Kommentar: Warum wir Forward Secrecy brauchen
Der SSL-GAU zeigt nachdrücklich, dass Forward Secrecy kein exotisches Feature für Paranoiker ist. Es ist vielmehr das einzige, was uns noch vor einer vollständigen Komplettüberwachung aller Kommunikation durch die Geheimdienste schützt.
Jürgen Schmidt - 16.04.2014
Das erste "eins": Die NSA speichert verschlüsselte Daten in großem Stil auf Vorrat. In Zusammenarbeit mit dem britischen GCHQ lauschen sie an den großen Backbones des Internet. Natürlich transportieren die viel zu viele Daten, als dass man alles speichern könnte, also muss man sich auf potenziell interessante Inhalte konzentrieren; verschlüsselte Datenpakete gehören da sicher dazu. Und wie Snowden ans Licht gebracht hat, gibt es in den Bestimmungen zur Datensparsamkeit bei der NSA sogar explizite Ausnahmen für verschlüsselte Daten: Selbst bei Amerikanern dürfen sie die speichern, bis sie in der Lage sind, sie zu dechiffrieren. Man kann also davon ausgehen, dass die NSA präventiv riesige Storage-Arrays mit verschlüsselten Daten füllt, in der Hoffnung, sie irgendwann zu dekodieren.
Das zweite "eins": Der einfachste Weg, verschlüsselte Daten zu dechiffrieren, ist mit dem passenden Schlüssel. Und diese Schlüssel gab es mit den Heartbleed-Bug in OpenSSL auf dem Silbertablett; bei Google, Facebook, Yahoo, Akamai; bei Shops, bei Banken und Behörden – die Liste der verwundbaren Dienste liest sich wie ein Who-is-Who des Internet. Die NSA dementiert zwar heftig – aber es gibt deutliche Hinweise, dass der Geheimdienst die Lücke bereits seit über einem Jahr kannte und somit mehr als genug Zeit hatte, in aller Ruhe die geheimen Schlüssel von verwundbaren Web-, Mail- und VPN-Servern einzusammeln. Schließlich hinterlässt ein Heartbleed-Angriff keine Spuren.
Zusammengezählt: Die NSA hat ein riesiges Archiv von eigentlich schützenswerten Daten, die sie ohne großen Aufwand dechiffrieren kann. Das einzige, was noch zwischen dem Geheimdienst und vielen PetaByte an wertvollen Klartext-Daten steht, ist Forward Secrecy. Dieses Verfahren zur Aushandlung von Sitzungsschlüsseln verhindert es, dass jemand verschlüsselte Daten nachträglich noch dekodieren kann, ohne tatsächlich den Code zu knacken. Denn der dafür benötigte, temporäre Sitzungsschlüssel geht nie über die Leitung und nach dem Ende einer Kommunikation verwerfen beide Partner ihre Kopien. Damit gibt es keine praktikable Möglichkeit, aufgezeichnete Chiffredaten zu dekodieren. Nicht einmal für die NSA.
Weil etwa Microsoft bei Outlook.com und Apple auf iCloud..com auf Forward Secrecy verzichten, kann man alle verschlüsselt aufgezeichneten Daten, die diese Server verschicken oder empfangen haben, mit dem geheimen Server-Schlüssel nachträglich dekodieren (sofern man diesen irgendwie in seinen Besitz bringt). Bei Google beispielsweise ginge das so nicht. Wer also auf seinen Systemen immer noch keine Forward Secrecy einsetzt, sollte das jetzt schleunigst ändern; laut den SSL Labs haben da leider immer noch über die Hälfte aller verschlüsselnden Web-Server Nachholbedarf. Wie das geht, zeigt der Artikel Forward Secrecy testen und einrichten auf heise Security.
(ju)
PS: Natürlich erlaubt der Besitz des geheimen Schlüssels auch noch andere Angriffe. Aber die haben zwei entscheidende Nachteile. Erstens funktionieren sie nicht rückwirkend mit bereits gespeicherten, aber verschlüsselten Daten. Und zweitens erfordern die einen aktiven Eingriff in eine verschlüsselte Verbindung – etwa durch einen Man-in-the-Middle. Das ist zwar in Einzelfällen durchaus möglich, ist aber eine ganz andere Kategorie von Angriffen als das systematische Mitlesen quasi aller Kommunikation auf den Internet-Backbones.