Clevere Systeme für digitale Sicherheit

Digitale Weiterempfehlung

Doch trotz dieser sogenannten opportunistischen End-zu-End-Verschlüsselung: Ohne Überprüfung der Sicherheitsnummer, die an die Identität beider Nutzer gebunden ist, gibt es keine Garantie, mit wem ein Nutzer kommuniziert. Es könnte zum Beispiel sein, dass ein Hacker die jeweiligen Mitteilungen abfängt, nach Belieben einsieht – und vor dem Weiterleiten gar manipuliert. Solche Man-in-the-Middle-Angriffe sind heute technisch ausführbar, beispielsweise auch bei öffentlichen WLAN-Netzen.

Die Forschenden haben nun ein Sicherheitssystem entwickelt, das sich an die Idee eines Empfehlungsschreibens oder einer Referenz anlehnt: Hat Person A die Nummer von Person B überprüft und bestätigt, kann sie diese an Person C weitergeben. «Mit der von uns entwickelten Funktion könnte nun also jedermann von ihm geprüfte Nummern seinen Freunden weiterempfehlen», sagt Adrian Perrig. «Das erhöht die Sicherheit und das Vertrauen.» Die Forschenden versuchen nun, die Entwickler von Signal davon zu überzeugen, die Funktion in das von der Stiftung verteilte Verschlüsselungs-Protokoll zu integrieren.

Eine zweite Neuentwicklung betrifft die Verschlüsselungszertifikate für Websites. Heute werden solche Zertifikate von dutzenden unterschiedlichen Organisationen auf der ganzen Welt ausgestellt. «Wenn wir beispielsweise auf Websites aus den USA oder China zugreifen wollen, haben wir keine andere Wahl, als den dortigen Ausstellern zu vertrauen», sagt Adrian Perrig. Wer nur Zertifikat-Ausstellern aus Deutschland oder aus der Schweiz vertraut, kann die allermeisten Websites gar nicht besuchen.

Perrigs Gruppe hat nun ein System entwickelt, das diese Restriktion vermeidet und gleichzeitig mehr Sicherheit bietet. Es beruht auf einem stufenweisen Vertrauens-Modell. «Als Schweizer vertraue ich vielleicht europäischen Zertifikats-Ausstellern am meisten. Ausstellern aus den USA vertraue ich etwas weniger, und so weiter», sagt Perrig.

Geografische Daten integrieren

Das kombinieren die Forschenden mit einem sogenannten Abwesenheitsbeweis. «Ich akzeptiere also beispielsweise eine von einem US-Unternehmen zertifizierte Website – aber nur, wenn es beweist, dass für die Site kein europäisches Zertifikat existiert. Und so weiter», erklärt Perrig. «Wenn also Hacker aus Nordkorea eine Website als jene eines Schweizer Unternehmens ausgeben, wird sie abgelehnt.» Eine Attacke könnte daher nur noch aus Europa kommen, was für hiesige Behörden viel einfacher zu verfolgen wäre.

Noch sicherer werden digitale Zertifikate, wenn man sie mit Daten aus der physischen Welt verknüpft. Genau das haben die Forschenden in einem weiteren Projekt getan. Sie ergänzten Verschlüsselungszertifikate mit geografischen Daten aus OpenStreetMap oder Google Maps. Diese Adressen von Firmen oder Organisationen erhöhen das Vertrauen in digitale Angebote oder Vorgänge.

«Wenn ich mich zum Beispiel am Flughafen Zürich in ein WLAN einloggen will, kann ich überprüfen, ob dieses Netz wirklich vom Flughafen stammt», erklärt Perrig. «Und wenn ich als Tourist an einem Bankomaten irgendwo in Vietnam Geld beziehen möchte, kann ich auf diese Weise sichergehen, dass an diesem Ort wirklich ein Bankomat eingetragen ist.»

Solche neuartigen Sicherheitssysteme werden sich in Zukunft vielleicht sogar miteinander verknüpfen lassen. Das würde den Umgang im digitalen Raum endlich sicherer machen.