11.1.22
Lesezeit 8 Minuten
Das Ende der Ende-zu-Ende-Verschlüsselung?

Ein vor kurzem veröffentlichter Resolutions­entwurf der deutschen EU-Ratspräsidentschaft hat die Debatte zum Schaffen von Schwachstellen (auch „Backdoor“) in Kommunikationsdiensten mit Ende-zu-Ende-Verschlüsselung (englisch „end-to-end encryption“, im Folgenden „E2EE“) aufflammen lassen (Link­, Stand 23.11.2020).

1. Was bedeutet E2EE in technischer Hinsicht?

Messenger-Dienste wie beispielsweise WhatsApp oder Signal verwenden E2EE. Bei der E2EE erfolgt eine Verschlüsselung der Informationen vor Übermittlung an den Kommunikationspartner. Über die komplette Übertragungsstrecke liegen die Informationen also nur in verschlüsselter Form vor. Nur die Kommunikationspartner selbst verfügen über den Schlüssel zum Dechiffrieren der enthaltenen Informationen. Dadurch ist es beispielweise Serverbetreibern unmöglich, die übermittelten Informationen einzusehen.

2. Umgehungsmöglichkeiten der E2EE

Es existieren zwei Möglichkeiten, die E2EE zu umgehen:

a) Schaffung einer Backdoor

Eine Backdoor ist eine bewusst eingefügte Sicherheitslücke, die es zum Zweck der Strafvereitelung bzw. Strafverfolgung ermöglichen soll, auf verschlüsselte Nachrichten zuzugreifen. Dazu könnte eine Regierung übergeordnete Schlüssel an die Betreiber der Kommunikationsplattformen verteilen, die diese wiederum zum Verschlüsseln der Nachrichten verwenden müssten. Die korrespondierenden Entschlüsselungskeys lägen in diesem Fall bei der Regierung.

Durch dieses Vorgehen würde man ein global populäres „Angriffsziel“ kreieren. Hacker auf der ganzen Welt würden versuchen, an die übergeordneten Schlüssel zu gelangen, um auf die verschlüsselten Informationen zugreifen zu können.

b) Kompromittieren der Benutzer

Eine weitere Möglichkeit, die E2EE zu umgehen, ist die Benutzer zu kompromittieren.

Man müsste in diesem Fall den Entschlüsselungskey der Nutzer vom entsprechenden Endgerät entziehen, um die Nachrichten lesbar zu machen. Eine Verschlüsselung zwischen zwei Endpunkten ist in der Regel nur so sicher wie die Endpunkte selbst. Bei Kompromittierung des Endgerätes selbst besteht daher die theoretische Möglichkeit, den kryptographischen Key zur Chiffrierung der Daten zu entwenden und somit den vollständigen Nachrichtenverlauf sichtbar zu machen.

3. Kritikpunkte

Bewusst in IT-Systeme integrierte Schwachstellen stehen grundsätzlich allen Teilnehmern, also auch solchen mit kriminellen Intentionen, zur Verfügung. Ein IT-System wird durch eine Schwachstelle damit grundsätzlich unsicher(er).

Darüber hinaus können Kriminelle die frei verfügbaren E2EE-Protokolle verwenden und ohne erheblichen Aufwand ihre eigene nicht überwachte E2EE-Kommunikationsplattform erschaffen oder schlicht auf Dienste ausweichen, die außerhalb des Einflussbereichs von EU-Gesetzen sind.

Durch die Integration von Schwachstellen würden die digitale und reale Welt also voraussichtlich nicht sicherer. Vielmehr besteht die Gefahr, dass das Sicherheitsniveau einseitig zu Lasten herkömmlicher Nutzer herabgesetzt würde.

Previous Article
Next Article
Popular

TISAX – So funktioniert Informationssicherheit in der Autoindustrie!

ISMS Standard & Best Practices – So wählen Sie die richtigen!

Artificial Intelligence (AI) Act der EU

NIS2 Richtlinie - Die neue EU-Regulierung im Bereich der Cybersicherheit

Das Ende der Ende-zu-Ende-Verschlüsselung?

Ein vor kurzem veröffentlichter Resolutions­entwurf der deutschen EU-Ratspräsidentschaft hat die Debatte zum Schaffen von Schwachstellen (auch „Backdoor“) in Kommunikationsdiensten mit Ende-zu-Ende-Verschlüsselung (englisch „end-to-end encryption“, im Folgenden „E2EE“) aufflammen lassen (Link­, Stand 23.11.2020).

Inhalt
Text for size

1. Was bedeutet E2EE in technischer Hinsicht?

Messenger-Dienste wie beispielsweise WhatsApp oder Signal verwenden E2EE. Bei der E2EE erfolgt eine Verschlüsselung der Informationen vor Übermittlung an den Kommunikationspartner. Über die komplette Übertragungsstrecke liegen die Informationen also nur in verschlüsselter Form vor. Nur die Kommunikationspartner selbst verfügen über den Schlüssel zum Dechiffrieren der enthaltenen Informationen. Dadurch ist es beispielweise Serverbetreibern unmöglich, die übermittelten Informationen einzusehen.

2. Umgehungsmöglichkeiten der E2EE

Es existieren zwei Möglichkeiten, die E2EE zu umgehen:

a) Schaffung einer Backdoor

Eine Backdoor ist eine bewusst eingefügte Sicherheitslücke, die es zum Zweck der Strafvereitelung bzw. Strafverfolgung ermöglichen soll, auf verschlüsselte Nachrichten zuzugreifen. Dazu könnte eine Regierung übergeordnete Schlüssel an die Betreiber der Kommunikationsplattformen verteilen, die diese wiederum zum Verschlüsseln der Nachrichten verwenden müssten. Die korrespondierenden Entschlüsselungskeys lägen in diesem Fall bei der Regierung.

Durch dieses Vorgehen würde man ein global populäres „Angriffsziel“ kreieren. Hacker auf der ganzen Welt würden versuchen, an die übergeordneten Schlüssel zu gelangen, um auf die verschlüsselten Informationen zugreifen zu können.

b) Kompromittieren der Benutzer

Eine weitere Möglichkeit, die E2EE zu umgehen, ist die Benutzer zu kompromittieren.

Man müsste in diesem Fall den Entschlüsselungskey der Nutzer vom entsprechenden Endgerät entziehen, um die Nachrichten lesbar zu machen. Eine Verschlüsselung zwischen zwei Endpunkten ist in der Regel nur so sicher wie die Endpunkte selbst. Bei Kompromittierung des Endgerätes selbst besteht daher die theoretische Möglichkeit, den kryptographischen Key zur Chiffrierung der Daten zu entwenden und somit den vollständigen Nachrichtenverlauf sichtbar zu machen.

3. Kritikpunkte

Bewusst in IT-Systeme integrierte Schwachstellen stehen grundsätzlich allen Teilnehmern, also auch solchen mit kriminellen Intentionen, zur Verfügung. Ein IT-System wird durch eine Schwachstelle damit grundsätzlich unsicher(er).

Darüber hinaus können Kriminelle die frei verfügbaren E2EE-Protokolle verwenden und ohne erheblichen Aufwand ihre eigene nicht überwachte E2EE-Kommunikationsplattform erschaffen oder schlicht auf Dienste ausweichen, die außerhalb des Einflussbereichs von EU-Gesetzen sind.

Durch die Integration von Schwachstellen würden die digitale und reale Welt also voraussichtlich nicht sicherer. Vielmehr besteht die Gefahr, dass das Sicherheitsniveau einseitig zu Lasten herkömmlicher Nutzer herabgesetzt würde.

Language
© 2022 secjur GmbH. Alle Rechte vorbehalten.