Google verbessert Sicherheit von SSL für Google Mail

Mit „Forward Secrecy“ will Google die Sicherheit der SSL-Verschlüsselung für seine Dienste erhöhen. Ziel ist es, eine Entschlüsselung auch mit einer künftig höheren Rechenkapazität zu erschweren. Schon im vergangenen Jahr hatte das Unternehmen HTTPS standardmäßig für Google Mail und seine Suche aktiviert. Mit weiteren Vorkehrungen versucht Google, die SSL-Sicherheit auch längerfristig zu erhöhen.

„Die meisten relevanten Websites unterstützen HTTPS in einer nicht nach vorne gerichteten Weise, die das Risiko einer rückwirkenden Entschlüsselung mit sich bringt“, schreibt Adam Langley von Googles Sicherheitsteam in einem Blogeintrag. „Mit anderen Worten: Eine verschlüsselte, nicht zu entziffernde E-Mail könnte aufgezeichnet werden, während Sie heute an Ihren Computer übermittelt wird. In zehn Jahren, wenn Computer sehr viel schneller arbeiten, könnte ein Angreifer den privaten Schlüssel des Servers brechen und nachträglich den E-Mail-Verkehr von heute entschlüsseln.“

Die von Google implementierte „vorwärtsgerichtete Geheimhaltung“ stellt deshalb sicher, dass der private Schlüssel für eine Verbindung nicht dauerhaft gespeichert wird. Dadurch wird dem Unternehmen zufolge ein Angreifer, der einen einzelnen Schlüssel dechiffriert, nicht in der Lage sein, damit zugleich die Kommunikation eines ganzen Monats zu entschlüsseln. Selbst ein Serverbetreiber könnte nachträglich keine HTTPS-Sitzungen entschlüsseln. Zudem würde es Regierungen wenig nützen, wenn sie versuchten, an die privaten Schlüssel Googles zu kommen – möglicherweise ein wesentlicher Grund für die Neuerung.

HTTPS mit diesem Verfahren ist bereits für Google Mail aktiviert, ebenso wie für andere HTTPS-Dienste, darunter SSL-Suche, Google Docs und Google+. Chrome-Nutzer können mit einem Klick auf das grüne Schloss in der Adresszeile und einer Suche nach dem Schlüsselaustausch-Mechanismus „ECDE_RSA“ überprüfen, ob Verbindungen mit Forward Secrecy für sie verfügbar sind.

Sowohl Firefox als auch Microsofts Internet Explorer unter Windows Vista und höher können diese Form der zukunftssicheren Verschlüsselung grundsätzlich ebenfalls nutzen. Beide unterstützen die Implementierung des Diffie-Hellman-Protokolls zum Schlüsselaustausch mittels elliptischer Kurven (ECDH). Jedoch beherrschen nur Chrome und Firefox die Kombination aus ECDH und RC4, die Google nutzt. „Wir hoffen, in Zukunft auch IE zu unterstützen“, schreibt Langley.

Obwohl es schon länger Möglichkeiten gibt, die Funktion zu implementieren, spielte sie bisher in der Praxis noch keine wesentliche Rolle. Das will Google jetzt ändern: Es hat die Grundlagen für Forward Secrecy samt dazugehöriger OpenSSL-Bibliothek als Open Source zur Verfügung gestellt. Langley hofft, dass sich das Feature als Standard durchsetzt: „Wir würden es sehr gern sehen, wenn Forward Secrecy zur Norm würde, und wir wollen mit unserem Beispiel die praktische Umsetzbarkeit beweisen.“