Verschlüsselung geht über alles: Ein Mantra, das im Zuge der NSA-Affäre schon tausende Male gehört wurde. Dass die Nutzung von GPG und Co alles andere als kinderleicht ist, dürfte auch keine Neuigkeit sein. Im Gegensatz zu der Tatsache, dass NSA-Whistleblower Edward Snowden und Aufdeckerin Laura Poitras selbst mehrere Fehler im Umgang mit den Verschlüsselungsstandards machten. Das enthüllte nun der Sicherheitsexperte Micah Lee auf TheIntercept.

Fehlende Public Keys

So wollte Snowden kurz nach seiner Abreise aus den USA die Filmemacherin Laura Poitras kontaktieren. Diese hatte allerdings ihren öffentlichen PGP-Key nirgends angegeben – für jemanden, der mit anonymen Quellen arbeitet, nicht unbedingt empfehlenswert. Deshalb fragte Snowden – damals als Anon108 – den Hacktivisten Micah Lee, ob dieser ihm Poitras‘ Schlüssel übermitteln könne. Doch in genau diesem E-Mail hatte Snowden wiederum selbst vergessen, seinen eigenen Key zu übermitteln, weshalb Lee ihm unverschlüsselt antworten musste.

Man in the Middle

Ein Missgeschick ohne Folgen; Poitras und Snowden konnten anschließend relativ sicher per PGP kommunizieren. Doch eben nur "relativ": Denn die NSA ist dafür bekannt, sogenannte "Man in the middle"-Attacken bei verschlüsselter Kommunikation einzusetzen. Dabei hätte ein Geheimdienstler Snowdens E-Mails abgefangen, gelesen, neu verschlüsselt und an Poitras weitergeleitet – und vice versa. Da Snowden über diese Gefahr Bescheid wusste, bat er Micah Lee, den "Fingerprint" von Poitras‘ Schlüssel zu twittern. Dabei handelt es sich um eine kurze Abfolge von Zeichen, die jeden PGP-Schlüssel identifiziert (die Schlüssel selbst sind weitaus länger).

Twitter als Schutz

Die Publikation auf Twitter wirke komisch, so Lee auf TheIntercept, doch tatsächlich biete sie einen wirksamen Schutz vor der NSA: Denn wenn Agenten eine "Man in the Middle"-Aktion ausführten, könnten sie zwar theoretisch den Twitter-Account übernehmen und den Fingerprint posten – dies‘ würde jedoch hunderten Followern und vor allem dem Nutzer selbst auffallen.

So wisse dieser dann, dass seine IT-Sicherheit außer Kraft gesetzt wurde.

Snowden wollte Petition gegen Überwachung

In seinem ausführlichen Artikel erklärt Lee auch noch, welche Schwierigkeiten dabei entstehen, anonym eine Website kreieren zu wollen: Denn Snowden hatte ihn gebeten, eine Seite namens "supportdigitalrights.com" aufzusetzen, auf der Nutzer eine Petition gegen Überwachung unterschreiben können. Lee hatte allerdings Probleme, dies "anonym" zu tun: Er hatte Angst, dass sein Programmierstil oder sein Design ihn verraten könnte.

Programmieren via Tor

Zusätzlich sei es schwierig gewesen, via Anonym-Browser Tor zu programmieren, da die Kompatibilität der Website mit aktuellen Browsern nicht gewährleistet werden konnte. Auch das Bezahlen via Tor wäre schwierig, wie Snowden selbst feststellen musste: Als er mit seiner Kreditkarte die Domain erwerben wollte, wurde ihm dies mit dem Hinweis verweigert, Anti-Betrugssysteme hätten Alarm geschlagen. Das passiert, weil Tor eben dafür sorgt, dass der Nutzer oftmals die IP-Adresse wechselt. Snowden konnte die Domain schließlich nach einem Streit mit dem Kundenservice erwerben, online ging die Website nie: Poitras‘ und Glenn Greenwalds NSA-Enthüllungen reichten aus, um die Öffentlichkeit zu informieren. (fsc, derStandard.at, 30.10.2014)