Darum ist bei Clouds mit Ende-zu-Ende-Verschlüsselung Vorsicht geboten

Gemeinsam mit Jonas Hofmann haben Sie unlängst einige populäre Cloud-Speicher-Anieter untersucht, die ihre Ende-zu-Ende-Verschlüsselung für gespeicherte Dateien bewerben. Was hat Sie zu dieser Analyse motiviert?

Kien Tuong Truong: In der Applied Cryptography Group erforschen wir häufig, wie Kryptografie "in freier Wildbahn" funktioniert. Insbesondere befassen wir uns mit jenen Protokollen, die ohne direkten Bezug zur akademischen Forschung entstanden sind. Damit sind sie nicht per se unsicher, aber ihre Sicherheit wurde noch nicht untersucht und sollte darum analysiert werden – das gilt umso mehr für Systeme mit einer grossen Nutzer­basis. Mit diesen Studien wollen wir eine Lücke zwischen Theorie und Praxis in der Kryptografie schliessen: Einerseits können wir aus der Praxis lernen und versuchen, diese auf solide Grundlagen zu stellen. Andererseits können wir Entwicklerinnen und Entwicklern Werkzeuge an die Hand geben, um Systeme zu bauen, die ihren geschäftlichen Anforderungen entsprechen.

Was erwarteten Sie, bei Ihrer Untersuchung ­vorzufinden?

Einige unserer Kollegen hatten bereits in diesem Bereich geforscht. Matilda Backendal, Miro Haller und Kenny Paterson untersuchten die Sicherheit von Mega, dem wohl grössten Anbieter von Ende-zu-Ende verschlüsseltem (E2EE) Cloud-Speicher. Sie fanden schwerwiegende Sicherheitslücken, viele davon kryptografisch interessant. Die nächste Frage war dann: Wie steht es um die Sicherheit des breiteren Ökosystems? Sind andere Anbieter ebenso anfällig wie Mega und, falls ja, können wir interessante kryptografische Angriffe auf ihre Systeme finden? Deshalb starteten wir dieses Projekt. Wir wollten herausfinden, wie viele andere Systeme so unsicher wie Mega sind. Und während wir erwartet hatten, einige Systeme mit unterdurchschnittlicher Sicherheit zu finden, waren wir überrascht, dass fast alle Systeme, die wir untersuchten, unsicher waren.

Was entdeckten Sie konkret?

Die gefundenen Schwachstellen ermöglichen Angriffe, die die Vertraulichkeit von Dateien untergraben. Am auffälligsten ist dies bei den Anbietern Sync und pCloud. Ein Angreifer könnte etwa unbemerkt Dateien in den Speicher eines Users einfügen oder Dateien verschieben. Vertraulichkeit mag zwar die wichtigste Eigenschaft eines E2EE-Cloud-Speichers sein, reicht aber allein nicht aus.

Wie meinen Sie das?

Ich nenne Ihnen ein Beispiel: Angenommen, Sie leben unter einer repressiven Diktatur und sind ein Journalist, der über die Verbrechen der Regierung schreiben möchte. Stellen Sie sich nun vor, jemand in der Regierung möchte Ihnen ein Verbrechen anhängen, dass Sie nie begangen haben. Er könnte seine Macht nutzen, um den Cloud-Speicher-Anbieter zu zwingen, ihm Zugriff auf den Server zu gewähren. Wenn das Cloud-Speicher-Protokoll sicher wäre, wäre dies kein Problem: Nur Sie besitzen die Schlüssel, die benötigt werden, um Dateien hochzuladen. Hat das Protokoll jedoch eine Schwachstelle, könnte dieser Diktator belastendes Mate­rial in Ihren Speicher einschleusen. Noch schlimmer: Da nur Sie die Schlüssel besitzen, sieht es so aus, als ob niemand anderes ausser Ihnen diese Dateien hochgeladen haben kann. Ein weiteres Beispiel: Angenommen, ich lade eine Installationsdatei für eine Software hoch, aber ein bösartiger Server ersetzt sie durch Malware. Vielleicht weiss der Server nie, welche Software ich ursprünglich hatte, aber das spielt keine Rolle, wenn mein Computer jetzt infiziert ist.

Auf der Website zu Ihrer Forschungsarbeit schreiben Sie, dass "das aktuelle Ökosystem des E2EE-Cloud-Speichers weitgehend fehlerhaft ist". Was könnte getan werden, um dieses Ökosystem zu "reparieren"?

Wir brauchen definitiv mehr Grundlagenarbeit: Forschung zur Gestaltung dieser Systeme und Entwickler, die diese Systeme in die reale Welt bringen. Da wir nicht genug über diesen Bereich wissen, bietet sich eine zirkuläre Feedbackschleife an: Kryptografen können Protokolle entwerfen, die Entwickler dann implementieren können. Die aufgetretenen Probleme und die Anforderungen an die Technik werden kontinuierlich diskutiert. Darauf aufbauend kann das Design verfeinert werden, bis wir ein sicheres Design erreichen, das auch standardisiert werden kann.

Angesichts dessen, dass uns aktuell die Grundlagenarbeit fehlt, sind sichere E2EE-Cloud-Speicher-Systeme überhaupt möglich?

Unmöglich sind solche Systeme meiner Meinung nach nicht, aber es wird sicherlich eine Herausforderung sein, sie praktisch umzusetzen. Dabei stellen sich viele grundsätzliche Fragen: Welche Eigenschaften wollen wir von diesem System? Sind Vertraulichkeit und Integrität wirklich ausreichend? Antwort: wahrscheinlich nicht. Wollen wir auch Metadaten vor einem bösartigen Server verbergen? Ist es in Ordnung, wenn der Server weiss, mit wem ich Dateien teile?

Gibt jeder, der heute einen E2EE-Cloud-Speicher anbietet, tatsächlich ein falsches Versprechen ab?

Nicht unbedingt. Aber die Anbieter sind nicht sehr präzise darin, was sie den Nutzern tatsächlich bieten, und wecken damit möglicherweise falsche Erwartungen. Was meinen sie, wenn sie sagen, dass sie "den Nutzern die Kontrolle über ihre Daten zurückgeben"? Welche Art von Kontrolle ist gemeint? Dass niemand ihre Datei lesen kann? Dass niemand ihre Daten manipulieren kann? Was, wenn der Server die Daten löscht?

Sie fordern die Schaffung eines Standards für E2EE-Cloudspeicher, ähnlich dem Signal-Protokoll für sichere Nachrichtenübermittlung. Welche Bemühungen laufen diesbezüglich?

Einige Leute arbeiten darauf hin. Aber ich glaube, es wird noch sehr lange dauern, bis ein tatsächlicher Standard entwickelt wird.

Glauben Sie, dass Regierungen und Gesetzgeber einbezogen werden sollten, um ein sichereres Cloud-Ökosystem durchzusetzen?

Ganz allgemein wäre ein sichereres Cloud-Ökosystem für alle von Vorteil. Persönlich glaube ich jedoch nicht, dass dies unbedingt von der Regierung vorgeschrieben werden sollte.

Haben User eine Möglichkeit, "zu wissen", ob ein Ende-zu-Ende-Cloud-Anbieter tatsächlich sicher ist?

Nicht wirklich. Das ist eines der grossen Probleme bei diesen sicherheitsrelevanten Produkten: Es ist sehr schwierig, ihre Sicherheit zu beurteilen, es sei denn, man ist ein Experte und investiert viel Zeit und Ressourcen, um ihre Sicherheit zu überprüfen. Deshalb halte ich unsere Arbeit in diesem Bereich für wichtig: Wir müssen die Sicherheit kryptografischer Produkte "in freier Wildbahn" verstehen, um zu sehen, ob sie den Erwartungen der Nutzer entsprechen. Eine Sache, die Nutzer misstrauisch machen sollte, sind Schlagwörter wie "Zero-Knowledge-Verschlüsselung" oder "militärtaugliche Verschlüsselung". Diese Begriffe bedeuten für Fachleute im Bereich der Kryptografie nichts und sind nur hochtrabende Worte, um den Nutzern zu suggerieren, dass ihre Systeme sicher sind. Ein von uns untersuchter Anbieter behauptet etwa, der "sicherste Cloud-Speicher in Europa" zu sein. Ich rate den Menschen, solchen grossen Versprechungen skeptisch gegenüberzustehen: Es ist sehr einfach, diese Versprechen nicht zu erfüllen.

Können User etwas tun, um die Sicherheit ihres gewählten Cloud-Speicherdienstes zu erhöhen?

Im Allgemeinen wird es normalen Nutzern schwerfallen, die Sicherheit selbst zu erhöhen. Einige erfahrenere Nutzer könnten vorschlagen, alles selbst zu verschlüsseln, bevor sie es in die Cloud hochladen. Ich halte es jedoch für unwahrscheinlich, dass normale Nutzer ihre eigenen Verschlüsselungsschlüssel sicher speichern und Backups erstellen würden. Ganz zu schweigen davon, dass der Zugriff auf Ihre Dateien von einem Mobilgerät aus zu einer Herausforderung wird. Es ist schlicht nicht so einfach und benutzerfreundlich. Das ist einer der Gründe, warum Menschen sich auf E2EE-Cloudspeicher verlassen: damit sie sich nicht darum kümmern müssen, wie die Verschlüsselung durchgeführt wird – nur, dass sie durchgeführt wird.

Nicht alle der von Ihnen untersuchten Cloudanbieter haben die gemeldeten Schwachstellen behoben – einige Unternehmen haben Ihnen nicht einmal auf Ihre Mitteilung geantwortet, wie Sie auf Ihrer Website schreiben. Hat sich dies inzwischen geändert?

In der Tat. Der Anbieter Sync teilte uns mit, an der Behebung einiger Probleme zu arbeiten. Die Leute bei pCloud antworteten uns zwar nicht direkt, erklärten aber in anderen Medien, dass sie unsere Ergebnisse nicht für behebenswert halten. Solche Reaktionen stören mich im Allgemeinen nicht: Ich möchte nur, dass Nutzer sich dessen bewusst sind, was sie bekommen, wenn sie diese Produkte kaufen.

Warum tun sich einige Anbieter mit dem Beheben der Probleme so schwer?

Es ist tatsächlich sehr schwierig, diese Probleme zu beheben. Zunächst haben diese Anbieter die Kontrolle über die kryptografischen Schlüssel an die Nutzer abgegeben. Das bedeutet, dass bei der Einführung eines verbesserten Protokolls auch nur die Nutzer die Sicherheit ihrer Dateien verbessern können. Stellen Sie sich einen Nutzer vor, der Hunderte von Videos und Fotos hochgeladen hat; er müsste nun alles herunterladen und erneut hochladen, was je nach Netzwerkgeschwindigkeit mehrere Tage dauern kann. Kommt dazu, dass einige der nötigen Korrekturen noch grundlegendere Änderungen erfordern, wie etwa die Einführung neuer Clients. Der Anbieter müsste dann sowohl alte als auch neue Clients unterstützen – was für ein Unternehmen nie eine angenehme Aufgabe ist.

Cloud-Dienste sind in der heutigen IT-Landschaft enorm wichtig. Wie gut geht der IT-Sektor derzeit mit Cloud-Sicherheitsfragen um?

Die Cloud-Sicherheit hat sich definitiv verbessert, aber es gibt noch einiges zu tun. Da Cloud-Dienste heute eine so zentrale Rolle in der IT spielen, ist es erfreulich, zu sehen, dass zunehmend in Cybersicherheit investiert wird. Universitäten wie die ETH Zürich und die EPFL tragen ebenfalls dazu bei, indem sie den Studierenden eine solide Sicherheitsgrundlage vermitteln – das ist ein guter Schritt nach vorn. Dennoch wird die Branche weiterhin mit neuen Sicherheitsherausforderungen konfrontiert sein und muss diesen effektiv begegnen, da sich Cloud-Technolo­gien weiterentwickeln.