Britische Regierung offenbar über Lücke in VoIP-Verschlüsselung abhörbar

SicherheitSicherheitsmanagement
verschluesselung-1024-1-shutterstock (Bild: Shutterstock)

Das Mikey-Sakke genannte Verschlüsselungsprotokoll ermöglicht gegebenenfalls eine Dechiffrierung der Regierungskommunikation via Voice-over-IP. Dem GCHQ zufolge kann das jedoch nur durch den Betreiber eines VoIP-Dienstes erfolgen. Daher dementiert der Geheimdienst die Existenz einer Hintertür.

Das von der britischen Regierung für die Voice-over-IP-Verschlüsselung genutzte Sicherheitsprotokoll beinhaltet offenbar eine Backdoor. Diese hat Steven Murdoch, ein Forscher am University College London, ermittelt, wie die BBC meldet. Demnach ist es ihm zufolge möglich, das Mikey-Sakke genannte Protokoll zu umgehen und verschlüsselte Gespräche zu dechiffrieren. Mikey-Sakke wurde durch den britischen Geheimdienst GCHQ entwickelt.

verschluesselung-1024-1-shutterstock (Bild: Shutterstock)

Murdoch bemängelt laut dem Bericht insbesondere die Schlüsselverwaltung des Protokolls, die es einem Netzwerkbetreiber oder auch einem Hacker mit Zugang zu dem Netz ermögliche, Gespräche mitzuschneiden. Statt die für die Ver- und Entschlüsselung erforderlichen Schlüssel auf unterschiedlichen Rechnern zu generieren und nur den öffentlichen Teil der Schlüssel auszutauschen, stelle der Netzwerkbetreiber die Schlüssel für die Gesprächsteilnehmer aus.

“Ich glaube, das kommt von einem Interessenkonflikt innerhalb des GCHQ”, sagte der Forscher der BBC. Aufgabe des Geheimdiensts sei es, selbst zu spionieren und auch Spionage zu verhindern. Ihm seien zwei Produkte bekannt, die den Standard einsetzten. Beide seien von der britischen Regierung zertifiziert.

Nigel Smart, Kryptografieexperte und Professor an der University of Bristol, nannte im Gespräch mit der BBC Beispiele dafür, dass eine Hintertür in der VoIP-Verschlüsselung sinnvoll sein könne. Eine Aufsichtsbehörde habe womöglich ein berechtigtes Interesse daran, die Kommunikation eines Börsenhändlers zu überwachen. Es sei jedoch nicht bekannt, wo und wie Mikey-Sakke genau verwendet werde.

“Wenn man nicht erklärt, wie man es nutzen will, in welchen Systemen es verwendet wird und welchen Umfang und Grenzen die treuhänderische Schlüsselverwaltung hat, dann ist das keine gute Werbung”, zitiert ihn die BBC.

Der britische Geheimdienst dementiert derweil die Existenz einer Backdoor. “Das Mikey-Sakke-Protokoll erlaubt die Entwicklung sicherer und skalierbarer Enterprise-Produkte.”, sagte ein Sprecher des GCHQ. Da Organisationen, die das Protokoll nutzten, jeweils eigene Server für die Schlüsselverwaltung betrieben, gebe es keinen geheimen Masterkey und auch keine Hintertür, die es dem Geheimdienst oder Dritten erlaube, unmittelbar auf Gespräche respektive auf gespeicherte Konversationen zuzugreifen. “Nur der Eigentümer des jeweiligen Systems kann, wenn er will, Unterhaltungen entschlüsseln.”

Der Betreiber eines Kommunikationsdiensts könnte in Großbritannien jedoch schon bald dazu gezwungen sein, die Sicherheitsbehörden des Landes bei ihrer Arbeit zu unterstützen. Das sieht zumindest der Entwurf des neuen Überwachungsgesetzes Investigatory Powers Bill vor, das nicht nur im Vereinigten Königreich umstritten ist. Erst Anfang des Monats nannte Facebook es einen “Schritt in die falsche Richtung”. Nur wenige Wochen zuvor forderte auch Apple schon Änderungen, um zu vermeiden, dass Unternehmen außerhalb Großbritanniens zu Handlungen gezwungen werden, die gegen die Gesetze ihrer Heimatländer verstoßen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen