In der letzten Zeit wird viel über Datensicherheit und E-Mail-Verschlüsselung geschrieben. Eine positive Entwicklung, die wir begrüßen und bereits seit Jahren fördern. In der aktuellen CT (Ausgabe 18) hat sich ein Autor jetzt an die schwere Aufgabe gemacht, zu erklären, wie eine sichere Verschlüsselung über den Browser aussehen muss und was Diffie-Hellmann damit zu tun hat.
Von sicherer und unsicherer Verschlüsselung
Hintergrund des Artikel ist, das Verschlüsseln alleine nicht vorm Ausspionieren schützt. [tweetable]Damit mitgehörte Dateien nicht entschlüsseln können, darf der Schlüssel nicht abgehört werden[/tweetable]. Denn was nützt das beste Schloss, wenn der Einbrecher einen Schlüssel hat?
An dieser Stelle kommt Diffie-Hellmann ins Spiel. Dieffie-Hellmann ermöglicht eine Schlüsselvereinbarung, ohne dass der Schlüssel dafür übertragen werden muss. Also kann jemand, der die verschlüsselten E-Mails abspeichert, diese (bisher) auch nicht wieder entschlüsseln. Der Inhalt der E-Mail bleibt also privat. Das gilt zumindest für Mailserver von deutschen Unternehmen, auf denen amerikanische Sicherheitsbehörden zum Beispiel keinen direkten Zugang haben.
Und wie arbeitet „E-Mail made in Germany“?
Zusammenfassend kann man sagen, dass eine verschlüsselte E-Mailübertragung mit Webbrowsern nur dann möglich ist, wenn alle Server die Schlüsselvereinbarung nach Diffie-Hellmann unterstützen. Da ist es natürlich etwas peinlich, dass laut CT ausgerechnet T-Online, aber auch 1&1 und andere diese Methode nicht unterstützen, haben diese doch gerade mit viel Tamtam die Initiative E-Mail made in Germany gegründet.
Die HKN unterstützt Schlüsselvereinbarungen nach Diffie-Hellmann im Übrigen mit allen am E-Mailverkehr beteiligten Diensten.
Werden denn dabei auch die Header verschlüsselt, die die Basis für Kommunikationsprofile bilden?
Kann denn garantiert werden, dass Daten, die innerhalb Deutschlands gesendet werden, nicht eine Route über ausländische Server nehmen?
Auch wenn die Daten innerhalb Deutschlands verbleiben, ist offensichtlich geworden, dass auch eine Vielzahl inländischer Unternehmen, z.B. Level 3, Daten abgreifen und weitergeben. Auch der Spiegel und die c’t berichteten darüber. („Nach Erhebungen des Forschungsunternehmens TeleGeography fließen die Daten von mindestens 50 Prozent aller europäischen Bürger irgendwann durch die Leitungen von Level 3.“)
Darüber hinaus betreibt die NSA Stützpunkte in Deutschland und ist wahrscheinlich sehr wohl in der Lage, Inlandsdaten abzugreifen, wenn es sich dabei streng gesehen auch nicht um „deutschen Boden“ handelt und damit keine deutschen Gesetze verletzt werden, was im Ergebnis natürlich keinen Unterschied macht.
Zudem sitzt der Lauscher nicht nur im Ausland, sondern man kann davon ausgehen, dass auch der BND abhört und darüber hinaus Daten an ausländische Geheimdienste weiterleitet.
Unterminiert nicht die Bestandsdatenauskunft per se jede Bestrebung, online (zwischen)gespeicherte Daten privat zu halten, da darüber eine Vielzahl von Stellen u.a. auch Zugangspasswörter ohne Richterbeschluss abfragen können?
Amerikanische Anbieter verschlüsselnder E-Mail-Dienste, z.B. Lavabit, haben ihre Tätigkeit eingestellt, weil sie sich nicht in der Lage sahen, eine sichere E-Mail-Kommunikation gewährleisten zu können.
Auch der Diffie-Hellman-Schlüsselaustausch lässt sich durch eine Man-In-The-Middle-Attacke unterwandern. ( http://de.wikipedia.org/wiki/Diffie-Hellman#Man-in-the-Middle-Angriff )
„Unlösbare“ Problemalgorithmen sind nur unlösbar, bis es entsprechende Ansätze gibt, bzw. die Rechenpower für Brute-Force-Attacken verfügbar ist. Die Speicherdauer abgegriffener Daten mag die Lebensdauer des Verschlüsselungsalgorithmus durchaus überleben. Auch Jahre später entschlüsselte Nachrichten mögen durchaus noch gegenwärtig relevante Auskünfte enthalten.
Unter dem Strich… wie wirksam schützt die vorgestellte Methode tatsächlich die Privatsphäre unter realistischen Bedingungen?
Ich fürchte, der volle Umfang der bekannt gewordenen Überwachung und derer Bedeutung ist bislang nur wenigen klar. Man kann meiner Meinung nach ein wenig Makulatur betreiben, aber Sicherheit gibt es im Internet nicht. Es ist die Aufgabe der Regierung, unser Recht auf Privatsphäre lt. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG und Art. 10 GG zu garantieren. Diese hat nicht nur versagt, sondern verfassungsmässige Rechte mit voller Absicht unterwandert, was dem Straftatbestand des Hochverrats entspricht. Allein der Versuch ist lt. StGB strafbar.