{"id":891,"date":"2013-08-07T09:00:02","date_gmt":"2013-08-07T07:00:02","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=891"},"modified":"2026-01-23T11:27:45","modified_gmt":"2026-01-23T10:27:45","slug":"reaktionen-auf-uberwachungsskandale-ssl-blockprism-und-threema","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/reaktionen-auf-uberwachungsskandale-ssl-blockprism-und-threema\/","title":{"rendered":"Reaktionen auf \u00dcberwachungsskandale: SSL, BlockPRISM und Threema"},"content":{"rendered":"

Als unser Beitrag \u201eEnd-to-End-Verschl\u00fcsselung auch bei sozialen Messengern geboten<\/a>\u201c im Januar 2013 erschien, waren die \u00dcberwachungsskandale der vergangenen Wochen und Monate noch nicht in Sicht. Ein Kommentar von \u201eT\u201c kritisierte j\u00fcngst unter eben erw\u00e4hntem Blogbeitrag zu Recht: Wenngleich auch Verschl\u00fcsselungen bei Facebook & Co. gegen leichte Angriffe von au\u00dfen wirke, so best\u00fcnde doch kein Schutz vor dem Netzwerk selbst. Auf Nachrichten k\u00f6nne zudem die NSA zugreifen. Wir bedanken uns an dieser Stelle noch mal f\u00fcr den Input und gehen im heutigen Beitrag auf aktualisierte M\u00f6glichkeiten der Verschl\u00fcsselung ein.<\/p>\n

<\/p>\n

Threema: Spagat zwischen Nutzerfreundlichkeit und Sicherheit<\/h2>\n

Schon im urspr\u00fcnglichen Blogbeitrag widmeten wir uns der App Threema. Sein Vorhaben, die App nicht nur f\u00fcr iOS, sondern auch f\u00fcr Android verf\u00fcgbar zu machen, ist dem schweizerischen Entwickler Manuel Kasper gelungen. Mittels Ende-zu-Ende-Verschl\u00fcsselung unterscheidet sich die App wesentlich von der schon oft durch eklatante Sicherheitsl\u00fccken aufgefallenen SMS-Alternative WhatsApp. Nutzerfreundlichkeit und Sicherheit in eine App zu integrieren, ist wahrlich nicht einfach \u2013 Security ist schlie\u00dflich ein komplexes Thema und es ist m\u00fchsam, solche Komplexit\u00e4t in ein benutzerfreundliches Outfit zu verpacken.<\/p>\n

Bei Threema l\u00e4sst sich dieser Spagat als gelungen bezeichnen: Richtet der User die App ein, wird mittels zuf\u00e4lligen Wischgesten ein Schl\u00fcsselpaar (ein privater, ein \u00f6ffentlicher Schl\u00fcssel) erstellt. Binnen wenigen Sekunden geschieht das offline und ausschlie\u00dflich auf dem jeweiligen Smartphone. Der Private-Key wird das Smartphone nie verlassen, der Public-Key wird versendet. Der \u00f6ffentliche Schl\u00fcssel vom Empf\u00e4nger bildet zusammen mit dem privaten vom Sender einen dritten Schl\u00fcssel, der die Nachricht verschl\u00fcsselt. Ausschlie\u00dflich dem Empf\u00e4nger der Nachricht ist es nun m\u00f6glich, diesen dritten Schl\u00fcssel mithilfe seines Private-Keys zu entschl\u00fcsseln. Da die Nachrichten auf den Threema-Servern nie entschl\u00fcsselt werden, k\u00f6nnen auch keine Daten an Beh\u00f6rden herausgegeben werden.<\/p>\n

Google & Facebook machen jetzt auch ein bisschen SSL<\/h2>\n

Nachdem der PRISM-Skandal bekannt wurde, wurde die Unglaubw\u00fcrdigkeit der IT-Giganten gr\u00f6\u00dfer und gr\u00f6\u00dfer. F\u00fcr Facebook und Google Grund genug, wenigstens ihr Image etwas aufzupeppen: Die SSL-Features sollen optimiert werden. Google sichert zum Beispiel SSL-Zertifikate<\/a> seit Anfang August besser ab: Anstelle eines 1.024 Bit langen Schl\u00fcssels kommt indessen eine L\u00e4nge von 2.048 Bit zum Signieren von Zertifikaten zum Einsatz. Der Suchmaschinenriese will bis Ende des Jahres s\u00e4mtliche hauseigenen Dienste auf die neuen SSL-Zertifikate umgestellt haben. Auch Facebook legt nach: Bisher war es Entscheidung des Anwenders, ob er HTTP oder die verschl\u00fcsselte Variante HTTPS nutzen wollte. Der voreingestellte Standard soll nun HTTPS werden.<\/p>\n

Sie sind schon toll, die Features, die die Konzerne nun fokussieren. Der fade Beigeschmack, dass dies der Image-Optimierung dient, bleibt allerdings genauso wie die Tatsache, die unser Kommentator bereits angesprochen hatte: Die Technologie kann noch so ausgefuchst sein \u2013 sie n\u00fctzt nichts, wenn die Unternehmen die Schl\u00fcssel oder sogar die kompletten Daten in entschl\u00fcsselter Form an die Geheimdienste weitergeben.<\/p>\n

BlockPRISM: Chrome-Erweiterung zum Verschl\u00fcsseln von Facebook-Chats<\/h2>\n

Bei der Browser-Extension BlockPRISM soll der Name Programm sein: Durch das Verschl\u00fcsseln von Nachrichten sollen Geheimdienste, aber auch andere Spione chancenlos sein. Bisher gibt es die Erweiterung nur f\u00fcr Chrome. Sie verschl\u00fcsselt Facebook-Chats mittels PGP. Wenn das Projekt gen\u00fcgend Geld eingefahren hat, will man auch Gmail unterst\u00fctzen und Extensions f\u00fcr Firefox und Opera bieten k\u00f6nnen. Mobile Versionen f\u00fcr iOS und Android sind ebenfalls angedacht. Mithilfe einer Indi-Go-go-Kampagne sind die Macher von BlockPRISM eigentlich bem\u00fcht, 10.000 US-Dollar zur Weiterentwicklung des Projekts zu sammeln. Vorerst l\u00e4uft diese Crowdfunding-Kampagne nur bis heute; knapp 2.200 US-Dollar wurden eingesammelt.<\/p>\n

PGP (\u201ePretty Good Privacy\u201c) ist ein Entschl\u00fcsselungsverfahren, das Phil Zimmerman im Jahre 1991 entwickelt hat. Sein Ziel war es, E-Mails vor Einblicken unbefugter Dritter zu sch\u00fctzen. Dasselbe Ziel verfolgt BlockPRISM f\u00fcr Facebook-Chats. Auch die Extension versucht, den Mix aus Sicherheit und einfacher Bedienung hinzukriegen: Nachdem das Tool installiert wurde, muss ihm Zugriff auf die Freundesliste gestattet werden. Ein \u00f6ffentlicher Schl\u00fcssel wird angelegt und bedarfsweise mit Freunden ausgetauscht, die ebenfalls BlockPRISM nutzen.<\/p>\n