Dipl.-Inform. Carsten Eilers

Die Volksverschlüsselung

Der Name des Projekts ist meiner Meinung nach ziemlich unglücklich gewählt. Er erinnert nicht nur an die Volks-Produkte der BILD-Zeitung, mit denen das System nichts zu tun hat, sondern macht auch nicht klar, um was es wirklich geht. Wenn bei einer Festplattenverschlüsselung die Festplatte verschlüsselt wird und bei einer Dateiverschlüsselung eine Datei, dann wird bei der Volksverschlüsselung ja wohl das Volk verschlüsselt, oder?

Aber man soll Kinder ja nicht wegen ihres Namens hänseln, sie können ja nichts dafür. Worum geht es also bei der Volksverschlüsselung, die vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) entwickelt wird? Erst mal um eine herkömmliche Ende-zu-Ende-Verschlüsselung auf Basis einer Public-Key-Infrastruktur. Das Besondere ist die laientaugliche Software, die die benötigten Schüssel erzeugt und an den richtigen Stellen auf dem Rechner des Benutzers installiert sowie den öffentlichen Schlüssel bei der "zentralen Infrastruktur" registriert. Die wiederum stellt verschiedene Möglichkeiten bereit, öffentliche Schlüssel wie in einem Telefonbuch abzurufen, sie zu prüfen und bei Bedarf auch zurückzurufen.

Bisher gibt es nur eine Windows-Version der Software, Versionen für Mac OS X, Linux, iOS und Android sind geplant. Ebenso die Möglichkeit, Schlüssel sicher vom Desktoprechner auf das Mobilgerät eines Benutzers zu übertragen.

Das klingt alles recht interessant, wie immer ist die entscheidende Frage natürlich "Nutzt das denn wer?", oder genauer: "Nutzt das denn wer, mit dem ich kommunizieren will?". Aber das gilt ja für alle neuen Lösungen, so zum Beispiel auch die nächste:

Kullo

Kullo ist eine weitere Lösung für die sichere Kommunikation und setzt ebenfalls auf eine Ende-zu-Ende-Verschlüsselung auf Basis einer PKI. Entwickelt wird das System von der gleichnamigen GmbH, einem StartUp der Technischen Universität Darmstadt. Für die Kommunikation wird neben einer Kullo-Adresse nur noch ein Client benötigt, den es bereits für Windows, Mac OS X und Linux gibt. Versionen für iOS und Android sind in Vorbereitung.

Innerhalb der Kullo-Umgebung sind die Nachrichten generell verschlüsselt, entschlüsselt werden sie nur lokal auf den Endgeräten der Benutzer. Auf den Kullo-Servern fallen also nur Meta-Daten an (die im Ernstfall aber auch schon viel über die Kommunikation verraten, was sich aber kaum vermeiden lässt).

Die Kommunikation erfolgt über das Open Kullo Protocol, für die kryptographischen Operationen werden AES-256 und RSA-4096 als hybrides Verschlüsselungssystem verwendet: Die Nachrichten werden erst symmetrisch mit einem zufälligen Schlüssel mit AES verschlüsselt, danach der AES-Schlüssel asymmetrisch mit RSA verschlüsselt, so dass es nur vom Empfänger der Nachricht entschlüsselt werden kann. Das ist nicht neu, das kann zum Beispiel auch PGP/GPG. Neu dagegen ist die komfortable Implementierung des Ganzen. Der Benutzer muss sich um kaum etwas kümmern, die Software nimmt ihm die meiste Arbeit ab.

Der aufwändigste Teil jeder sicheren Kommunikation ist immer die Schlüsselverwaltung. Die wird bei Kullo von der Client-Software übernommen, die den benötigten öffentlichen Schlüssel des Empfängers automatisch anhand von dessen Kullo-Adresse vom Kullo-Server lädt. Da die Software auch die Ver- und Entschlüsselung übernimmt muss der Benutzer nur noch entscheiden, wem er seine Nachricht schicken möchte.

... und bei VoIP

TrustCom

Und noch ein Ansatz zur sicheren und vertrauenswürdigen Kommunikation, diesmal vom Fachbereich Informatik der Hochschule Darmstadt: TrustCom. Im Gegensatz zu den oben vorgestellten Ansätzen geht es hier im die sichere Kommunikation über Internettelefonie. Konkret wird an der Lösung von zwei Problemen (PDF) gearbeitet:

• Im Teilprojekt VoIP Service Guard an der Bekämpfung von Betrugsversuchen und der Abwehr von Angriffen auf Basis von Big Data-Verfahren und
• im Teilprojekt "Secure Authentication and IDentity Management" (Secure AID) an der Multi-Faktor-Authentifizierung (also der sicheren Überprüfung der Echtheit der Benutzeridentität anhand mehrerer Faktoren).

Leider gibt es hierzu nur sehr wenig Material. Falls Sie das Thema interessiert, bleibt wohl nur, auf weitere Veröffentlichungen der Forscher zu warten.

SECCO

Und weil ich gerade vom Fachbereich Informatik der Hochschule Darmstadt geschrieben habe: Von dem stammt auch SECCO, eine Lösung, die Telefonate zwischen Inhabern eines neuen Personalausweis und Unternehmen oder Behörden absichert. Voraussetzung ist außer dem Personalausweis ein NFC-fähiges Smartphone. Während des Telefonats weist der Bürger seine Identität über den Personalausweise nach, sein Gegenüber kann sich im Gegenzug über ein sicheres Verfahren als Mitarbeiter des angerufenen Dienstleisters ausweisen. Das ist sicher in einigen Fällen durchaus interessant.

Das System kann außerdem als WebApp im Bereich Mobile Banking, eBusiness und eCommerce eingesetzt werden.

... und im Tor-Netz

Forscher der Universität des Saarlandes haben ein Programm entwickelt, mit dem sich prüfen lässt, wie gut die Identität des Benutzers bei Wahl eine bestimmten Tor-Verbindung geschützt ist. Je nachdem, wie viele Tor-Knoten ein Angreifer kontrolliert, ist ihm die Identifizierung des Benutzers mehr oder weniger leicht möglich.

Ausgehend von einem mathematischen Modell berechnet MATor auf Grundlage aktueller Tor-Daten, den Eigenschaften der Internet-Verbindung des Benutzers und der Konfiguration seiner Tor-Software, wie wahrscheinlich es ist, dass seine Anonymität aufgehoben werden kann. Die Forschungsergebnisse sollen in ein Plugin für den Tor-Browser umgesetzt werden, dass den Benutzer warnt, falls er eine unsichere Verbindung nutzt. Eine wirklich nützliche Entwicklung, denn man muss ja leider davon ausgehen, dass ein (großer?) Teil der Tor-Knoten von Geheimdiensten etc. bereitgestellt wird. Ganz selbstlos natürlich, um die eigenen Recherchen zu schützen! Die würden doch NIE nicht hinter den Benutzern her schnüffeln!!

Carsten Eilers