26. Juli 2013
Nach all den beunruhigenden Enthüllungen rund um PRISM und die Überwachungen durch den US-Geheimdienst fordern US-Behörden Internet-Dienstleister jetzt angeblich dazu auf, ihre geheimen Master-SSL-Schlüssel herauszugeben, mit denen sie ihre Server schützen. Das berichtet heise online unter Berufung auf US-Medien. Im Besitz dieser Schlüssel könnten die Regierungsbehörden die gesamte Kommunikation der Server dechiffrieren und nicht nur live, sondern in vielen Fällen sogar rückwirkend mitlesen. Hierfür trägt die NSA die verschlüsselten Daten von Internetplattformen bereits zusammen, wie der ehemalige NSA-Mitarbeiter Edward Snowden medienwirksam publik machte.
Die großen Internet-Konzerne sollen diese Forderung zurückgewiesen haben. Unklar ist momentan noch, an welche Unternehmen sie bereits herangetragen wurde. Google, Apple und Yahoo wollten sich dazu bislang nicht äußern. Facebook hat dementiert, eine solche Anfrage erhalten zu haben und erklärte, man werde die geheimen SSL-Schlüssel nicht herausgeben, da es dafür keine Rechtsgrundlage gebe. Microsoft äußerte sich ebenso. Die US-Behörden sollen sich nun auf kleinere Firmen fokussieren, deren Rechtsabteilungen, sofern vorhanden, weniger breit aufgestellt sind.
Dabei gibt es - zumindest für einen Teil des Problems - ein technisches Gegenmittel: die Verschlüsselungsmethode Perfect Forward Secrecy (PFS). PFS sorgt durch einen spezialisierten Schlüsselaustausch dafür, dass eine aufgezeichnete SSL-verschlüsselte Kommunikation selbst dann nicht mehr entschlüsselt werden kann, wenn der geheime Master-Schlüssel nachträglich bekannt wird. Doch dieses Verfahren wird wenig eingesetzt, denn es hat einen Nachteil: es verlangsamt den Datenaustausch. Für große US-Firmen wie Microsoft, Apple, Twitter, Facebook, Yahoo und AOL ist dies offenbar ein ausreichender Grund, diese Sicherheitsvorkehrung zu unterlassen. Google hingegen nutzt PFS bereits seit 2011 auf seinen Servern. In Deutschland sind es immerhin GMX und Web.de.
Wird der Einsatz von PFS für einen Diensteanbieter also bald zu einem Gütesiegel im Sinne der Privatsphäre der Anwender? Zu wünschen und zu hoffen ist es und es wird spannend zu sehen, inwieweit die Anbieter gegenüber Strafverfolgern und Geheimdiensten Gesicht zeigen (können).
Quellen:
US-Behörden fordern angeblich geheime SSL-Schlüssel von Internet-Dienstleistern (heise.de)
NSA und FBI: Überwacher verlangen Zugang zu verschlüsselten https-Verbindungen (spiegel.de)
https://www.4commerce.de/article.php?story=ueberwacher-fordern-zugriff-auf-ssl