Britischer GCHQ will verschlüsselte Kommunikation ausspionieren - Apple, Google, Microsoft und WhatsApp stellen sich dagegen

Apple, Google, Microsoft und WhatsApp haben sich gegen einen Vorschlag der britischen Spionagebehörde GCHQ ausgesprochen, Spionen Zugang zu End-to-End-verschlüsselter Kommunikation zu gewähren;

Anstatt eine Hintertür hinzuzufügen oder die Verschlüsselung selbst zu untergraben, schlugen technische Entwicklungen von GCHQ und seiner Cybersicherheitseinheit, dem National Cyber Security Centre (NCSC), vor, dass Dienste wie Apple, Google und Facebook "stillschweigend einen Strafverfolgungsteilnehmer zu einem Gruppenchat oder Anruf hinzufügen könnten". Die vorgeschlagene Lösung wäre nicht aufdringlicher als das Telefonabhören im Krokodil-Clip-Stil, das im letzten Jahrhundert verwendet wurde, wie es die Techies behaupteten. 

Die Idee würde es einem Unternehmen wie Apple ermöglichen, einen "Ghost"-Benutzer, einen Strafverfolgungsbeamten, zu einem Chat hinzuzufügen. Die Verschlüsselung würde intakt bleiben, aber ein Chat oder eine Nachrichtengruppe würde durch das Hinzufügen eines Ghost-Benutzers.&nbsp beeinträchtigt;

Trotz des Fehlens einer Hintertür denken die Unterzeichner, dass eine solche Macht für die Benutzer schädlich sein könnte, weil sie Authentifizierungssysteme brechen und das Vertrauen in Mainstream-Identitätssysteme schädigen würde. 

"Der Ghost-Vorschlag würde digitale Sicherheitsrisiken schaffen, indem er Authentifizierungssysteme untergräbt, potenzielle unbeabsichtigte Schwachstellen einführt und neue Risiken des Missbrauchs oder Missbrauchs von Systemen schafft", heißt es in einem offenen Brief, der von mehr als 50 Unternehmen, Bürgerrechtsorganisationen und Sicherheitsexperten - darunter Apple, Google, Microsoft und WhatsApp - unterzeichnet wurde.

Der Geistervorschlag wurde von NCSC Technical Director Ian Levy und GCHQ Technical Director for cryptanalysis Crispin Robinson eingebracht. Das Paar hat es herausgegeben, um eine Diskussion über eine mögliche Antwort auf den scheinbar unlösbaren Konflikt zwischen rechtmäßigem Abfangen auf traditionellen Telefonleitungen und verschlüsselten Messaging-Anwendungen auf Smartphones einzuleiten.  

Der offene Brief zielt darauf ab, die Fallstricke des Ghost-Vorschlags zur öffentlich-privaten schlüsselbasierten Verschlüsselung zu erklären, wenn er in die Praxis umgesetzt werden soll. 

"Der von GCHQ vorgelegte Vorschlag "Ghost Key" würde es einem Dritten ermöglichen, den Klartext eines verschlüsselten Gesprächs zu sehen, ohne die Teilnehmer zu benachrichtigen. Aber um dieses Ergebnis zu erreichen, erfordert ihr Vorschlag zwei Änderungen an Systemen, die die Sicherheit und das Vertrauen der Benutzer ernsthaft untergraben würden", heißt es in dem Brief. 

"Erstens würde es von den Dienstleistern verlangen, heimlich einen neuen öffentlichen Schlüssel in ein Gespräch einzubringen, um auf eine staatliche Forderung zu reagieren. Dies würde ein zweiseitiges Gespräch in einen Gruppenchat verwandeln, bei dem die Regierung der zusätzliche Teilnehmer ist, oder einen geheimen Regierungsteilnehmer zu einem bestehenden Gruppenchat hinzufügen. 

"Zweitens, um sicherzustellen, dass die Regierung heimlich zum Gespräch hinzukommt, würde der Vorschlag von GCHQ Messaging-Anwendungen, Dienstanbieter und Betriebssysteme erfordern, ihre Software zu ändern."

Dies wiederum würde "die verwendeten Verschlüsselungsverfahren ändern und könnte "Benutzer irreführen, indem es die Benachrichtigungen unterdrückt, die routinemäßig erscheinen, wenn ein neuer Kommunikant einem Chat beitritt".

Der Brief weist auch auf den Schaden hin, den er den Authentifizierungsprozessen zufügen könnte, auf die sich Benutzer verlassen, um sicherzustellen, dass sie mit der beabsichtigten Person kommunizieren. 

"Derzeit verlässt sich die überwiegende Mehrheit der Benutzer auf ihr Vertrauen in seriöse Anbieter, um Authentifizierungsfunktionen durchzuführen und zu überprüfen, ob die Teilnehmer an einem Gespräch die Personen sind, für die sie sich halten, und nur diese Personen. Der Geistervorschlag der GCHQ untergräbt diese Vertrauensbeziehung und den Authentifizierungsprozess vollständig."

Die Gruppe warnt davor, dass die Geisterfunktion die Möglichkeit für Dienstanbieter untergraben würde, ihre eigenen Mitarbeiter daran zu hindern, den Inhalt von Nachrichten zu sehen. 

"Indem sie einen außergewöhnlichen Zugangsmechanismus wie den Geistervorschlag vorschreiben, würden GCHQ und britische Strafverfolgungsbehörden Messaging-Plattformen benötigen, um die Tür für Überwachungsmissbräuche zu öffnen, die heute nicht möglich sind."

Als Antwort auf das Schreiben sagte die Levy des NCSC: "Wir begrüßen diese Antwort auf unsere Bitte um Überlegungen über einen außergewöhnlichen Zugang zu Daten - zum Beispiel zur Beendigung von Terroristen. Der hypothetische Vorschlag war immer als Ausgangspunkt für die Diskussion gedacht.

"Es ist erfreulich, dass die sechs Prinzipien unterstützt werden, und wir begrüßen Feedback zu ihrer praktischen Anwendung.

"Wir werden weiterhin mit interessierten Parteien zusammenarbeiten und freuen uns auf eine offene Diskussion, um die bestmöglichen Lösungen zu finden."