Unabhängiger Sicherheitstest: ETH Zürich untersucht Tresorits E2EE-Cloudlösung

Geschrieben von Brigitta Finta
Unabhängiger Sicherheitstest: ETH Zürich untersucht Tresorits E2EE-Cloudlösung

Wenn man in gängigen Suchmaschinen „best end-to-end encrypted cloud storage” oder „most secure cloud storage” sucht, ist Tresorit eine der Antworten – und genau so verstehen wir unsere Mission. Ob wir dieses Versprechen einlösen können, prüfen wir kontinuierlich selbst – vor Kurzem bekamen wir dabei überraschend Unterstützung von einem Team von Kryptographieexperten der ETH Zürich.

Die Forscher hatten es sich im Rahmen ihrer Studie mit dem Titel „End-to-End Encrypted Cloud Storage in the Wild: A Broken Ecosystem” zur Aufgabe gemacht, Anbieter, die angeben, besonders sichere E2EE- Cloudlösungen bereitzustellen (zum Teil nach dem Zero-Knowledge-Prinzip), genauer unter die Lupe zu nehmen. Sie konzentrierten sich neben Tresorit auf Sync, pCloud, Icedrive und Seafile – Provider, die zusammengenommen mehr als 22 Millionen User haben.

Wie wurde die Sicherheit von Tresorit getestet?

Das Forschungsteam der ETH Zürich beschreibt sein Vorgehen so: „Wir analysieren die End-to-End-Verschlüsselung dieser Anbieter im realistischen Szenario eines kompromittierten Servers. Dies ist eine berechtigte Erwartung an E2EE-Cloud-Speicher: Die Sicherheit sollte auch dann gewährleistet sein, wenn ein Angreifer vollen Zugriff auf den Server hat und direkt mit dem Nutzer interagieren kann.“

Die Angriffe, die das Team konkret durchführte, umfassten verschiedene Aspekte, darunter die Verletzung der Vertraulichkeit, Integrität und Authentizität von Daten und Metadaten. Insgesamt identifizierten sie zehn Klassen von Angriffen, die sie in vier Kategorien einteilten:

  1. Verletzungen der Vertraulichkeit:
  • Fehlende Authentifizierung von Schlüsseln: Hier ging es darum zu testen, ob Angreifer Schlüsselmaterial manipulieren konnten, um eigene Schlüssel zu verwenden und damit Dateien zu verschlüsseln.
  • Nicht authentifizierte öffentliche Schlüssel: Ziel war es, herauszufinden, ob nicht authentifizierte, vom Server bereitgestellte öffentliche Schlüssel verwendet werden konnten.
  • Protokoll-Downgrade: Testziel war herauszufinden, ob Angreifer einen Protokoll-Downgrade-Angriff durchführen könnten, um die Vertraulichkeit zu kompromittieren.
  • Link-Sharing-Probleme: Da Anbieter oft die Sicherheit opfern, um das Teilen mit Links zu ermöglichen, war dieser Versuch darauf ausgerichtet, die Vertraulichkeit von Daten über Links zu verletzen.
  1. Angriffe auf die Datenintegrität:
  • Nicht authentifizierte Verschlüsselungsmodi: Hier wurden unsichere Verschlüsselungsmodi unter die Lupe genommen, die es Angreifern ermöglichten, Dateien zu manipulieren.
  • Nicht authentifizierte Dateistückelung: Bei diesen Tests ging es um ein Szenario, in dem Angreifer Dateiblöcke vertauschen oder löschen, da die Dateistückelung nicht authentifiziert war.
  1. Angriffe auf Metadaten:
  • Manipulation von Dateinamen und Speicherorten: Es ging hier darum, zu testen, ob Angreifer in der Lage sind, Metadaten wie Dateinamen und Speicherorte zu ändern.
  • Manipulation von Dateimetadaten: Fokus lag auf der Veränderung von Metadaten wie Dateigröße, -typ und Änderungsdatum durch Angreifer.
  1. Datei-Injektion:
  • Injektion von Ordnern: In diesem Fall probierte das Forscherteam aus, ob Angreifer Ordner so erscheinen lassen konnten, als hätte der Nutzer sie hochgeladen.
  • Injektion von Dateien: Bei diesem Test versuchten die Forscher als Angreifer Dateien so erscheinen lassen, als wären sie vom Nutzer hochgeladen worden.

Wie sicher ist Tresorit? Die Ergebnisse der Studie

Unterm Strich schneidet Tresorit gut ab. Das klingt im Fazit der Studie so:

„Das Design von Tresorit ist größtenteils unberührt von unseren Angriffen, da es vergleichsweise durchdachter gestaltet ist und eine angemessene Auswahl an kryptografischen Primitiven verwendet.“

Das Team konstatierte Tresorit ein kryptografisches Design, das „bemerkenswert komplexer als das anderer Anbieter (ist), teilweise aufgrund der fortschrittlichen Funktionen wie Passwortwiederherstellung und Admin-Zugriff auf Benutzerkonten.

Zu diesem Schluss kamen die Forscher, indem sie unterschiedliche Aspekte von Tresorits System unter die Lupe nahmen. So beispielsweise :

  • Datenverschlüsselung und Authentifizierung: Tresorit nutzt eine starke Verschlüsselungsmethode (AES), um Daten unlesbar für Unbefugte zu machen: Entweder wird eine authentifizierte Verschlüsselung (AES-GCM) oder eine Verschlüsselung-nach-Authentifizierung-Konstruktion (mit AES-CFB und HMAC auf Basis von SHA2) angewendet.Auch dies macht es unmöglich,  unbefugte Personen die Daten unbemerkt zu manipulieren.
  • Schlüsselverschlüsselung: Der symmetrische Schlüssel, der zum Entschlüsseln der Dateien notwendig ist, wird ebenfalls durch eine starke asymmetrische Verschlüsselung (RSA) geschützt. Dabei kommt ein  komplexer  Schlüssel mit 4096-Bit-Modulus zum Einsatz, der es für potenzielle Angreifer schwierig macht, ihn zu knacken.
  • Schlüsselableitung: Als kryptografische Best Practice leitet Tresorit für jede unterschiedliche Verwendung bestehender Schlüssel neue Schlüssel ab. Auch Passwörter werden durch Schlüsselableitung (mit scrypt und PBKDF2) besonders sicher gemacht. Dadurch wird es für Angreifer sehr aufwendig, sie zu erraten.

Tresorit setzt  weitere  Sicherheitsschritte um, um die Nutzerdaten zu schützen:

  • Profilschlüsselgenerierung und -verschlüsselung: Wenn ein Benutzer  ein Passwort erstellt, wird ein kryptographischer  Schlüssel (K_{master}) davon abgeleitet. Dieser Schlüssel wird verwendet, um ein RSA-Schlüsselpaar (einen privaten und einen öffentlichen Schlüssel) zu verschlüsseln. Der öffentliche Schlüssel wird dann verwendet, um einen weiteren Schlüsselzu verschlüsseln, der wiederum das Benutzerprofil schützt. Dieses Profil enthält wichtige Informationen, wie z.B. die weiteren Schlüssel des Benutzers.
  • Dateiorganisation in Tresoren: Tresorit speichert Dateien in sogenannten Tresoren – Ordner , die geteilt werden können. Jeder Tresor hat eine Datei, die die „Gruppenschlüsseldatei“ (GKF) genannt wird. Diese verschlüsselte und authenfizierte GKF enthält notwendigen Schlüssel, um auf die Dateien im Tresor zuzugreifen. Jedes Tresor-Mitglied erhält über die GKF kryptografischen Zugang zum Tresor.
  • Verschlüsselung von Dateien und Ordnern: Jeder Ordner und jede Datei sowie ihren Namen wird mit einem eigenen Verschlüsselungsschlüssel geschützt. Diese Schlüssel werden zusätzlich verwendet, um die Daten nicht nur zu verschlüsseln, sondern auch zu authentifizieren, damit sichergestellt wird, dass sie nicht manipuliert wurden. Dateihierarchie wird auch vor Manipulation geschützt.
  • Schutz vor Manipulation durch den Server: Das Benutzerprofil und die GKF sind  zusätzlich gesichert, um zu verhindern, dass der Server die Schlüssel des Benutzers oder der Tresors durch eigene Schlüssel ersetzt.
  • Authentifizierung durch Zertifikate: Alle asymmetrischen Schlüssel, die Tresorit verwendet, werden durch digitale Zertifikate validiert. Diese Zertifikate werden von Tresorits eigener Zertifizierungsstelle ausgestellt und jedes Mal überprüft, wenn der Benutzer einen Schlüssel vom Server anfordert.
  • Verwaltung durch Administratoren: In Unternehmen können Administratoren die Konten von Benutzern verwalten auf Kontendaten zugreifen. Dies ist möglich, indem das Benutzerprofil um einen weiteren kryptografischen Zugang erweitert wird, der mit dem privaten Schlüssel des Administrators zugänglich ist. Der Benutzer muss dem jedoch ausdrücklich zustimmen nach Überprüfung des kryptografischen Fingerabdrucks des Administrators, um Identitätsdiebstahlangriffe zu verhindern.

Weiterhin untersuchte das Team der ETH Zürich die Möglichkeit, Daten via Tresorit zu teilen. Tresorit bietet dabei gleich zwei Möglichkeiten, um Dateien sicher zu teilen: Linkfreigabe und permanente Freigabe.

Linkfreigabe:

  • Wenn eine Datei oder ein Ordner per Link geteilt wird, erstellt Tresorit im Hintergrund ein geheimes Passwort, das aus 16 zufälligen Zeichen besteht. Dieses geheime Passwort wird Teil des Links. Links können zusätzlich mit einem Passwort geschützt werden.
  • Dieses Passwort wird dann verwendet, um einen speziellen Schlüssel zu generieren, der notwendig ist, um die Datei zu entschlüsseln. Die Ziel-Datei oder der Ziel-Ordner des Links kann mit dem Client-Schlüsselt entschlüsselt werden – oder, falls ein Passwort festgelegt wurde, durch die kryptografische Kombination des Client-Schlüssels und des Passworts.
  • The link’s receiver does not need a Tresorit account to access the file or folder behind the link.

Permanente Freigabe:

  • Wenn ein Tresor dauerhaft mit einer anderen Person geteilt wird, wird der öffentliche Schlüssel des Eingeladenen in die Gruppen-Schlüsseldatei (GKF) des Tresors aufgenommen.
  • Dieser GKF wird an den Tresorit-Server gesendet, der ihn dann an die eingeladene Person weiterleitet.
  • Die eingeladene Person kann den Tresor dauerhaft nutzen, weil die notwendigen Informationen (der private Schlüssel) sicher in ihrem eigenen Benutzerprofil gespeichert werden.

Zusätzlich stellt Tresorit sicher, dass die geteilten Schlüssel vertrauenswürdig sind, indem sie in  ein spezielles digitales Zertifikat eingebunden werden, das Tresorit selbst ausstellt. Dies dient als zusätzliche Schicht, um die Identität des Besitzers eines öffentlichen Schlüssels zu bestätigen und verhindert so, dass jemand unbefugt auf die Dateien zugreifen kann.

Impulse zur Verbesserung sind sehr willkommen

Neben den zahlreichen Maßnahmen, die Tresorit ergreift, um Datenspeicherung und -weitergabe vollkommen sicher zu machen, hat die Untersuchung der Forscher aber auch aufgezeigt, wo Tresorit noch besser werden kann.

Die Forscher bemängelten das Fehlen formaler Sicherheitsanalysen undden Mangel an frei verfügbaren Quellcodes.Kombiniert mit der Natur aus komplexen Struktur  des kryptografischen Designs stellen diese Faktoren Hürden für unabhängige Sicherheitsbewertungen.

Solcherlei Impulse zur Verbesserung sind bei Tresorit sehr willkommen. Das unterstreicht auch CEO István Hartung: „Wir freuen uns über das positive Fazit der Untersuchung, nehmen aber auch das von den Forschern aufgezeigte Verbesserungspotenzial ernst. Deshalb schätzen wir den Austausch mit der Forschung sehr, denn er hilft nicht nur uns, sondern der gesamten Branche, sich weiter in die richtige Richtung zu bewegen. Wir planen, den Dialog mit dem Forschungsteam fortzusetzen und eine künftige Zusammenarbeit zu erkunden.

Besuchen Sie unsere Sicherheitsseite, um mehr über die Sicherheitsstandards und das kryptografische Design von Tresorit zu erfahren.

 

Vorgeschlagene Artikel