Geheimdienste bevorzugen auch im Netz offene Schlösser.

Foto: JASON LEE / REUTERS

Zur Verschlüsselung des Datenverkehrs im Internet kommt heutzutage zum allergrößten Teil die Transport Layer Security (TLS) zum Einsatz. In den vergangenen Jahren haben sich zahlreiche Softwarehersteller und Organisationen auf eine neue Generation dieses Standards geeinigt. Und genau an dieser gibt es nun scharfe Kritik – wenn auch von unerwarteter Seite.

Kritik

Mit dem National Cyber Security Center (NCSC) meldet sich nun eine Tochterorganisation des britischen Geheimdiensts GCHQ zu TLS 1.3 zu Wort. Die neue Version des Verschlüsselungsstandards nehme einige Verschärfungen in Hinblick auf Sicherheit und Privatsphäre vor, die nicht zu weniger, sondern zu mehr Überwachung führen würden.

Grund dafür sei, dass nun bereits der Verbindungsaufbau komplett verschlüsselt erfolgt, bisher wurde hingegen das Zertifikat des jeweils besuchten Servers zunächst im Klartext übertragen. Mithilfe sogenannter HTTPS Proxies hätten Firmen dann recht einfach feststellen können, welche Seiten ihre Angestellten ansurfen. Mit der neuen Version werde Unternehmen ab sofort aber nichts anderes mehr übrigbleiben, als den verschlüsselten Datentransfer an der Firewall nach außen komplett aufzumachen und zu überwachen. Damit würden dann auch Daten erfasst, die bisher geheim blieben, heißt es in einer Analyse des NCSC.

Antwort

Eine Einschätzung, die jene, die in die Entwicklung von TLS 1.3 involviert waren, so nicht stehen lassen wollen. Die vom NCSC erwähnte selektive Analyse mittels HTTPS Proxies sei schon bei TLS 1.2 nicht zuverlässig durchführbar, betont Google-Entwickler Adam Langley in einem Blogeintrag. Solche Methoden führen zu einer Verlangsamung der Übertragung und lösen alle möglichen Fehler aus. Genau solche Tricks waren denn auch für eine mehrfache Verschiebung von TLS 1.3 verantwortlich, da man Workarounds für durch diese Form der Überwachung entstehende Probleme entwickeln musste. Insofern sei es besonders unerfreulich, dass eine britische Regierungsstelle solche Missverständnisse wiederholt und damit auch weiter verbreitet.

Hintergrund

TLS 1.3 befindet sich derzeit noch in der Begutachtungsphase, eine offizielle Absegnung des neuen Standards wird aber für die nächsten Wochen erwartet. Google hat den Support für TLS 1.3 gerade erst mit dem Update auf Chrome 65 aktiviert, parallel dazu unterstützt der Softwarehersteller auch auf seinen Servern größtenteils bereits die neue TLS-Version. Doch auch bei Firefox experimentiert man schon seit einiger Zeit mit der neuen Generation der Transportverschlüsselung. Der erste Entwurf von TLS 1.3 wurde bereits im April 2014 veröffentlicht. (apo, 13.3.2018)