SSL Verschlüsselung
Das Hypertext Transfer Protocol (HTTP) ist ein Urgestein im Internet und hat sich auch seit seiner Festlegung kaum gewandelt. Der Erfolg hat ihm Recht gegeben, denn das World Wide Web käme ohne diesen Standard zur Auslieferung von Webseiten kaum zurecht. Doch eine der Schwächen erforderte schon recht früh eine Anpassung, so dass das Protokoll um ein “S” ergänzt wurde und damit auch Sicherheitsanforderungen genügen konnte.
Das “S” steht für secure (sicher) macht aus dem unverschlüsselten Datentransfer einen einigermaßen sicheren Datenstrom, indem der Austausch von Informationen zwischen dem Absender und Empfänger basierend auf dem aktuellen Stand der Technik verschlüsselt werden. Das Verfahren, welches hierbei zum Einsatz kommt, ist SSL (Secure Socket Layer), bzw. dessen Nachfolger TLS (Transport Layer Security). Im Allgemeinen Sprachgebrauch wird aber immer noch von SSL gesprochen, so dass wir auch hier der Einfachheit halber bei dieser Begrifflichkeit bleiben.
Die Verschlüsselung ist für den Nutzer transparent, er sieht sie also üblicherweise nicht. An nur wenigen Stellen ist sichtbar, dass die Daten bei dem Abruf einer Seite (z.B. beim Onlinebanking) verschlüsselt übertragen werden. Ein erster deutlicher Hinweis ist, dass in der Adresszeile des Browsers ein “https://” anstelle des normalen “http://” zu sehen ist. Moderne Browser machen das sogar noch deutlicher, indem neben der Adresszeile im Falle einer verschlüsselten Datenübertragung auch noch ein Schlosssymbol angezeigt wird.
Leider ist hier allerdings eine Tücke in der Sprache HTML, in der die Webseiten geschrieben sind, zu finden, die dazu führen kann, dass wesentliche Bestandteile einer Webseite unverschlüsselt sind, obwohl die Hauptseite als verschlüsselt angegeben wird. Verschlüsselung kostet Rechenzeit und vergrößert das zu übertragende Datenvolumen. Da die Daten bei jedem Aufruf neu verschlüsselt werden müssen, sparen sich einige Seitenbetreiber Rechenzeit und Netzkapazitäten und verschicken z.B. Bilder und vermeintlich unkritische Elemente auf den Seiten unverschlüsselt.
Sichtbar wird dies für den Benutzer nur in den wenigsten Fällen – und wenn, dann in der Regel durch eine Reihe von nervenden Pup-Up Fenstern des Browsers, die dann schnell weggeklickt oder gar gänzlich deaktiviert werden.
Normalerweise sind diese unverschlüsselt übermittelten Daten unkritisch, doch ein potenzieller Angreifer oder Spion kann aus den Bildern schon ableiten, was der Internetnutzer sich auf den Webseiten ansieht, bzw. macht.
Banken und seriöse Online-Shops leiten den Benutzer spätestens zur Anmeldung an der Seite auf den mit SSL verschlüsselten Bereich. Doch warum nutz man die sogenannte Ende-zu-Ende Verschlüsselung nicht grundsätzlich und ist so vor Maßnahmen wie Tempora und Co. gewappnet?
Soweit der Server die Verschlüsselung anbietet, liegt es nur an den Benutzer diese auch anzuforderung und zu nutzen. Dabei muss der Seitenaufruf einfach durch ein “https://” erfolgen. Ein Großteil der Anbieter im Netz unterstützt dieses bereits: Webmail-Anbieter, Social Networks (Facebook, Twitter und Co.) sogar die gängigen Suchmaschinen haben ihre Server mit der Technologie ausgestattet.
Nun ist es eher umständlich die Adresse der Webseite jedes mal von Hand einzugeben, bzw. das “http” auf “https” zu ändern. Mit dem Plug-In HTTPS-Everywhere kann dies automatisch erfolgen. Allerdings funktioniert dieses Plug-In nur mit Mozilla Frefox und Google Chrome.
Die Tücken der SSL Verschlüsselung
Die SSL Verschlüsselung versteckt nur den Inhalt der Datenübertragung vor den Augen neugieriger Mitlauscher. Was auf diese Weise nicht verborgen werden kann, sind die sogenannten Metadaten (Absender, Empfänger über die IP Adressen, Datum und Uhrzeit) der Anfrage. Diese Informationen sind für manch einen Geheimdienst schon ausreichend um Profile zu bilden. Für den Betreiber der Webseiten bleiben darüber hinaus natürlich sämtliche Daten unverschlüsselt im Zugriff, so dass dieser ein noch besseres Profil erzeugen kann.
SSL ist an und für sich trotz relativ kurzer Schlüssellängen ein zeitgemäßes kryptographisches Verfahren welches als ausreichend sicher anzusehen ist. Jedoch hat das System eine massive Achillesferse: Die Zertifikate und Zertifizierungsstellen.
Jeder Server benötigt ein Zertifikat, das der privaten Schlüssel für die Verschlüsselung entspricht. Das Zertifikat muß streng geheim bleiben und wird von zentralen Instanzen, den Zertifizierungsstellen gegen eine Gebühr ausgegeben. Daraus resultierend muss auch die Zertifizierungsstelle vertrauenswürdig und sicher sein, da andernfalls Fremde falsche Zertifikate erstellen können und sich entweder als jemand anderes ausgeben können oder durch ein gestohlenes Zertifikat die Datenströme entschlüsselt werden können.
In den vergangenen Jahren wurden vermehrt erfolgreiche Hackerangriffe auf die Zertifizierungsstellen (z.B. DigiNotar, Türktrust) festgestellt. Aber auch die NSA ist nicht schuldlos am zurecht schwindenden Vertrauen in die SSL Technologie. So fordert die NSA bei den großen Betreibern von Internetseiten die Zertifikate an um anschließend in Echtzeit den Datenverkehr mitlesen zu können. Auch mit den neuen Rechenzentren der NSA soll der Verschlüsselungsmechanismus mit roher Gewalt geknackt werden. Eine mitgeschnittene Datenübertragung kann so im Nachgang noch dekodiert werden.
Aber auch die zivile Industrie schafft nicht gerade Vertrauen in die SSL Verschlüsselung. Durch gutgemeinte Funktionen werden bedenkliche Sicherheitslücken, z.B. bei Microsoft geschaffen.
“Das SSL-System ist grundlegend Defekt – es muss repariert werden”, lautet nicht zuletzt eine Schlussfolgerung des 29C3 Hackerkongresses bereits aus dem Jahr 2012.
Doch derzeit gibt es keine andere flächendeckende Technologie, so dass man mit dieser das Beste machen muss, bis ein “https-2” eingeführt wird. Aus den oben erwähnten Schwächen des Systems zu schließen, dass man es auch gleich bleiben lassen kann, ist in jedem Fall die falsche Entscheidung.
Für die Betreiber von Webseiten gibt es schon noch Möglichkeiten um die Schwächen bei SSL weiter auszumerzen. Und als User bleibt einem nur die aktuellste Version der Browser, bevorzugt Open Source Produkte wie Mozilla Firefox, zu verwenden.
Wer noch mehr Sicherheit oder Anonymitöt benötigt oder wünscht, der kann dann noch zum Tor Netzwerk greifen.