US-Behörden fordern SSL-Masterkey von Internet-Firmen
Secure Sockets Layer, besser bekannt als SSL, steht für Verschlüsselung, die täglich beim Online-Banking, bei E-Mails oder als HTTPS im Browser genutzt werden. Wie jetzt bekannt wurde, verlangen US-Strafverfolgungsbehörden wie NSA, CIA und das FBI von Internet-Firmen und Providern die Herausgabe des privaten SSL-Master-Keys.
Google hat HTTPS für Gmail im Jahr 2010 standardmäßig aktiviert, gefolgt von Microsoft's Hotmail. Facebook schaltete im Jahr 2012 die Verschlüsselung ein. Yahoo bietet es als Option an. Das zählt zu den Gründen, wegen denen NSA-Direktor Keith Alexander sich bereits im Frühjahr beim US-Senatskomitee für die Streitkräfte beschwert (PDF) hatte, solchermaßen verschlüsselte Kommunikation sei nahezu unlesbar.
Ein Betroffener, dem Anonymität zugesichert wurde, erklärte CNet gegenüber, dass Regierungsstellen von Internet-Anbietern definitiv einen solchen Master-Key fordern. Ob dieses Vorgehen legal ist, ist dabei noch völlig offen. Mit der Kopie eines solchen Generalschlüssels hätten die Dienste die Möglichkeit, den gesamten Datenverkehr zu den Diensten und Webseiten der jeweiligen Unternehmen zeitnah, wenn nicht gar live, zu entschlüsseln. Damit wären auch die privaten Daten der Nutzer dieser Dienste und Webseiten ein offenes Buch für die Strafverfolger.
Nach Aussagen der Quelle haben große Firmen wie Google oder Yahoo sich geweigert, einen solchen Schlüssel herauszugeben, da keine gesetzliche Grundlage dafür vorliege. Allerdings bestehe der Eindruck, die Behörden hätten es eher auf kleinere Firmen ohne große Rechtsabteilung abgesehen, da dort weniger Widerstand zu erwarten sei.
Ein ehemaliger Mitarbeiter des amerikanischen Justizministeriums sagte sinngemäß, SSL sei in zunehmendem Maße ein Hemmnis für die Strafverfolger, das Internet wandle sich immer mehr zur verschlüsselten Zone. Daher werde die Möglichkeit, hier per Generalschlüssel den Überblick zu behalten, von Regierungsseite als essenziell angesehen.
Allerdings gibt es eine Technik, die auch einen solchen Generalschlüssel wertlos macht. Es geht um Perfect Forward Secrecy (PFS). Google ist die einzige große Firma, die PFS anbietet, Facebook ist derzeit dabei, PFS standardmäßig zu aktivieren. PFS nutzt temporäre Schlüssel, die für jede Websession neu erzeugt werden. Somit kann eine abgefangene Kommunikation nicht per Master-Key entschlüsselt werden. Aber auch PFS ist nicht völlig sicher, der Aufwand für das Entschlüsseln wird lediglich merklich erhöht.
Internetriesen verneinen Auskunft
Auf Nachfrage von CNet wollten weder Google noch Microsoft Auskunft geben, ob sie je mit einer solchen Anfrage seitens der Behörden konfrontiert waren. Ein Sprecher von Microsoft verneinte jedoch die Frage, ob man denn einen solchen Schlüssel auf Anfrage herausgeben würde, und ergänzte, er sehe derzeit auch kein Szenario, in dem das in Frage käme. Google sagte ebenfalls, man habe „nie Schlüssel übergeben“ und prüfe jede Anfrage von Regierungsstellen sehr penibel.
Eine Facebook-Sprecherin gab sich offener und sagte, das Unternehmen habe nie eine solche Anfrage erhalten. Auf die Frage, ob die Preisgabe eines Generalschlüssels in Frage komme, sagte sie: „Wir würden uns gegen ein solches Ansinnen aggressiv zur Wehr setzen.“ Apple, Yahoo, AOL, Verizon, AT&T, Opera Software, Time Warner Cable und Comcast lehnten es ab, Aussagen zu treffen, ob sie Generalschlüssel auf Anforderung an Regierungsstellen übergeben würden.
Die Rechtmäßigkeit des Vorgehens der Behörden, die teilweise mit Strafandrohungen die Herausgebe des Master-Key gefordert haben sollen, ist indes bei Juristen alles andere als unumstritten, wie Jeniffer Granick von der Stanford University ausführt: „Das ist eine derzeit nicht klar zu beantwortende Frage. Es ist nicht klar, ob das erzwungen werden kann.“ Kurt Opsahl, Anwalt bei der Electronic Frontier Foundation (EFF), geht davon aus, dass nicht einmal eine FISA-Order zur Herausgabe eines solchen Schlüssels ausreiche. „Die Mitarbeit, zu der ein Unternehmen verpflichtet werden kann, hat Grenzen“, meint der Experte.
Im Nachhinein hat sich ein Sprecher von Opera Fastmail wie folgt geäußert: „Unser Verständnis ist, dass uns das Gesetz verbietet, unseren SSL-Schlüssel aus der Hand zu geben. Falls wir eine solche Anfrage erhalten sollten, würden wir aus ethischen und juristischen Gründen die Herausgabe verweigern. Die Herausgabe des Master-Key käme dem Ausspähen unserer Nutzer gleich, was eindeutig illegal wäre.“
Wie CNet am Donnerstag ergänzend berichtete, verlangen Geheimdienste und Strafverfolger von Firmen in den USA nicht nur die Herausgabe von SSL-Master-Schlüsseln sondern, wie Betroffene berichteten, auch die von den Kunden gespeicherten und üblicherweise verschlüsselten Passwörter. Dabei verlangen die Behörden nicht nur das Passwort, sondern auch den Verschlüsselungs-Algorithmus inklusive Salt.