Keine guten Nachrichten für Geheimdienste! Der Messenger Signal wird bald die SPQR-Verschlüsselung (Sparse Post Quantum Ratchet) einführen.
Die SPQR-Verschlüsselung ist ein neues Upgrade des bisherigen Protokolls, das eine quantensichere Kryptografie in das bestehende Double Ratchet-Protokoll integrieren wird. Das Ergebnis, das Signal als Triple Ratchet bezeichnet, macht es selbst für künftige Quantencomputer viel schwieriger, private Chats zu knacken. Die Änderung will man unbemerkt im Hintergrund durchführen. Die Nutzer müssen für das Update nichts unternehmen. Sobald die neue Verschlüsselung vollständig eingeführt ist, werden die Nachrichten selbst für Gegner mit Quantenrechnern unbrauchbar.
Diverse Messenger nutzen das bisherige Signal-Protokoll
Das derzeit noch angewendete Signal-Protokoll ist eine Reihe von kryptografischen Spezifikationen, die eine Ende-zu-Ende-Verschlüsselung für private Kommunikationen ermöglicht. Diese Kryptografie nutzen täglich Milliarden von Menschen auf der ganzen Welt. Nach dessen Veröffentlichung im Jahr 2013 hat dieses Open-Source-Signal-Protokoll nicht nur die App von Signal, sondern auch andere wichtige Messaging-Produkte übernommen. Dazu gehört der verschlüsselte Chat von Facebook und die Kommunikation von WhatsApp, ehemals Skype und von Google Messages.
An der Bedienung der App wird sich nichts ändern
Für die Signal-Nutzer ändert sich hinsichtlich der Nutzung ihrer App nichts. Die gemeinnützige Organisation arbeitete mit Forschern zusammen und verwendete formale Verifizierungswerkzeuge, um die Sicherheit des neuen Protokolls zu beweisen. Signal kündigt die neue Verschlüsselung in einem aktuellen Blogbeitrag an. Beim Signal-Protokoll geht es jedoch nicht nur darum, kryptografisches Material und Schlüssel zu Beginn eines neuen Chats oder Telefonats zu schützen, sondern auch darum, Schäden zu minimieren und Kompromittierungen im Laufe der Unterhaltung zu beheben. Das ist auch der Grund, warum der Dienst schon mehrfach angekündigt hat, man werde sich komplett aus allen europäischen Ländern zurückziehen, sollte die EU tatsächlich die umstrittene Chatkontrolle einführen. In dem Fall müsste Signal den Behörden eine Hintertür in ihre Software einbauen, was eine private Kommunikation schlichtweg unmöglich macht.
Authentifizierungscode soll Kommunikation zusätzlich schützen
Das Protokoll erlaubt übrigens auch die Kommunikation mit Geräten, die diese Kryptographie mangels Update noch nicht beherrschen. Um Missbrauch zu verhindern, fügt man der Nachricht einen Authentifizierungscode inklusive der MAC-Adresse hinzu, die man weder unbemerkt verändern noch löschen kann. Zudem unterbindet das Protokoll nach der ersten Aushandlung der Kryptografie beider Gesprächspartner zu Beginn der Kommunikation eine Veränderung der verwendeten Verschlüsselung.
Die neue SPQR-Verschlüsselung wird künftig erzwungen
Bei langfristigen Chats wird Signal eine Codeänderung einführen, die eine SPQR-Verschlüsselung für alle Sitzungen erzwingt. Die alten Sitzungen archiviert die Software automatisch, die diesen Schutz noch nicht haben. Die Organisation ist zuversichtlich, dass man nach der vollständigen Einführung mit Zuversicht behaupten kann, dass SPQR zur Sicherheit aller Gesprächsteilnehmer vollständig abgedeckt ist.
Ist dies wirklich das letzte Update der Kryptografie?
Für Fachleute wirft die Maßnahme die Frage auf, ob die Umstellung noch immer ausreichen wird, wenn groß angelegte Quantencomputer auf den Markt kommen. Oder muss die Organisation dann die sichere Nachrichtenübermittlung erneut weiterentwickeln? Man wird sehen…
Im Interview mit tarnkappe.info sagte Signal-CEO Meredith Whitaker, sie könne zwar keine Aussage dazu machen, wie das Internet in 10 Jahren aussehen oder ob man es dann noch so bezeichnen wird. Aber man werde den hohen Ansprüchen und „Datenschutzversprechen treu bleiben und seine starke Verschlüsselung nicht gefährden, was auch immer passiert„. Die Umstellung auf die starke SPQR-Verschlüsselung erscheint in diesem Zusammenhang nur logisch zu sein.