SPQR-Verschlüsselung, Signal
SPQR-Verschlüsselung, Signal
Bildquelle: Signal Blog

SPQR-Verschlüsselung von Signal soll für Quantencomputer unknackbar sein

Keine guten Nachrichten für Geheimdienste! Der Messenger Signal wird bald die SPQR-Verschlüsselung (Sparse Post Quantum Ratchet) einführen.

Die SPQR-Verschlüsselung ist ein neues Upgrade des bisherigen Protokolls, das eine quantensichere Kryptografie in das bestehende Double Ratchet-Protokoll integrieren wird. Das Ergebnis, das Signal als Triple Ratchet bezeichnet, macht es selbst für künftige Quantencomputer viel schwieriger, private Chats zu knacken. Die Änderung will man unbemerkt im Hintergrund durchführen. Die Nutzer müssen für das Update nichts unternehmen. Sobald die neue Verschlüsselung vollständig eingeführt ist, werden die Nachrichten selbst für Gegner mit Quantenrechnern unbrauchbar.

Diverse Messenger nutzen das bisherige Signal-Protokoll

Das derzeit noch angewendete Signal-Protokoll ist eine Reihe von kryptografischen Spezifikationen, die eine Ende-zu-Ende-Verschlüsselung für private Kommunikationen ermöglicht. Diese Kryptografie nutzen täglich Milliarden von Menschen auf der ganzen Welt. Nach dessen Veröffentlichung im Jahr 2013 hat dieses Open-Source-Signal-Protokoll nicht nur die App von Signal, sondern auch andere wichtige Messaging-Produkte übernommen. Dazu gehört der verschlüsselte Chat von Facebook und die Kommunikation von WhatsApp, ehemals Skype und von Google Messages.

An der Bedienung der App wird sich nichts ändern

Für die Signal-Nutzer ändert sich hinsichtlich der Nutzung ihrer App nichts. Die gemeinnützige Organisation arbeitete mit Forschern zusammen und verwendete formale Verifizierungswerkzeuge, um die Sicherheit des neuen Protokolls zu beweisen. Signal kündigt die neue Verschlüsselung in einem aktuellen Blogbeitrag an. Beim Signal-Protokoll geht es jedoch nicht nur darum, kryptografisches Material und Schlüssel zu Beginn eines neuen Chats oder Telefonats zu schützen, sondern auch darum, Schäden zu minimieren und Kompromittierungen im Laufe der Unterhaltung zu beheben. Das ist auch der Grund, warum der Dienst schon mehrfach angekündigt hat, man werde sich komplett aus allen europäischen Ländern zurückziehen, sollte die EU tatsächlich die umstrittene Chatkontrolle einführen. In dem Fall müsste Signal den Behörden eine Hintertür in ihre Software einbauen, was eine private Kommunikation schlichtweg unmöglich macht.

Signal

Authentifizierungscode soll Kommunikation zusätzlich schützen

Das Protokoll erlaubt übrigens auch die Kommunikation mit Geräten, die diese Kryptographie mangels Update noch nicht beherrschen. Um Missbrauch zu verhindern, fügt man der Nachricht einen Authentifizierungscode inklusive der MAC-Adresse hinzu, die man weder unbemerkt verändern noch löschen kann. Zudem unterbindet das Protokoll nach der ersten Aushandlung der Kryptografie beider Gesprächspartner zu Beginn der Kommunikation eine Veränderung der verwendeten Verschlüsselung.

Die neue SPQR-Verschlüsselung wird künftig erzwungen

Bei langfristigen Chats wird Signal eine Codeänderung einführen, die eine SPQR-Verschlüsselung für alle Sitzungen erzwingt. Die alten Sitzungen archiviert die Software automatisch, die diesen Schutz noch nicht haben. Die Organisation ist zuversichtlich, dass man nach der vollständigen Einführung mit Zuversicht behaupten kann, dass SPQR zur Sicherheit aller Gesprächsteilnehmer vollständig abgedeckt ist.

Ist dies wirklich das letzte Update der Kryptografie?

Für Fachleute wirft die Maßnahme die Frage auf, ob die Umstellung noch immer ausreichen wird, wenn groß angelegte Quantencomputer auf den Markt kommen. Oder muss die Organisation dann die sichere Nachrichtenübermittlung erneut weiterentwickeln? Man wird sehen…

Im Interview mit tarnkappe.info sagte Signal-CEO Meredith Whitaker, sie könne zwar keine Aussage dazu machen, wie das Internet in 10 Jahren aussehen oder ob man es dann noch so bezeichnen wird. Aber man werde den hohen Ansprüchen und „Datenschutzversprechen treu bleiben und seine starke Verschlüsselung nicht gefährden, was auch immer passiert„. Die Umstellung auf die starke SPQR-Verschlüsselung erscheint in diesem Zusammenhang nur logisch zu sein.

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Früher brachte Ghandy, wie er sich in der Szene nennt, an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmerinnen und Teilnehmern bei, wie das Internet funktioniert. In seiner Freizeit geht er am liebsten mit seinem Hund spazieren.