Yahoo verschlüsselt Messenger-Kommunikation

Yahoos neuer Chief Information Security Officer Alex Stamos hat in einem Blogbeitrag eine Verschlüsselung für Yahoo Messenger „in den nächsten Monaten“ angekündigt. Yahoo war – ebenso wie ICQ – in der Vergangenheit dafür gerügt worden, dass es auf eine Verschlüsselung von Chats verzichtete.

Stamos, der kürzlich als Mitveranstalter von TrustyCon den Protest gegen RSA und dessen bombastische Sicherheitskonferenz anführte, sieht dies aber nur als ersten Schritt: „Die Überwachung von Millionen Menschen gleichzeitig zu verhindern, liegt absolut innerhalb unserer Möglichkeiten“, sagte er Journalisten bei einer Veranstaltung in den Büros der Yahoo-Tochter Flickr. „Fünfzehn Jahre lang galt, ‚ich vertraue dir meine Daten an‘, aber das ändert sich gerade.“

Alex Stamos bei TrustyCon (Bild: News.com)

Die bisherigen Maßnahmen fasste Stamos zusammen: Zum 31. März war der Datenverkehr zwischen Yahoos Rechenzentren „voll verschlüsselt“. HTTPS-Verschlüsselung für Yahoo Mail ist seit Januar standardmäßig aktiv. Und im vergangenen Monat wurde Stamos zufolge auch der Datenaustausch zwischen Yahoo und anderen Mail-Servern stärker verschlüsselt, etwa denen von Google. Die Partner müssen dazu den Standard SMTPS unterstützen (Transport Layer Security fürs Simple Mail Transfer Protocol, das E-Mail-Pendant zu HTTPS). Außerdem nutzen „fast alle“ Suchabfragen, die von der Yahoo-Homepage oder anderen Yahoo-Seiten ausgehen, standardmäßig HTTPS.

Noch habe man aber nicht gleichmäßig starke Verschlüsselung aller Dienste, räumte Stamos ein. Am weitesten seien die Homepage, Mail und die digitalen Zeitschriften, die alle TLS 1.2, Perfect Forward Secrecy und einen 2048-Bit-RSA-Schlüssel einsetzten. Auf Yahoo News, Sports, Finance und Good Morning America for Yahoo müsse man das „http“ in der URL noch selbst um ein „s“ ergänzen, wenn man Verschlüsselung wünsche.

Schwieriger sei es, Mobil-Apps und von anderen integrierte Yahoo-Suchboxen abzusichern, da eben die App umgebaut oder der Partner von der Notwendigkeit überzeugt werden müsse. Dennoch gibt der Datensicherheitsbeauftragte als Ziel „99 Prozent des Traffics zu Yahoo“ als Ziel aus. „Es ist denkbar, dass es immer einige uralte Dienste geben wird, die uns Traffic senden. Kleine Änderungen können in ganzen Unternehmen starke Effekte auslösen. Wir haben nur begrenzte Kontrolle über das Ökosystem.“

Bis Februar war Stamos noch dafür zuständig, Websites auf ihre Sicherheitsimplementierungen abzuklopfen. „Ich war ein professioneller Software-Kritiker.“ Jetzt sei es für ihn so, als müsste ein Filmkritiker plötzlich selbst einen Film drehen. Das sei zwar „ziemlich großartig“, aber auch „vielleicht ein größeres Projekt, als ich erwartet habe“.

[mit Material von Seth Rosenblatt, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de