Spione werden ausgesperrt
Mit diesem Verfahren schützt der Nachrichten-Dienst Whatsapp die Kommunikation seiner Nutzer
Es war für viele eine positive Überraschung: Der in Deutschland besonders beliebte Nachrichten-Dienst Whatsapp erhöht die Datensicherheit. Der Textaustausch wird verschlüsselt. Dazu braucht der Nutzer nichts weiter zu tun, als die aktuellste Version herunterzuladen. Doch welches Konzept steckt hinter dem Angebot?
Saarbrücken. Der Ausdruck Ende-zu-Ende-Verschlüsselung ist eines jener ungelenken Wortungetüme, die häufig beim Versuch entstehen, Fachbegriffe aus der englischsprachigen Welt des Internets ins Deutsche zu übersetzen. Dennoch ist er momentan in aller Munde, zumindest bei Menschen, die sich mit dem Internet befassen. Denn die Kommunikationsplattform Whatsapp hat das Verfahren für ihr Online-Angebot eingeführt.
Ende-zu-Ende heißt dabei: von Gerät zu Gerät. Also vom Smartphone, Tablet oder Laptop eines Senders zum Gegenstück eines Empfängers. Auf diesen „Endgeräten“liegen Botschaften, die sich Kommunikationspartner zusenden, im Klartext vor. Aber in der „Zwischen“-Welt des „Netzes“(also dem Internet), dort wo ungebetene Dritte die Nachricht abgreifen und mitlesen könnten, kursiert nur ein unverständliches Zeichen-Wirrwarr. Verstehen kann es nur, wer den richtigen Schlüssel dazu hat.
Schon seit der Antike werden Schlüssel genutzt, um Nachrichten zu codieren beziehungsweise zu chiffrieren – sie also für fremde Augen unlesbar zu machen. Dabei wird eine sinnvolle Zeichenfolge – etwa ein Satz – in eine vordergründig unsinnige Zeichensequenz verwandelt. Dies geschieht mit Hilfe eines Verfahrens, das jedem Einzelzeichen – also etwa den Buchstaben der Wörter des Satzes – ein anderes Zeichen zuweist. Damit das wirklich sicher ist, muss der Schlüssel mehrere Bedingungen erfüllen, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärt: Er muss erstens mindestens so lang sein, wie die zu verschlüsselnde Botschaft, zweitens muss er zufällig sein und drittens darf er nur ein einziges Mal verwendet werden.
Verfahren, die diese Bedingungen erfüllen, gelten auch heute noch als sicher. In der Praxis bringen sie allerdings gravierende Probleme mit sich. Angesichts der Datenflut, welche die digitale Kommunikation erzeugt, sei diese Methode schon aufgrund der Länge des Schlüsselmaterials ineffizient, erklärt das BSI. Und eine passgenaue, „symmetrische“Verteilung, die den Kommunikationspartnern – und nur diesen – den richtigen Schlüssel an die Hand gibt, sei nahezu unmöglich.
Zudem sei das Verfahren sehr ineffizient, erklärt Stefan Nürnberger vom Saarbrücker Zentrum für IT-Sicherheit (Cispa): „Da man wie bei Schlüsseln in der physischen Welt vermeiden möchte, dass zwei Kommunikationspartner denselben haben, bräuchte man sehr viel mehr Schlüssel als Kommunikationspartner.“
Mit Beginn des Computerzeitalters in der zweiten Hälfte des vorigen Jahrhunderts wurde darum das Prinzip der asymmetrischen Verschlüsselung entwickelt. Sie beruht auf zwei Schlüsseln: einem öffentlichen und einem privaten. Solche Schlüsselpaare ergänzen einander.
Ein sicheres Verfahren Der öffentliche Schlüssel lässt sich leicht verbreiten und garantiert damit einen großflächigen Einsatz des Verfahrens, erklärt das BSI. Der private Schlüssel befindet sich hingegen ausschließlich auf dem Gerät des Empfängers. Er sorgt dafür, dass tatsächlich nur der Adressat einer Nachricht die Botschaft lesen kann.
Kai Nürnberger vergleicht die asymmetrische Verschlüsselung mit einem Vorhängeschloss: „Jeder kann es ohne Schlüssel zudrücken, aber nur derjenige mit passendem Schlüssel wieder öffnen.“
Das von Whatsapp verwendete Verfahren ist eine Weiterentwicklung dieses Prinzips, die sogar mit mehreren öffentlichen und privaten Schlüsseln arbeitet. Ein Test des IT-Fachportals „heise Security“kommt zu dem Ergebnis, dass die Firma damit hält, was sie verspricht: Die über den Dienst gesendeten Nachrichten sind für Dritte nicht einsehbar. Wichtig ist allerdings auch zu wissen, was Whatsapp nicht verspricht: Sogenannte Meta-Daten, welche Auskunft etwa über den Standort des Nutzers, seine Kommunikationspartner und die Häufigkeit seiner Aktivitäten geben, werden weiterhin gesammelt.