iphone-image-by-relexahotels-via-pixabay
DATA

Starke Kryptographie: Signal bekommt gute Noten

Ein Experten-Team bewertete die Verschlüsselung des Krypto-Messengers „Signal”, programmiert von der Non-Profit-Softwareorganisation Open Whisper Systems (OWS), kürzlich als sehr gut. In einem umfassenden Forschungsbericht erklären sie, wie die OWS-Entwickler die Kommunikation ihrer Nutzer gegen unbefugte Zugriffe absichern. Zudem schützt OWS die Privatsphäre seiner Nutzer auch auf politischem und juristischem Wege. All das sind ausgezeichnete Nachrichten: in einer Welt zunehmender Überwachung steht Smartphone-Nutzern ein zuverlässiges Werkzeug zur Verfügung, sich dieser Überwachung (zumindest teilweise) zu entziehen.

Gute Noten für Verschlüsselungs-Technik

Signal, eine App, die verschlüsseltes Instant Messaging und die Verschlüsselung von SMS anbietet und für Android, iOS sowie mittlerweile auch für den Desktop zur Verfügung steht, wurde einem umfassenden Sicherheits-Audit unterzogen. Dieser wurde durchgeführt durch ein fünfköpfiges Team von Sicherheitsforschern aus Australien, Großbritannien und Kanada.

Ihre Forschungsergebnisse veröffentlichten die Experten in einem Bericht mit dem Titel „A Formal Security Analysis of the Signal Messaging Protocol“. Darin kommen sie zu dem Schluss, dass der Messenger eine gut durchdachte Sicherheits-Architektur aufweist, die auch im Falle einer Kompromittierung den Schaden wirksam begrenzt. Dadurch, dass Signal zu Beginn jeder Chat-Sitzung einmalige Schlüssel austausche, lasse sich nämlich auch nach einer Kompromittierung meist nur der Text dieser Sitzung, nicht aber der Inhalt älterer oder zukünftiger Chat-Konversationen, entschlüsseln. Sicherheitslücken oder Design-Fehler konnten die Forscher bei Signal keine entdecken.

Da es keine festgelegten Ziele gebe und Signal in vieler Hinsicht technisches Neuland betrete, sei es unmöglich, festzustellen, ob die App ihre Ziele erfülle, so die Forscher. Es lasse sich aber zusammenfassend sagen, dass Signal seinen Nutzern einen sehr zufriedenstellende Schutz biete. Sie fügen hinzu: „Wir haben keine bedeutenden Fehler im Design [des Messengers] entdeckt, was sehr ermutigend ist.“

Die Sicherheitsforscher ließen OWS einige Vorschläge zukommen, wie der Signal-Messenger mit vertretbarem Aufwand noch weiter verbessert werden kann. Diese betreffen unter anderem den Schlüssel-Austausch und die Absicherung des Protokolls gegen unzureichende oder kompromittierte Pseudo-Zufallszahlen (diese werden bei kryptographischen Protokollen zur Generierung der Schlüssel benutzt und meist über eine Software auf dem Gerät erzeugt).

Starke Kryptographie für Alle

Die beteiligten Wissenschaftler betonen, dass ihr Forschungsbericht nicht das letzte Wort zum Thema Signal sein sollte. Einige Punkte, wie etwa genutzte, nicht von OWS stammende Programm-Bibliotheken und Unterschiede in der Umsetzung des Protokolls zwischen Apps und Geräten, haben sie nicht analysiert. Dennoch lässt das Vertrauensvotum aus so berufenem Munde hoffen. Die auch von NSA-Whistleblower Edward Snowden empfohlene App scheint zu halten, was sie verspricht.

Das sind umso bessere Nachrichten, als dass das Signal-Protokoll mittlerweile auch Nutzern der Messenger WhatsApp und Facebook Messenger zur Verfügung steht (allerdings im Falle von Facebook nur, wenn der Nutzer dies ausdrücklich einstellt). Kryptographie ist derzeit eindeutig auf dem Weg in den Mainstream. Da ist es umso erfreulicher, wenn diese Kryptographie hohen Ansprüchen in Sachen Sicherheit genügt.

Kampf den Überwachern: Per App und vor Gericht

Ebenfalls positiv zu bewerten ist, dass OWS auch über die Entwicklung robuster Verschlüsselung hinaus die Sicherheit und Privatsphäre der Nutzer hoch hält. Das zeigt der Umgang des Non-Profit-Entwicklerstudios mit einer Anfang des Jahres erfolgten Anfrage der US-Behörden zur Herausgabe von Nutzerdaten. Die Behörden mussten schließlich unverrichteter Dinge wieder abziehen. Auch das ist ermutigend für Nutzer, die sich staatlicher Überwachung entziehen wollen.

Hoffnung für die digitale Zukunft

Verschlüsselung schützt nicht nur vor Online-Kriminalität, sondern auch vor staatlicher Kompetenzüberschreitung. Für Menschen in autoritären Regimes kann das im Ernstfall überlebenswichtig sein. Aber auch in demokratischen Staaten liegt in Sachen Überwachung vieles im Argen; Bündnis-Verpflichtungen und der Kampf gegen den (als Bedrohung maßlos aufgebauschten) Terrorismus sorgen für eine immer weitere Einschränkung individueller Rechte.

Stillschweigend oder durch hastig durchgewinkte Überwachungsgesetze legitimiert wird die private Kommunikation immer häufiger zum Schnüffeln freigegeben. In diesen Zeiten brauchen wir Verschlüsselung als wichtigstes Werkzeug der digitalen Selbstverteidigung. Umso wichtiger ist es, dass diese Verschlüsselung vernünftig durchdacht ist und stetig überprüft und verbessert wird. Die neuesten Nachrichten sind in diesem Kontext – man möge das Wortspiel verzeihen – ein sehr ermutigendes Signal.

Image „Iphone“ by relexahotels (CC0 Public Domain)

schreibt regelmäßig über Netzpolitik und Netzaktivismus. Sie interessiert sich nicht nur für die Technik als solche, sondern vor allem dafür, wie diese genutzt wird und wie sie sich auf die Gesellschaft auswirkt.

Related Articles


Artikel per E-Mail verschicken
Schlagwörter: , , , , , , , , , , , , , , , ,

6 comments

  1. Threema überzeugt mich insgesamt mehr als Signal. Die haben ein klares Geschäftsmodell. (Signal wird offenbar auch von der US-Regierung finanziell unterstützt.) Und es ist keine Angabe von personenbezogenen Daten erforderlich. (Signal setzt die Angabe der eigenen Rufnummer voraus.)

    Antworten

      2. Dankeschön. Werde ich mir mal zu Gemüte führen. Ob das dann auch ein Artikel wird, kann ich aber noch nicht sagen.

  2. Pingback: insPirat » Starke Kryptographie: Signal bekommt gute Noten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert