Connect with us

Wie man

Warum die meisten Webdienste keine Ende-zu-Ende-Verschlüsselung verwenden

Die vielen Möglichkeiten, wie Websites Sie online verfolgen

Jüngste Enthüllungen über staatliche Überwachung haben die Frage aufgeworfen: Warum verschlüsseln Cloud-Dienste Ihre Daten nicht? Nun, im Allgemeinen verschlüsseln sie Ihre Daten, aber sie haben den Schlüssel, damit sie sie jederzeit entschlüsseln können.

Die eigentliche Frage ist: Warum verschlüsseln und entschlüsseln Webdienste Ihre Daten nicht lokal, sodass sie in einer verschlüsselten Form gespeichert sind, die niemand ausspionieren kann? LastPass macht dies schließlich mit Ihrer Passwortdatenbank.

Wie sich die Ende-zu-Ende-Verschlüsselung unterscheiden würde

Um es klarzustellen, Ihre Daten sind wahrscheinlich verschlüsselt. Nehmen wir zum Beispiel Dropbox. Wenn Sie eine Verbindung zu Dropbox herstellen, überträgt Dropbox alle Daten über eine verschlüsselte Verbindung, sodass niemand sie während der Übertragung ausspionieren kann. Dropbox verspricht außerdem, dass sie Ihre Dateien verschlüsselt auf ihren Servern speichern.

Verschlüsselung ist jedoch ein Schloss, und es ist weniger wichtig, ob etwas verschlossen ist, als wer den Schlüssel hat. Dropbox verfügt über den Verschlüsselungsschlüssel, um alle Ihre Dateien auf ihren Servern anzuzeigen. Es ist also wahr, dass es verschlüsselt ist, aber es stimmt auch, dass Dropbox vollen Zugriff darauf hat und dass sie mit der staatlichen Überwachung zusammenarbeiten könnten oder ein Schurkenmitarbeiter Ihre Dateien durchschnüffeln könnte.

Die Idee der „End-to-End-Verschlüsselung“ – man könnte sie auch als „lokale Verschlüsselung und Entschlüsselung“ bezeichnen – ist anders. Bei der Ende-zu-Ende-Verschlüsselung werden die Daten nur an den Endpunkten entschlüsselt. Mit anderen Worten, eine mit End-to-End-Verschlüsselung gesendete E-Mail würde an der Quelle verschlüsselt, während der Übertragung für Dienstanbieter wie Gmail unlesbar und dann am Endpunkt entschlüsselt. Entscheidend ist, dass die E-Mail nur für den Endbenutzer auf seinem Computer entschlüsselt wird und in verschlüsselter, unlesbarer Form für einen E-Mail-Dienst wie Gmail verbleibt, der nicht über die Schlüssel zum Entschlüsseln verfügt. Dies ist viel schwieriger.

Download und lokale Entschlüsselung

Wie oben erwähnt, verwendet LastPass lokale Verschlüsselung und Entschlüsselung über Ihren Webbrowser. Es lädt einen verschlüsselten Blob herunter, der Ihre Passwörter enthält, entschlüsselt ihn mit Ihrem Passwort und ermöglicht Ihnen den Zugriff auf Ihre Passwörter. Beachten Sie, dass LastPass Ihren gesamten Tresor mit Passwörtern und anderen Daten herunterladen muss, um ihn zu entschlüsseln. Im Fall von LastPass funktioniert dies gut – es ist eine ziemlich kleine Datei.

Bei anderen Webdiensten wäre dies jedoch nicht annähernd so einfach. Wenn Gmail beispielsweise ähnlich funktioniert, müsste Gmail eine Datei mit Ihrem gesamten 5-GB-E-Mail-Posteingang auf Ihren Computer herunterladen. Es könnte dafür vielleicht die LocalStorage-Spezifikation von HTML5 verwenden, wenn LocalStorage mehr Daten speichern könnte. Diese Datei müsste dann lokal entschlüsselt werden, um den Zugriff auf Ihren E-Mail-Posteingang zu ermöglichen, was eine Weile dauern würde.

Es ist möglich, dass Gmail dies anders macht, mit einer separaten Datei, die jede neue, verschlüsselte E-Mail darstellt. Die Architektur eines E-Mail-Clients auf diese Weise ist jedoch viel komplexer.

Dies wäre heute eigentlich mehr oder weniger unmöglich – LocalStorage ist in gängigen Browsern oft auf 5 MB oder weniger pro Website beschränkt. Die Spezifikation besagt, dass Benutzer in der Lage sein sollten, dieses Limit zu erhöhen, wenn sie möchten, aber nur wenige Browser implementieren dies.

Keine sicheren Web-Apps

Cloud-Speicherdienste wie SpiderOak und Wuala unterscheiden sich von Dropbox – sie bieten eine vollständige lokale Verschlüsselung und Entschlüsselung. Installieren Sie das Desktop-Programm für SpiderOak oder Wuala und sie werden Ihre Dateien vor dem Hochladen verschlüsseln, sodass der Dienst selbst nie weiß, was Sie speichern, und ein Verschlüsselungsschlüssel erforderlich ist, um darauf zuzugreifen.

Diese Dienste unterscheiden sich jedoch auch in anderer Hinsicht von Dropbox – sie fördern nicht die Verwendung einer Weboberfläche für den einfachen Zugriff. Für Dropbox ist es einfach, eine Web-App bereitzustellen, mit der Sie auf Ihre Dateien zugreifen können, da sie diese Dateien versteht. SpiderOak und Wuala verstehen nicht, was Sie speichern, daher ist es für sie viel einfacher, alle verschlüsselten Blobs mit Ihrem Desktop-Programm herunterzuladen und dem Desktop-Programm die harte Arbeit zu überlassen.

Diese Dienste müssten es Ihnen ermöglichen, die verschlüsselten Dateinamen zu entschlüsseln und zu verstehen, die verschlüsselte Datei in Ihren Browser herunterzuladen (möglicherweise über LocalStorage), einen Entschlüsselungsalgorithmus zu verwenden, um sie lokal zu entschlüsseln, und Sie dann auffordern, sie auf Ihrem Computer zu speichern. Aufgrund der Einschränkungen von LocalStorage wäre dies in der Praxis nicht möglich.

SpiderOak bietet tatsächlich eine Web-App an, obwohl sie davon abraten, sie zu verwenden, da sie Ihren SpiderOak-Verschlüsselungsschlüssel im Speicher auf ihren Servern speichern muss, während Sie auf Ihre Dateien zugreifen. Sie sagen, dass sie es aufgrund einer „überwältigenden Kundennachfrage“ anbieten – selbst bei einem Dienst, der am besten für seine Verschlüsselung und Sicherheit bekannt ist, verlangen die Kunden überwiegend bequemere, unsicherere Optionen.

Keine Spamfilterung, Suche und andere intelligente Funktionen

Dienste wie Gmail sind etwas Besonderes, da sie zusätzliche Dienste bereitstellen, anstatt nur eine Box zu sein, in der alle Ihre E-Mails gespeichert sind. Gmail untersucht beispielsweise eingehende E-Mails und führt einen Spamfilter gegen sie aus, um festzustellen, ob es sich um Junk-E-Mails handelt. Gmail indiziert Ihre E-Mails, damit Sie sie schnell durchsuchen können. Gmail untersucht den Inhalt einer E-Mail teilweise, um festzustellen, ob er wichtig ist, und ermöglicht Ihnen die Einrichtung von Filtern, die basierend auf dem Inhalt einer E-Mail automatisch Aktionen ausführen.

Alle diese Funktionen basieren darauf, dass Gmail – und Google – Ihre E-Mails verstehen und darauf zugreifen können. Wenn sie keinen Zugriff hatten, konnten sie keine Spamfilterung durchführen, das Filtern von E-Mails basierend auf ihrem Inhalt nicht aktivieren oder Ihnen erlauben, Ihren Posteingang zu durchsuchen. Viele der wichtigsten Funktionen hängen also davon ab, dass der Dienst Zugriff auf Ihre Dateien hat.

Keine Passwortwiederherstellung

Die meisten Onlinedienste bieten Mechanismen zur Passwortwiederherstellung an. Für eine wirklich sichere lokale Verschlüsselung kann es jedoch keinen Mechanismus zur Kennwortwiederherstellung geben. Sie haben Ihren Verschlüsselungsschlüssel, der Ihre Dateien entschlüsselt. Wenn Sie den Zugriff auf diesen Schlüssel verlieren, können Sie Ihre Dateien nicht entschlüsseln.

Es wäre unmöglich, einen Mechanismus zum Zurücksetzen des Passworts anzubieten, wenn der Dienst nicht den Inhalt der Daten kennt. Dienste können dies jetzt tun, da Ihr Passwort nur eine Möglichkeit ist, sich bei Ihrem Konto zu authentifizieren – es ist kein obligatorischer Code, der den Zugriff auf Ihre Daten ermöglicht. Selbst wenn Dienste problemlos auf eine Ende-zu-Ende-Verschlüsselung umstellen könnten, würde dies ihnen eine Pause verschaffen – viele durchschnittliche Benutzer würden ihre Verschlüsselungsschlüssel vergessen, ihre Daten verlieren, sich beschweren und dann zu einem unverschlüsselten Anbieter wechseln. Der Dienst würde ermutigt, die Verschlüsselung zu lockern.

SpiderOak versucht seinen Benutzern zu helfen, indem es anbietet, ihnen einen Passworthinweis zu senden, den sie bei der Einrichtung des Kontos angegeben haben, aber es kann das Passwort nicht vollständig zurücksetzen. Wenn Sie Ihr Passwort vergessen, sind Ihre Dateien weg, vorausgesetzt, sie sind nicht auf einem lokalen Computer gespeichert.

Sie möchten Ihre Daten verkaufen oder gezielt Werbung schalten

Wir wollen nichts anderes vorgeben: Viele Dienste wollen auch Ihre persönlichen Daten analysieren und damit Geld verdienen. Google scannt Ihre E-Mails und verwendet die Informationen, die sie über Sie haben, um gezielte Anzeigen zu präsentieren, aber zumindest verkaufen sie diese personenbezogenen Daten nicht an andere Unternehmen. Facebook verkauft Ihre personenbezogenen Daten direkt an andere Unternehmen.

Dienste benötigen dafür Zugriff auf Ihre Daten, sodass sie einen Anreiz haben, keine starke Ende-zu-Ende-Verschlüsselung bereitzustellen.

Dies sind bei weitem nicht die einzigen Gründe, warum die lokale Verschlüsselung und Entschlüsselung Ihrer persönlichen Daten für die überwiegende Mehrheit der Cloud-Dienste ein Nichtstarter ist. Wir hoffen, dass es ein wenig Licht in die damit verbundenen schwierigen Probleme gebracht und erklärt hat, warum so viele Ihrer Daten theoretisch für andere Personen lesbar sind. Es gibt möglicherweise einfachere Möglichkeiten, einige Verschlüsselungsfunktionen zu implementieren – zum Beispiel, indem Sie Benutzern erlauben, eine verschlüsselte E-Mail über Gmail zu senden – aber erwarten Sie nicht, dass alles in absehbarer Zeit lokal verschlüsselt und entschlüsselt wird.

Bildnachweis: Andy Roberts auf Flickr

Continue Reading
Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tendencia