Warum die meisten Webdienste keine Ende-zu-Ende-Verschlüsselung verwenden

Warum die meisten Webdienste keine Ende-zu-Ende-Verschlüsselung verwenden

Why Most Web Services Don T Use End End Encryption

Die jüngsten Enthüllungen über die staatliche Überwachung haben die Frage aufgeworfen: Warum verschlüsseln Cloud-Dienste Ihre Daten nicht? Nun, im Allgemeinen verschlüsseln sie Ihre Daten, aber sie haben den Schlüssel, damit sie sie jederzeit entschlüsseln können.



Die eigentliche Frage ist: Warum ver- und entschlüsseln Webdienste Ihre Daten nicht lokal, damit sie in verschlüsselter Form gespeichert sind, die niemand ausspionieren kann? LastPass tut dies immerhin mit Ihrer Passwortdatenbank.

Wie sich die Ende-zu-Ende-Verschlüsselung unterscheiden würde

Um es klarzustellen, Ihre Daten sind wahrscheinlich verschlüsselt. Nehmen wir zum Beispiel Dropbox. Wenn Sie eine Verbindung zu Dropbox herstellen, überträgt Dropbox alle Daten über eine verschlüsselte Verbindung, sodass niemand sie während der Übertragung ausspionieren kann. Dropbox verspricht außerdem, dass sie Ihre Dateien verschlüsselt auf ihren Servern speichern.

Verschlüsselung ist jedoch ein Schloss, und es ist weniger wichtig, ob etwas verschlossen ist, als wer den Schlüssel hat. Dropbox hat den Verschlüsselungsschlüssel, um alle Ihre Dateien auf ihren Servern anzuzeigen. Es ist also wahr, dass es verschlüsselt ist, aber es stimmt auch, dass Dropbox vollen Zugriff darauf hat und dass sie mit der staatlichen Überwachung zusammenarbeiten könnten oder ein Schurkenmitarbeiter Ihre Dateien durchschnüffeln könnte.

Die Idee der Ende-zu-Ende-Verschlüsselung – man könnte sie auch als lokale Verschlüsselung und Entschlüsselung bezeichnen – ist anders. Bei der Ende-zu-Ende-Verschlüsselung werden die Daten nur an den Endpunkten entschlüsselt. Mit anderen Worten, eine mit End-to-End-Verschlüsselung gesendete E-Mail würde an der Quelle verschlüsselt, während der Übertragung für Dienstanbieter wie Gmail unlesbar und dann an ihrem Endpunkt entschlüsselt. Entscheidend ist, dass die E-Mail nur für den Endbenutzer auf seinem Computer entschlüsselt wird und in verschlüsselter, unlesbarer Form für einen E-Mail-Dienst wie Gmail verbleibt, der nicht über die Schlüssel zum Entschlüsseln verfügt. Dies ist viel schwieriger.

Download und lokale Entschlüsselung

Wie oben erwähnt, verwendet LastPass lokale Verschlüsselung und Entschlüsselung über Ihren Webbrowser. Es lädt einen verschlüsselten Blob herunter, der Ihre Passwörter enthält, entschlüsselt ihn mit Ihrem Passwort und ermöglicht Ihnen den Zugriff auf Ihre Passwörter. Beachten Sie, dass LastPass Ihren gesamten Tresor mit Passwörtern und anderen Daten herunterladen muss, um ihn zu entschlüsseln. Im Fall von LastPass funktioniert dies gut – es ist eine ziemlich kleine Datei.

Anzeige

Bei anderen Webdiensten wäre dies jedoch nicht annähernd so einfach. Wenn Gmail beispielsweise ähnlich funktioniert, müsste Gmail eine Datei mit Ihrem gesamten 5-GB-E-Mail-Posteingang auf Ihren Computer herunterladen. Es könnte dafür vielleicht die LocalStorage-Spezifikation von HTML5 verwenden, wenn LocalStorage mehr Daten speichern könnte. Diese Datei müsste dann lokal entschlüsselt werden, um Zugriff auf Ihr E-Mail-Postfach zu erhalten, was eine Weile dauern würde.

Es ist möglich, dass Gmail dies anders macht, mit einer separaten Datei, die jede neue, verschlüsselte E-Mail darstellt. Die Architektur eines E-Mail-Clients auf diese Weise ist jedoch viel komplexer.

Dies wäre heute eigentlich mehr oder weniger unmöglich – LocalStorage ist in gängigen Browsern oft auf 5 MB oder weniger pro Website beschränkt. Die Spezifikation besagt, dass Benutzer in der Lage sein sollten, dieses Limit zu erhöhen, wenn sie möchten, aber nur wenige Browser implementieren dies.

So kombinieren Sie Powerpoint-Folien

Keine sicheren Web-Apps

Cloud-Speicherdienste wie SpiderOak und Wuala unterscheiden sich von Dropbox – sie bieten eine vollständige lokale Verschlüsselung und Entschlüsselung. Installieren Sie das Desktop-Programm für SpiderOak oder Wuala und sie verschlüsseln Ihre Dateien vor dem Hochladen, sodass der Dienst selbst nie weiß, was Sie speichern, und deine Für den Zugriff ist ein Verschlüsselungsschlüssel erforderlich.

Diese Dienste unterscheiden sich jedoch auch in anderer Hinsicht von Dropbox – sie fördern nicht die Verwendung einer Weboberfläche für den einfachen Zugriff. Für Dropbox ist es einfach, eine Web-App bereitzustellen, mit der Sie auf Ihre Dateien zugreifen können, da sie diese Dateien versteht. SpiderOak und Wuala verstehen nicht, was Sie speichern, daher ist es für sie viel einfacher, Ihnen zu erlauben, alle verschlüsselten Blobs mit Ihrem Desktop-Programm herunterzuladen und das Desktop-Programm die harte Arbeit erledigen zu lassen.

Anzeige

Diese Dienste müssten es Ihnen ermöglichen, die verschlüsselten Dateinamen zu entschlüsseln und zu verstehen, die verschlüsselte Datei in Ihren Browser herunterzuladen (möglicherweise über LocalStorage), einen Entschlüsselungsalgorithmus zu verwenden, um sie lokal zu entschlüsseln, und Sie dann auffordern, sie auf Ihrem Computer zu speichern. Aufgrund der Einschränkungen von LocalStorage wäre dies in der Praxis nicht möglich.

SpiderOak bietet tatsächlich eine Web-App, obwohl sie davon abraten, sie zu verwenden, da sie Ihren SpiderOak-Verschlüsselungsschlüssel im Speicher auf ihren Servern speichern muss, während Sie auf Ihre Dateien zugreifen. Sie sagen, dass sie es aufgrund der überwältigenden Kundennachfrage anbieten – selbst bei einem Dienst, der am besten für seine Verschlüsselung und Sicherheit bekannt ist, verlangen die Kunden überwiegend bequemere und unsicherere Optionen.

Keine Spamfilterung, Suche und andere intelligente Funktionen

Dienste wie Gmail sind etwas Besonderes, da sie zusätzliche Dienste bereitstellen, anstatt nur eine Box zu sein, in der alle Ihre E-Mails gespeichert sind. Gmail untersucht beispielsweise eingehende E-Mails und führt einen Spam-Filter gegen sie aus, um festzustellen, ob es sich um Junk-E-Mails handelt. Gmail indiziert Ihre E-Mails, damit Sie sie schnell durchsuchen können. Gmail untersucht den Inhalt einer E-Mail teilweise, um festzustellen, ob er wichtig ist, und ermöglicht Ihnen die Einrichtung von Filtern, die basierend auf dem Inhalt einer E-Mail automatisch Aktionen ausführen.

So ändern Sie das Windows-Symbol

Alle diese Funktionen basieren darauf, dass Gmail – und Google – Ihre E-Mails verstehen und darauf zugreifen können. Wenn sie keinen Zugriff hatten, konnten sie keine Spamfilterung durchführen, das Filtern von E-Mails basierend auf ihrem Inhalt nicht aktivieren oder Ihnen erlauben, Ihren Posteingang zu durchsuchen. Viele der wichtigsten Funktionen hängen also davon ab, dass der Dienst Zugriff auf Ihre Dateien hat.

Keine Passwortwiederherstellung

Die meisten Onlinedienste bieten Mechanismen zur Passwortwiederherstellung an. Für eine wirklich sichere lokale Verschlüsselung kann es jedoch keinen Mechanismus zur Passwortwiederherstellung geben. Sie haben Ihren Verschlüsselungsschlüssel, der Ihre Dateien entschlüsselt. Wenn Sie den Zugriff auf diesen Schlüssel verlieren, können Sie Ihre Dateien nicht entschlüsseln.

Es wäre unmöglich, einen Passwort-Reset-Mechanismus anzubieten, wenn der Dienst nicht den Inhalt der Daten kennt. Dienste können dies jetzt tun, da Ihr Passwort nur eine Möglichkeit ist, sich bei Ihrem Konto zu authentifizieren – es ist kein obligatorischer Code, der Ihre Daten zugänglich macht. Selbst wenn Dienste problemlos auf eine Ende-zu-Ende-Verschlüsselung umsteigen könnten, würde dies ihnen eine Pause verschaffen – viele durchschnittliche Benutzer würden ihre Verschlüsselungsschlüssel vergessen, ihre Daten verlieren, sich beschweren und dann zu einem unverschlüsselten Anbieter wechseln. Der Dienst würde ermutigt, die Verschlüsselung zu lockern.

Anzeige

SpiderOak versucht seinen Benutzern zu helfen, indem es anbietet, ihnen einen Passworthinweis zu senden, den sie bei der Einrichtung des Kontos angegeben haben, aber es kann das Passwort nicht vollständig zurücksetzen. Vergessen Sie Ihr Passwort und Ihre Dateien sind weg, vorausgesetzt, sie sind nicht auf einem lokalen Computer gespeichert.

Sie möchten Ihre Daten verkaufen oder gezielt Werbung schalten

Wir wollen nichts anderes vorgeben: Viele Dienste wollen auch Ihre persönlichen Daten analysieren und damit Geld verdienen. Google scannt Ihre E-Mails und verwendet die Informationen, die sie über Sie haben, um gezielte Anzeigen zu präsentieren, aber zumindest verkaufen sie diese personenbezogenen Daten nicht an andere Unternehmen. Facebook verkauft Ihre personenbezogenen Daten direkt an andere Unternehmen.

Dienste benötigen dafür Zugriff auf Ihre Daten, sodass sie keinen Anreiz haben, eine starke Ende-zu-Ende-Verschlüsselung bereitzustellen.


Dies sind bei weitem nicht die einzigen Gründe, warum die lokale Verschlüsselung und Entschlüsselung Ihrer persönlichen Daten für die überwiegende Mehrheit der Cloud-Dienste ein Nichtstarter ist. Wir hoffen, dass es ein wenig Licht in die schwierigen Probleme gebracht und erklärt hat, warum so viele Ihrer Daten theoretisch für andere Personen lesbar sind. Es gibt möglicherweise einfachere Möglichkeiten, einige Verschlüsselungsfunktionen zu implementieren – zum Beispiel indem Sie Benutzern erlauben, eine verschlüsselte E-Mail über Gmail zu senden – aber erwarten Sie nicht, dass alles in absehbarer Zeit lokal verschlüsselt und entschlüsselt wird.

Bildnachweis: Andy Roberts auf Flickr

WEITER LESEN Profilfoto von Chris Hoffman Chris Hoffmann
Chris Hoffman ist Chefredakteur von How-To Geek. Er schreibt über ein Jahrzehnt über Technologie und war zwei Jahre lang Kolumnist bei PCWorld. Chris hat für die New York Times geschrieben, wurde als Technologieexperte von Fernsehsendern wie Miamis NBC 6 interviewt und ließ sich von Nachrichtenagenturen wie der BBC über seine Arbeit berichten. Seit 2011 hat Chris über 2.000 Artikel geschrieben, die fast eine Milliarde Mal gelesen wurden – und das nur hier bei How-To Geek.
Vollständige Biografie lesen