Das Bündnis „Chatkontrolle stoppen“ hat kurzfristig eine Petition gegen die Chatkontrolle gestartet. Sie richtet sich an Bundeskanzler Friedrich Merz sowie Innenminister Alexander Dobrindt, Justizministerin Stefanie Hubig sowie Digitalminister Karsten Wildberger. Die Bundesregierung soll laut Informationen von netzpolitik.org und D64 am Dienstag über die deutsche Position zur Chatkontrolle entscheiden. Über die Chatkontrolle soll am 14. Oktober in Brüssel im EU-Rat abgestimmt werden. Bislang hatte Deutschland nicht zugestimmt, das ist nun jedoch unsicher.

In der Petition heißt es unter anderem:

Wir fordern die Bundesregierung auf, die Chatkontrolle im EU-Rat klar abzulehnen. Sie muss verhindern, dass alle unsere privaten Nachrichten zukünftig ohne jeden Verdacht durchsucht werden dürfen. Deutschland muss am 14. Oktober mit „Nein“ stimmen und aktiv für den Schutz von Verschlüsselung eintreten. Die Chatkontrolle ist ein Angriff auf die Privatsphäre, auf sichere Kommunikation und auf die Grundprinzipien unseres demokratischen Rechtsstaats.

Mit der Chatkontrolle gäbe es keine vertrauliche Kommunikation mehr, so die zivilgesellschaftlichen Organisationen in der Petition. „Jede private Nachricht an Freund*innen, jedes Familienfoto, jedes Gespräch über Gesundheit, Politik oder intime Themen wird automatisiert gescannt.“ Was heute noch privat sei, würde morgen von Algorithmen ausgewertet. Dabei warnen die Initiatoren der Petition vor ungenauen Algorithmen, wodurch auch auch unproblematische Materialien an Strafverfolgungsbehörden weitergeleitet werden könnten.

Warum ist Chatkontrolle so gefährlich für uns alle?

Seit Jahren reden sich Hunderte von IT-Expertinnen und Sicherheitsforschern, Juristinnen, Datenschützern, Digitalorganisationen, Tech-Unternehmen, Messengern, UN-Vertretern, Kinderschützern, Wächterinnen der Internetstandards, Wissenschaftlerinnen weltweit den Mund gegen die Chatkontrolle fusselig.

Eine unglaubliche Breite der Zivilgesellschaft lehnt die Chatkontrolle ab, weil sie die größte und gefährlichste Überwachungsmaschine Europas werden würde.

Anruf- und Mailkampagne gegen die Chatkontrolle

Das Bündnis „Chatkontrolle stoppen“ ruft zudem dazu auf, die relevanten Personen und Organisationen zu kontaktieren. Das sind vor allem die beteiligten Bundesministerien sowie die Fraktionen und Abgeordneten der Regierungsparteien im Bundestag. Am besten wirken direkte E-Mails und Telefonanrufe, oder auch rechtzeitig ankommende Briefe. Auf der Webseite des Bündnisses gibt es Tipps und Adressen, um selbst aktiv zu werden.

Der Messenger Signal hat ein neues Schlüsselaustauschprotokoll für seinen Kommunikationsdienst vorgestellt. „SPQR“ soll Nachrichten auch vor Angreifern mit Quantencomputern schützen und ergänzt das von Signal etablierte Double-Ratchet-Verfahren um eine dritte Komponente, weshalb die Entwickler nun von „Triple Ratchet“ sprechen.

SPQR steht nicht für den Senat und das Volk von Rom, sondern für „Sparse Post-Quantum Ratchet“. Als Post-Quanten-Verfahren bezeichnet man kryptografische Protokolle, die herkömmliche Computer ausführen können, die aber – nach aktuellem Stand der Wissenschaft – auch von Quantencomputern nicht zu knacken sind. Aktuell gibt es zwar keine Quantencomputer, die ansatzweise das Potenzial hätten, übliche Verschlüsselungs- und Signaturverfahren zu attackieren. Aber man fürchtet sich von „Harvest now, decrypt later“-Angriffen. Verschlüsselte Daten könnten heutzutage mitgeschnitten werden, um sie in Zukunft, wenn (und falls) Quantencomputer zur Verfügung stehen, zu entschlüsseln.

Signal nutzt schon seit Längerem das Post-Quanten-Protokoll PQXDH (Post-Quantum Extended Diffie-Hellman), doch dieses dient nur dem initialen Schlüsselaustausch beim Start einer Konversation. SPQR erzeugt dagegen neue Schlüssel in laufender Kommunikation, ähnlich den beiden existierenden „Ratchets“, die jedoch nicht sicher vor Quantencomputern sind.

Schutz vor und nach dem Unglück

Diese „Ratschen“ sind Komponenten des Protokolls, die sich sinnbildlich nur in eine Richtung drehen lassen: Chatteilnehmer können damit laufend neue Schlüssel erzeugen, aus denen sich jedoch keine Rückschlüsse auf ältere Schlüssel ziehen lassen. Dadurch können Angreifer in der Vergangenheit aufgezeichnetes Chiffrat nicht entschlüsseln, selbst wenn sie einen (oder beide) Chatpartner kompromittieren und die aktuellen geheimen Schlüssel erbeuten; eine Eigenschaft, die man „Forward Secrecy“ nennt.

Ferner bieten Signals Ratschen „Post-compromise security“: Weil die Geräte von Gesprächspartnern Schlüssel auch interaktiv aushandeln, kann sich die Kommunikation von der Kompromittierung der Chatteilnehmer erholen und zukünftige Nachrichten wieder sicher verschlüsseln. Der Angreifer fliegt sozusagen aus der Leitung, solange er keinen dauerhaften Zugriff auf die Schlüssel der betroffenen Geräte hat. Eine solche Selbstheilung nach einer temporären Kompromittierung ist unter anderem relevant, wenn Angreifer Backups erbeuten. Diese verschaffen ihnen Zugriff auf die zum Backup-Zeitpunkt genutzten Schlüssel. Damit können sie einige von ihnen aufgezeichnete Nachrichten entschlüsseln, auch wenn die Nachrichten aus den Chats gelöscht und nicht im Backup enthalten sind. Doch weil Signals bisherige „asymmetrische Ratsche“ und in Zukunft auch SPQR in der weitergehenden Konversation neue Schlüssel aushandeln, werden die vom Angreifer erbeuteten Schlüssel irgendwann obsolet. Anschließend ist die Kommunikation wieder sicher.

Geschickt aufgeteilt

SPQR ersetzt die asymmetrische Ratsche nicht, sondern kommt zusätzlich zu ihr. Das liegt unter anderem an einer Hürde, die sehr viele Post-Quanten-Verfahren aufweisen: Ihre Schlüssel sind groß, in Signals Fall über ein Kilobyte. Das ist nicht nur sehr viel im Vergleich zu den 32-Byte-Schlüsseln der klassischen asymmetrischen Ratsche, sondern auch sehr viel im Vergleich zur Größe einer typischen Textnachricht. Daher etabliert SPQR nicht mit jedem Richtungswechsel der Kommunikation sofort einen neuen Schlüssel (wie es die klassische asymmetrische Ratsche macht). Stattdessen verteilt SPQR seine Schlüssel über mehrere Nachrichten und hält so den Overhead gering.

Das Protokoll teilt die Schlüssel allerdings nicht einfach in n Teile, sondern nutzt Erasure Codes, um Schlüsselfragmente zu kodieren. Auf diese Weise kann der Empfänger den neuen Schlüssel nutzen, sobald er n Nachrichten mit Schlüsselteilen empfangen hat, egal welche n Nachrichten es sind. Angreifer können daher neue Schlüssel nicht verhindern, indem sie die meisten Nachrichten passieren lassen, aber beispielsweise jede n-te Nachricht blockieren.

In einseitigen Chats, in denen ein Gesprächspartner sehr viel mehr Nachrichten sendet als der andere, löst aber auch diese Aufteilung nicht alle Probleme: Der schweigsame Partner behindert schnelle Schlüsselwechsel, die der gesprächige Chatter gut gebrauchen könnte. Signal modifiziert daher das zugrundeliegende Post-Quanten-Verfahren ML-KEM 768, damit Gesprächspartner schneller selbst Schlüsselfragmente erzeugen und übertragen können und nicht warten müssen, bis sie alle n Fragmente des Gegenübers erhalten haben. Das resultierende inkrementelle Verfahren nennt Signal „ML-KEM Braid“ und hat es als eigenes Protokoll dokumentiert.

Fehlerfrei ausrollen

SPQR und seine Komponenten sind komplexe Verfahren, deren Sicherheitseigenschaften durch Design- wie auch Implementierungsfehler gestört werden können. Ersteres versucht Signal, durch Peer-Review zu verhindern. Die Entwickler verweisen dazu auf zwei Paper bei den einschlägigen Konferenzen Eurocrypt und USENIX, die Teilaspekte des Protokolls präsentieren. Implementierungsfehler will Signal durch aufwendige formale Verifikation vermeiden: Der in Rust geschriebene Code von SPQR wird kontinuierlich und automatisiert in die Sprache F* übersetzt und dann formal verifiziert. F* ist eine funktionale, „beweisorientierte“ Sprache, die sich gut für automatisierte Beweise eignet. So will Signal bei jedem Update des Codes sichergehen, dass die Software nach wie vor alle Annahmen, Randbedingungen und Garantien von SPQR aufrechterhält.

Außerdem beschreibt Signal im Blogpost zu SPQR, wie das Protokoll verteilt werden soll: Initiale SPQR-Daten verschickt der Messenger so, dass ältere Signal-Versionen, die damit nichts anfangen können, die Daten ignorieren. Allerdings erfasst die etablierte Nachrichtenauthentifizierung sehr wohl die Daten, sodass Angreifer sie nicht einfach entfernen und so den Chat SPQR-frei halten können. Neue Clients erlauben am Beginn einer Konversation ein Downgrade: Wenn der Partner kein SPQR spricht, kommt das Protokoll nicht zum Einsatz. Downgrade-Attacken, die solch ein Verhalten ausnutzen, will Signal vermeiden, indem der Messenger das Downgrade nur bei Beginn einer Konversation erlaubt. Wenn SPQR einmal aktiviert ist, muss es weiter genutzt werden. Wenn SPQR-fähige Clients sich ausreichend weit verbreitet haben, will Signal mit einem weiteren Update die Downgrade-Option entfernen und SPQR für alle Chats erzwingen. Verbleibende Chats ohne SPQR sollen dann archiviert werden.

Viele weitere Details zum Protokoll (und einige letztlich verworfene Ideen) stehen in Signals ausführlichem Blogpost zu SPQR. Auch Forscher der Firma PQShield, die an der Protokollentwicklung beteiligt waren, haben über ihre Arbeit an SPQR gebloggt.

(syt)

Die Laufzeitumgebung für die Spiele-Engine Unity steckt in diversen populären Spielen. Microsoft meldet nun eine schwerwiegende Sicherheitslücke darin, die Angreifern das Ausführen von Schadcode erlaubt. Bis zur Verfügbarkeit von Updates sollen Nutzerinnen und Nutzer betroffene Software deinstallieren, rät der Hersteller.

Microsoft beschreibt die Schwachstelle als „nicht vertrauenswürdigen Suchpfad“, was sich mit der Beschreibung des Herstellers Unity zwar deckt, jedoch laut Fehlerbericht des Schwachstellenentdeckers mit dem Handle RyotaK zu kurz greift. Die Unity-Laufzeitumgebung nutzt demnach Intents zur Kommunikation zwischen Komponenten von Apps, und das anscheinend nicht nur unter Android. Angreifer können bösartige Intents nutzen, um Kommandozeilen-Parameter zu kontrollieren, die an Unity-Apps durchgereicht werden. Dadurch können sie beispielsweise beliebige Bibliotheken laden und Schadcode ausführen. Bösartige Apps auf demselben Gerät wie die Unity-Apps können dadurch die Rechte davon erlangen. Dies sei in manchen Fällen sogar aus dem Internet ausnutzbar (CVE-2025-59489 / EUVD-2025-32292, CVSS 8.4, Risko „hoch„).

Betroffen sind Apps und Spiele, die mit dem Unity Gaming Engine Editor in Version 2017.1 oder neuer erstellt wurden. Allerdings nicht auf allen Plattformen: Während Nutzerinnen und Nutzer unter Android, Linux, macOS und Windows aktiv werden müssen, können sich jene mit Hololens, iOS, Xbox-Cloud-Gaming und XBox-Konsolen entspannt zurücklehnen; letztere sind nicht anfällig.

Jetzt Gegenmaßnahmen ergreifen

Exploit-Code ist laut Microsoft verfügbar. Daher sollten potenziell betroffene Nutzer aktiv werden. Wer verwundbare Microsoft-Apps oder -Spiele einsetzt, sollte diese bis zur Verfügbarkeit eines Updates deinstallieren, empfiehlt der Hersteller. Der arbeitet an Aktualisierungen, nennt jedoch kein geplantes Datum für deren Verfügbarkeit. Entwickler sollen die korrigierte Software von Unity installieren und Updates für ihre Apps oder Spiele so schnell wie möglich veröffentlichen. Neben Spielen sind von Microsoft auch „Mesh PC“-Programme betroffen. Die Version 5.2513.3.0 oder neuer stopft die Sicherheitslücken und soll bereits bei aktiviertem Auto-Update auf betroffenen Maschinen angekommen sein.

Microsoft listet folgende Apps und Spiele als verwundbar auf:

• Microsoft Mesh PC Applications
• Pillars of Eternity
• Hearthstone
• Grounded 2 Artbook
• Zoo Tycoon Friends
• The Elder Scrolls: Legends
• Mighty Doom
• Halo Recruit
• Gears POP!
• Forza Customs
• DOOM II (2019)
• DOOM (2019)
• Wasteland Remastered
• Wasteland 3
• Warcraft Rumble
• The Elder Scrolls: Castles
• The Elder Scrolls: Blades
• The Elder Scrolls IV: Oblivion Remastered Companion App
• The Bard’s Tale Trilogy
• Starfield Companion App
• Pillars of Eternity: Hero Edition
• Pillars of Eternity: Definitive Edition
• Pillars of Eternity II: Deadfire – Ultimate Edition
• Pillars of Eternity II: Deadfire
• Knights and Bikes
• Ghostwide Tokyo Prelude
• Fallout Shelter
• DOOM: Dark Ages Companion App
• Avowed Artbook

In der Tabelle im CVE-Eintrag von Microsoft listet das Unternehmen auch die fehlerkorrigierten Versionen auf. Allerdings ist bislang lediglich für die Mesh-PC-Software ein Update verfügbar. Wer die betroffene Software nutzt, sollte sie daher deinstallieren und im Anschluss regelmäßig prüfen, ob eine Aktualisierung verfügbar ist. Mit neuem Stand können sie die Software dann wieder installieren.

Zuletzt fiel Microsoft mit einer kritischen Entra-ID-Lücke auf. Dadurch waren alle Tenant global kompromittierbar.

(dmk)