Nakamotos PGP-Keys sind rückdatiert — ist die Geschichte nur ein Hoax?

Am Dienstag veröffentlichten sowohl die US-Ausgabe der Wired als auch Gizmodo eine sensationelle Geschichte: Beide Medien glauben, die Identität des mysteriösen Bitcoin-Schöpfers mit relativ großer Wahrscheinlichkeit endlich enthüllen zu können. Laut „geleakten" (Wired) bzw. „gehackten" (Gizmodo) Dokumenten soll der Mann hinter dem Pseudonym „Satoshi Nakamoto" ein gewisser Craig Steven Wright sein. Sollte es nach jahrelanger Spekulation und vermeintlicher Enthüllungen, die sich allesamt als falsch erwiesen, tatsächlich gelungen sein, die Identität von Nakamoto aufzudecken?

Längst nicht alle von den beiden Magazinen vorgelegten Indizien wie E-Mails und Dokumente lassen sich verifizieren. Doch die größten Ungereimtheiten zeigen sich bei den kryptographischen Schlüsseln, mit denen die beide eine eindeutige Verbindung zwischen Wright und Nakamotos digitalem Fingerabdruck beweisen wollen: Die PGP-Schlüssel wurden nach 2009 (dem Jahr, in dem unter dem Pseudonym Satoshi Nakamoto die erste Bitcoin-Software veröffentlicht wurde) generiert und später als 2011 hochgeladen.

Ich spreche hier von Schlüsseln im Plural, da Wired und Gizmodo zwei komplett verschiedene Schlüssel in ihren Artikeln nennen.

Zunächst sollten wir klarstellen, dass die PGP-Schlüssel nur ein Puzzlestück darstellen. Auf Nachfrage von Motherboard erklärte Gizmodo-Redakteurin Katie Drummong, dass die Schlüssel „nur ein (relativ kleines) Indiz von vielen sind, darunter persönliche Gespräche und protokollierte Bestätigungen von Quellen."

Die kryptographischen Schlüssel sind dennoch wichtig für die Beweisführung zur wahren Identität hinter Nakamoto—nicht nur, weil die Datensätze schlicht nicht zusammenpassen. Selbst Andy Greenberg, der Co-Autor des Wired-Artikels, erwähnt in seinem Text selbst die Möglichkeit, dass Wright Teil eines gut durchdachten, langwierigen Täuschungsmanövers sein könnte.

Fest steht, dass es nur einen PGP-Schlüssel gibt, von dem tatsächlich bekannt ist, dass er „Satoshi Nakamoto" zugerechnet werden kann. Der Einfachheit halber werde ich diesen Schlüssel im weiteren Verlauf meiner Untersuchung in den Untiefen von Keyservern und Krypto-Standards als „Originalschlüssel" bezeichnen.

Dieser Orginalschlüssel wird schon seit langem mit Nakamoto assoziiert. Aktuell wird er noch immer auf bitcoin.org gehostet, wo er sich bereits 2009 befand, als ebenjene Website dem damals noch in der Krypto-Community umtriebigen Nakamoto zugeschrieben wurde. Nakamoto hatte sich nach Gründung der Krypto-Währung allmählich immer mehr aus den Online-Debatten um Bitcoin zurückgezogen; heute tritt er gar nicht mehr als Nakamoto in Erscheinung.

Wir können also annehmen, dass dieser Originalschlüssel tatsächlich zu Nakamoto gehören muss. Der Originalschlüssel wurde vermutlich im Oktober 2008 erzeugt und verwendet eine DSA-Verschlüsselung mit einer Länge von 1024 Bit—was aus heutiger Sicht als schwache Verschlüsselung gilt und von Experten nicht mehr empfohlen wird. 2009 war DSA-1024 allerdings der Standard in GnuPG, einer kostenlosen Software-Implementierung von Pretty Good Privacy, die von zahlreichen Nutzern zum Versenden verschlüsselter Nachrichten genutzt wird. Der Originalschlüssel scheint von einer Windows-Version von GnuPG generiert worden zu sein, die bereits 2009 veraltet war.

Die Schlüssel, von denen Wired und Gizmodo in ihren Untersuchungen sprechen, wurden beide mittels RSA-3072 erzeugt—eine ungewöhnliche Wahl als kryptographischer Standard im Jahr 2008. Sicherheitsexperte Erinn Clark wies uns zuerst auf diese extravagante Wahl hin. DSA-1024 galt damals als Standard; RSA-2048 ist die heutige meistgenutzte Länge.

Beide Artikel ziehen Einträge auf Schlüsselservern heran, um die Verbindung zwischen Craig Wright und Satoshi Nakamoto nachzuweisen. Ein Schlüsselserver ist ein Verzeichnis für PGP-Schlüssel, in das Nutzer ihre öffentlichen Schlüssel hochladen, um verschlüsselte Kommunikation beginnen und abzugleichen zu können. Der Schlüsselserver, um den es im Folgenden geht, wird vom MIT betrieben und zählt zu den gebräuchlichsten Datenbanken in Sachen PGP-Verschlüsselung.

Der in der Wired genannte PGP-Schlüssel ist mit der Mailadresse satoshin@vistomail.com verknüpft. Diese Adresse wurde vorher nicht direkt Nakamoto zugeordnet, hat jedoch frappierende Ähnlichkeit mit satoshi@vistomail.com, welche in der Vergangenheit definitiv Satoshi Nakamoto zugeschrieben wurde.

Der Gizmodo-Schlüssel ist mit satoshin@gmx.com verknüpft. Diese Email wird gemeinhin mit Nakamoto in Verbindung gebracht, man geht aber davon aus, dass der Account 2014 von Hackern kompromittiert wurde.

Aus den Daten auf dem Schlüsselserver des MIT geht hervor, dass beide PGP-Keys vermutlich 2008 erstellt wurden, noch bevor die Kryptowährung Bitcoin überhaupt an den Start ging. Dieser zeitliche Ablauf legt nahe, dass die Keys tatsächlich vom Bitcoin-Erfinder selbst erstellt worden sein könnten. Fall gelöst, richtig?

Leider ist die Sache nicht so eindeutig. Tatsächlich ist es nämlich kinderleicht, das Erstellungsdatum eines PGP-Schlüssels zu fälschen.

Das Alter eines PGP-Schlüssels ist an das Datum und die Uhrzeit des Rechners, auf dem er generiert wurde, geknüpft. Alles, was du tun musst, um im Jahr 2015 einen PGP-Schlüssel zu generieren, der so aussieht, als wäre er 2008 erstellt worden, ist, das Datum in deinen Rechner-Systemeinstellungen zu verändern.

Mein Kollege Jordan Pearson beispielsweise benötigte keine zehn Minuten, um einen PGP-Schlüssel zu erzeugen, der so aussah, als sei er von 2008. Er konnte ihn anschließend einfach auf den Schlüsselserver des MIT hochladen.

Es ist außerdem möglich, einen PGP-Schlüssel mit einem gefälschtem Datum für ein Emailkonto zu kreieren, auf das man eigentlich gar keinen Zugriff hat. Lorenzo Franceschi-Bicchierai, Motherboard-Redakteur für IT-Sicherheit, schaffte es, einen PGP-Schlüssel für satoshin@gmx.com zu generieren, der so aussieht, als wäre er 2004 erstellt wurden. Wurde er aber nicht. Franceschi-Bicchierai generierte ihn am 8. Dezember 2015, während er mit mir auf Slack über die Hintergründe der jüngsten Episode im Satoshi-Drama diskutierte.

Greg Maxwell, der Bitcoin maßgeblich mitentwickelt hatte, äußerte sich in einem Reddit-Post folgendermaßen zu den Ungereimtheiten der Schlüsseldaten: „Aus meinen Logs geht hervor, dass dieser Schlüssel 2011 nicht auf den Schlüsselservern lag—was nicht bedeutet, dass er rückdatiert wurde. Aber es gibt auch keinen Beweis, dass er nicht rückdatiert wurde, dafür jedoch andere, ernst zu nehmende Hinweise, dass er es wurde."

Wir kontaktierten Maxwell, damit er uns aufklären könnte, was es mit „seinen Logs" auf sich hatte. Maxwell sagte uns, er habe ein Chatlog von 2011 vorliegen, in dem er mit anderen über „gefälschte Nakamoto-Schlüssel" (mit Nakamotos Emailadressen verknüpfte Schlüssel, bei denen es sich nicht um den Originalschlüssel handelte) diskutierte, die zu der Zeit auf Schlüsselservern lagen. In ihren Diskusionen ging es um andere Schlüssel als jene, die in den Wired- und Gizmodo-Artikeln genannt werden. Maxwell vermutet deshalb, dass es die Schlüssel, die in diesen Texten angeführt werden, 2011 schlicht noch nicht gab.

Dass die Verwendung von RSA-3072 im Jahr 2008 zumindest eine merkwürdige und extravagante Wahl darstellt, haben wir bereits erwähnt—es finden sich jedoch noch weitere Metadaten in den Keys, die jünger als aus dem Jahr 2008 zu sein scheinen.

Maxwell fand außerdem heraus, dass die bei Wired und Gizmodo genannten Schlüssel den Hash-Algorithmus „8,2,9,10,11" aufweisen. Der Originalschlüssel greift dagegen auf die Hashfunktion „2,8.3" zurück. Maxwell bezieht sich hier auf die Verschlüsselungs-Algorithmen, die sogenannten „cipher-suites". Die Hash-Funktion „8,2,9,10,11" wurde am 9. Juli 2009 zum GnuPG-Code-Tree hinzugefügt und mit der Version 2.0.13 am 4. September 2009 veröffentlicht.

Mit anderen Worten: Wired und Gizmodo stützen ihre Enthüllungen wahrscheinlich auf Schlüssel, die mit einer Technologie generiert wurden, die zum Zeitpunkt der vermeintlichen Schlüssel-Generierung noch gar öffentlich verfügbar war.

Maxwell weist weiterhin darauf hin, dass es vor allem merkwürdig sei, dass die Schlüssel von Wired und Gizmodo nicht übereinstimmen, obwohl sie vermutlich am selben Tag von derselben Person generiert worden waren—am 30. Oktober 2008.

Die Einträge auf den Schlüsselservern für die beiden Schlüssel erwecken also bei einer genaueren Betrachtung den Anschein, als hätte sich jemand große Mühe gegeben, eine falsche Fährte zu legen.

Doch nicht nur die Daten der Schlüssel selbst, sondern auch die Umstände, unter denen sie im Netz veröffentlicht wurden, weisen erneut Ungereimtheiten auf.

Fassen wir zusammen:

• Es gibt nur einen PGP-Key (nämlich jenen, den wir hier als Originalschlüssel bezeichnet haben), von dem bekannt ist, dass er mit der Online-Identität von Nakamoto verbunden werden kann.
• Sowohl der Wired-Key als auch der Gizmodo-Key, die beide angeblich zu Satoshi führen, sind bis zur Veröffentlichung der beiden Artikel nicht mit Nakamoto in Zusammenhang gebracht wurde. Ihr Erstellungsdatum könnte gefaked und nachträglich rückdatiert worden sein.
• Beide Schlüssel greifen auf Cipher-Suites zurück, die nicht zum Originalschlüssel passen und Hash-Algorithmen nutzen, die erst 2009 zum GPG-Krypto-Tool hinzugefügt wurden.
• Ein wichtiger Bitcoin-Entwickler, der nahezu seit den Anfangstagen der Kryptowährung dabei ist, hat in seinen Chatlogs aus dem Jahr 2011 weder Hinweise auf den Wired- noch den Gizmodo-Schlüssel gefunden. Er glaubt deshalb, dass die Schlüssel erst nach 2011 auf die Keyserver hochgeladen wurden.

Wir haben unsere Untersuchung den Autoren von Wired und Gizmodo vorgelegt und sie um einen Kommentar gebeten. Beide gaben an, dass die Informationen über die PGP-Keys ihre Artikel nicht grundsätzlich ändern würden. Wired-Reporter Andy Greenberg wies in seiner Antwort noch einmal daraufhin, dass die auf Wright deutenden Spuren auch nur ein extrem ausgefeilter Hoax sein könnten:

Katie Drummond, Redakteurin bei Gizmodo, schrieb uns:

Tatsächlich sind die PGP-Keys nur einer von zahlreichen Hinweisen und Indizien, die von Wired und Gizmodo vorgelegt werden. Da diese Schlüssel jedoch eine zentrale Methode darstellen, mit der ansonsten anonym agierende Menschen ihre Online-Identität authentifizieren und bestätigen, sind die von uns aufgezeigten Ungereimtheiten dennoch nicht unbedeutend.

Spätestens wenn ihr es bis zum Ende dieses Textes geschafft habt, wisst ihr: Krypto-Verfahren wie PGP sind kompliziert. Vielleicht verliert der mysteriöse Craig-Satoshi-Nakamoto-Wright einfach ständig den Zugang zu seinen PGP-Schlüsseln, wie es so vielen anderen Laien und auch Krypto-Experten passiert—und vielleicht muss er die Keys deshalb so häufig in neuen Versionen auf den Server laden.

Aber die Metadaten der Schlüssel, Greg Maxwells Chatlogs aus dem Jahr 2011 und die bisher öffentlich bekannten Online-Spuren wollen einfach nicht zusammenpassen.

Kashmir Hill weist bei Fusion zu Recht darauf hin, dass es „für einen Unternehmer im Blockchain- und Sicherheitsbereich [wie Craig Wright] offensichtliche Vorteile" bedeute, „als der talentierte Schöpfer hinter Bitcoin zu gelten".

Was auch immer es mit der Geschichte von Wright auf sich hat, irgendwas ist hier faul. Lassen wir uns überraschen, welche Informationen die nächsten Tage bringen werden.

Mitarbeit: Jordan Pearson.