Sicheres Messaging durch verteilte Nachrichten
TU-Forschende ermöglichen besseren Schutz für das Versenden sensibler Informationen
30.10.2024 von Daniela Fleckenstein
In der heutigen digitalen Welt ist es wichtiger denn je, die Sicherheit der Online-Kommunikation zu gewährleisten, insbesondere in Berufen, die auf Vertraulichkeit angewiesen sind, wie im Rechtswesen oder der Politik. Zwei Forschungsgruppen aus dem Profilthema Cybersecurity and Privacy an der TU Darmstadt haben mit EMC² (Encrypted Multi-Channel Communication) eine Methode entwickelt, die die Sicherheit von sensiblen Nachrichten erhöht, indem das Vertrauen auf mehrere bestehende Kommunikationskanäle verteilt wird. Das Team adressiert mit seinem Ansatz die Limitierungen aktueller Verschlüsselungslösungen, entwickelte ein Werkzeug, das sichere Kommunikation zugänglicher macht, und zeigt die Unwirksamkeit staatlich angeordneter Hintertüren auf.
Die Mehrzahl der Kommunikation im Internet basiert heute auf dem TLS-Protokoll (Transport Layer Security), das zwar vor dem Abhören im Netzwerk schützt, nicht aber vor dem Zugriff durch die Diensteanbieter selbst. Während Ende-zu-Ende-Verschlüsselung (E2EE) sicherstellt, dass nur der Absender und der Empfänger die Nachrichten lesen können, sind die vorhandenen Lösungen jedoch oft nicht benutzerfreundlich oder nicht weit verbreitet.
So sind beispielsweise verschlüsselte E-Mails über PGP oder S/MIME für durchschnittliche Benutzer*innen schwer einzurichten. Obwohl Anwendungen wie Signal sichere Nachrichtenübermittlung bieten, ist ihre Verschlüsselung für viele Nutzer nicht immer ersichtlich oder gut verständlich. Darüber hinaus haben staatliche Akteure wie die EU und die USA vorgeschlagen, Hintertüren in verschlüsselte Systeme einzubauen, was zu einem unterzeichnet von mehr als 300 Forschenden geführt hat, die vor den Gefahren solcher Maßnahmen warnen. offenen Brief
Verschlüsselte Kommunikation über mehrere Kanäle
Forschende aus den Informatik-Fachgebieten unter der Leitung von Professor Thomas Schneider und ENCRYPTO unter der Leitung von Professor Christian Reuter haben nun eine Lösung entwickelt, die eine Balance zwischen Bedienfreundlichkeit, Datenschutz und Sicherheit herstellt und ohne umständliche Registrierungsprozesse auskommt. Das Ergebnis ist EMC² (Encrypted Multi-Channel Communication), das die weite Verbreitung moderner Messaging-Apps nutzt, um verschlüsselte Nachrichtenteile über mehrere unabhängige Kommunikationskanäle zu verteilen. PEASEC
EMC² verschlüsselt eine Klartextnachricht in zwei Schritten mit einer Technik, die sich an die sogenannte One-Time-Pad-Verschlüsselung anlehnt. Im ersten Schritt wird die Klartextnachricht in Binärform umgewandelt, z.B. das Wort „Hallo“ in die Zahl 11010. Im zweiten Schritt wird diese Binärzahl dann mit einer zufälligen Zahlenfolge verschlüsselt, ähnlich wie beim Werfen einer Münze, wobei Kopf bedeutet, dass die Ziffer gleich bleibt, und Zahl bedeutet, dass die Ziffer von 1 auf 0 oder von 0 auf 1 geändert wird. Der verschlüsselte Text und die zufällige Zahlenfolge werden dann getrennt über unabhängige Kommunikationskanäle übertragen. Die empfangende Person kann im Anschluss mit Hilfe von EMC² beide Nachrichtenteile wieder zusammenfügen und so den Klartext entschlüsseln. Dieses System fügt eine zusätzliche Sicherheitsebene hinzu, die sicherstellt, dass die Vertraulichkeit einer Nachricht gewahrt bleibt, solange Angreifende nicht alle Teile einer Nachricht abfangen.
Anbieterunabhängige Sicherheit
Techniken wie EMC² sind besonders relevant für sensible Berufsgruppen wie Jurist*innen, bei denen Vertraulichkeit an erster Stelle steht. Ziel der Forschenden ist es deshalb nicht, damit bestehende Messaging-Apps wie Signal zu ersetzen, sondern vielmehr die Sicherheit sensibler Nachrichten zu erhöhen. Das im Rahmen der Forschung entstandene Werkzeug steht Interessierten nun auf einer zur Verfügung zusammen mit einem Video, das den Ablauf allgemeinverständlich erklärt. Die Lösung ist unabhängig von einzelnen Dienstleistern, erfordert keine Registrierung oder Einrichtung, ist gut verständlich und kann über bestehende Kommunikationskanäle genutzt werden. Darüber hinaus stärkt die vorgeschlagene Methode das Argument gegen staatlich erzwungene Hintertüren in Messaging-Apps, indem sie deren Unwirksamkeit demonstriert. Webseite zum Ausprobieren
Die Forschungsarbeit wurde am 14. Oktober 2024 auf dem Workshop on Privacy in the Electronic Society (WPES) während der in Salt Lake City, USA, vorgestellt. Das Forschungsprojekt wurde durch die Deutsche Forschungsgemeinschaft über den Konferenz ACM CCS 2024 und das Sonderforschungsbereich CROSSING sowie durch den Europäischen Forschungsrat (ERC) über das Graduiertenkolleg Privacy and Trust for Mobile Users gefördert. Projekt Privatsphäre-schützende Dienste im Internet (PSOTI)
Publikation
Gowri R Chandran, Kilian Demuth, Kasra Edalatnejad, Sebastian Linsner, Christian Reuter, and Thomas Schneider. Encrypted MultiChannel Communication (EMC2): Johnny should use secret sharing. In 23. Workshop on Privacy in the Electronic Society (WPES'24), ACM, Salt Lake City, USA, October 14, 2024. Short paper.