Forscher: VoIP-Verschlüsselung der britischen Regierung enthält Hintertür

Das Sicherheitsprotokoll, das die britische Regierung für die Verschlüsselung von Voice-over-IP (verwendet), enthält offenbar eine Hintertür. Entdeckt wurde sie von Steven Murdoch, Forscher am University College London, wie die BBC berichtet. Ihm zufolge ist es möglich, das Mikey-Sakke genannte Protokoll auszuhebeln und verschlüsselte Gespräche zu entschlüsseln. Entwickelt wurde Mikey-Sakke vom britischen Geheimdienst GCHQ.

Murdoch kritisiert dem Bericht zufolge vor allem die Schlüsselverwaltung des Protokolls, die es einem Netzwerkbetreiber oder auch einem Hacker mit Zugriff auf das Netz erlaube, Gespräche abzuhören. Statt die für die Verschlüsselung und Entschlüsselung benötigten Schlüssel auf unterschiedlichen Rechnern zu generieren und nur den öffentlichen Teil der Schlüssel auszutauschen, stelle der Netzwerkbetreiber die Schlüssel für die Gesprächsteilnehmer aus.

„Ich glaube, das kommt von einem Interessenkonflikt innerhalb des GCHQ“, sagte der Forscher der BBC. Aufgabe des Geheimdiensts sei es, selbst zu spionieren und auch Spionage zu verhindern. Ihm seien zwei Produkte bekannt, die den Standard nutzten. Beide seien von der britischen Regierung zertifiziert.

Nigel Smart, Kryptografieexperte und Professor an der University of Bristol, nannte im Gespräch mit der BBC Beispiele dafür, dass eine Hintertüre in der VoIP-Verschlüsselung sinnvoll sein könne. Eine Aufsichtsbehörde habe möglicherweise berechtigtes Interesse daran, die Kommunikation eines Börsenhändlers zu überwachen. Es sei jedoch nicht bekannt, wo und wie Mikey-Sakke eingesetzt werde.

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

„Wenn man nicht erklärt, wie man es nutzen will, in welchen Systemen es verwendet wird und welchen Umfang und Grenzen die treuhänderische Schlüsselverwaltung hat, dann ist das keine gute Werbung“, zitiert ihn die BBC.

Der britische Geheimdienst weist indes den Vorwurf einer Hintertür zurück. „Das Mikey-Sakke-Protokoll erlaubt die Entwicklung, sicherer und skalierbarer Enterprise-Produkte.“, sagte ein Sprecher des GCHQ. Da Organisationen, die das Protokoll einsetzten, jeweils eigene Server für die Schlüsselverwaltung betrieben, gebe es keinen geheimen Masterkey und auch keine Hintertür, die es dem Geheimdienst oder Dritten erlaube, in Echtzeit oder auf gespeicherte Konversationen zuzugreifen. „Nur der Eigentümer des jeweiligen Systems kann, wenn er will, Unterhaltungen entschlüsseln.“

Der Betreiber eines Kommunikationsdiensts könnte jedoch schon bald in Großbritannien gezwungen sein, die Sicherheitsbehörden des Landes bei ihrer Arbeit zu unterstützen. Das sieht zumindest der Entwurf des neuen Überwachungsgesetztes Investigatory Powers Bill vor, das nicht nur im Vereinigten Königreich umstritten ist. Facebook nannte es erst Anfang des Monats einen „Schritt in die falsche Richtung„. Nur wenige Wochen vorher forderte Apple Änderungen, um zu verhindern, dass Unternehmen außerhalb Großbritanniens zu Handlungen gezwungen werden, die gegen die Gesetze ihrer Heimatländer verstoßen.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Kritische Lücken in Adobe Reader und Acrobat

Sie erlauben eine Remotecodeausführung. Betroffen sind alle unterstützten Versionen von Adobe Reader und Acrobat für…

12 Stunden ago

Google stopft weitere fünf Löcher in Chrome 128

Betroffen sind Chrome für Windows, macOS und Linux. Das von den Anfälligkeiten ausgehende Risiko stuft…

12 Stunden ago

Steuerstreit mit der EU: Apple muss 13 Milliarden Euro nachzahlen

Der Gerichtshof der Europäischen Union entscheidet „endgültig“ über den Rechtsstreit. Dem Urteil zufolge sind von…

17 Stunden ago

September-Patchday: Microsoft schließt kritische Zero-Day-Lücke in Windows Update

Sie betrifft ältere Versionen von Windows 10. Ein weiterer kritischer Bug steckt aber auch in…

19 Stunden ago

CloudEye für 18 Prozent aller Malware-Infektionen in Deutschland verantwortlich

Der Downloader nimmt Windows-Rechner ins Visier. RansomHub festigt seine Position als führende Ransomware-Gruppe weltweit.

1 Tag ago

Funeral Scams: Neue perfide Online-Betrugsmasche auf Facebook

Britische Bestattungsunternehmen haben bereits reagiert und weisen darauf hin, dass ihre Beerdigungen nicht gelivestreamt werden.

2 Tagen ago