PRISM: Twitter verstärkt Sicherheit durch Forward Secrecy

Twitter folgt dem Beispiel von Google und anderen Technologiefirmen, indem es seine Sicherheitstechnik durch Perfect Forward Secrecy (PFS) verstärkt, das unterschiedliche Schlüssel für jede Session vorsieht. Der Mikroblogging-Dienst reagiert damit auf die Enthüllungen über das umfangreiche Ausspähen und jahrelange Speichern von Internetdaten durch die NSA. Selbst wenn diese Daten heute nicht zu entschlüsseln sind, hofft der Geheimdienst darauf, später an die privaten Schlüssel zu kommen oder die Verschlüsselung mit einer künftig höheren Rechenkapazität brechen zu können.

Forward Secrecy sieht kurzfristig neu ausgehandelte Schlüssel für jede Sitzung vor. Der bereits 1992 entwickelte Standard bedeutet, dass selbst dann nicht auf den Sitzungsschlüssel geschlossen werden kann, wenn ein Gegenspieler zu einem späteren Zeitpunkt – ob durch Entschlüsselung, einen Hack, eine gerichtliche Anordnung – an den Langzeitschlüssel gekommen ist. Das kann nicht unbedingt für immer jede mögliche Entschlüsselung verhindern, aber die Entschlüsselung jeder Nachricht müsste einzeln mit entsprechend hohem Aufwand versucht werden.

(Bild: James Martin / CNET)

„Wenn ein Gegenspieler derzeit den gesamten verschlüsselten Traffic aller Twitter-Nutzer aufzeichnet, und er später Twitters private Schlüssel stiehlt oder crackt, dann sollte er nicht in der Lage sein, diese Schlüssel zur Entschlüsselung des aufgezeichneten Traffics zu nutzen“, erklärt Twitters Sicherheitsexperte Jacob Hoffman-Andrews in einem Blogeintrag. Er verweist darauf, dass auch die Electronic Frontier Foundation diesen zusätzlichen Schutz für zunehmend wichtig hält.

Die Benutzer bemerken die von Twitter bereits implementierte Forward Secrecy nur durch eine minimale Verzögerung bei der Verbindung zu Twitter – rund 150 Millisekunden in den USA und bis zu einer Sekunde in Ländern, die weiter von Twitters Servern entfernt sind. Das Unternehmen glaubt aber, dass die zusätzliche Sicherheit das wert ist. Der Schutz durch Forward Secrecy betrifft auch direkte, private Nachrichten, geschützte Tweets sowie Daten darüber, was die Nutzer kommentieren und wessen Nachrichten sie lesen.

„Wir versuchen eine Norm zu schaffen für das, was eine sichere Website ausmacht“, sagte Hoffman-Andrews gegenüber dem britischen Guardian. „Sie macht es schwieriger für jeden, der einen groß angelegten kryptografishen Angriff ausführt, aber dabei geht es nicht nur um die NSA. Es gibt mehr als einen Spitzenprädator im Internet, einschließlich Terroristen und Gruppen außerhalb von Regierungen – jeder mit entsprechenden Mitteln könnte die gleichen Techniken einsetzen.“

Sein Kollege Jeff Hodges berichtet, dass die Snowden-Enthüllungen in ihrem Unternehmen große Auswirkungen hatten. „Es war eine große Überraschung, und es hat viel Arbeit inspiriert“, sagte er. „Es gibt eine Kluft zwischen dem, was Entwicklern als wichtige nächste Aufgabe bekannt ist, und der allmählichen Entwicklung von Vorgaben in den Firmen, um für die nötigen Investitionen zu sorgen. Aber die Dinge kommen in Bewegung.“

[mit Material von Rachel King, ZDNet.com]