Forscher: VoIP-Verschlüsselung der britischen Regierung enthält Hintertür

Das Sicherheitsprotokoll, das die britische Regierung für die Verschlüsselung von Voice-over-IP (verwendet), enthält offenbar eine Hintertür. Entdeckt wurde sie von Steven Murdoch, Forscher am University College London, wie die BBC berichtet. Ihm zufolge ist es möglich, das Mikey-Sakke genannte Protokoll auszuhebeln und verschlüsselte Gespräche zu entschlüsseln. Entwickelt wurde Mikey-Sakke vom britischen Geheimdienst GCHQ.

Murdoch kritisiert dem Bericht zufolge vor allem die Schlüsselverwaltung des Protokolls, die es einem Netzwerkbetreiber oder auch einem Hacker mit Zugriff auf das Netz erlaube, Gespräche abzuhören. Statt die für die Verschlüsselung und Entschlüsselung benötigten Schlüssel auf unterschiedlichen Rechnern zu generieren und nur den öffentlichen Teil der Schlüssel auszutauschen, stelle der Netzwerkbetreiber die Schlüssel für die Gesprächsteilnehmer aus.

„Ich glaube, das kommt von einem Interessenkonflikt innerhalb des GCHQ“, sagte der Forscher der BBC. Aufgabe des Geheimdiensts sei es, selbst zu spionieren und auch Spionage zu verhindern. Ihm seien zwei Produkte bekannt, die den Standard nutzten. Beide seien von der britischen Regierung zertifiziert.

Nigel Smart, Kryptografieexperte und Professor an der University of Bristol, nannte im Gespräch mit der BBC Beispiele dafür, dass eine Hintertüre in der VoIP-Verschlüsselung sinnvoll sein könne. Eine Aufsichtsbehörde habe möglicherweise berechtigtes Interesse daran, die Kommunikation eines Börsenhändlers zu überwachen. Es sei jedoch nicht bekannt, wo und wie Mikey-Sakke eingesetzt werde.

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

„Wenn man nicht erklärt, wie man es nutzen will, in welchen Systemen es verwendet wird und welchen Umfang und Grenzen die treuhänderische Schlüsselverwaltung hat, dann ist das keine gute Werbung“, zitiert ihn die BBC.

Der britische Geheimdienst weist indes den Vorwurf einer Hintertür zurück. „Das Mikey-Sakke-Protokoll erlaubt die Entwicklung, sicherer und skalierbarer Enterprise-Produkte.“, sagte ein Sprecher des GCHQ. Da Organisationen, die das Protokoll einsetzten, jeweils eigene Server für die Schlüsselverwaltung betrieben, gebe es keinen geheimen Masterkey und auch keine Hintertür, die es dem Geheimdienst oder Dritten erlaube, in Echtzeit oder auf gespeicherte Konversationen zuzugreifen. „Nur der Eigentümer des jeweiligen Systems kann, wenn er will, Unterhaltungen entschlüsseln.“

Der Betreiber eines Kommunikationsdiensts könnte jedoch schon bald in Großbritannien gezwungen sein, die Sicherheitsbehörden des Landes bei ihrer Arbeit zu unterstützen. Das sieht zumindest der Entwurf des neuen Überwachungsgesetztes Investigatory Powers Bill vor, das nicht nur im Vereinigten Königreich umstritten ist. Facebook nannte es erst Anfang des Monats einen „Schritt in die falsche Richtung„. Nur wenige Wochen vorher forderte Apple Änderungen, um zu verhindern, dass Unternehmen außerhalb Großbritanniens zu Handlungen gezwungen werden, die gegen die Gesetze ihrer Heimatländer verstoßen.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago