Forscher: VoIP-Verschlüsselung der britischen Regierung enthält Hintertür

Das Sicherheitsprotokoll, das die britische Regierung für die Verschlüsselung von Voice-over-IP (verwendet), enthält offenbar eine Hintertür. Entdeckt wurde sie von Steven Murdoch, Forscher am University College London, wie die BBC berichtet. Ihm zufolge ist es möglich, das Mikey-Sakke genannte Protokoll auszuhebeln und verschlüsselte Gespräche zu entschlüsseln. Entwickelt wurde Mikey-Sakke vom britischen Geheimdienst GCHQ.

Murdoch kritisiert dem Bericht zufolge vor allem die Schlüsselverwaltung des Protokolls, die es einem Netzwerkbetreiber oder auch einem Hacker mit Zugriff auf das Netz erlaube, Gespräche abzuhören. Statt die für die Verschlüsselung und Entschlüsselung benötigten Schlüssel auf unterschiedlichen Rechnern zu generieren und nur den öffentlichen Teil der Schlüssel auszutauschen, stelle der Netzwerkbetreiber die Schlüssel für die Gesprächsteilnehmer aus.

„Ich glaube, das kommt von einem Interessenkonflikt innerhalb des GCHQ“, sagte der Forscher der BBC. Aufgabe des Geheimdiensts sei es, selbst zu spionieren und auch Spionage zu verhindern. Ihm seien zwei Produkte bekannt, die den Standard nutzten. Beide seien von der britischen Regierung zertifiziert.

Nigel Smart, Kryptografieexperte und Professor an der University of Bristol, nannte im Gespräch mit der BBC Beispiele dafür, dass eine Hintertüre in der VoIP-Verschlüsselung sinnvoll sein könne. Eine Aufsichtsbehörde habe möglicherweise berechtigtes Interesse daran, die Kommunikation eines Börsenhändlers zu überwachen. Es sei jedoch nicht bekannt, wo und wie Mikey-Sakke eingesetzt werde.

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

„Wenn man nicht erklärt, wie man es nutzen will, in welchen Systemen es verwendet wird und welchen Umfang und Grenzen die treuhänderische Schlüsselverwaltung hat, dann ist das keine gute Werbung“, zitiert ihn die BBC.

Der britische Geheimdienst weist indes den Vorwurf einer Hintertür zurück. „Das Mikey-Sakke-Protokoll erlaubt die Entwicklung, sicherer und skalierbarer Enterprise-Produkte.“, sagte ein Sprecher des GCHQ. Da Organisationen, die das Protokoll einsetzten, jeweils eigene Server für die Schlüsselverwaltung betrieben, gebe es keinen geheimen Masterkey und auch keine Hintertür, die es dem Geheimdienst oder Dritten erlaube, in Echtzeit oder auf gespeicherte Konversationen zuzugreifen. „Nur der Eigentümer des jeweiligen Systems kann, wenn er will, Unterhaltungen entschlüsseln.“

Der Betreiber eines Kommunikationsdiensts könnte jedoch schon bald in Großbritannien gezwungen sein, die Sicherheitsbehörden des Landes bei ihrer Arbeit zu unterstützen. Das sieht zumindest der Entwurf des neuen Überwachungsgesetztes Investigatory Powers Bill vor, das nicht nur im Vereinigten Königreich umstritten ist. Facebook nannte es erst Anfang des Monats einen „Schritt in die falsche Richtung„. Nur wenige Wochen vorher forderte Apple Änderungen, um zu verhindern, dass Unternehmen außerhalb Großbritanniens zu Handlungen gezwungen werden, die gegen die Gesetze ihrer Heimatländer verstoßen.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

5 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

6 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago