Kryptografie im Praxistest
Von Uli Ries
Inzwischen spielt es keine große Rolle mehr, ob man vor staatlichen Lauschern tatsächlich etwas zu verbergen hat. Viele Internet-Nutzer haben ohnedies ein mulmiges Gefühl bei der Kommunikation übers Netz. Sie können angesichts der skandalösen Vorgehensweisen von NSA, BND etc., die seit den Enthüllungen des amerikanischen Whistleblowers Edward Snowden öffentlich geworden sind, nicht mehr einschätzen, was wer eigentlich wann und warum mitschneidet – und wofür bzw. wie lange diese Daten eigentlich gespeichert werden. US-Unternehmen wie das zu Facebook gehörende WhatsApp stehen unter Generalverdacht, sämtliche Nutzerdaten freizügig mit US-Regierungsbehörden zu teilen. Daher ist das Interesse an Software zum Verschlüsseln der eigenen Kommunikation und der eigenen Dateien sprunghaft gestiegen.
Die erfreuliche Folge dieses Interesses sind diverse neue Sicherheitswerkzeuge, die auch für Laien gut zu gebrauchen sind. Denn was nutzt die beste Verschlüsselung, wenn die dazugehörige Software aufgrund ihrer Komplexität praktisch nicht verwendbar ist?
Verschlüsselung ist komplex – und kein Allheilmittel
Aber auch wenn Anwender sich nicht für die technischen Details hinter den Programmen und Diensten interessieren, eines sollten sie sich auf jeden Fall bewusst machen: Es ist deutlich leichter, eine einfach zu knackende Verschlüsselung zu programmieren als eine, die auch staatlichen Stellen zumindest eine Weile lang standhält. Mit anderen Worten: Nicht jede Anwendung zur verschlüsselten oder anonymen Kommunikation ist auch sicher. So gibt es berechtigte Zweifel, ob die Messenger-App Telegram verlässlich verschlüsselt und auch im Online-Kommunikationsdienst Cryptocat, der eine Weile sehr beliebt war, fanden sich weit nach dem Start eklatante Fehler.
Doch wie erkennen Nutzer, ob ihre bevorzugte Krypto-Chat-App oder der Online-Dienst für verschlüsselte E-Mails ordentlich arbeiten? Wichtige Hinweise liefert beispielsweise die Tatsache, ob die Entwickler den Quellcode ihrer Anwendung veröffentlichen (siehe Kasten). Das heißt wiederum nicht, dass jedes Closed-Source-Projekt automatisch unsicher ist. (Dazu später mehr am Beispiel von Threema.)
Quelloffen ist sicherer – im Prinzip
Ein Mantra der Verschlüsselungstechnik ist, dass Open-Source-Implementierungen der einzige Weg seien: Nur wenn der Quelltext offen liege, ließen sich Schwächen aufspüren. Dieser Ansicht ist weitgehend auch Dr. Matthew Green, Kryptofachmann und Research Professor an der John Hopkins University. Er gehörte zu den Experten, die durch ihre Analyse gefährliche Bestandteile in einem kommerziell verwendeten Algorithmus entdeckten. Green rät in erster Linie zu Sicherheitssoftware, die im Open-Source-Modell angeboten wird. „Davon gibt es einige und sie können wesentlich widerstandsfähiger sein als Closed-Source-Angebote“, sagt Green.
Das Problem, das Green benennt: Es sei „deprimierend leicht“, Krypto-Implementierungen zu verhunzen. „Ich spreche aus Erfahrung“, sagt er. Und Sam Curry, ehemals Technikchef beim Sicherheitsanbieter RSA, pflichtet ihm bei: „Kryptografie ist hochkomplex. Nur Fachleute können die Qualität einer Implementierung bewerten.“
Zur Bewertung ist nun einmal der Zugang zum Quelltext nötig. Denn Bugs gibt es immer, wie an den diversen früheren Kryptoschnitzern des einstmals auch von Edward Snowden genutzten Chat-Tools Cryptocat zu sehen ist. Green zufolge tauscht, wer auf Closed-Source-Angebote setzt, höchstmögliche Sicherheit gegen maximale Bequemlichkeit ein. Wenngleich Open Source natürlich kein Allheilmittel ist, wie unter anderem der kritische Heartbleed-Bug in der Webverschlüsselungskomponente OpenSSL belegt hat – Open Source zum Trotz verbarg sich die Schwachstelle lange Zeit im Programmcode. Und auch im frei zugänglichen Code des Krypto-Smartphones Blackphone finden sich eineinhalb Jahre nach dem Marktstart noch kritische Bugs.
Und auch die Art und Weise der Verschlüsselung erlaubt Rückschlüsse: Als Goldstandard gilt die Ende-zu-Ende-Verschlüsselung. Sie ver- und entschlüsselt sämtliche Kommunikation auf den Endgeräten der Kommunikationspartner. Zum Austausch notwendige Server oder Netzwerkkomponenten wie Wireless-LAN-Zugangspunkte an öffentlichen Hotspots sehen lediglich unlesbaren Datenmüll. Erst die App aufseiten des Empfängers macht daraus lesbaren Klartext. Das hier zugrunde liegende Prinzip nennt sich asymmetrische Verschlüsselung, da zwei verschiedene Schlüssel zum Einsatz kommen: ein öffentlicher, der möglichst weit verbreitet werden sollte, und ein privater, den der Anwender möglichst gut schützen sollte. Das Verfahren ist schon seit etlichen Jahren bekannt und kommt beispielsweise auch bei dem bis heute hochgelobten E-Mail-Verschlüsselungsverfahren PGP (Pretty Good Privacy) zum Einsatz.
Ganz egal, wie wirksam die Verschlüsselung ist, die damit gesicherten Inhalte können dennoch in die falschen Hände gelangen: Ist auf dem Android-Smartphone oder dem Windows-PC Malware installiert, kann diese die Nachrichten und Dateien im Klartext auslesen, wenn die Krypto-App oder der sichere Container entsperrt wurden. Ein Virenscanner ist daher auch auf dem mobilen Endgerät anzuraten – es sei denn, es ist ein Gerät auf Basis von Apples iOS. Denn für dieses sind nach wie vor keine Schädlinge im Umlauf.
Welcher Messenger ist zu empfehlen?
An PGP lässt sich die Krux der in der Prä-Snowden-Ära verfügbaren Kryptowerkzeuge gut darstellen: Es gab hinreichend sichere Software – die mangels Anwenderfreundlichkeit aber kaum Verbreitung fand.
Der aus der Schweiz stammende SMS-Ersatz und WhatsApp-Widersacher Threema war eine der ersten Anwendungen, die Sicherheit und Bedienbarkeit unter einen Hut brachten: Der Anwender bekommt nichts mit von asymmetrischer Kryptografie, Hash-Verfahren und Krypto-Algorithmen. Die kostenpflichtige App behelligt den Anwender nicht mit technischen Details, verschlüsselt aber dennoch sicher. Ihre Open-Source-Kryptobibliothek NaCL (ausgesprochen „Salt“) genießt unter Experten einen hervorragenden Ruf. Zwar geben die Entwickler den Quelltext der App nicht frei. Die Überprüfung durch externe Fachleute der cnlab Security AG ergab aber keine Schwachstellen.
Einer der Vorteile von Threema ist die inzwischen vergleichsweise große Nutzeranzahl. Denn genau wie WhatsApp kann auch der Krypto-Messenger nur mit seinesgleichen kommunizieren. Threema-Nutzer sitzen also quasi auf einer technologischen Insel und können nur hoffen, dass ihre Freunde auf derselben Insel zu Hause sind.
Ebenfalls auf NaCL und damit auf Ende-zu-Ende-Verschlüsselung basiert der auf Unternehmenskunden abzielende Messenger TrustCase aus München. Auch hier liegt kein Quelltext vor. Laut Anbieter – ein unabhängiger Audit fehlt noch – profitieren professionelle Nutzer von Funktionen wie einem „Trust Broker“, der Anwender in die Lage versetzt, die Echtheit ganzer Gruppen anderer Nutzer zu bestätigen. Dies steigert beispielsweise die Vertrauenswürdigkeit von Gruppenkommunikationen.
Signal Desktop bringt verschlüsselte Chats auch auf PCs mit Windows und Mac OS X. (Bild: Open Whisper Systems)
Unter Fachleuten genießt zudem die kostenfreie App Signal von Open Whisper Systems einen hervorragenden Ruf. Sie kombiniert einen Textmessenger (TextSecure) mit einer Anwendung zum verschlüsselten Telefonieren (RedPhone). Hinter Signal steht der anerkannte Kryptofachmann Moxie Marlinspike, der den Sourcecode von Signal frei zur Verfügung stellt; die Quelle haben unter anderem bereits Forscher der Uni Bochum durchleuchtet. Neben dem Malware-Fachmann Mikko Hypponen von F-Secure vertraut auch Whistleblower Edward Snowden seine persönliche Kommunikation dieser ebenfalls nach dem Ende-zu-Ende-Prinzip verschlüsselnde Anwendung an. Im Vergleich zu Threema ist der Nutzerkreis jedoch nicht sonderlich groß.
Einiger Beliebtheit – leider auch in den Reihen der IS-Terroristen des Daesh – erfreut sich der aus Berlin stammende Kryptomessenger Telegram. Fachleute wie der ausgewiesene Kryptografiekenner Professor Matthew Green, Signal-Entwickler Marlinspike oder der Hacker The Grugq kritisieren die von den Telegram-Entwicklern selbst programmierten Kryptofunktionen jedoch und halten sie für nicht zeitgemäß und daher unsicher. Zudem lädt die App das Adressbuch des Anwenders im Klartext auf die Server des Anbieters – aus Datenschutzsicht ein Unding. Messenger wie Threema oder TrustCase senden dagegen lediglich anonymisierte Versionen (Hashwerte) von Telefonnummern sowie E-Mail-Adressen und löschen diese nach einem Tag.
Verschlüsselungslösungen für Desktop-PCs
Insbesondere bei längeren Dialogen sind Smartphones und Tablets den vollwertigen Tastaturen von PCs und Notebooks unterlegen. Für sichere Chats auf diesen Plattformen soll unter anderem die bislang nur in einem geschlossenen Betatest erhältliche Desktop-Version von Signal sorgen. Bereits frei verfügbar ist der Tor Messenger. Derzeit ist allerdings auch diese Software noch in der Betaphase, sodass Anwender streng Vertrauliches besser nicht auf diesem Weg austauschen sollten. Der Messenger basiert auf dem Anonymisierungsnetzwerk Tor und fügt diesem die als sicher geltende Verschlüsselung auf Basis des Protokolls Off the Record (OTR) hinzu. OTR tilgt auf Wunsch jegliche Spur einer Kommunikation, sodass die Gesprächspartner glaubhaft die Existenz des Dialogs leugnen können. Der Tor Messenger soll zu Diensten wie Jabber/XMPP, Facebook Chat, Google Talk oder IRC kompatibel sein. Wer diese schon nutzt, behält seine Kontakte – zumindest in der Theorie. Denn in der Praxis hakt es mitunter noch beim Verbinden mit den Chat-Servern.
Anders als der Tor Messenger verbirgt das ebenfalls über das Tor-Netzwerk kommunizierende Tool Ricochet nicht alle technischen Details vor dem Anwender. Diese Software verlangt daher mehr technisches Verständnis vom Nutzer und ist Einsteigern daher nicht zu empfehlen. Zu leicht landet die vertrauliche Kommunikation sonst in fremden Händen.
Neben dem Tor Messenger gibt es OTR-Clients für alle gängigen Betriebssysteme (Adium für Mac OS X, Pidgin für Windows und so weiter). Diesen fehlt aber der Zugriff aufs Tor-Netzwerk . Die Kommunikation ist daher zwar verschlüsselt, Sender und Empfänger sind dabei aber nicht anonymisiert. Darüber hinaus gibt es weitere Chat-Werkzeuge wie das auf NaCl basierende Tox. Nachteil dieser Anwendungen ist jeweils die geringe Nutzerbasis.
E-Mails vor Ausspähung schützen
Die Software PGP – und ihre Open-Source-Variante GPG – gilt nach wie vor als der Standard zur sicheren Verschlüsselung von E-Mails. Trotz großer Fortschritte ist die Software aber immer noch nichts für Anfänger. Den nutzerfreundlichen Ansatz von Threema will nun aber der ebenfalls in der Schweiz ansässige Dienst ProtonMail auf das Feld der E-Mail-Kommunikation übertragen: sichere Ende-zu-Ende-Verschlüsselung ohne technische Hürden.
Der Dienst ist per Smartphone-App oder Webbrowser zugänglich. Mittlerweile sollte er die Betaphase verlassen haben und E-Mails besser schützen als beispielsweise das seinerzeit von Edward Snowden verwendete Lavabit. Dazu setzt ProtonMail auf zwei Passwörter. Eines dient zum Anmelden am Server, eines zum Entschlüsseln der E-Mails auf dem eigenen Endgerät. Der Dienstbetreiber kann also – nach eigener Auskunft – die zum Lesen der Nachrichten notwendigen Passwörter nicht sammeln und auf Verlangen an staatliche Stellen weitergeben.
Auch sichere Nachrichten an Anwender außerhalb von ProtonMail sind möglich: Der Empfänger erhält per E-Mail einen Link zur verschlüsselten Nachricht. Mittels eines zuvor vom Sender übermittelten Passworts lässt sich die E-Mail dann dekodieren.
Verschlüsselt in die Cloud
Cloud-Dienste wie Dropbox, Google Drive oder Microsoft OneDrive gelten bei (über)vorsichtigen Anwendern als Teufelszeug: Serverfarmen, die von US-Unternehmen betrieben werden und auch in den USA stehen – und damit in Rufweite der datenhungrigen US-Behörden –, speichern Dateien von Anwendern aus der ganzen Welt. Und selbst wenn man sich nicht um die NSA und andere Geheimdienste schert, so droht immer noch ein Angriff durch Kriminelle, die auf einen Schlag sämtliche Datenbestände der Nutzer in ihre Fänge bekommen könnten.
Boxcryptor verschlüsselt Dateien vor dem Upload zu den verschiedensten Cloud-Speicherdiensten. (Bild: Boxcryptor)
Auch hier helfen Kryptowerkzeuge. Das wohl gängigste Mittel zum Verschlüsseln der eigenen Dateien ist das aus Deutschland stammende Boxcryptor. Die Software läuft unter allen gängigen Desktop- und Mobilbetriebssystemen und dürfte in der Gratisversion den meisten Ansprüchen von privaten Anwendern genügen. Einmal installiert verbindet sich Boxcryptor mit Cloud-Diensten wie Dropbox, OneDrive, Amazon Cloud Drive, Apple iCloud Drive oder Google Drive. Anschließend verschlüsselt die Software ohne weiteres Zutun alle Dateien vor dem Upload in den Cloud-Speicher. Solange die Anwendung läuft, kann der Anwender auf seinem Endgerät wie gewohnt mit den Dateien hantieren – von der Ver- und Entschlüsselung merkt man nichts, die Nutzerfreundlichkeit ist sehr hoch.
Fachleute kritisieren zwei Punkte an Boxcryptor: Zum einen veröffentlichen die Entwickler den Quelltext nicht, und zum anderen hängt die Sicherheit der Verschlüsselung maßgeblich von der Stärke des Passworts ab, das der Anwender wählt. Letzteres bekommt man zwar in den Griff, beispielsweise durch ein per Passwort-Manager zufällig erzeugtes, langes Kennwort (15 Zeichen und mehr). Doch beim ersten Kritikpunkt bleibt Nutzern nur, sich auf die Aussagen der Programmierer zu verlassen, dass sie die – größtenteils als Quelltext verfügbaren – verwendeten Kryptobibliotheken korrekt implementiert haben.
Nutzer der Pro- oder Enterprise-Varianten von Windows 8, Windows 8.1 und Windows 10 bzw. der Ultimate- oder Enterprise-Versionen von Windows Vista und Windows 7 haben mit BitLocker bereits eine Dateiverschlüsselung an Bord. Malware-Fachmann Hypponen beispielsweise verlässt sich auf die in Windows integrierte Funktion. BitLocker kann per Rechtsklick einzelne Dateien und Ordner, aber auch die ganze Festplatte verschlüsseln. Mac OS X bringt mit FileVault eine ähnliche Funktion mit.
Eine Open-Source-Alternative zu Bordmitteln wie Boxcryptor oder BitLocker ist das auf dem nicht länger weiterentwickelten Klassiker TrueCrypt basierende VeraCrypt. Dessen Anwenderfreundlichkeit reicht jedoch längst nicht an den modernen und auf Cloud-Dienste abgestimmten Boxcryptor heran. Einmal mehr muss man sich als Anwender also die Frage stellen: Soll es möglichst sicher sein – oder auch ein bisschen komfortabel?
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing