Reaktionen auf Überwachungsskandale: SSL, BlockPRISM und Threema

Als unser Beitrag „End-to-End-Verschlüsselung auch bei sozialen Messengern geboten“ im Januar 2013 erschien, waren die Überwachungsskandale der vergangenen Wochen und Monate noch nicht in Sicht. Ein Kommentar von „T“ kritisierte jüngst unter eben erwähntem Blogbeitrag zu Recht: Wenngleich auch Verschlüsselungen bei Facebook & Co. gegen leichte Angriffe von außen wirke, so bestünde doch kein Schutz vor dem Netzwerk selbst. Auf Nachrichten könne zudem die NSA zugreifen. Wir bedanken uns an dieser Stelle noch mal für den Input und gehen im heutigen Beitrag auf aktualisierte Möglichkeiten der Verschlüsselung ein.

Threema: Spagat zwischen Nutzerfreundlichkeit und Sicherheit

Schon im ursprünglichen Blogbeitrag widmeten wir uns der App Threema. Sein Vorhaben, die App nicht nur für iOS, sondern auch für Android verfügbar zu machen, ist dem schweizerischen Entwickler Manuel Kasper gelungen. Mittels Ende-zu-Ende-Verschlüsselung unterscheidet sich die App wesentlich von der schon oft durch eklatante Sicherheitslücken aufgefallenen SMS-Alternative WhatsApp. Nutzerfreundlichkeit und Sicherheit in eine App zu integrieren, ist wahrlich nicht einfach – Security ist schließlich ein komplexes Thema und es ist mühsam, solche Komplexität in ein benutzerfreundliches Outfit zu verpacken.

Bei Threema lässt sich dieser Spagat als gelungen bezeichnen: Richtet der User die App ein, wird mittels zufälligen Wischgesten ein Schlüsselpaar (ein privater, ein öffentlicher Schlüssel) erstellt. Binnen wenigen Sekunden geschieht das offline und ausschließlich auf dem jeweiligen Smartphone. Der Private-Key wird das Smartphone nie verlassen, der Public-Key wird versendet. Der öffentliche Schlüssel vom Empfänger bildet zusammen mit dem privaten vom Sender einen dritten Schlüssel, der die Nachricht verschlüsselt. Ausschließlich dem Empfänger der Nachricht ist es nun möglich, diesen dritten Schlüssel mithilfe seines Private-Keys zu entschlüsseln. Da die Nachrichten auf den Threema-Servern nie entschlüsselt werden, können auch keine Daten an Behörden herausgegeben werden.

Google & Facebook machen jetzt auch ein bisschen SSL

Nachdem der PRISM-Skandal bekannt wurde, wurde die Unglaubwürdigkeit der IT-Giganten größer und größer. Für Facebook und Google Grund genug, wenigstens ihr Image etwas aufzupeppen: Die SSL-Features sollen optimiert werden. Google sichert zum Beispiel SSL-Zertifikate seit Anfang August besser ab: Anstelle eines 1.024 Bit langen Schlüssels kommt indessen eine Länge von 2.048 Bit zum Signieren von Zertifikaten zum Einsatz. Der Suchmaschinenriese will bis Ende des Jahres sämtliche hauseigenen Dienste auf die neuen SSL-Zertifikate umgestellt haben. Auch Facebook legt nach: Bisher war es Entscheidung des Anwenders, ob er HTTP oder die verschlüsselte Variante HTTPS nutzen wollte. Der voreingestellte Standard soll nun HTTPS werden.

Sie sind schon toll, die Features, die die Konzerne nun fokussieren. Der fade Beigeschmack, dass dies der Image-Optimierung dient, bleibt allerdings genauso wie die Tatsache, die unser Kommentator bereits angesprochen hatte: Die Technologie kann noch so ausgefuchst sein – sie nützt nichts, wenn die Unternehmen die Schlüssel oder sogar die kompletten Daten in entschlüsselter Form an die Geheimdienste weitergeben.

BlockPRISM: Chrome-Erweiterung zum Verschlüsseln von Facebook-Chats

Bei der Browser-Extension BlockPRISM soll der Name Programm sein: Durch das Verschlüsseln von Nachrichten sollen Geheimdienste, aber auch andere Spione chancenlos sein. Bisher gibt es die Erweiterung nur für Chrome. Sie verschlüsselt Facebook-Chats mittels PGP. Wenn das Projekt genügend Geld eingefahren hat, will man auch Gmail unterstützen und Extensions für Firefox und Opera bieten können. Mobile Versionen für iOS und Android sind ebenfalls angedacht. Mithilfe einer Indi-Go-go-Kampagne sind die Macher von BlockPRISM eigentlich bemüht, 10.000 US-Dollar zur Weiterentwicklung des Projekts zu sammeln. Vorerst läuft diese Crowdfunding-Kampagne nur bis heute; knapp 2.200 US-Dollar wurden eingesammelt.

PGP („Pretty Good Privacy“) ist ein Entschlüsselungsverfahren, das Phil Zimmerman im Jahre 1991 entwickelt hat. Sein Ziel war es, E-Mails vor Einblicken unbefugter Dritter zu schützen. Dasselbe Ziel verfolgt BlockPRISM für Facebook-Chats. Auch die Extension versucht, den Mix aus Sicherheit und einfacher Bedienung hinzukriegen: Nachdem das Tool installiert wurde, muss ihm Zugriff auf die Freundesliste gestattet werden. Ein öffentlicher Schlüssel wird angelegt und bedarfsweise mit Freunden ausgetauscht, die ebenfalls BlockPRISM nutzen.