Der Clipper-Chip




Technische Beschreibung


Da die Struktur und der Verschlüsselungs-Algorithmus des Clipper-Chips von der NSA zur Geheimsache erklärt wurden, ist nur sehr wenig über die Technischen Daten des Chips und seine Arbeitsweise bekannt. Die folgenden Angaben beziehen sich auf von der NSA autorisierte Veröffentlichungen von Kryptographie-Experten, die von der NSA dafür angestellt und bezahlt wurden. Daher können diese Angaben nicht von vornherein als objektiv betrachtet werden, sondern bedürfen einer kritischen Betrachtung.




Eigenschaften des Chips

In unterschiedlichen Veröffentlichungen findet man verschiedene Angaben zur Leistungsfähigkeit des Clipper-Chips. Danach verschlüsselt und entschlüsselt er etwa 15-20 Megabyte pro Sekunde. Der exakte Wert liegt vermutlich bei etwa 16 MB/s. Damit verfügt der Chip in jedem Fall über eine ausreichende Kapazität zur Erfüllung seiner Aufgabe: der Echtzeit-Verschlüsselung von digitaler Kommunikation über Telefonleitungen.

Auf jedem Chip sind die folgenden Elemente installiert:

  • Eine eindeutige Serien-Nummer. Diese ist für jeden einzelnen produzierten Chip verschieden. Beim Produktionsvorgang wird diese Eindeutigkeit durch ein aufwendiges Verfahren sichergestellt, dessen Einzelheiten geheim sind und dessen Ausführung strengstens überwacht wird. Da die genaue Struktur des Chips ebenfalls geheim ist, findet man in verschiedenen Publikationen unterschiedliche Zahlen über die Länge der Seriennummer; die Angaben schwanken zwischen Längen von 25 und 30 bits.

  • Der spezielle Codeschlüssel des einzelnen Chips, der als unit key bezeichnet wird und ebenfalls eindeutig ist. Die Einzelheiten über diesen Codeschlüssel unterliegen ebenfalls strengster Geheimhaltung; es ist lediglich bekannt, daß er aus zwei gleich langen Teilschlüsseln besteht, die vermutlich jeweils 40 bit umfassen, so daß der gesamte unit key eine Länge von 80 bit hat. Jede dieser Hälften ist ohne die jeweils andere vollkommen unbrauchbar.
    Jeweils eine der beiden Hälften des unit key wird an zwei Treuhandgesellschaften ("key escrow agents") übergeben, die diese nur auf gerichtlichen Beschluß an Polizei oder Geheimdienste herausgeben dürfen. Bei den beiden Treuhändern handelt es sich um das National Institute of Standards and Technology (NIST), das dem Handelsministerium (Department of Commerce) angehört, und eine dem Finanzministerium ( Department of the Treasury) zugehörige Behörde. Beide Treuhandstellen sind also Einrichtungen der Exekutive.

  • Der gemeinsame Codeschlüssel aller Clipper-Chips, der sogenannte family key. Dieser Schlüssel ist ausnahmslos auf jedem produzierten Chip installiert und wird zusätzlich zum unit key bei der Verschlüsselung und Entschlüsselung verwendet. Die Informationen über diesen Codeschlüssel sind ebenfalls unklar; vermutlich umfaßt er (wie der unit key) 80 bits.

  • Der streng geheime Verschlüsselungsalgorithmus. Die NSA befürchtet nach eigenen Angaben, daß seine Veröffentlichung eine ernste Gefahr für die nationale Sicherheit der USA bedeuten würde.

  • Kontroll-Algorithmen. Diese sollen einerseits den korrekten Ablauf des Ver- und Entschlüsselungsverfahrens gewährleisten und andererseits Manipulationen verhindern. Damit soll sichergestellt werden, daß durch eine Untersuchung des Chips - auch während der Verschlüsselung - die Arbeitsweise des Algorithmus nicht herausgefunden werden kann. Natürlich unterliegen die Kontroll-Algorithmen ebenfalls strengster Geheimhaltung.

    Die Ermittlung der Codes und des Algorithmus durch Untersuchung des Chips ist nach NSA-Angaben unmöglich. Auf welche Weise die Sicherung gegen jegliche Art von Manipulation erfolgen soll, ist nicht bekannt. Verlautbarungen der NSA beschränken sich darauf, die Bürger anzuweisen, dem Geheimdienst zu vertrauen. Es gebe keine Möglichkeit, aber auch keinen Grund, die Geheimhaltung der Einzelheiten über den Clipper-Chip aufzuheben.




    Arbeitsweise bei der Verschlüsselung

    Wie bereits gesagt ist die Aufgabe des Clipper-Chips die Verschlüsselung von digitaler Kommunikation über Telefonleitungen. Im Regelfall verfügen mit diesem Chip ausgestattete Geräte über einen speziellen Schalter, mit dem man zwischen normaler Kommunikation (ohne Verschlüsselung) und geheimer Kommunikation (unter Benutzung des Chips) umschalten kann. Wählt man die Verschlüsselung, so werden bei jedem einzelnen Gespräch die folgenden Schritte ausgeführt:

  • Am Anfang steht die Erzeugung eines 80-bit session key für die aktuelle Datenübermittlung. Dieser Codeschlüssel wird zufällig generiert, für die Dauer eines einzigen Telefongespräches benutzt und anschließend wieder gelöscht. Er dient der eigentlichen Verschlüsselung der Kommunikation, während der Zweck der übrigen Codes in erster Linie darin besteht, eine sichere Übermittlung des session key vom Sender zum Empfänger zu gewährleisten.

  • Der generierte session key wird anschließend unter Verwendung des unit key verschlüsselt. Das dabei entstehende erste Zwischenergebnis hat eine Länge von 80 bits.

  • An das erste Zwischenergebnis werden dann die 25-bit-Seriennummer und ein zusätzliches 23-bit-Kontrollmuster angehängt. Auf diese Weise entsteht ein zweites Zwischenergebnis mit einer Länge von 128 bits.

  • Dieses zweiten Zwischenergebnis wird nun noch mit dem family key verschlüsselt. Das Ergebnis ist ein 128-bit-Schlüssel, der als law enforcement access field (LEAF) bezeichnet wird, da es den Strafverfolgungsbehörden (law enforcment agencies) den Zugang zu der verschlüsselten Kommunikation ermöglicht: Wenn das FBI oder ein Geheimdienst auf gerichtlichen Beschluß den unit key ausgehändigt bekommen hat, kann aus dem LEAF der session key rekonstruiert und damit die kodierte Nachricht dekodiert werden.

  • Das erzeugte LEAF wird zu Beginn der Kommunikation (und danach in gewissen Abständen erneut) vom sendenden an den empfangenden Clipper-Chip übermittelt. Dieser erzeugt und sendet ebenfalls ein eigenes LEAF. Anschließend erfolgt eine Synchronisation der beiden Chips. Die zu übermittelnden Daten werden nun mit dem session key verschlüsselt.

    Aus keiner im Internet zugänglichen Veröffentlichung geht eindeutig hervor, auf welche Weise verhindert wird, daß eine unbefugte Person unter Benutzung eines oder zweier eigener Clipper-Chips fremde Kommunikationen abhören und entschlüsseln kann. Die öffentlich bekannten Fakten über den Chip geben keinen Hinweis darauf, wie sichergestellt wird, daß die übermittelten Daten wirklich und ausschließlich den beabsichtigten Empfänger erreichen.

    Vermutlich sind die Kontroll-Algorithmen so konstruiert, daß jeder Chip, der die übertragenen Daten empfängt, gleichzeitig auch ein eigenes Signal sendet. Bei der Einschaltung eines unbefugten Clipper-Chips in eine Kommunikation würde dieser sich dann sofort durch ein falsches Signal verraten, und die Datenübermittlung würde unterbrochen. Das richtige Signal könnte nur jemand senden, der im Besitz des richtigen Codeschlüssels ist, also zum Beispiel das FBI im Rahmen einer von einem Gericht genehmigten Abhöraktion.

    Da die Kontrollalgorithmen jedoch strengster Geheimhaltung unterliegen, haben diese Überlegungen zu ihrer Arbeitsweise zwangsläufig einen rein spekulativen Charakter.




    Die folgende Grafik, die aus einer amerikanischen Veröffentlichung übernommen wurde, verdeutlicht noch einmal die Arbeitsweise bei der Verschlüsselung. Gleichzeitig ist sie ein Beispiel dafür, wie aufgrund der strengen Geheimhaltung die technischen Angaben über den Clipper-Chip variieren: Hier umfaßt die Seriennummer 30 statt 25 bits, und das Kontrollmuster ist überhaupt nicht vorhanden.


    Diagramm der Clipper-Chip-Verschlüsselung


    F = Family key (common to all Clipper Chips) - 80 bits
    N = serial Number of chip - 30 bits
    U = secret key for chip - 80 bits
    K = Key specific to particular conversation - 80 bits
    M = the Message




    Internet-Veröffentlichungen zur Clipper-Chip-Technologie

    Verschiedene Organisationen und Einzelpersonen in Amerika haben Texte über die Technologie des Clipper-Chips im Internet veröffentlicht. Die meisten dieser Texte sind sich relativ ähnlich; außerdem enthalten sie wegen der äußerst begrenzten Menge an nicht geheimgehaltenen Fakten im Prinzip alle die gleichen Informationen.

    Einen kurzen, aber guten Überblick bietet eine Veröffentlichung des National Institute of Standards and Technology (NIST). Sie trägt den Titel Clipper Chip Technology und ist im Internet relativ weit verbreitet, da verschiedene Organisationen Kopien auf ihren Servern angelegt haben.

    Etwas schwerer zu lesen, aber genauer und mit einer ausführlicheren Beschreibung des Verschlüsselungs-Prinzips versehen ist ein Text von Dorothy Denning, Professorin für Informatik (Computer Science) an der Georgetown University in Washington DC. Professor Denning ist eine von fünf unabhängigen Kryptographie-Experten, die von der NSA beauftragt wurden, den SKIPJACK- Algorithmus zu überprüfen und zu testen. Ihr Text beruht auf direkt von der NSA herausgegebenen, aber als nicht geheim eingestuften Informationen.

    Die Original-Version dieses Dokumentes wurde von Professor Denning am 19.April 1993 in der Newsgroup sci.crypt veröffentlicht; der im vorliegenden Dokument eingebundene Link weist auf eine Page, die neben einer Kopie dieses Dokumentes (erster Text) noch zwei Kommentare zum Thema Clipper-Chip enthält, die sich aber nicht auf Professor Dennings Text beziehen.

    Eine neue, editierte und korrigierte Version ihres Textes schickte Professor Denning zwei Tage später per E-Mail an die Internet-Organisation Electronic Frontier Foundation (EFF). Bei EFF liegt dieses E-Mail als nicht-HTML-Dokument vor; empfehlenswert ist deshalb, die konvertierte HTML-Version zu lesen, die sich auf dem Server der Organisation Computer Professionals for Social Responsibility (CPSR) befindet.

    Wesentlich ausführlicher ist ein Report von Dorothy Denning und drei weiteren Kryptographie-Experten, die ebenfalls an der Überprüfung des Clipper-Chips beteiligt waren. Er enthält eine vorläufige Zusammenfassung ihrer Erfahrungen beim Testen des SKIPJACK-Algorithmus. Von diesem Bericht existieren ebenfalls eine uneditierte Version bei EFF und eine HTML-Version bei CPSR. Der Bericht geht auf mehr Einzelheiten der Funktionsweise des Algorithmus ein, beschreibt einige Tests und weist darauf hin, daß deren Ergebnisse positiv waren. Allerdings bleiben alle geheimen Informationen auch in diesem Bericht geheim, so daß er viele Fragen weiterhin offenläßt.

    Außerdem muß man beachten, daß die fünf Experten von der NSA für die Tests und alle darauf basierenden (genehmigten) Veröffentlichungen angestellt und bezahlt wurden. Daher kann man sie nicht als wirklich unabhängige Experten ansehen. Ihr Report gibt lediglich das wieder, was die NSA der Öffentlichkeit mitzuteilen bereit ist, so daß seine Inhalte völlig den Wünschen des Geheimdienstes entspricht. Ernsthafte Kritik könnte man von einem derartigen Dokument nicht erwarten, selbst wenn sie angebracht wäre.



    Zur Clipper-Chip-StartseiteZur Clipper-Chip-Startseite



    Zur DiskussionZur Diskussion über den Chip