Ende-zu-Ende-Verschlüsselung ohne Schlüsselrotation ist eine fatale Abkürzung

Menschen und Unternehmen verfügen alle über Daten, an denen sie gemeinsam arbeiten und die sie schützen möchten. Wir nutzen eine Vielzahl von Online-Diensten, die uns das Leben leichter machen, indem wir die tägliche Verwaltung der IT-Infrastruktur auslagern. Die Zeiten, in denen Sie eine zentrale Kopie Ihrer Daten auf Ihrem PC hatten, gehören der Vergangenheit an – und auch lokale Datentauschserver sind inzwischen veraltet. Der Haken an der Cloud und den auf ihr aufgebauten Online-Diensten ist jedoch, dass sie regelmäßig gehackt werden. Aber machen wir uns nichts vor: Eine lokale Infrastruktur ist ebenfalls anfällig für Angriffe durch Hacker.

Ende-zu-Ende-Verschlüsselung ist eine großartige Technologie, mit der sichergestellt werden kann, dass Daten nur für die Nutzer sichtbar sind, mit denen sie geteilt wurden. Ein Ende-zu-Ende-verschlüsselter Service hat keinen Zugriff auf Nutzerinformationen, da er nur verschlüsselte Inhalte zu sehen bekommt. Die Verschlüsselung und Schlüsselverwaltung finden komplett auf dem Gerät des Nutzers statt, über speziell dafür installierte Software oder im Browser.
Ende-zu-Ende-Verschlüsselung hat sich über das letzte Jahrzehnt rasant weiterentwickelt:

• Alle Passwortmanager nutzen Ende-zu-Ende-Verschlüsselung, um all Ihre anderen Passwörter zu schützen. Einige wichtige Anbieter, die an dieser Stelle beim Namen genannt werden sollten, sind LastPass, Dashlane, Bitwarden und 1Password.
• Im Chat-Bereich sind Unternehmen wie WhatsApp und Signal tonangebend. Inzwischen sind alle wichtigen Anbieter auf dem Markt entweder Ende-zu-Ende-verschlüsselt, wie iMessage, oder bieten die Option, Ende-zu-Ende-Verschlüsselung zu aktivieren, wie Facebook Messenger.
• Was Online-Tools für Videoanrufe und -konferenzen angeht, verfügen Zoom und Microsoft Teams über Ende-zu-Ende-Verschlüsselung als Option für bestimmte Szenarien.
• Im Markt für Cloudspeicher bietet Tresorit seit über einem Jahrzehnt Ende-zu-Ende-verschlüsselten Datentausch von Dateien und Ordnern für Unternehmen und Privatkunden. Apple hat kürzlich ein erweitertes Datenschutz-Feature für iCloud veröffentlicht, während Dropbox jüngst Boxcryptor IP erworben hat und Gerüchte kursieren, dass der Anbieter im Begriff ist, seine eigene Ende-zu-Ende-verschlüsselte Lösung zu implementieren.

Wenn Ende-zu-Ende-Verschlüsselung korrekt angewendet wird, kann sie für Sicherheit in der Cloud sorgen, die der von On-Premise-Lösungen gleichgestellt ist. Jedoch hat die kürzliche Datenschutzverletzung bei LastPass gezeigt, dass nicht alle Ende-zu-Ende-verschlüsselten Produkte das gleiche Sicherheitslevel bieten. Wie bei nahezu allen IT-bezogenen Fragen wird die Sache schnell sehr komplex – aber wir werden versuchen, es in diesem Artikel für Sie aufzuschlüsseln.

Die erste Annahme, die wir über das Sicherheitsmodell machen, ist, dass alle Anbieter regelmäßig gehackt werden. Anders ausgedrückt: Die bei dem Dienst gespeicherten verschlüsselten Daten sind für jedermann zugänglich. Wir gehen von dieser Tatsache aus, weil Ende-zu-Ende-verschlüsselte Anbieter versprechen, dass Ihre verschlüsselten Daten stets sicher sind – auch wenn sie gehackt werden.
Vielleicht sind Sie die Art von Person, die grundsätzlich ein starkes Passwort verwendet (mindestens 18 Zeichen, zufällig ausgewählt) und deren Geräte mit starker Verschlüsselung mittels einer PIN geschützt sind, die nicht „versehentlich“ von jemandem herausgefunden werden kann. Oder Sie sind die Art von Person, die ohne jeglichen Zweifel weiß, dass jeder, mit dem Sie vertrauliche Inhalte geteilt haben, sich an dieselben Sicherheitspraktiken hält. Wenn dies der Fall ist, brauchen Sie nicht weiterlesen – denn alle auf dem Markt erhältlichen Ende-zu-Ende-verschlüsselten Lösungen werden Ihre Daten schützen. Falls Sie jedoch zu den anderen 100% von Lesern gehören, dann lassen Sie uns einmal einen Blick darauf werfen, was schieflaufen kann.

Hier bei Tresorit haben wir angesichts der LastPass-Datenschutzverletzung diverse auf dem Markt verfügbare Passwortmanager im Detail analysiert. Wir waren unangenehm überrascht, dass einige Produkte einen Mangel an kryptografischen Features vorwiesen, insbesondere fehlende Schlüsselrotation und Schlüsselversionen.

In Ende-zu-Ende-verschlüsselten Produkten kann jedes Datenelement über eine Kette von Schlüsseln entschlüsselt werden, die einer festgelegten Struktur folgt. Sie beginnen mit Ihrem Passwort, aus dem ein Masterschlüssel abgeleitet wird. Sie öffnen einen Ordnerschlüssel mit Ihrem Masterschlüssel und finden in diesem Ordner einen Dateischlüssel, der die Datei öffnet.

Services wie Apples erweiterter Datenschutz und 1Password eliminieren diese Abhängigkeit von Nutzerpasswörtern und bauen stattdessen darauf, dass Ihr Gerät und Biometrie den Masterschlüssel sichern. Beide Dienste gestatten es Ihnen, einen Wiederherstellungsschlüssel zu erstellen, den Sie sicher verwahren müssen. Wenn Sie jedoch all Ihre Geräte verlieren, verlieren Sie ohne den Wiederherstellungsschlüssel auch alle Daten.

In der Realität werden Passwörter offengelegt und Geräte gehen verloren. Aus diesem Grund sollten Nutzer die Möglichkeit haben, Passwörter ändern und Geräte sperren zu können. In einem derartigen Szenario sollten alle kryptografischen Schlüssel, die über das Gerät oder Passwort zugänglich waren, ebenfalls als offengelegt angesehen werden.

Das bedeutet, dass alle neuen Daten mit einer nagelneuen Schlüsselkette verschlüsselt werden sollten. Dies nennt man auch „lazy Re-Encryption“ (zu Deutsch „faule Wiederverschlüsselung“): Es macht keinen Sinn, all die Daten erneut zu verschlüsseln, da sie bereits offengelegt wurden – und somit vom Sicherheitsstandpunkt aus betrachtet der Öffentlichkeit bekannt sind.

Tresorit implementiert die sogenannte „lazy Re-Encryption“ mittels Schlüsselversionen. Das bedeutet, dass der Masterschlüssel eine Versionsnummer hat, die gleichförmig erhöht wird. Wenn zu einem beliebigen Zeitpunkt etwas mit einem Schlüssel entschlüsselt wird, der eine kleinere Version als der Masterschlüssel enthält, wird stattdessen ein neuer Schlüssel zufällig generiert und ihm eine Versionsnummer zugewiesen, die der des aktuellen Masterschlüssels entspricht. Der Masterschlüssel wird regelmäßig proaktiv und für risikoreiche Events, wie die Passwortänderung oder Sperrung von Geräten, rotiert.

„Lazy Re-Encryption“ wird komplizierter, was geteilte Ordner betrifft. Tresorits geteilte Ordner verfügen alle über ihren eigenen geteilten Masterschlüssel mit ihrer eigenen „lazy Re-Encryption“. Dieser Masterschlüssel wird mithilfe asymmetrischer gemeinsam verwendeter Schlüssel zwischen Nutzern geteilt. Gemeinsam verwendete Schlüssel werden ebenfalls regelmäßig proaktiv und für risikoreiche Events, wie die Passwortänderung oder Sperrung von Geräten, rotiert. Wenn ein gemeinsam verwendeter Schlüssel rotiert wird, müssen alle gemeinsam verwendeten Masterschlüssel rotiert und ihre Versionsnummer erhöht werden. Masterschlüssel werden auch rotiert, sobald sich die Ordnermitgliedschaft ändert, sodass aus dem Ordner entfernte Nutzer nicht länger neue Inhalte im geteilten Ordner entschlüsseln können.

Wie Sie wahrscheinlich anhand der obigen Darstellung erkennen können, ist die Implementierung dieser Funktionalität äußerst komplex. Tresorit ist stolz auf die Tatsache, dass diese Verfahren bereits vom ersten Tag an Bestandteil des Produkts gewesen sind.

Unternehmen, die LastPass nutzen, stehen nun vor einem echten Problem: Ihre geteilten Ordner verfügen weder über Schlüsselrotation noch über Schlüsselversionen. Selbst wenn Ihre Mitarbeiter alle Masterpasswörter des Unternehmens sowie die in den geteilten Ordnern gespeicherten Passwörter ändern, sind Sie im Anschluss daran genauso verwundbar wie zuvor – denn selbst wenn ein einziges altes Masterpasswort eines Mitarbeiters in der Zukunft geknackt wird, können Hacker im Zuge einer derartigen Datenschutzverletzung auf die neuen geteilten Passwörter zugreifen. Warum? Weil die neuen geteilten Passwörter mit demselben Verschlüsselungscode verschlüsselt wurden.

LastPass ist davon ausgegangen, dass alle Nutzer des Anbieters sichere Passwörter verwenden würden, die niemals gehackt oder via Phishing gestohlen werden könnten. In dem aktuellen katastrophalen Szenario gibt es für das Unternehmen möglicherweise keinen Ausweg. Was IT-Sicherheit betrifft, müssen Sie dazu in der Lage sein, eine Attacke zu erkennen und sich von dieser wieder zu erholen. Zwingende Schlüsselrotation und Schlüsselversionen reduzieren die Angriffsfläche und erleichtern es Ihrem Unternehmen, sich von Angriffen erholen zu können.