Verschlüsselung ist in vielen Messenger-Apps mittlerweile Standard. Ein Teil der Internet-Nutzer verschlüsselt auch seine Mails, am häufigsten mit PGP oder GnuPG. Ein kürzlich erfolgter Angriff auf das System zeigt aber: Die Infrastruktur der Mailverschlüsselung hat ein Riesen-Problem. Jürgen Kuri von heise online erklärt die Schwierigkeiten von öffentlichen Schlüsselservern.
Bei Netzaktivisten steht sie ganz oben auf der Agenda. Bei Strafverfolgungsbehörden auch: Die Verschlüsselung von Internet-Kommunikation. Erstere wollen die Kryptografie bekannter und sicherer machen. Und Polizei sowie Geheimdienste würden sie bei Bedarf auch gern umgehen können. Messenger-Apps wie WhatsApp haben seit Jahren Verschlüsselungsalgorithmen integriert. Bei E-Mails nutzen aber nur 16 Prozent der Deutschen Verschlüsselungsverfahren.
Wenn Mails verschlüsselt werden, kommen fast immer sehr sicherer Verfahren wie PGP (Pretty Good Privacy) oder die quelloffene Variante GnuPG zum Einsatz. Diese Programme funktionieren asymetrisch. Das heißt, sie arbeiten mit Schlüsseln, die aus einem öffentlichem und einem privatem Teil bestehen.
Der öffentliche Teil ist dabei wie eine Art personalisiertes Schloss. Dessen Bauplan kann jeder erfahren, er wird zertifiziert. Das bedeutet: Eine als vertrauenswürdig geltende Stelle bestätigt den öffentlichen Schlüsselteil als echt und zum Empfänger gehörend. Danach kann man ihn verteilen und dafür zum Beispiel auf einen öffentlichen Server laden. Wer eine Mail an diesen Empfänger schreiben möchte, lädt sich also quasi den Bauplan des Schlosses herunter und verschlüsselt damit die Mail. Öffnen – und damit die Mail wieder lesbar machen – kann dieses Schloss jedoch nur der Besitzer des zugehörigen privaten Schlüssels.
Die öffentlichen Keyserver haben aber einen eklatanten Mangel. Und der liegt bei der Zertifizierung. Das hat ein gezielter Angriff auf zwei PGP-Pioniere gezeigt:
Bei den Keyservern kann jeder diese Schlüssel zertifizieren, die da öffentlich liegen. Das wird dann nicht weiter kontrolliert. Und dann haben Leute angefangen, Schlüssel mit mehreren hunderttausend Zertifikaten zu versehen. Was dazu führt, dass die Verschlüsselungsprogramme abstürzen. – Jürgen Kuri, heise online
Das gesamte Prinzip der asymetrischen Verschlüsselung wird eigentlich in Frage gestellt. Und damit eigentlich auch für den normalen Anwender unpraktikabel.Jürgen Kuri
Welche Lösungen es gegen den PGP-Angriff gibt, klärt Jürgen Kuri von heise online im Gespräch mit detektor.fm-Moderator Christian Erll. Außerdem geht es um die Frage, warum sich die Strafverfolgungsbehörden aktuell auf Messenger-Apps konzentrieren. Und wie sie dort die Ende-zu-Ende-Verschlüsselung aushebeln wollen.