Forscher: VoIP-Verschlüsselung der britischen Regierung enthält Hintertür

Das Sicherheitsprotokoll, das die britische Regierung für die Verschlüsselung von Voice-over-IP (verwendet), enthält offenbar eine Hintertür. Entdeckt wurde sie von Steven Murdoch, Forscher am University College London, wie die BBC berichtet. Ihm zufolge ist es möglich, das Mikey-Sakke genannte Protokoll auszuhebeln und verschlüsselte Gespräche zu entschlüsseln. Entwickelt wurde Mikey-Sakke vom britischen Geheimdienst GCHQ.

Murdoch kritisiert dem Bericht zufolge vor allem die Schlüsselverwaltung des Protokolls, die es einem Netzwerkbetreiber oder auch einem Hacker mit Zugriff auf das Netz erlaube, Gespräche abzuhören. Statt die für die Verschlüsselung und Entschlüsselung benötigten Schlüssel auf unterschiedlichen Rechnern zu generieren und nur den öffentlichen Teil der Schlüssel auszutauschen, stelle der Netzwerkbetreiber die Schlüssel für die Gesprächsteilnehmer aus.

„Ich glaube, das kommt von einem Interessenkonflikt innerhalb des GCHQ“, sagte der Forscher der BBC. Aufgabe des Geheimdiensts sei es, selbst zu spionieren und auch Spionage zu verhindern. Ihm seien zwei Produkte bekannt, die den Standard nutzten. Beide seien von der britischen Regierung zertifiziert.

Nigel Smart, Kryptografieexperte und Professor an der University of Bristol, nannte im Gespräch mit der BBC Beispiele dafür, dass eine Hintertüre in der VoIP-Verschlüsselung sinnvoll sein könne. Eine Aufsichtsbehörde habe möglicherweise berechtigtes Interesse daran, die Kommunikation eines Börsenhändlers zu überwachen. Es sei jedoch nicht bekannt, wo und wie Mikey-Sakke eingesetzt werde.

„Wenn man nicht erklärt, wie man es nutzen will, in welchen Systemen es verwendet wird und welchen Umfang und Grenzen die treuhänderische Schlüsselverwaltung hat, dann ist das keine gute Werbung“, zitiert ihn die BBC.

Der britische Geheimdienst weist indes den Vorwurf einer Hintertür zurück. „Das Mikey-Sakke-Protokoll erlaubt die Entwicklung, sicherer und skalierbarer Enterprise-Produkte.“, sagte ein Sprecher des GCHQ. Da Organisationen, die das Protokoll einsetzten, jeweils eigene Server für die Schlüsselverwaltung betrieben, gebe es keinen geheimen Masterkey und auch keine Hintertür, die es dem Geheimdienst oder Dritten erlaube, in Echtzeit oder auf gespeicherte Konversationen zuzugreifen. „Nur der Eigentümer des jeweiligen Systems kann, wenn er will, Unterhaltungen entschlüsseln.“

Der Betreiber eines Kommunikationsdiensts könnte jedoch schon bald in Großbritannien gezwungen sein, die Sicherheitsbehörden des Landes bei ihrer Arbeit zu unterstützen. Das sieht zumindest der Entwurf des neuen Überwachungsgesetztes Investigatory Powers Bill vor, das nicht nur im Vereinigten Königreich umstritten ist. Facebook nannte es erst Anfang des Monats einen „Schritt in die falsche Richtung„. Nur wenige Wochen vorher forderte Apple Änderungen, um zu verhindern, dass Unternehmen außerhalb Großbritanniens zu Handlungen gezwungen werden, die gegen die Gesetze ihrer Heimatländer verstoßen.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.