption mit der Analyse von Fehlern und Schlamperei befaßt (siehe Adele).
Schon während meiner Zeit an der Uni, noch stärker dann im Zusammenhang mit dem Streit, dann bei der IRTF und IETF, bei einer Konferenz am MIT, auf vielen Mailinglisten und der Untersuchung von Titelhandel und Promotionsbetrug ist mir immer stärker aufgefallen, daß die Kryptographie – wie so viele andere Bereiche – eine höchst unseriöse Disziplin geworden ist, in der immer mehr Leute unter immer höherem Publikationsdruck immer mehr Schaum schlagen und unhaltbare Versprechungen machen. Publish or Perish, auf Qualität kommt es nicht mehr an. Der Peer Review ist längst durch Zitierkartelle ersetzt, und er kann auch nicht mehr funktionieren, wenn man bedenkt, wie sich Leute als Kryptologen ausgeben und sogar bei der IEEE als Fellow geführt werden, oder die für Nato und Bundesregierung als Sicherheitsexperten auftreten, und die dann, wenn es drauf ankommt, überhaupt nichts zustande bringen. Weil die IT Security zu jenen Teichen gehört, in denen jeder mitschwimmen will, der scharf auf Geld ist. Oder daß selbst der Editor in Chief des ach so angesehenen Journals of Cryptology der ach so angesehenen IACR, von dem man ja eigentlich erwarten würde, daß er beim Peer Review in Kryptographie zur Weltelite gehört, Blankogefälligkeitsgutachten herausgibt und dann, wenn er sie begründen soll, den Schwanz einzieht und nur noch stottert (siehe Adele). Wenn solche Leute schon fachlich und charakterlich zu einem Peer Review nicht befähigt sind, wer denn eigentlich dann?
Das Problem daran ist, daß die Kryptographie viel höhere Glaubwürdigkeitsanforderungen hat als andere Fächer.
Wenn beispielsweise im Bereich Robotik oder Bildverarbeitung einer schwindelt oder unseriös arbeitet, dann merkt das auch der Laie. Der Roboter läuft gegen die Wand und das Bild sieht schlecht aus. Mag die Technik kompliziert sein, kann man in vielen Fällen das Ergebnis aber auch mit weniger Wissen beurteilen. Es braucht Jahre und Talent, um ordentlich Geige spielen zu können. Auch wer es nicht kann, kann trotzdem hören, ob einer gut spielt oder nicht.
Bei der Kryptographie ist das anders. Das Zeug ist inwischen so abstrakt und bewußt unlesbar gehalten, daß man die Leute effektiv vom Lesen und Verstehen abhält. Vermutlich gibt es auf der Welt keine 1000 Leute mehr, die die Veröffentlichungen in Kryptographie noch lesen können, und keine 20 mehr, die es auch tun. Kryptographische Papers gehören inzwischen meist zu den Publikationen, die mehr Autoren als Leser haben. Meterweise steht das Zeug in den Bibliotheken, und meist völlig unberührt. Nicht selten merke ich an alten Journals, Konferenzbänden, Dissertationen, daß die Seiten vom Schnitt noch aneinanderhaften und ich der erste bin, der das Buch aufschlägt.
Trotzdem vertrauen wir diesen Techniken immer mehr an. Das gesamte Finanzsystem ist von der Zuverlässigkeit der Kryptographie abhängig. Reisepässe, Personalausweise, Steuererklärungen, Bürger-de-Mail. Basiert alles auf Kryptographie und dem Vertrauen auf die Wissenschaft. Und in den USA ist doch auch mal das Stromnetz im Zusammenhang mit Ungereimtheiten im IT-Bereich ausgefallen. Viele haben es noch nicht gemerkt, aber ein Versagen der Kryptographie könnte heute extreme Auswirkungen haben.
Massiv zugenommen hat auch das Maß an Pseudokonferenzen. Es entstehen Zirkel aus Leuten, die sich regelmäßig gegenseitig und im Kreis herum zu lokalen Seminarraum-Veranstaltungen einladen, die jeder Kritik und jeder Maßstäbe enthoben sind. Man besucht sich auf Universitätskosten, hat mal die eine oder andere angenehme Reise, und hinterher wieder einen Eintrag auf der Veröffentlichungsliste. Eine Hand nimmt der anderen Paper an.
Die Bilanz ist lausig. Nicht einmal die Begrifflichkeiten sind eindeutig geklärt, jeder macht, was er gerade will. Das allermeiste Zeug ist völlig nutz- und belanglos.
Was spielt denn an Kryptographie in der Realität wirklich eine Rolle? Wesentlich mehr als RSA, Hashsummen und Blockchiffren, hin und wieder noch ne Stromchiffre ist es doch nicht. Die werden dann alle paar Jahre weich, dann braucht mal längere Schlüssel, wieder mal ein neues Hash-Verfahren, eine neue Chiffre. Aber im wesentlichen Techniken, die es seit 30 Jahren gibt. Der ganze Rest ist write-only und bedeutungslos. Masturbative Wissenschaft.
Heute wies mich jemand auf eine Ankündigung einer Antrittsvorlesung hin. Über die Person des Jörn Müller-Quade und dessen Berufung habe ich genug geschrieben, darauf muß ich hier nicht näher eingehen. (Mehr dazu demnächst.) Bemerkenswert aber das Thema des Vortrages:
Aktuelle Probleme bei EC-Karten haben wieder gezeigt, dass ein einfaches »händisches Hinzufügen« von Sicherheitsmechanismen nicht ausreicht. Die Notwendigkeit von theoretischen Grundlagen steht damit außer Frage. Allerdings sind die Theorien, Modelle und Analysen in der IT- Sicherheit inzwischen so komplex geworden, dass sie für Menschen kaum noch handhabbar sind und sogar begutachtete, veröffentlichte Arbeiten Fehler enthalten:
»In our opinion, many proofs in cryptography have become essentially unverifiable. Our field may be approaching a crisis of rigor.« (Bellare/Rogaway)Der Vortrag plädiert für mathematisch formale Modelle und maschinenüberprüfbare Beweise, um menschliche Fehler auszuschließen. Die große Herausforderung dabei ist, eine intuitive Beweisidee in einen maschinenüberprüfbaren Beweis zu überführen. Neue Konzepte aus der Kryptographie erlauben eine Modularisierung und eine stimmige Abstraktion, und ermöglichen so verständliche Sicherheitsgarantien für konkrete Softwaresysteme.
Die Vision ist ein Theoriegebäude, das jeder erweitern darf, das aber insgesamt maschinenüberprüfbar und korrekt bleibt.
Das muß man sich auf der Zunge zergehen lassen: „many proofs in cryptography have become essentially unverifiable”. Unverifiable Proofs. Contradiction in Terms.
Es bestätigt damit das, was ich schon länger sehe (und schreibe), daß die Kryptographie ein höchst unseriöser Sumpf geworden ist, in dem viel behauptet wird und wenig nachprüfbar ist. Ausgerechnet in der Wissenschaft ist durch diese Vetternwirtschaft ein Raum entstanden, in dem – auf Grundlage des gegenseitigen Annehmens von Papern – alles behauptet werden kann. Eine ganze Disziplin versinkt in Schwindel und Hochstapelei, gebaut aus nicht mehr nachvollziehbaren Behauptungen. Der Publikationsdruck hat die intellektuelle Produktivität weit überholt.
Ich glaube aber nicht, daß es durch maschinelles Beweisen besser wird. Im Gegenteil. Damit verschafft man sich nur ein Alibi für das „Weiter so”. Jetzt wird der Zustand, daß der Mensch etwas nicht versteht, nicht mehr als Mangel, sondern als Fortschritt und künftiger Normalzustand ausgegeben.
Wie gefährlich das ist, sieht man an der BAN-Logik. Einige Leute haben mit der BAN-Logik und deren Ablegern die Richtigkeit irgendwelcher Protokolle nachgewiesen, oder ganze Verifikatoren geschrieben. Und damit promoviert, habilitiert und so weiter.
Es hat nie jemanden gestört (und vermutlich hat es kaum einer gemerkt), daß man mit der BAN-Logik keinen Verifikator schreiben kann, weil die BAN-Logik nur Fehler finden aber keine Richtigkeit prüfen kann. Wenn überhaupt, könnte man einen Falsifikator schreiben. Aber nicht einmal das, denn Gollmann hat nachgewiesen, daß man mit BAN korrekte Protokolle falsifizeren und fehlerhafte Protokolle verifizieren kann. Also für die Tonne. Man lernt aber daraus, daß man den Formalismen nicht allzuweit trauen kann. Irgendwer erfindet irgend ein Kalkül, mit dem man irgendwas errechnen kann oder auch nicht, und hinterher kommt als Ergebnis „falsch” oder „richtig” raus. Sowas reicht für Papers und Dissertationen, aber eine semantische Übereinstimmung mit dem echten „falsch” und „richtig” gibt es nicht. Alle diese Kalküle und Verifikatoren leiden unter dem Problem, daß da irgendeine wilkürliche Eigenschaft (wie damals bei Beths transitiver aber völlig bedeutungsloser Definition von Sicherheit ohne Angreifer) bewiesen wird, von der man nicht weiß, was sie ist. Es bedeutet nichts, aber die Anzahl der Kalküle dürfte überabzählbar sein, womit die Publikationsdichte – nicht die Richtigkeit der Protokolle – gewährleistet sein dürfte.
Ein sehr schönes Beispiel dafür war auch as Bell-LaPadula-Modell, ebenso die nachfolgenden formalen Sicherheitsmodelle. Alles ganz toll, alles formal beweisbar. Und trotzdem in der Realität weder anwendbar noch sicher.
Selbst wenn dies aber alles möglich (und korrekt) wäre, so übersehen die Wissenschaftler dabei einen ganz erheblichen Punkt (der sich damals im RMX-Umfeld als sehr drastische Notwendigkeit herausgestellt hat):
Etwas ist nicht bereits dann sicher, wenn es abstrakt oder maschinell beweisbar ist und es vielleich faktisch oder auch tatsächlich keinen Angriff dagegen gibt. Etwas ist erst dann sicher, wenn der, der es benutzt, sich auch selbst von der Sicherheit überzeugen kann, es also keine Black Box ist und die Sicherheit nicht auf einem willkürlich-blinden Vertrauen in irgendwelche Wissenschaftler beruht. Das bedeutet aber, daß nicht nur die 100 spezialisiertesten Wissenschaftler, sondern ein nennenswerter und über die Länder und Kulturen gestreuter Teil der inzwischen über eine Milliarde Internetnutzer die Sicherheit verstehen und nachvollziehen kann. Sicherheit heißt nicht (nur), daß keiner einbrechen kann. Sie heißt auch, daß man sich darauf verlassen kann. Sicherheit kommt von altdeutsch sichur und lateinisch sed cur. Das bedeutet „ohne Sorge”, hat also eine subjektive Komponente.
Es zeigt sich wieder einmal, daß der Wissenschaftsbetrieb und die Publikations- und Mittelvergabepraxis die wissenschaftliche Qualität massiv beeinträchtigen.
7 Kommentare (RSS-Feed)
In der Industrie herrscht Kostendruck, der immerhin deutlich realtitätsnäher ist als der „Publikationsdruck”. Ich halte diese Praxis, auf Teufel komm raus irgendwelches nutzlose (und weder ordentlich geprüfte noch jemals gelesene) Papier tonnenweise zu erzeugen für absurd.
Im Übrigen würde die Praxis (nach meiner Industrieerfahrung) durchaus einsetzen, was man ihr in zuverlässiger Weise zuliefert. Das tut die Wissenschaftsbereich aber einfach nicht. Denen reicht es in der Regel, wenn irgendeine Formel auf Papier oder an der Tafel steht. Die Überprüfung in der Praxis scheuen die wie der Teufel das Weihwasser.
Es ist auch nicht so, daß die Praxis sich „einen Scheiss” kümmert. Wir haben Wettbewerb, und jeder brauchbare Vorteil wird genutzt. Die vorhandenen Erkenntnisse müssen nur eben mal so dargestellt und dargereicht werden, daß sie effektiv verständlich und verwertbar sind. Und das leistet die Wissenschaft meistens gar nicht. Wenn ich mir so die Themen und Berufungsverfahren (insbesondere das des Müller-Quade) anschaue, dann habe ich den Eindruck, daß man an den Universitäten höchsten Wert darauf legt, nur ja niemanden einzustellen, der Praxis bezug hat oder irgendetwas praxistaugliches macht. Man hat in diesem Berufungsverfahren ausdrücklich und explizit geäußert, daß Praxiserfahrung unerwünscht ist (also nicht nur nicht positiv bewertet, sondern explizit aus Ausschlußkriteriuem angesehen wird). Also schieb die Schuld nicht der Praxis zu.
Erzähl lieber mal, wie solche Segnungen den Weg in die Praxis finden sollten.
Also an Versuchen mangelt es wohl eher nicht.
Schau mal bei srp.stanford.edu. Es gibt dort Patches fuer PAKE in OpenSSL, Apache, SSH usw. Die sind alle uralt, weil man sie nicht genommen hat. Auch weil Lucent/Alcatel sich nicht ganz sicher war, ob sie da eventuell ein Patent drauf haben. Sie schauen natuerlich nicht extra nach, weil wenn sie bekannt geben dass sie kein Patent haben wuerden sie sich ein Konkurrenzprodukt schaffen. So laeuft das. Gewinn und Gemeinwohl sind selten deckungsgleich. Im Linux pppd ist SRP seit Jahren implementiert(man pppd). Ich kenne aber auch hier niemanden der es benutzt.
Ich hab in meiner Studienarbeit damals einen SRP-Patch fuer Mozilla/NSS geschrieben und als feature request veroeffentlicht. Das wurde dann “mangels GUI” nicht weiter beachtet. Ein Jahr spaeter hat jemand von der UC Berkeley meinen Patch benutzt und einen secure login dialog fuer Firefox gebaut. Der Code ist ebenfalls public. Jetzt, ein Jahr spaeter, gibt es noch immer keinerlei Anstalten da irgendwas zu machen. Und wenn ich mir dann anschaue wie grosskotzig der Johnathan Nightingale mit seinem Usability-Kram ankommt, wie er tatsaechlich meint wie die von ihm angestrengten Zertifikat-Dialoge in Firefox irgendwie Abhilfe schaffen wuerden und gleichzeitig Alternativen wie PAKE, Key Continuity Management, ForceSSL usw komplett ignoriert werden, dann ist ganz klar wo dort *nicht* die Prioritaeten liegen.
Noch weniger schert sich die Industrie darum. Denk mal an den ganzen Schwachsinn mit MSCHAP, LEAP, PEAP, EAP-TLS, EAP-TTLS und so weiter. PAKE ist perfekt fuer diese Anwendungen und seit Jahrzehnten bekannt. Das BSI hat PACE auch nicht umsonst entwickelt, diese Loesung musste man ihnen nach dem ePass foermlich auf die Nase binden. Spaetestens mit PACE sind jetzt die Patent-Probleme ausgeraeumt. Wollen wir wetten, dass es in 5 Jahren noch immer kein PAKE-basiertes Onlinebanking geben wird?
Oder wie ist es damit:
https://www.danisch.de/blog/2010/04/07/ist-die-systemsicherheit-gescheitert/
Ich hab die Frau damals, als sie das Ding im Blog angekuendigt hat, extra per Kommentar darauf hingewiesen, dass es in dem Bereich Literatur gibt. Das sie bitte nicht einfach nur eine Anwendung per VM machen soll, dass das nicht neu ist und die relevanten Probleme nicht loest. Sie hat den Kommentar geloescht(!) und bringt jetzt Monate spaeter diesen Unsinn raus. Im wesentlichen ein Replikat dessen, was HP/IBM vor Jahren schonmal probiert und wieder aufgegeben haben. Seitdem kuehlt auch deren Interesse fuer Xen ab. Die von der Forschung vorgeschlagenen grundsaetzlichen Loesungen fuer diese Probleme sind noch aelter:
Wenn ich mir dann noch anschaue wie die Industrie an Antivirus und Firewall verdient, dann ist fuer mich ganz klar dass die Industrie mindestens ebenso grosse Schuld trifft.
BTW, ich verlange ja noch nichtmal PAKE. Hier hat man kuerzlich das Netzwerk komplett modernisiert. Jetzt muss man sich im VPN per PPTP anmelden. Dh um version-rollback zu verhindern werden alle aufgefordert, am client andere Protokolle als MSCHAPv2 zu deaktivieren.
Die Analyse von MSCHAPv2 ist auch schon 10 Jahre alt und sorgt beim Lesen fuer Brechreiz, vor allem auch weil das ja Teil einer SSO-Infrastruktur ist, ein Angreifer also gleichzeitig meine Logins im Finanzsystem, Uni-Verwaltung und eMail kompromittiert. Yeah.
Die Netzwerkinfrastruktur ist uebrigens weitgehend einem privaten Unternehmen Ueberlassen. Auf meine Frage, warum man nicht IPsec oder wenigstens die nicht total unsicheren EAP-Varianten benutzt, gibts nur Schulterzucken. Management-Entscheidung. Mit anderen Worten, das Geld hat entschieden.
Mit Deinem Unbehagen stehst du nicht allein.
DieMärzausgabe der AMS Notices hat auch einen Beitrag mit dem schönen Titel
The Brave New
World of bodacious assummptions in cryptography.
Lustiges Zitat:
| What went wrong? The 4-page single-spaced argument purporting
| to prove Theorem 5.1 is presented in a style that is
| distressingly common in the provable security literature, with
| cumbersome notation and turgid formalism that make it
| unreadable to nonspecialists (and even to some specialists). To
| a mathematician reader, Appendix D of [7] does not resemble
| what we would normally recognize as a proof of a theorem. If
| one tries to wade through it, one sees that the authors are
| essentially assuming that all an attacker can do is make
| queries of the oracle and some rudimentary hit-or-miss
| computations and wait for two group elements to coincide. They
| are forgetting that the exponent space is a publicly known
| prime field and that the attacker is free to do arithmetic in
| that field and even solve an equation or two.
Au, super. Sieht ziemlich nach meinem Geschmack aus. Muß ich unbedingt morgen mal lesen.
(Und wieder eine neue Vokabel gelernt. Das Wort “bodacious” ist mir noch nie untergekommen.)
Ich habs doch schon mal überflogen. Das Paper ist sehr gut. Zitat:
Perhaps the main lesson to learn from the unreliability of so many “proofs of security” of cryptosystems is that mathematicians (and computer scientists) should be a bit more modest about our role in determining whether or not a system can be relied upon. Such an evaluation needs to incorporate many other disciplines and involve people with hands-on experience and not just theoretical knowledge.
Gute Erkenntnis. Und zeigt, daß die Berufungspraxis in Deutschland in genau die falsche Richtung geht. Wenn ich mir anschaue, was da für Hochstapler und Schwätzer da unterwegs sind, kommt mir das kalte Grausen. Schon allein, von welcher Sichtweise Beth war und wie man seinen Nachfolger ausgesucht hat. Das kann ja nur schief gehen.
Du erzaehlst was dass ausser Hashsummen und RSA keiner was von dem ganzen Zeug braucht, redest dann aber von Problemen mit EC-Karten und kryptographischen Protokollen. Zum Schluss bringst du sogar noch Systemsicherheit, Korrektheit der Implementierung und Usability ins Spiel. Das sind weitgehend von einander getrennt operierende Felder. Man interessiert sich natuerlich dafuer was die anderen so machen und brauchen, aber der Kryptologe wird selten Protokolle entwickeln, geschweige denn sich deren Implementierung oder Usability ansehen.
Wenn es dann in Richtung Praxis geht, ist immer auch das Problem zu sehen dass man nicht auf der gruenen Wiese arbeitet. Ich wuerde sagen, die Mehrzahl der Paper aus dem Bereich Systemsicherheit schlagen weitgehend schwachsinnige Dinge vor, aber sie tun das eben auch weil man den vorhandenen Stand verbessern will, nicht irgendwelche Traumkonstrukte. Und dann hat man auch noch den lustigen Effekt, dass sich die Praxis einen Scheiss um bereits vorhandene Erkenntnisse kuemmert. So haben wir seit ueber 10 Jahren sicheren Passwort-basierten beidseitig authentisierten Schluesselaustausch(PAKE), werden aber sicher noch viele Jahre einfaches challenge-response oder gar Login per Webformular machen. Ebenso wird man X509 statt SDSI machen und weiterhin krampfhaft versuchen, mit Virtualisierung und IDS/Introspection Sicherheit zu bekommen.
So gesehen findet man in der Industrie offenbar auch vor allem ignorante Versager. Auch wenn sie vielleicht offen zugeben, dass sie nur wegen dem Geld da sind, macht es das nicht besser.