Heute verbinden sich Milliarden Menschen über unsichere Geräte mit dem Internet, weshalb der Bedarf an kryptografisch beweisbarer Sicherheit noch nie zuvor so groß war.

Digitale Wirtschaft

Kryptografische Protokolle bilden das Rückgrat all unserer Aktivitäten im Internet; erst sie gewährleisten Datenschutz und Sicherheit von Kommunikation, finanziellen Transaktionen und bürgerschaftlicher Beteiligung, etwa bei Wahlen. Die Tatsache, dass sich immer mehr Menschen über unzureichend gesicherte oder bereits angegriffene Geräte mit diesen Netzwerken verbinden, lässt jedoch die Verwaltung dieser Sicherheitsinfrastruktur zu einer echten Herausforderung werden. Das vom Europäischen Forschungsrat finanzierte Projekt SPOOC verfolgt das Ziel, theoretische Rahmenbedingungen und praktische Instrumente zu entwickeln, mit denen die Sicherheit und der Datenschutz bei Austauschvorgängen im Internet selbst dann überprüft werden können, wenn diese auf nicht vertrauenswürdigen Plattformen durchgeführt werden. „Unser Ziel ist sichere Kommunikation über das Internet, über Mobiltelefone – jede Art der digitalen Kommunikation soll sicher werden“, erklärt Projektkoordinator Steve Kremer, Forscher am französischen Nationalen Forschungsinstitut für Informatik und Automatisierung (INRIA). „Wir wollen Vertraulichkeit garantieren und gewährleisten, dass man sich, wenn man online geht, mit der richtigen Website verbindet und wirklich mit der Person spricht, mit der man sprechen möchte.“

Schweizer Wahlen

Ein wichtiger Schritt, um Datenschutz und Sicherheit bei der Online-Kommunikation zu beweisen, besteht laut Kremer in der Idee der „Programmäquivalenz“. Diese beschreibt eine Eigenschaft, gemäß der zwei Programme für außenstehende beobachtende Personen auf dieselbe Weise zu funktionieren scheinen. Kremer nutzt diesen Begriff der Programmäquivalenz auf eine Weise aus, dass Online-Kommunikation ähnlich ununterscheidbar ist, um Datenschutz und Anonymität zu modellieren. „Wenn wir zwei Kommunikationen abfangen, sollten wir nicht in der Lage sein, in Erfahrung zu bringen, ob sie von demselben Telefon oder von zwei verschiedenen Telefonen kommen“, fügt er hinzu. Ein wesentlicher Bestandteil des Projekts SPOOC war deshalb die Entwicklung einer Software, die zwei Programme analysieren kann, um zu prüfen, ob sie äquivalent sind. Die Früchte dieser Arbeit kamen inzwischen in der Schweiz im Zusammenhang mit online durchgeführten Wahlen zum Einsatz, wo die Betreibenden Sicherheitsnachweise für ihr System erbringen müssen. Ein weiteres Element des Projekts SPOOC betraf die Entwicklung von Werkzeugen, mit denen Sicherheit, Datenschutz und Transparenz von Protokollen zur Verwaltung der Online-Wahlen zu gewährleisten ist. „Es gibt noch viele Probleme, die nicht vollständig gelöst sind“, merkt Kremer an. „Aber nun sind moderne Protokolle in der Lage, Datenschutz und Transparenz zu garantieren, selbst wenn der die Stimmen speichernde Server unkorrekt arbeitet oder bereits angegriffen wird.“ Er weist darauf hin, dass Wahlen, bei denen viel auf dem Spiel stehe, leider ein Ziel darstellten, für das sich die Entwicklung spezieller Schadsoftware lohne, was es sehr viel schwieriger gestalte, deren Sicherheit zu garantieren. „Sobald man etwas digitalisiert, ist es ziemlich einfach, Angriffe zu forcieren“, betont Kremer. „Und eine Sache, in der Computer richtig gut sind, ist, sehr schnell und immer wieder das Gleiche zu tun.“

Multi-Faktor-Authentifizierung

Der letzte Aspekt des Projekts konzentrierte sich auf teilweise unsichere Geräte. Typischerweise setzen Einrichtungen und Unternehmen auf Zwei-Faktor-Authentifizierung, um sicherzugehen, dass Transaktionen im Internet echt sind, da ein Mensch beteiligt ist. Das Projekt SPOOC führte eine komplette Analyse dieses Systems durch und berücksichtigte dabei tausende Angriffsszenarien, um die Grenzen der Zwei-Faktor-Authentifizierung genau zu quantifizieren. „Ich bin sehr zufrieden mit dem, was wir erreicht haben“, berichtet Kremer und fügt hinzu, dass es noch viel zu tun gäbe, um die Wirksamkeit dieses Instrument zu erhöhen. Kremer und sein Team haben sich inzwischen Finanzmittel der französischen Nationalen Forschungsagentur gesichert, um ihre Validierungswerkzeuge weiterzuentwickeln. „Unser Plan ist, dass diese Werkzeuge schneller und noch besser auf reale Protokolle anwendbar werden sollen“, sagt er abschließend. „Wir versuchen jetzt, die gesamte, von uns entwickelte Theorie in die Praxis umzusetzen und weitere Früchte an diesem Baum reifen zu lassen.“

Schlüsselbegriffe

SPOOC, kryptografisch, automatisiert, Sicherheit, Beweise, Protokolle, Handy, Mobiltelefon, Telefone, Kommunikation