Was ist Ende-zu-Ende-Verschlüsselung und warum ist sie wichtig?
Im letzten Jahrzehnt hat die Informationssicherheit immer mehr an Bedeutung und Bewusstsein gewonnen, wobei einer der Aspekte der Sicherheit darin bestand, sich privat zu unterhalten, und sich archaische Systeme zur Übermittlung klarer Informationen durch ausgefeilte Verschlüsselungsmechanismen entwickelten. End-to-End.
Ende-zu-Ende-Verschlüsselung (E2EE – End-to-End-Verschlüsselung) ist ein Computersicherheitsmechanismus, der die Vertraulichkeit und Integrität von Daten in einer Kommunikation zwischen zwei Parteien über einen potenziell unsicheren Kanal gewährleistet. Dabei werden die Daten an der Quelle verschlüsselt und am Ziel (Client-Client) entschlüsselt, ohne dass dies auf dem Server des Dienstanbieters erfolgt. Dadurch wird sichergestellt, dass ein Dritter die Daten ohne den entsprechenden Entschlüsselungsschlüssel nicht im Klartext abfangen kann. Das asymmetrische Schlüsselpaar [1] wird zwischen dem Absender und dem Empfänger generiert, was bedeutet, dass nur diese beiden Parteien sie haben Zugriff auf die Schlüssel, die zum Entschlüsseln der Daten erforderlich sind. Daher würde der Verlust des Schlüsselpaares den Zugriff auf die übertragenen Nachrichten verhindern.
Ein praktisches Beispiel finden sich in Instant-Messaging-Anwendungen wie Signal, einem Open-Source-Projekt, das eine robuste Extended Triple Diffie-Hellman-Verschlüsselung verwendet [2] oder Post-Quantum Extended Diffie-Hellman [3] Beweis für Quantencomputer. Dadurch ist der Datenschutz aus technischer Sicht gewährleistet, die einzigen verknüpften Daten sind die Telefonnummer. Auch wenn es aus Sicht des Datenschutzes wie eine ideale Anwendung erscheint, liegt ihr größter Nachteil in der eingeschränkten Nutzung. Auch andere bekannte Anwendungen wie WhatsApp basieren auf dem gleichen Schema [4], bei dem die Privatsphäre von Konversationen bleiben erhalten (solange Sie nicht von einem Benutzer [5] gemeldet wurden). Im Gegensatz dazu könnte die große Menge anderer unverschlüsselter Benutzerdaten und Metadaten, die auf seinen Servern gesammelt werden, die Privatsphäre gefährden [Eine andere Architektur, die der Ende-zu-Ende-Verschlüsselung entgegengesetzt ist, ist die Datenverschlüsselung während der Übertragung, die darin besteht, die Nachricht auf der sendenden Seite zu verschlüsseln, sie auf dem Server zu entschlüsseln, sie erneut auf dem Server zu verschlüsseln und schließlich auf der empfangenden Seite zu entschlüsseln ( Client-Server-Client). . Wie das vorherige schützt es die Informationen während der Übertragung, ermöglicht dem zwischengeschalteten Server jedoch die Nutzung der übertragenen Nachrichten [7].
Ein Beispiel für diese Architektur ist die Telegram-Anwendung, bei der private Nachrichten die Cloud nutzen, um die übertragenen Daten zu hosten und zu verarbeiten. Die Anwendung bietet jedoch auch die Möglichkeit, die Kommunikation durch „geheime Nachrichten“ Ende-zu-Ende zu verschlüsseln [8].
Wie man sieht, sind Datenschutztechnologien sehr ausgefeilt, da es trotz der verwendeten Architektur oder Verschlüsselung nicht-technologische Faktoren wie die von Dienstanbietern angebotenen Bedingungen und Verwaltung gibt, die indirekt Einfluss auf die Privatsphäre des Benutzers haben können.
Berücksichtigt man den Aufstieg der E2EE-Verschlüsselung nicht nur im Bereich Instant Messaging mit sehr gemeinsamen Grundfunktionen, sondern auch bei E-Mail, Videokonferenzen und anderen, gibt es einen Wendepunkt, an dem Benutzer mit betrügerischen Absichten die Vorteile ausnutzen könnten der Technologie, illegale Inhalte unerkannt zu übertragen. So sehr, dass staatliche Institutionen Beschränkungen für die Verwendung von End-to-End-Protokollen einführen könnten [9], indem sie bei der massiven Kontrolle illegaler Inhalte durch Schlüsselwörter oder andere Methoden behindert werden, wie es 1993 mit Phil Zimmermann geschah [10] wird wegen der Veröffentlichung von PGP (Pretty Good Privacy i>) untersucht ). Eine mögliche Maßnahme könnte darin bestehen, Technologieunternehmen zu zwingen, an jedem Ende Kontrollmechanismen oder Inhaltsscans vor der Verschlüsselung und Übertragung an den Empfänger zu implementieren, wodurch die Hauptfunktion des Protokolls unbrauchbar bleibt.
Um es noch einmal zusammenzufassen: Ungeachtet des moralischen Dilemmas, inwieweit Behörden Zugriff auf unsere Privatsphäre gewährt werden sollten, wird empfohlen, Anwendungen zu verwenden, die möglichst wenig Datenmengen sammeln, vorzugsweise Open Source und nicht von einem bekannten Riesenunternehmen kontrolliert werden ihre kommerziellen Zwecke. Darüber hinaus wird empfohlen, das schwächste Ende, das Terminal, zu schützen, und zwar nicht nur auf der Ebene von Anwendungen mit möglicherweise eingebetteter Malware, ausnutzbaren Schwachstellen oder Hintertüren, sondern auch durch den Schutz eines starken Passworts oder die Verwendung doppelter Verifizierungsfaktoren.
Was halten Sie von einem Verbot der Ende-zu-Ende-Verschlüsselung?
Und über die Verwendung dieser Protokolle?
Steht die Privatsphäre im Widerspruch zum Zweck der Kommunikation?
Verweise
[1] J. Ramió Aguirre, „Class4crypt c4c10.4 RSA-Algorithmus“, [Online]. Verfügbar: https://youtu.be/w5dWeZwfK8w?si=70Arkine_WmHy3jX
[2] Wikipedia, [Online]. Verfügbar: https://en.wikipedia.org/wiki/Post-Quantum_Extended_Diffie-Hellman
[3] Web. [Online]. Verfügbar: https://en.wikipedia.org/wiki/Post-Quantum_Extended_Diffie-Hellman
[4] WhatsApp, [Online]. Verfügbar: https://faq.whatsapp.com/820124435853543/?locale=es_LA
[5] WhatsApp, [Online]. Verfügbar: https://faq.whatsapp.com/414631957536067/?helpref=hc_fnav
[6] Xataka, „Signal vs. Telegram vs. WhatsApp: Was sind die Unterschiede und welches achtet mehr auf Ihre Privatsphäre“, [Online]. Verfügbar: https://www.xataka. com/basics/signal-vs-telegram-vs-whatsapp-what-differences-which-takes-care-of-your-privacy
[7] «Was ist Ende-zu-Ende-Verschlüsselung und warum braucht man sie?» [Online]. Verfügbar: https://www.kaspersky.es/blog/what-is -End-to-End-Verschlüsselung/23862/
[8] Telegram, [Online]. Verfügbar: https://core.telegram.org/api/end-to-end
[9] „Durchgesickertes Regierungsdokument zeigt, dass Spanien Ende-zu-Ende-Verschlüsselung verbieten will“, [Online]. Verfügbar: https://www.wired.com/story/europe-break -encryption-leaed-document-csa-law/
[10] „The Critical Hole at the Heart of Our Cell Phone Networks“, [Online]. Verfügbar: https://www.wired .com/2016/04/the-critical-hole-at-the-heart-of-cell-phone-infrastructure/
Arturo Fernández, Cybersicherheitsanalyst bei Zerolynx.
