Haben Sie heute schon Ihre E-Mails gecheckt? Inzwischen ist elektronische Kommunikation so normal geworden, dass einige Personen schon gar nicht mehr wissen, wie man einen Brief richtig adressiert und frankiert. Dabei verlassen wir uns darauf, dass Internetanbieter wie Google oder Yahoo unsere Daten sicher verschlüsseln, damit niemand Unbefugtes darauf zugreifen kann. Wie vertrauenswürdig die Unternehmen wirklich sind, haben spätestens die 2013 geleakten Dokumente von Edward Snowden in Frage gestellt. In diesen legte er unter anderem offen, dass große Techfirmen wie Microsoft, Yahoo, Google oder Facebook (heute Meta) mit der US-Geheimdienstbehörde NSA (National Security Agency) zusammenarbeiten und dieser Zugriff auf Nutzerdaten gewährten. Das entfachte öffentliche Diskussionen über die digitale Privatsphäre und den Datenschutz. Das Thema ist nicht neu. Bereits in den 1970er Jahren sorgte eine mathematische Idee für einen regelrechten Krieg zwischen der NSA und den Befürwortern freier Wissenschaft.

Einer, der diesen Krieg – unbewusst – anzetteln sollte, war Whitfield Diffie. Dabei war der studierte Mathematiker ein friedliebender Mensch, er beschreibt sich selbst als »peacenik«. Als er nach seinem Studienabschluss im Jahr 1965 den Wehrdienst hätte antreten sollen, war der Vietnamkrieg in vollem Gang. Um dem Dienst in der Army zu entgehen, entschied sich Diffie, einen Job beim Forschungsinstitut Mitre Corporation anzunehmen. Da Mitre auch für das Verteidigungsministerium arbeitete, war Diffie zwar von der Wehrpflicht entbunden, aber dafür musste er als Informatiker arbeiten – ein Fach, auf das er als Mathematiker anfangs herabblickte. Doch schnell zog ihn insbesondere ein Aspekt des Bereichs in seinen Bann: die Kryptografie.

Ernsthafte Kryptografie findet nur im Geheimen statt

Denn anders als viele seiner Kollegen begann sich Diffie dafür zu interessieren, wie man elektronische Daten absichern könnte. Damals gab es das Internet zwar noch nicht, aber Computer hielten langsam Einzug in die Gesellschaft – ebenso wie drahtlose Telefone und andere elektronische Kommunikationskanäle. Ohne Verschlüsselung wären alle übertragenen Informationen von jedem offen einsehbar. Als Diffie sich in die Kryptografie einlesen wollte, stellte er fest, dass alle Informationen über die Standard-Verschlüsselungsmethoden aus der Zeit nach dem Zweiten Weltkrieg als geheim klassifiziert und damit unzugänglich waren. So lernte er erstmals die gegnerische Seite des kommenden Krieges kennen: den 1952 gegründeten Auslandsgeheimdienst NSA. Wie der Journalist Steven Levy in seinem Buch »Crypto« schreibt, »existierte ernsthafte Kryptografie in den USA nur hinter dem Schutzwall der NSA«. Um das zu gewährleisten, versuchte die Behörde die klügsten Köpfe des Landes anzuheuern, die sich für kryptografische Forschung interessierten.

So auch Martin Hellman in den 1970er Jahren, der damals Professor am Massachusetts Institute of Technology war: »Sobald jemand hörte, dass ich mich für Kryptografie interessierte, stürzten sich die Leute von der NSA auf mich«, erzählte Hellman dem Journalisten Levy. Doch Hellman wollte seine Erkenntnisse veröffentlichen und lehnte alle Angebote der Behörde ab. Viele seiner Kollegen warnten ihn vor einem solchen Alleingang, schließlich war die NSA allein durch die vielen Experten in dem Bereich fachlich haushoch überlegen – doch Hellman ließ sich davon nicht beirren. Und tatsächlich sollte ihm gemeinsam mit Diffie im Jahr 1976 ein Durchbruch gelingen, der die Kryptografie für immer veränderte.

Bis zu diesem Zeitpunkt beruhten Verschlüsselungssysteme auf einer jahrtausendealten Idee: Zwei Parteien tauschen einen Schlüssel aus und nutzen diesen, um eine Nachricht zu chiffrieren und anschließend wieder zu decodieren. Die Schwierigkeit besteht darin, einen Mechanismus zu finden, der es unmöglich macht, die verschlüsselte Nachricht von einer zufälligen Symbolfolge zu unterscheiden. Sprich: Die Chiffre soll möglichst nach Kauderwelsch aussehen.

Erste Beispiele für solche Verfahren finden sich bereits in der Antike: etwa die Cäsar-Chiffre, die der römische Feldherr im 1. Jahrhundert v. Chr. für die militärische Korrespondenz nutzte. Dabei verschiebt man die Buchstaben des Alphabets um einen festen Wert und erhält daraus entsprechende Codewörter. Angreifer, die eine solche Nachricht abfangen, können mit den Symbolfolgen meist nichts anfangen. Der Empfänger hingegen weiß, wie man die Zeichen ersetzt, um so den ursprünglichen Text zu rekonstruieren. Allerdings ist die Cäsar-Chiffre nicht besonders schwer zu knacken. Im Lauf der Jahrhunderte wurden daher immer ausgeklügeltere Verfahren entwickelt. Mit dem Beginn der Renaissance konstruierten Gelehrte mechanische Geräte wie Chiffrierscheiben. Die Anstrengungen gipfelten schließlich in der Entwicklung von »Enigma«, einer Schlüsselmaschine, welche die Deutschen im Zweiten Weltkrieg nutzten.

Wie Diffie, Hellman und andere Wissenschaftler – ebenso wie die NSA – aber richtig erkannten, ergaben sich mit der Verbreitung von Computern vielfältige Möglichkeiten, um aufwändige und komplizierte Berechnungen in Windeseile zu bewältigen. Das machte viele Systeme angreifbar, da Algorithmen beispielsweise in der Lage sind, etliche Passwortkombinationen in einer Geschwindigkeit durchzuprobieren, bei der ein Mensch unmöglich mithalten kann. »Computer werden in Zukunft eine Gefahr für die individuelle Privatsphäre darstellen«, schrieb der deutsche Kryptograf Horst Feistel bereits 1973 in einem Artikel für »Scientific American«. Er schloss daher, dass Computersysteme ihre Inhalte verschlüsseln sollten, damit Unbefugte keine Daten abgreifen. Das waren nicht nur leere Worte: Feistel entwickelte einen extrem starken Verschlüsselungsalgorithmus namens Lucifer, der unsere Daten jahrzehntelang schützen sollte – und den sich die NSA unter den Nagel riss.

Der Lucifer-Algorithmus teilt eine Nachricht zunächst in Blöcke auf, die unabhängig voneinander chiffriert werden. Die einzelnen Blöcke werden dabei immer wieder halbiert, vermischt und verschlüsselt. Das Ganze geschieht aber auf eine Weise, die sich umkehren lässt, wenn man den Schlüssel kennt – schließlich muss man die Nachricht am Ende wieder entziffern können. Das US-Unternehmen IBM entwickelte Lucifer weiter, um damit erstmals Bankautomaten abzusichern, welche die Daten zum Bankgroßrechner schicken sollten. Die Implementierung war allerdings mit einem hohen Risiko verbunden: IBM musste sicher sein, dass die Verschlüsselung sich nicht durch einen genialen Trick knacken lässt – sonst könnten erfinderische Hacker die Bankautomaten leeren.

Bietet Lucifer genug Sicherheit?

Dass sichere Verschlüsselungssysteme für das anbrechende Elektronikzeitalter bitter nötig waren, erkannte auch die US-Regierung. Daher machte die Standardisierungsbehörde, damals National Bureau of Standards (NBS), heute National Institute of Standards and Technology (NIST), Anfang der 1970er Jahre eine öffentliche Ausschreibung: Sie suchte nach einem Verschlüsselungsalgorithmus, der gewisse Sicherheitsanforderungen erfüllt. Doch es kamen nur sehr wenige Einsendungen. Kein Wunder, denn es gab kaum Forscher, die außerhalb der NSA an solchen Themen arbeiteten. Das von IBM weiterentwickelte Lucifer-System erfüllte alle Voraussetzungen. Doch bevor der Algorithmus veröffentlicht wurde, bestellte die NSA den damals verantwortlichen IBM-Mitarbeiter ein – und machte ihm ein Angebot, das er nicht ablehnen konnte.

Die NSA würde den Algorithmus prüfen und öffentlich dessen Sicherheit garantieren. Damit würden die Kunden von IBM, insbesondere der Bankensektor, den neuen kryptografischen Produkten der Firma vertrauen. Im Gegenzug sollte sich das Unternehmen verpflichten, den Lucifer-Code unter Verschluss zu halten und nur Hardware (Verschlüsselungschips) zu verkaufen. Damit war der Lucifer-Algorithmus zur Geheimsache geworden: Die betroffenen IBM-Mitarbeiter durften nicht über ihre Arbeit sprechen.

Schließlich veröffentlichte das damalige NBS im Jahr 1975 seine Empfehlung, den so genannten Data Encryption Standard (DES), der auf Lucifer basierte. Statt eine Schlüssellänge von 128 Bit – also eine Zeichenkette aus 128 Kombinationen von Nullen und Einsen – zu nutzen, wie es Feistel bei seinem Lucifer-Code vorgeschlagen hatte, betrug der NBS-Standardschlüssel nur 56 Bit. Das war nicht nur erheblich kürzer, sondern auch eine extrem ungewöhnliche Schlüssellänge: Meist verwendet man, wie in der Informatik so häufig, Zweierpotenzen. Daher vermuteten viele Wissenschaftler, darunter der frühere DES-Entwickler Alan Konheim von IBM, dass die NSA die Schlüssellänge gekürzt habe, um wichtige Nachrichten knacken zu können.

Der kurze Schlüssel ist nicht sicher genug

Wie inzwischen bekannt wurde, hatte die NSA tatsächlich von IBM gefordert, die Schlüssellänge von 64 auf 48 Bit zu reduzieren – dabei ging der 56-Bit-Schlüssel als Kompromiss hervor. »Es ging darum, ein Kryptografieniveau zu finden, das die Privatsphäre von Einzelpersonen und Unternehmen gegenüber Konkurrenten schützt«, so der ehemalige Direktor der NSA Bobby Inman. Gleichzeitig wollte die Behörde aber sicherstellen, die Verschlüsselungen im Notfall knacken zu können.

Wie drastisch ein solches Eingreifen ist, lässt sich erklären, wenn man tatsächliche Rechenzeiten bestimmt. Angenommen, man wollte einen Schlüssel mit 128 Bit erraten. Man weiß nur, dass er einer Folge von 128 Nullen und Einsen entspricht. Man muss also alle Kombinationen durchprobieren: Für jedes der 128 Zeichen gibt es zwei mögliche Werte (0 oder 1) und somit insgesamt 2¹²⁸ Möglichkeiten. Hat der Schlüssel hingegen eine Länge von 127 Bit, halbiert sich die Anzahl aller Kombinationen, die man durchprobieren muss. Heutige moderne Computer haben einen 3 Gigahertz-Prozessor, das heißt, sie können drei Milliarden Berechnungen pro Sekunde vornehmen. Um 2¹²⁸ (zirka 3·10³⁸) Möglichkeiten durchzuspielen, bräuchte man demnach etwa 10²⁹ Sekunden, was 10²¹ Jahre entspricht – Billionen mal so lange, wie unser Universum bereits existiert. Einen 56-Bit-Schlüssel könnte ein moderner Rechner hingegen in siebeneinhalb Jahren knacken.

Viele Wissenschaftler beschwerten sich über die Schlüssellänge und verlangten eine Anpassung, darunter Diffie und Hellman – doch vergebens. Erst im Jahr 2000 wurde DES in den USA durch ein sichereres Verfahren (AES) ersetzt. Zuvor hatten Informatiker gezeigt, dass sich die herkömmliche DES-Verschlüsselung mit ausgeklügelten Methoden in gerade einmal 22 Stunden knacken lässt.

Als Diffie über Kryptografie nachdachte, störte ihn nicht nur die Schlüssellänge des DES-Standards. Generell litten alle Verschlüsselungssysteme unter einer Schwachstelle, die als unüberwindbar galt: die Schlüsselverteilung. Wenn zwei Parteien irgendwie geheime Informationen austauschen wollten, brauchte es eine zentrale Anlaufstelle, die ihnen die Schlüssel bereitstellte. In den 1970er Jahren war das noch kein allzu großes Problem, da bisher nur wenige militärische Institutionen und einige Firmen auf digitale Verschlüsselungsalgorithmen angewiesen waren. Doch spätestens wenn die elektronische Kommunikation auch im privaten Sektor Einzug halten würde, wäre eine solche Schlüsselverwaltung wahrscheinlich das Ziel von Angriffen.

Im Mai 1975, als Diffie sich um den Haushalt kümmerte und dabei wie üblich über Kryptografie nachdachte, fand er schließlich die Lösung zu all seinen Problemen: Er musste gegen das Grundprinzip der Kryptografie verstoßen und die Schlüssel öffentlich machen. Das war die Geburtsstunde der so genannten Public-Key-Kryptografie.

Ein öffentlicher Schlüssel

Diffie war im Vorfeld jahrelang quer durch das Land gereist ohne festen Job und von seinen Ersparnissen lebend, um sich mit anderen Wissenschaftlern über Verschlüsselungen auszutauschen. Da alle modernen Arbeiten zu dem Thema der Geheimhaltung unterstanden, war er auf andere Personen angewiesen, um mehr darüber zu lernen. Als er schließlich auf Martin Hellman in Stanford traf, hatte er endlich einen Gleichgesinnten gefunden. Hellman nahm Diffie unter seine Fittiche, konnte ihm aber wegen seines fehlenden Doktortitels keinen langfristigen Job anbieten. Trotzdem tauschten sich die beiden Forscher, die in der Folge enge Freunde wurden, häufig aus und suchten nach einer Methode, elektronische Daten abzusichern.

Diffies Durchbruch bestand darin, den Schlüssel in zwei zu teilen: Eine Person besitzt demnach einen privaten und einen öffentlichen Schlüssel. Wenn Bob mit Alice kommunizieren möchte, verschlüsselt er eine Nachricht m mit Alices öffentlichem Schlüssel k_p^Alice zu einer Chiffre c. Obwohl k_p^Alice von jedem einsehbar ist, lässt sich eine damit verschlüsselte Nachricht c nicht entziffern. Erst Alices privater Schlüssel k_g^Alice ermöglicht es, c wieder in die ursprüngliche Nachricht m zu verwandeln. Grundlage für dieses Verfahren sind so genannte Falltürfunktionen: Mathematische Abbildungen, die sich nur schwer umkehren lassen – es sei denn, man besitzt eine geheime Information – den privaten Schlüssel.

Ein solches Verfahren würde nicht nur eine sichere Kommunikation ermöglichen, sondern auch Authentifizierungen. Denn eine weitere Schwierigkeit im elektronischen Zeitalter ist, zu beweisen, dass man die Person ist, die man vorgibt zu sein. Angenommen, Alice möchte sichergehen, dass ein Dokument von Bob stammt. Dafür muss Bob den Inhalt des übermittelten Dokuments mit seinem privaten Schlüssel chiffrieren. Nun kann jede Person überprüfen, ob der chiffrierte Inhalt wirklich von ihm stammt: Dafür muss man nur Bobs öffentlichen Schlüssel nutzen und die Chiffre damit entziffern. Wenn es gelingt, hat Bob es mit Sicherheit verschlüsselt (niemand sonst hat Zugriff auf seinen geheimen Schlüssel). Wenn Bob also eine Nachricht an Alice schicken möchte, kann er die Nachricht zunächst mit ihrem öffentlichen Schlüssel chiffrieren (dann kann kein Fremder die Nachricht lesen) und anschließend noch mit seinem privaten Schlüssel signieren. Indem Alice den öffentlichen Schlüssel von Bob anwendet, kann sie sicher sein, dass die Nachricht auch wirklich von ihm stammt.

Nach seinem Einfall fuhr Diffie noch am selben Abend aufgeregt zu Hellman, um ihm davon zu berichten. Dieser erkannte sofort das enorme Potenzial der Idee. In den kommenden Monaten formalisierten die beiden Wissenschaftler die Idee und entwickelten ein kryptografisches Protokoll, das sie 1976 veröffentlichten. Der größte Teil der Arbeit stand aber noch bevor: Diffie und Hellman mussten ein mathematisches Verfahren finden, das diese Art der Verschlüsselung erlaubt. Sie brauchten eine Falltürfunktion. Das Problem: Damals war noch nicht klar, ob eine solche Funktion überhaupt existierte.

Tatsächlich waren Diffie und Hellman nicht die Ersten, welche die revolutionäre Idee der Public-Key-Kryptografie hatten. Die zwei Forscher hatten zwar damit gerechnet, dass vielleicht einige Mitarbeiter von Geheimdienstbehörden bereits ein ähnliches Verfahren entwickelt hatten (was sich im Nachhinein als korrekt erwies), doch es gab auch einen Doktoranden von der University of California in Berkeley mit einem ähnlichen Einfall: Ralph Merkle. Er hatte bereits 1975 seine Idee beim renommierten Fachjournal »Communications of the ACM« eingereicht, doch dort lehnten die Gutachter die Public-Key-Kryptografie sofort ab. Sie sahen ein Problem in der zu Grunde liegenden Annahme: dass ein Kryptosystem ohne eine sichere Übermittlung der Schlüssel funktionieren sollte. Umso größer war Merkles Freude, als er zufällig auf den Fachartikel von Diffie und Hellman stieß, die eine ähnliche Methode entwickelt hatten. Er nahm sofort Kontakt zu ihnen auf und sandte den zwei Forschern eine Kopie seines Manuskripts zu, das drei Jahre später doch noch veröffentlicht wurde. Diffie und Hellman nahmen Merkle in Stanford auf und gaben ihm dort einen Sommerjob, so dass sie zusammen über eine Umsetzung der Public-Key-Kryptografie nachdenken konnten.

Von der Idee zur mathematischen Umsetzung

Eines Tages im Mai 1976 hörte Diffie bei der Arbeit einen Schrei aus dem Nebenzimmer. Es war Hellman, der ihn begeistert rief: Er hatte eine mathematische Umsetzung gefunden, die sich für ihren Algorithmus zu eignen schien – oder zumindest einen Teil davon. Damit war der Diffie-Hellman-Schlüsselaustausch geboren, den die beiden Forscher im darauf folgenden November veröffentlichten.

Allerdings sah die Lösung nicht ganz so aus, wie es sich Diffie und Hellman ursprünglich erhofft hatten. Denn Hellman hatte statt einer Falltürfunktion eine Einwegfunktion gefunden: eine Abbildung, die sich nicht umkehren lässt. Damit war das System nicht geeignet, um Inhalte zu unterschreiben oder verschlüsselte Nachrichten zu übertragen – allerdings ermöglichte es, einen Schlüssel zwischen zwei Parteien sicher auszutauschen. Auf diese Weise konnte man bisherige symmetrische Verfahren wie Lucifer nutzen, um miteinander zu kommunizieren – ohne im Voraus auf eine zentrale Schlüsselverwaltung angewiesen zu sein.

Die Idee lässt sich vereinfacht durch Farbeimer erklären: angenommen, Alice und Bob wollen einen Schlüssel generieren. Dafür einigen sie sich zunächst auf eine gemeinsame Ausgangsfarbe, die öffentlich einsehbar ist, zum Beispiel gelb – sie entspricht dem öffentlichen Schlüssel. Alice und Bob besitzen außerdem jeweils eine geheime Farbe (Alice Rot und Bob Türkis), die niemand sonst kennt. Dies ist der private Schlüssel. Beide mischen die abgesprochene gelbe Farbe mit ihrer Geheimfarbe. Alice erhält so eine orange Mischung und Bob eine hellblaue. Nun tauschen Alice und Bob ihre Mischfarben öffentlich aus: Alice besitzt nun den hellblauen Farbeimer und Bob den orangenen. Um nun den symmetrischen Schlüssel zu generieren, schütten Alice und Bob in ihre Mischfarbe jeweils ihre Geheimfarbe. Somit erhalten beide dasselbe Ergebnis: eine braune Pampe. Die braune Farbmischung entspricht in diesem Bild dem symmetrischen Schlüssel, mit dem Alice und Bob über ein Protokoll wie Lucifer sicher kommunizieren können. Selbst wenn ein Angreifer die ausgetauschten Farbeimer unterwegs abgegriffen hätte, könnte er ohne Kenntnis der jeweiligen Geheimfarben nicht auf das entstandene Ergebnis schließen.

Auch wenn die Idee sehr einfach wirkt, braucht man eine geeignete mathematische Funktion, um das Verfahren umzusetzen. Dessen Sicherheit beruht darauf, dass sich das Vermischen von Farben nicht umkehren lässt. Sprich: Aus einer Farbmischung (etwa hellblau) und Kenntnis der Anfangsfarbe (gelb), lässt sich nicht schließen, was die Geheimfarbe (türkis) ist. Das heißt, man sucht eine mathematische Funktion, die einfach zu berechnen, aber nur sehr schwer umzukehren ist. Hellman fand eine Lösung, die auf der Mathematik von ganzzahligen Exponenten basiert.

Auf den ersten Blick wirkt die Potenzierung nicht wie eine allzu komplizierte Operation, schließlich handelt es sich bloß um die Hintereinanderausführung von Multiplikationen: a³ = a·a·a. Beim Diffie-Hellman-Algorithmus nutzt man allerdings aus, dass die Logarithmusfunktion (die Umkehrabbildung der Potenzierung) nicht so einfach zu berechnen ist – insbesondere dann nicht, wenn der Zahlenraum nicht die reellen Zahlen umfasst, sondern eingeschränkt ist. Der Algorithmus basiert nämlich auf einer Art »Uhrzeit-Arithmetik«: ein Zahlenraum, der nur aus ganzen Zahlen besteht und durch einen größten Wert (etwa 12) beschränkt ist. Wie bei der Zeitanzeige auf einem Zifferblatt, rechnet man ein Ergebnis, das diesen Maximalwert übersteigt (etwa 7 + 6), wieder auf einen kleineren Wert zurück: 7 + 6 = 13, was auf dem Zifferblatt einer 1 entspricht.

Eine solche mathematische Umgebung brauchte Hellman, um den Diffie-Hellman-Schlüsselaustausch zu implementieren. Der Algorithmus folgt dabei dem zuvor beschriebenen Farbschema:

1. Alice und Bob einigen sich auf einen Maximalwert bei der Uhrzeit-Arithmetik (eine Primzahl, zum Beispiel p = 23) und eine Basiszahl, zum Beispiel g = 5, die gewisse Eigenschaften erfüllen muss. Diese zwei Zahlen entsprechen im Prinzip dem gelben Farbeimer.
2. Alice wählt eine geheime Zahl, zum Beispiel a = 4 und schickt Bob die Potenz A = g^a mod p zu – »mod p« heißt, in Uhrzeit-Arithmetik von p. Für unser Zahlenbeispiel bedeutet das: A = 5⁴ mod 23 = 625 mod 23 = 4. Im Prinzip hat sie nun die gelbe Farbe mit ihrer geheimen roten Farbe gemischt.
3. Nun geht Bob genauso vor: Er wählt eine geheime Zahl, etwa b = 3 und schickt Alice entsprechend das Ergebnis B = g^b mod p, also: B = 5³ mod 23 = 125 mod 23 = 10. In diesem Schritt hat Bob entsprechend die gelbe Farbe mit der geheimen türkisen Farbe gemischt.
4. Nun kommt der entscheidende Schritt, um den gemeinsamen Schlüssel zu berechnen. Alice und Bob tauschen ihre Ergebnisse A und B untereinander aus beziehungsweise machen sie öffentlich: Alice potenziert das Ergebnis von Bob nun wieder mit ihrem geheimen Wert a: B^a mod p, was im genannten Beispiel 10⁴ mod 23 = 18 entspricht. 18 ist also die braune Pampe aus dem Farbbeispiel.
5. Bob macht dasselbe: Er potenziert A mit seinem geheimen Wert b und erhält damit dasselbe Ergebnis wie Alice aus ihrer Kalkulation: A^b mod p = 4³ mod 23 = 18. Damit ist 18 der gemeinsame Schlüssel, den sie zur künftigen Chiffrierung nutzen können.

Dass Alice und Bob dasselbe Ergebnis aus ihren Rechnungen erhalten, liegt daran, dass die Potenz-Operation kommutativ ist: g^a·b = g^b·a. Das gilt auch in Zahlenräumen mit Uhrzeit-Arithmetik. Falls eine dritte Partei beispielsweise die versendeten Signale g, p und A = g^a mod p abfängt, kann sie daraus nicht auf a zurückschließen, da man dafür ein so genanntes diskretes Logarithmusproblem lösen muss: Man sucht den Exponenten a, der die Gleichung A = g^a mod p erfüllt.

Zugegeben, das oben genannte Zahlenbeispiel lässt sich schnell knacken. Außerdem ist der Schlüssel 18 nicht besonders schwer zu erraten. Doch wenn man für die Variablen a, b, g und p sehr große Zahlen einsetzt, wird das Problem unheimlich schwer zu knacken: Tatsächlich wächst die Berechnungsdauer exponentiell mit der Größe der gewählten Zahlen an. Das wussten auch Diffie und Hellman. Andererseits lässt sich ihr Algorithmus zur Schlüsselgenerierung schnell ausführen – und eignet sich damit für praktische Anwendungen.

Die NSA geht zum Angriff über

Selbst ohne Internet verbreiteten sich die Arbeiten von Diffie und Hellman in der Fachcommunity wie ein Lauffeuer. Unter anderem stießen drei Mathematiker, Ron Rivest, Adi Shamir und Leonard Adleman, darauf und veröffentlichten 1977 eine erste Idee, wie man tatsächliche Falltürfunktionen entwerfen könnte. Somit war der Traum von Diffie und Hellmans Public-Key-Kryptografie tatsächlich realisierbar. Mit einer Falltürfunktion kann man nicht nur auf sichere Weise einen Schlüssel austauschen, sondern auch Dateien signieren und Nachrichten verschlüsseln. Die Methode sollte als RSA-Kryptosystem in die Geschichte eingehen – und wird bis heute genutzt.

Natürlich gingen all diese Fortschritte nicht unbemerkt an der NSA vorbei, die damit ihr Monopol in der Welt der Kryptografie verlor. Zunächst hielt sich die Behörde noch bedeckt und versuchte im Hintergrund zu agieren. Zum Beispiel teilte sie der National Science Foundation mit, dass künftig nur die NSA Forschung an kryptografischen Themen fördern dürfe. Zudem berief sich der Geheimdienst auf den ITAR-Code (International Traffic in Arms Regulations), dem US-amerikanischen Regelwerk zum Rüstungshandel: Demnach zählten Datenschutzvorrichtungen und kryptografische Geräte als Waffen und durften nicht ohne Weiteres exportiert werden. Das heißt: Man konnte nicht ohne Weiteres auf Konferenzen über Kryptosysteme sprechen oder Fachartikel dazu verbreiten.

Das provozierte Widerstand in der Welt der Wissenschaft. Forscherinnen und Forscher am MIT und Stanford tauschten sich mit den Leitern und Rechtsberatern der Universitäten bezüglich ihrer Arbeiten aus. Zwar waren die Anwälte der Meinung, dass die Verbreitung der Forschungsergebnisse rechtens sei, doch es blieb ein Restrisiko: Sollte die Regierung einen Rechtsstreit gewinnen, drohten den Wissenschaftlern hohe Gefängnisstrafen. Aus diesem Grund ließ Hellman beispielsweise nicht seine zwei Studenten ihre Ergebnisse auf einem Kongress vorstellen, sondern übernahm selbst diese Aufgabe. »Ich hatte eine Professur in Stanford und war somit rechtlich durch die Universität abgedeckt. Aber für junge Menschen am Anfang ihrer Karriere ist eine drohende Gefängnisstrafe bei der Jobsuche nicht gerade hilfreich«, erklärte Hellman dem Journalisten Levy im Buch »Crypto«.

1978 wurde der Konflikt schließlich öffentlich ausgetragen: Nicht nur Fachzeitschriften wie »Science«, sondern auch die »Washington Post« und die »New York Times« berichteten darüber. So sah sich die NSA gezwungen nachzugeben. Der Fortschritt in der Kryptografieforschung ließ sich nicht komplett aufhalten. Hellman erhielt in diesem Jahr einen Anruf vom damaligen Direktor der Geheimdienstbehörde Bobby Inman, der den Wissenschaftler um ein Treffen bat. »Gut zu sehen, dass Sie gar keine Hörner haben«, begrüßte ihn Inman. »Gleichfalls«, entgegnete Hellman. Tatsächlich sollte sich aus diesem Treffen allmählich eine Freundschaft entwickeln.

Dennoch war damit der Krieg zwischen der NSA und den Kryptografen noch lange nicht beigelegt. In den 1990er Jahren entfachte erneut ein erbitterter Streit um die Veröffentlichung und den Export von kryptografischer Software (insbesondere des Programms »PGP«, das auf RSA basiert). Und wie die geleakten Dokumente von Snowden verdeutlichen, versucht die Geheimdienstbehörde auch heute noch verschlüsselte Informationen abzugreifen. Nicht umsonst baut sie eines der weltweiten größten Datenzentren: das Utah Data Center, das laut Schätzungen so viel Speicherplatz besitzt, dass es zu jeder Person auf der Erde etwa einen Gigabyte an Information sichern könnte. »Es ist im Grunde eine Festplatte. Sie speichert nicht nur Text und Audio, sondern auch Bilder und Videos. Es gibt eine fahrlässige Einstellung zu diesem Thema. Die Leute schenken dem keine Beachtung, bis es zu spät ist«, warnt der Journalist James Bamford.

​​Was ist euer Lieblingsmathetheorem? Schreibt es gerne in die Kommentare – und vielleicht ist es schon bald das Thema dieser Kolumne!