US-Strafverfolgungsbehörden fordern Master-Keys für SSL von Unternehmen

SSL ist eine beliebte Verschlüsselungstechnik im Internet, wenn es darum geht verschlüsselte Verbindungen aufzubauen. Einsatz findet SSL deshalb zum Beispiel im Online-Banking aber auch beim Versand von E-Mails. Bisher galt die Verschlüsselung mittels SSL als sicher. Möglichweise ist damit ab sofort Schluss. Wie CNET berichtet, setzen amerikanische Strafverfolgungsbehörden wie die NSA, CIA oder das FBI Unternehmen unter Druck, ihnen die Master-Keys für die SSL-Verschlüsselungen ihrer Verbindungen auszuhändigen. Mit diesem Master-Keys hätten die Behörden die Möglichkeit den kompletten Datenverkehr zu entsprechenden Diensten und Webseiten der Unternehmen zu entschlüsseln.

Solch ein Master-Key kann mit einem Generalschlüssel verglichen werden. Jeder Anbieter eines Dienstes im Internet besitzt solch einen Schlüssel, mit dem jegliche Kommunikation zu seinen Diensten gesichert wird. Gerät dieser Schlüssel in falsche Hände, ist demnach die gesamte Kommunikation gefährdet. Die großen Internetkonzerne hätten die Herausgabe ihrer Schlüssel bisher mit der Begründung fehlender rechtlicher Grundlagen verweigert, doch eine Person die angeblich von der Regierung nach einem SSL Master-Key gefragt wurde, sagt gegenüber CNET, dass es die Regierung auf kleinere Unternehmen abgesehen hätte, die nicht die Kraft hätten sich zu wehren:

„The government is definitely demanding SSL keys from providers“ […]. The person said that large Internet companies have resisted the requests on the grounds that they go beyond what the law permits, but voiced concern that smaller companies without well-staffed legal departments might be less willing to put up a fight. „I believe the government is beating up on the little guys,“ the person said. „The government’s view is that anything we can think of, we can compel you to do.“


Ein ehemaliger Mitarbeiter des amerikanischen Justizministeriums sagte, dass dieser Schritt notwendig sei, da immer mehr Kommunikation im Internet über verschlüsselte Verbindungen ablaufe:

„The requests are coming because the Internet is very rapidly changing to an encrypted model,“ a former Justice Department official said. „SSL has really impacted the capability of U.S. law enforcement. They’re now going to the ultimate application layer provider.“

Ein Mitarbeiter des FBI wollte sich zu diesen Vorwürfen nicht äußern, da das FBI keine genauen „Strategien, Techniken und Anwendungen seiner Arbeit“ nennen könne.

Die großen amerikanischen Internetkonzerne Google und Microsoft sagten auf Anfrage von CNET, dass sie keine Master-Keys an Strafverfolgungsbehörden weitergereicht hätten. Sie wollten jedoch nicht beantworten, ob es jemals Anfragen von Seiten der Behörden gab. Anderer Unternehmen, darunter Facebook, Apple, Yahoo, AOL, Verizon und AT&T wollten sich überhaupt nicht äußern. Ob bisher andere Unternehmen tatsächlich ihre Master-Keys für die SSL-Verschlüsselung an Strafverfolgungsbehörden ausgehändigt haben kann nicht mit Sicherheit gesagt werden. Doch alleine, die Anfrage amerikanischer Unternehmen lässt nichts Gutes vermuten.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

14 Ergänzungen

  1. Was ist mit „Master Key“ gemeint? Der geheime Schlüssel des http-servers? Hätte man diesen könnte man in der Tat alles mithören, was zwischen http-server und client an Daten läuft.

    Sven

  2. Ich finde den Vergleich mit dem „Generalschlüssel“ nicht besonders glücklich.

    Bei den erwähnten „SSL keys“ die die Dienste gerne hätten, kann es ich nur um den privaten (geheimen) Teil des SSL-Schlüsselpaares handeln. Damit könnte man dann SSL-verschlüsselte Sitzungen zu dem entsprechenden Partner entziffern — weil SSL-Sitzungen leider wie meist eingesetzt keine „perfect forward secrecy“ (PFS) bieten.

    PFS ließe sich mit Einsatz von aktuellen SSL-Verfahren aber erreichen. Dann bringt auch der private Schlüssel nichts mehr, zumindest nicht im Nachhinein.

    1. Google setzt genau das ein, von daher wäre selbst der SSL Private Key sinnlos. Andere Anbieter wie MS nutzen diese Technik nicht.

      1. Naja, sinnlos wäre der private key nicht — wenn man eine perfekte man in the middle Attacke durchführen will, ist das praktisch, wenn man den hat. So ließen sich gezielte Späh-Attacken wesentlich einfacher durchführen. Nur halt eben die ex post Entschlüsselung von abgehörten Verbindungen wäre nicht mehr möglich (was schon sehr viel wert ist).

  3. Soll heißen das FBI würde fordern die Herausgabe aller Passwörter, Benutzernamen, Kreditkartennummern, Zugang zu allen Internetservices eines Nutzers/Nutzerin mit denselben Rechten die die Person selbst.

    Die würde doch in der Konsequenz bedeuten einen Zugang zu allen Clouddaten, Serversystemen, selbstverständlich unverschlüsselt, Zugang zu allen FTP-Servern eines Nutzers, Teilweisen Zugang zu VPN-Netzen (Sofern der Account über das Netz mit Standardmethoden eingerichtet wird), Zugang zu jedweden Kommunikationsvorgängen. Zugang zu allen Strom- und Gasanbietern, Telkos und Bankkonten eines Nutzers/einer Nutzerin im privaten, wie im beruflichen Bereich.

    Polizeistaat würde da begrifflich nicht mehr greifen. Totalüberwachung käme dem näher – aber eher entspräche das beschriebene Vorgehen der totalen Kontrolle aller Belange, aller davon direkt !oder indirekt betroffen Menschen, in und außerhalb der Legislative der betreffenden Nation.Viele international genutzte Internetservices finden ihren Platz innerhalb der USAmerikanischen Legislative und Judikative.

    Sollte das Vorgehen auch nur im kleinsten Maß Anwendung finden, ließe sich das durchaus und legitim, ebenso wie der Versuch der Errichtung eines totalitären und absoluten Systems, als Kriegserklärung der jeweiligen Regierung an die eigene Bevölkerung, als auch an die Bevölkerung indirekt davon Betroffener Nationen werten.

    Die Auswirkungen des Faschismus der 30er, 40er und 50er Jahre wären ein Klacks dagegen. Eine Aufklärung in wie weit, oder ob das Verfahren Anwendung findet ist dringend geboten.

    1. Ich stimme Ihnen vollkommen zu, zumal kleinere Bausteine dieses Systems wie Prism z.B. damit gar nicht mehr nötig werden (ausser sich selbst das aggregieren zu sparen, also von bereits „ge-mined-en“ Daten nutzen zu ziehen). Wenn jedwede Kommunikation über SSL Zert. sog. „trusted“ root-Zert.-Aussteller on the fly entschlüsseln lässt, braucht man nur noch einen Hop in der ganzen Verbindung selbst zu komprommitieren (und teilweise werden auch innerdeutsche Anfragen über alle möglichen Umwege geroutet), ohne sich die Daten direkt beim Rezipienten anzufordern (Ich muss an dieser Stelle allerdings anmerken, dass ich mit den genauen Gegebenheiten der Zertifikate nicht vertraut bin, d.h. ob es sich bei ausgestellten Zert. um „Subkeys o.Ä. handelt, werde ich noch nochholen; andernfalls müsste man ja bei jedem Dienstanbieter individuell anfragen).
      Wer garantiert mir, dass mein Provider nicht seine Rechnucherstellung (und dazu llt. Verbindungdaten) an andere Provider weiterleitet, der entweder selber entweder komprommitiert ist oder dieses Daten unverschlüsselt bzw. mit unbrauchbaren Zertifikaten über einen der „Honey-Hops“ ;) weiterleitet? Ich meine vernommen zu haben, dass die Vorratsdatespeicherpropagandisten in AT oder NL ernsthaft erwogen haben, die Daten in der Cloud zu lagern… Da fällt einem echt nicht zu ein.

      Was bei der ganzen Diskussion allerdings meines Erachtens völlig untergeht ist, dass wir (auch im Zuge der Einführung von ipv6) zu einem Internet der Dinge (gebunden an entrechtete, kastrierte OS wie Android etc.) auf eine Art Omnipräsenz des Internets hinsteuern. Spätestens jetzt sollte den Leuten, die sich durch die ganze Debatte nicht betroffen fühlen klar sein, dass sie früher oder später selber auch betroffen sein werden (vernetzter CCTV (staatliche, private), Kühlschränke, bald sicher auch Autos etc.). Google Glass leistet da den Menschen nur einen Bärendienst und ist an sich auch nicht das Problem. Das Problem ist vertrauen. Wenn ich künftig einen Raum betrete (von öffentlichen Plätzen mal ganz abgesehen) muss ich wohl künftig davon ausgehen, dass das iregendjemand zumindest registrieren könnte. Soll ich jetzt jeden Nutzer eines von mir nicht administrierten Systems (wie Handys) (auch Freunde) dazu zwingen, mir diese auszuhändigen und zu tweaken, damit ich sowas ausschließen kann? Alle Geräte auf Backdoor abklopfen? Irrsinn!

      Wir brauchen eine Grundsatzdebatte, Netzaktivisten finden sich schon in Jahren in einer defensiven Position, immer nur auf neue Vorstöße des Etablisments zu reagieren. ACTA, VDS, BDA etc. sind Ausprägungen davon, die teilweise immer wieder gekippt wurden. Mir der schieren Anzahl und der Diversität an Vorstößen von „sicherheitsbewussten“ Politikern allerorts kann man kaum noch mithalten (das eine Programm wird erstmal auf Eis gelegt, zwei neue entstehen, eins bekommt einen neuen Namen (siehe Wahlkampf CDU und VDS)).

  4. Das ist schon beängstigend. Die Energie dahinter lässt erahnen, dass da nichts Gutes vorbereitet werden soll. Und dann, nun, da immer mehr Nutzer verschlüsseln, wirkt es wie eine tiefe Angst vor Kontrollverlust.

    1. Wer das Zertifikat signiert hat ist vollkommen irrelevant, wenn der geheime Schlüssel an Dritte weitergegeben wurde.

      1. Aber genau darum geht es ja, habe ich selbst signiert, habe auch nur ich selbst den Schlüssel. Inwieweit die großen trust-Center den Namen noch verdienen, ist in meinen Augen mehr als zweifelhaft.

      2. Aber wenn ich mir ein Zertifikat ausstellen lasse, dann habe doch auch nur ich den privaten Schlüssel.
        Problem ist nur, dass jemand anderes sich für mich ausgeben kann wenn er den Schlüssel der Root-CA hat.

    2. Das Problem ist auch ein Angreifer kann ein selbst signiertes Zertifikat erstellen. Dem Benutzer ist es unmöglich den Ursprung des Zertifikats zu erkennen.

      Deshalb werden die Zertifikate von „Trusted Authorities“ signiert, deren (selbst signierte) Zertifikate mit dem Betriebssystem ausgeliefert werden.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.