Linux-Kernel: Google zieht Unterstützung für NSA-Chiffre zurück

Die aktuelle Version 4.17 des Linux-Kernel unterstützt die Blockchiffre Speck, die ursprünglich von der NSA stammt, unter anderem deshalb stark kritisiert wird und sogar als ISO-Standard abgelehnt worden ist. Mit der kommenden Version 4.18 von Linux kann Speck zum Verschlüsseln von Dateisystemen genutzt werden. Grund dafür war eine Initiative von Google, die Speck aus Leistungsgründen auf günstigeren Android-Smartphones nutzen wollte. Nun macht Google jedoch einen Kehrtwende und schlägt eine eigene Alternative zu Speck vor.

Noch Ende April dieses Jahres hatte der Google-Angestellte Eric Biggers, der dort im Platform Encryption Team arbeitet, für die Nutzung von Speck argumentiert. Immerhin gebe es bisher keine verwendbare Alternative, die den gewünschten Kriterien entspreche. Ebenso nutzen die betroffenen Geräte bisher gar keine Verschlüsselung. Mit der Entfernung von Speck werde damit letztlich auch die Verschlüsselung dieser Geräte entfernt.

Biggers verwies zudem darauf, dass die Chiffre SM4 der chinesischen Standardorganisation ebenfalls im Linux-Kernel enthalten sei und stellte in Bezug darauf die rhetorische Frage: "Werdet ihr auch einen Patch einreichen, um das zu entfernen, oder sind es nur die von der NSA entworfenen Algorithmen, die nicht in Ordnung sind?"

Alternative kommt von Google

Offenbar hat das zuständige Team von Google nun aber seine Meinung geändert. Denn Biggers schreibt in einem Beitrag auf der Mailingliste der Kernel-Entwickler: "Es wurde offiziell beschlossen, Android-Geräten die Nutzung der Speck-Verschlüsselung nicht zu erlauben". Das Ziel, auf Einsteigergeräten wie jenen mit Android Go dennoch eine Verschlüsselung zu verwenden, verfolgt das Team aber weiterhin.

Der ebenfalls bei Google angestellte Paul Crowley hat dazu gemeinsam mit Biggers einen neuen Modus zu Verschlüsselung erdacht, der HPolyC genannt wird (PDF). Dieser soll es ermöglichen, auch die ChaCha-Stromverschlüsselung sicher für die Verschlüsselung von Festspeicher zu verwenden. Dazu wird die polynomiale Hashfunktion aus Poly1305 mit XChaCha12 beziehungsweise XChaCha20 und pro Nachricht mit einem einzigen Aufruf einer Blockchiffre wie etwa AES kombiniert.

Eigenen Tests zufolge sei HPolyC bei der Nutzung von ChaCha12 sogar schneller als Speck und bei der Nutzung von ChaCha20 nur leicht langsamer als Speck. Aus der Konstruktion ergibt sich außerdem, dass HPolyC sicher ist, wenn das auch für XChaCha und AES gilt, wovon derzeit ausgegangen werden kann. Dass der Beweis der Sicherheit aber tatsächlich richtig ist, sollen explizit auch anderen Kryptografen überprüfen, schreibt Biggers.

Der nun für den Linux-Kernel vorgestellte Code sei allerdings noch nicht soweit fortgeschritten, direkt eingepflegt zu werden. Möglicherweise werde die Konstruktion künftig auch auf der neuen Kryptobibliothek aufbauen, die für die Integration von Wireguard in den Linux-Kernel entsteht.

Da Google seine Unterstützung für Speck zurückgezogen hat und auch keine Absichten mehr hat, diese Verschlüsselung zu verwenden, kann die Implementierung theoretisch auch wieder aus dem Kernel entfernt werden. Den Patch dazu hat Wireguard-Entwickler Jason Donenfeld eingereicht und Biggers unterstützt dieses Vorhaben. Ob und wann Speck aber tatsächlich wieder aus dem Kernel entfernt wird, ist derzeit noch nicht klar.