Der Messenger Signal hat ein neues Schlüsselaustauschprotokoll für seinen Kommunikationsdienst vorgestellt. „SPQR“ soll Nachrichten auch vor Angreifern mit Quantencomputern schützen und ergänzt das von Signal etablierte Double-Ratchet-Verfahren um eine dritte Komponente, weshalb die Entwickler nun von „Triple Ratchet“ sprechen.

SPQR steht nicht für den Senat und das Volk von Rom, sondern für „Sparse Post-Quantum Ratchet“. Als Post-Quanten-Verfahren bezeichnet man kryptografische Protokolle, die herkömmliche Computer ausführen können, die aber – nach aktuellem Stand der Wissenschaft – auch von Quantencomputern nicht zu knacken sind. Aktuell gibt es zwar keine Quantencomputer, die ansatzweise das Potenzial hätten, übliche Verschlüsselungs- und Signaturverfahren zu attackieren. Aber man fürchtet sich von „Harvest now, decrypt later“-Angriffen. Verschlüsselte Daten könnten heutzutage mitgeschnitten werden, um sie in Zukunft, wenn (und falls) Quantencomputer zur Verfügung stehen, zu entschlüsseln.

Signal nutzt schon seit Längerem das Post-Quanten-Protokoll PQXDH (Post-Quantum Extended Diffie-Hellman), doch dieses dient nur dem initialen Schlüsselaustausch beim Start einer Konversation. SPQR erzeugt dagegen neue Schlüssel in laufender Kommunikation, ähnlich den beiden existierenden „Ratchets“, die jedoch nicht sicher vor Quantencomputern sind.

Schutz vor und nach dem Unglück

Diese „Ratschen“ sind Komponenten des Protokolls, die sich sinnbildlich nur in eine Richtung drehen lassen: Chatteilnehmer können damit laufend neue Schlüssel erzeugen, aus denen sich jedoch keine Rückschlüsse auf ältere Schlüssel ziehen lassen. Dadurch können Angreifer in der Vergangenheit aufgezeichnetes Chiffrat nicht entschlüsseln, selbst wenn sie einen (oder beide) Chatpartner kompromittieren und die aktuellen geheimen Schlüssel erbeuten; eine Eigenschaft, die man „Forward Secrecy“ nennt.

Ferner bieten Signals Ratschen „Post-compromise security“: Weil die Geräte von Gesprächspartnern Schlüssel auch interaktiv aushandeln, kann sich die Kommunikation von der Kompromittierung der Chatteilnehmer erholen und zukünftige Nachrichten wieder sicher verschlüsseln. Der Angreifer fliegt sozusagen aus der Leitung, solange er keinen dauerhaften Zugriff auf die Schlüssel der betroffenen Geräte hat. Eine solche Selbstheilung nach einer temporären Kompromittierung ist unter anderem relevant, wenn Angreifer Backups erbeuten. Diese verschaffen ihnen Zugriff auf die zum Backup-Zeitpunkt genutzten Schlüssel. Damit können sie einige von ihnen aufgezeichnete Nachrichten entschlüsseln, auch wenn die Nachrichten aus den Chats gelöscht und nicht im Backup enthalten sind. Doch weil Signals bisherige „asymmetrische Ratsche“ und in Zukunft auch SPQR in der weitergehenden Konversation neue Schlüssel aushandeln, werden die vom Angreifer erbeuteten Schlüssel irgendwann obsolet. Anschließend ist die Kommunikation wieder sicher.

Geschickt aufgeteilt

SPQR ersetzt die asymmetrische Ratsche nicht, sondern kommt zusätzlich zu ihr. Das liegt unter anderem an einer Hürde, die sehr viele Post-Quanten-Verfahren aufweisen: Ihre Schlüssel sind groß, in Signals Fall über ein Kilobyte. Das ist nicht nur sehr viel im Vergleich zu den 32-Byte-Schlüsseln der klassischen asymmetrischen Ratsche, sondern auch sehr viel im Vergleich zur Größe einer typischen Textnachricht. Daher etabliert SPQR nicht mit jedem Richtungswechsel der Kommunikation sofort einen neuen Schlüssel (wie es die klassische asymmetrische Ratsche macht). Stattdessen verteilt SPQR seine Schlüssel über mehrere Nachrichten und hält so den Overhead gering.

Das Protokoll teilt die Schlüssel allerdings nicht einfach in n Teile, sondern nutzt Erasure Codes, um Schlüsselfragmente zu kodieren. Auf diese Weise kann der Empfänger den neuen Schlüssel nutzen, sobald er n Nachrichten mit Schlüsselteilen empfangen hat, egal welche n Nachrichten es sind. Angreifer können daher neue Schlüssel nicht verhindern, indem sie die meisten Nachrichten passieren lassen, aber beispielsweise jede n-te Nachricht blockieren.

In einseitigen Chats, in denen ein Gesprächspartner sehr viel mehr Nachrichten sendet als der andere, löst aber auch diese Aufteilung nicht alle Probleme: Der schweigsame Partner behindert schnelle Schlüsselwechsel, die der gesprächige Chatter gut gebrauchen könnte. Signal modifiziert daher das zugrundeliegende Post-Quanten-Verfahren ML-KEM 768, damit Gesprächspartner schneller selbst Schlüsselfragmente erzeugen und übertragen können und nicht warten müssen, bis sie alle n Fragmente des Gegenübers erhalten haben. Das resultierende inkrementelle Verfahren nennt Signal „ML-KEM Braid“ und hat es als eigenes Protokoll dokumentiert.

Fehlerfrei ausrollen

SPQR und seine Komponenten sind komplexe Verfahren, deren Sicherheitseigenschaften durch Design- wie auch Implementierungsfehler gestört werden können. Ersteres versucht Signal, durch Peer-Review zu verhindern. Die Entwickler verweisen dazu auf zwei Paper bei den einschlägigen Konferenzen Eurocrypt und USENIX, die Teilaspekte des Protokolls präsentieren. Implementierungsfehler will Signal durch aufwendige formale Verifikation vermeiden: Der in Rust geschriebene Code von SPQR wird kontinuierlich und automatisiert in die Sprache F* übersetzt und dann formal verifiziert. F* ist eine funktionale, „beweisorientierte“ Sprache, die sich gut für automatisierte Beweise eignet. So will Signal bei jedem Update des Codes sichergehen, dass die Software nach wie vor alle Annahmen, Randbedingungen und Garantien von SPQR aufrechterhält.

Außerdem beschreibt Signal im Blogpost zu SPQR, wie das Protokoll verteilt werden soll: Initiale SPQR-Daten verschickt der Messenger so, dass ältere Signal-Versionen, die damit nichts anfangen können, die Daten ignorieren. Allerdings erfasst die etablierte Nachrichtenauthentifizierung sehr wohl die Daten, sodass Angreifer sie nicht einfach entfernen und so den Chat SPQR-frei halten können. Neue Clients erlauben am Beginn einer Konversation ein Downgrade: Wenn der Partner kein SPQR spricht, kommt das Protokoll nicht zum Einsatz. Downgrade-Attacken, die solch ein Verhalten ausnutzen, will Signal vermeiden, indem der Messenger das Downgrade nur bei Beginn einer Konversation erlaubt. Wenn SPQR einmal aktiviert ist, muss es weiter genutzt werden. Wenn SPQR-fähige Clients sich ausreichend weit verbreitet haben, will Signal mit einem weiteren Update die Downgrade-Option entfernen und SPQR für alle Chats erzwingen. Verbleibende Chats ohne SPQR sollen dann archiviert werden.

Viele weitere Details zum Protokoll (und einige letztlich verworfene Ideen) stehen in Signals ausführlichem Blogpost zu SPQR. Auch Forscher der Firma PQShield, die an der Protokollentwicklung beteiligt waren, haben über ihre Arbeit an SPQR gebloggt.

(syt)

Der Messenger-Gigant WhatsApp spricht sich ebenso wie der schweizerische Messenger Threema vehement gegen die Chatkontrolle aus. Am vergangenen Mittwoch hatte schon der Messenger Signal angekündigt, dass er in letzter Konsequenz sogar den europäischen Markt verlassen würde, wenn durch das geplante EU-Gesetz keine private, verschlüsselte Kommunikation mehr möglich sei.

Auch beim Branchen-Riesen WhatsApp teilt man die grundlegende Kritik. Eine Sprecherin von Meta, dem Mutter-Konzern des Messengers, sagte gegenüber netzpolitik.org: „Trotz gegenteiliger Behauptungen untergräbt der neueste Vorschlag der Ratspräsidentschaft der EU nach wie vor die Ende-zu-Ende-Verschlüsselung und gefährdet die Privatsphäre, Freiheit und digitale Sicherheit aller.“ WhatsApp setze sich weiterhin für stärkere Sicherheit ein und sei der Überzeugung, dass Regierungen weltweit dies ebenfalls tun sollten.

„Entschieden gegen Massenüberwachung jeder Form“

In eine ähnliche Richtung argumentiert der Messenger Threema: „Wir sind nach wie vor entschieden gegen Massenüberwachung in jeder Form“, sagt Pressesprecher Philipp Rieger gegenüber netzpolitik.org. „Wie man im physischen Raum vertrauliche Konversationen führen kann, sollte das nach unserem Verständnis auch online möglich sein.“

Das Unternehmen hat seine Position auch in einem Blog-Beitrag dargelegt. Demnach sei Massenüberwachung kein taugliches Mittel zur Kriminalitätsbekämpfung und unvereinbar mit demokratischen Grundsätzen. Darüber hinaus macht Threema auch auf das technologische Sicherheitsrisiko aufmerksam.

Würde die Chatkontrolle gemäß dem aktuellen Vorschlag von Dänemark durchkommen, würde Threema die Ausformulierung nach den Trilog-Verhandlungen abwarten und alle Optionen gründlich prüfen. In diesem Gesetzgebungsschritt versuchen sich EU-Parlament, Kommission und Rat auf einen gemeinsamen Gesetzesentwurf zu einigen. Threema geht davon aus, dass die Chatkontrolle in der gegenwärtig propagierten Form nicht mit EU-Grundrechten vereinbar ist und letzten Endes vom EuGH kassiert werden würde.

Chatkontrolle als Bedrohung für Privatsphäre und Demokratie

Bei der sogenannten Chatkontrolle geht es um eine EU-Verordnung, die sich gegen die Verbreitung von Darstellungen sexuellen Kindesmissbrauchs (sogenannte Kinderpornografie) richten soll. Sie wird seit drei Jahren kontrovers in der EU verhandelt, weil die Verordnung Vorschriften enthält, die Messenger wie WhatsApp, Signal, Threema oder Telegram auf Anordnung verpflichten sollen, Inhalte von Nutzer:innen ohne jeden Verdacht zu durchsuchen.

Dieses Durchleuchten von Dateien würde dazu führen, dass eine verschlüsselte und sichere Kommunikation untergraben wird. Die komplette IT-Fachwelt, führende Sicherheitsforscher, Wissenschaftler:innen aus aller Welt sowie zivilgesellschaftliche Organisationen aller Art lehnen daher die Chatkontrolle als Bedrohung für die Demokratie vehement ab. Außerdem könne die Suche nach Missbrauchsdarstellungen mit wenigen Handgriffen auch auf andere, etwa politisch missliebige Inhalte ausgeweitet werden.

Druck auf Ministerien nötig

Die Bundesregierung wird sich vermutlich vor dem 14. Oktober auf eine Position für die Verhandlungen im EU-Rat einigen. Zur Debatte steht der dänische Vorschlag, der eine verpflichtende Chatkontrolle und Scannen der Inhalte auf den Geräten der Nutzer:innen beinhaltet.

Das Bündnis „Chatkontrolle stoppen“ ruft dazu auf, die im akutellen Schritt relevanten Personen und Organisationen zu kontaktieren. Das sind vor allem die beteiligten Bundesministerien (Innen, Justiz, Digital, Familie) sowie die Fraktionen und Abgeordneten der Regierungsparteien im Bundestag. Am besten wirken direkte E-Mails und Telefonanrufe oder auch rechtzeitig ankommende Briefe. Auf der Website des Bündnisses gibt es Tipps und Adressen, um selbst aktiv zu werden.

Ein Support-Dienstleister für die Messaging- und Social-Media-Plattform Discord ist Opfer eines Cyberangriffs geworden. Dabei sollen Kriminelle auf Kundendaten zugegriffen haben und diese als Druckmittel für eine Erpressung einsetzen.

Hintergründe

In einer Stellungnahme weisen die Discord-Betreiber auf die Attacken hin. Sie versichern, dass davon ausschließlich Kunden betroffen seien, die in Kontakt mit dem Support waren. Demzufolge hätten die Angreifer auch nur auf diesen Kontext betreffende Nutzerdaten Zugriff gehabt. Sie versichern, dass Discord direkt nicht betroffen war. Demzufolge konnten die Angreifer keine Chatnachrichten einsehen.

Die Betreiber stellen klar, den IT-Sicherheitsvorfall mittlerweile im Griff zu haben und betroffene Nutzer zu kontaktieren. Wie viele Opfer konkret betroffen sind, ist derzeit nicht bekannt. Die Verantwortlichen geben an, dass die Angreifer unter anderem Ausweisnummern, IP-Adressen, Nachrichten an den Support und Zahlungsinformationen kopieren konnten. Darunter sollen sich aber keine vollständigen Kreditkartennummern und Passwörter befinden.

Mögliche Folgen der Attacke

Sicherheitsforscher legen nahe, dass die erbeuteten Daten weitreichende Folgen haben können. Schließlich können die Angreifer daraus vergleichsweise überzeugend Phishing-Mails für etwa Kryptowährungsbetrug stricken. Demzufolge sollten Discord-Nutzer E-Mails ab sofort noch kritischer beäugen und nicht auf Links in Mails klicken oder sogar Dateianhänge öffnen. Die Angreifer geben an, den Support-Dienstleister Zendesk attackiert zu haben. Das wurde aber von offizieller Seite bislang nicht bestätigt.

Hinter den Attacken sollen die Cyberkriminellen von Scattered Lapsus$ Hunters stecken. Die wollen sich eigenen Angaben zufolge eigentlich aus dem Cybercrimegeschäft zurückziehen. In der Vergangenheit haben sie unter anderem Jaguar und Marks & Spencer erfolgreich attackiert und Schäden in Millionenhöhe verursacht.

(des)