Krypto-Experten sind skeptisch, halten aber weitreichende Folgen für möglich

Luxemburger Professor behauptet: EC-Kartencode geknackt

05. Februar 2002
Holger Eriksdotter ist freier Journalist in Hamburg.
Dem Luxemburger Professor Pascal Zeihen ist es nach eigenen Angaben gelungen, ein wichtiges Verschlüsselungsverfahren mit künstlicher Intelligenz anstatt mit schierer Rechenpower zu umgehen.

Der "DES" (Data Encryption Standard), der Mitte siebziger Jahre in Amerika entwickelt wurde, gilt in vielen sicherheitsrelevanten Bereichen als Standardverfahren; lange Zeit waren alle EC-Karten auf diese Weise codiert. Zwar ist der DES-Code schon mehrfach geknackt worden, aber alle bisherigen Attacken stützten sich auf die „Brute Force“-Methode, bei der mit Hochleistungsrechnern alle möglichen Schlüssel zeitaufwendig nacheinander ausprobiert werden. Zeihen hingegen hat Methoden der Künstlichen Intelligenz (KI) eingesetzt und sagt, er könne DES-codierte Dokumente nun innerhalb von Minuten knacken.

Klaus Brunnstein, Informatik-Professor an der Universität Hamburg und ausgewiesener Experte für Computer-Sicherheitsfragen, spekuliert: "Wenn das stimmt, dann wäre die Sicherheit von EC-Karten mit PIN-Nummer nicht mehr gewährleistet. Im Grunde müssten dann alle EC-Geldkarten aus dem Verkehr gezogen werden." Kreditkarten sind zwar mit einem Nachfolger, dem „Triple-DES“, verschlüsselt.

Aber Brunnstein weist auf eine weitere Gefahr hin: Wenn es eine neue Methode gäbe, den DES zu entschlüsseln, kann diese möglicherweise auch auf andere symmetrische Verschlüsselungsverfahren angewandt werden. Die Auswirkungen könnten dann vom Austausch von Sitzungsschlüsseln - etwa beim Homebanking über das Internet -, über Chipkarten für verschiedenste Anwendungen bis zur Verschlüsselung des GSM-Mobilfunks reichen. Wenn symmetrische Krypto-Algorithmen tatsächlich in Zukunft keine Sicherheit mehr böten, hätte das ungeheure Auswirkungen: Alle sicherheitsrelevanten Anwendungen müssten einer kritischen Überprüfung unterzogen werden. Um das Dilemma zu beenden, wären nicht nur neue Algorithmen nötig, sondern riesige Summen für neue Sicherheitsverfahren sowie Hard- und Software, in denen die kryptographischen Verfahren codiert sind.