29C3: "Das SSL-System ist grundlegend defekt - und jemand muss es reparieren"
Nach den Vorfällen um den Zertifikats-Anbieter Diginotar plant die EU-Kommission durch eine Regulierung das Vertrauen in die Verschlüsselung wieder herzustellen. Doch die Regelung greife viel zu kurz, meint der Forscher Axel Arnbak auf dem 29C3.
Nach den Vorfällen um den niederländischen Zertifikats-Anbieter Diginotar plant die EU-Kommission durch eine Regulierung das Vertrauen in die Verschlüsselung wieder herzustellen. Doch nach Auffassung vin Axel Arnbak kann das nicht gelingen, da die geplante Regelung viel zu kurz greift, wie der niederländische Forscher am Freitag auf dem auf dem 29. Chaos Communication Congress (29C3) erklärte.
"Das SSL-System ist grundlegend defekt – und jemand muss es reparieren", fasste Arnbak die derzeitige Situation zusammen. "Und dieser jemand ist nicht der Gesetzgeber." Der Einbruch beim niederländischen Zertifikatsanbieter Diginotar im Frühjahr 2011 habe dies eindrücklich vor Augen geführt. So war der Einbruch erst Monate nach dem Vorfall aufgefallen – und selbst nach der Entdeckung konnten die kompromittierten Zertifikate nicht einfach zurückgezogen werden, weil zu viel maschinengesteuerte Kommunikation bei einer Rücknahme der Diginotar-Zertifikate ins Leere gelaufen wäre.
Im Juni hat die EU-Kommission einen Vorschlag für eine Neuregelung bei den E-Signaturen vorgelegt (PDF-Datei, der unter anderem eine Haftung von Zertifikatsanbietern vorsieht, wenn diese nachlässig bei der Austellung von Zertifikaten oder dem Schutz ihrer Systeme gewesen sind. Dies wäre ein gewaltiger Paradigmenwechsel: Bisher ist das System der SSL-Verschlüsselung noch frei von jeder Regulierung.
Doch nach Analyse von Arnbak wird diese Initiative kaum Erfolg haben, da sie zu kurz greift. So sorge die Haftungsregelung zwar im Prinzip für einen Anreiz, die IT-Systeme von Zertifikatsanbietern besser zu schützen als bisher. Doch es sei unwahrscheinlich, dass dieser Haftungsfall wirklich eintrete. Diginotar habe gerade einmal fünf Millionen Euro Umsatz gemacht – für Schäden aufzukommen, die durch falsche Zertifikate bei Großkonzernen wie Google und Microsoft entstehen, übersteigt die Finanzkraft vieler kleiner Zertifikatsanbieter. Allenfalls große Anbieter wie Verisign könnten es sich leisten, sich gegen den Schadensfall zu versichern, oder die 50 der 650 Zertifikatsanbieter, die von staatlichen Anbietern betrieben werden.
Zentrales Problem an dem Vorschlag sei jedoch, dass er nur an einer Stelle, den Certification Authorities, ansetze. Doch um die HTTPS-Verschlüsselung als vertrauenswürdiges Instrument zu erhalten, müssten auch die anderen Beteiligten eingebunden werden: Die Webseitenbetreiber genau so wie die Browser-Hersteller und die Endnutzer. So habe die Plattform SSL Pulse gerade einmal bei 14,2 Prozent der untersuchten Websites eine vollständig zufriedenstellende Implementation der SSL-Verschlüsselung feststellen können.
Ein weiterer Mangel der EU-Vorschläge nach Lesart von Arnbak ist die Konzentration auf kommerzielle Schäden: Die Verschlüsselung sorge aber nicht nur für die sichere Abwicklung von Online-Einkäufen und -Bankgeschäften, sondern diene viel mehr auch dazu, die Vertraulichkeit des Worts sicherzustellen. So sei bis heute ungeklärt, wer genau den Angriff auf Diginotar durchgeführt habe – obwohl die Spuren auf einen iranischen Angreifer hindeuten. So sei auch bisher unklar, ob durch den Einbruch Menschen staatlichen Repressionen ausgesetzt waren. Der Vorschlag der EU-Kommission ziehe solche Schäden überhaupt nicht in Betracht.
Siehe dazu auch:
(jk)
