NSA-Affäre: IETF-Entwickler stellen sich dem Überwachungsskandal
Die Internet Engineering Task Force (IETF) wird bei ihrem nächsten Treffen auch über Konsequenzen aus den anhaltenden Enthüllungen über die totale Kommunikationsüberwachung im Internet diskutieren.
Der Aufruf des Cryptoexperten Bruce Schneier an Internetentwickler, das Internet gegen die NSA zu schützen, sorgt für Zündstoff in den Diskussionen der Internet Engineering Task Force (IETF). Der Vorsitzende der IETF, der finnische Entwickler Jari Arkko, kündigte jetzt an, die IETF werde die massenhafte Ausspähung des Datenverkehrs beim kommendem Treffen in Vancouver zu einem eigenen Diskussionsthema machen. Gleichzeitig legten eine Reihe von Entwicklern Vorschläge vor, wie auf das neue Bedrohungsszenario reagiert werden soll.
Zwar hatten bereits während des IETF-Treffens in Berlin erste Gespräche zu den Übergriffen der Geheimdienste stattgefunden, jedoch eher am Rande. Die Hinweise Snowdens auf die Kompromittierung von per Transport Layer Security (TLS) geschützten Verbindungen und das Absaugen von Internetströmen direkt bei Backbone-Providern veranlassten Arkko jetzt, das Thema prominent aufs Programm der kommenden IETF in Vancouver zu setzen.
Die von den Medien dokumentierte Massenüberwachung von Internetdiensten sei Besorgnis erregend für die Entwicklergemeinde, schrieb Arkko in einem Blogpost. Das Ausmaß der Lauschaktion gehe über das hinaus, was den Praktikern im Rahmen gezielter Überwachungsmaßnahmen bekannt sei. Insbesondere sei eine derart allgegenwärtige Ausspähung bei der Entwicklung vieler Internetprotokolle nicht bedacht worden. Es gelte, Konsequenzen für die Arbeit der IETF zu prüfen. Laufende Arbeiten, in denen das neue Bedrohungsszenario in die Wahl der Sicherheitslösung eingehen könnte, seien etwa Standard-TLS-Verschlüsselung für HTTP 2.0 oder die Härtung von TLS durch Perfect Forward Security, das die strikte Trennung von Schlüsselmaterial für Übertragung und andere Zwecke vorsieht.
Der Network Security-Forscher Brian Trammell von der Eidgenössischen Technischen Hochschule legte derweil schon einen ersten Entwurf darüber vor, wie man sich den "perfekten, passiven Lauschangreifer" vorzustellen hat -- und wie Protokolle in diesem Licht zu beurteilen sind. Ziel der Übung sei es, dass Protokolldesigner und deren Kunden besser abschätzten, welche Möglichkeiten die Beobachtung ihrer Daten beziehungsweise der Zugriff auf Verbindungsdaten lieferten. Weitere Vorstöße gibt es auf einer neuen von der IETF-Security Area eingerichteten Mailingliste zur (wenn auch unvollständigen) Ende-zu-Ende-Absicherung von E-Mails sowie eine Mahnung vor einer Reihe unsicherer Kryptoverfahren beim Einsatz von TLS.
Parallel zu solchen Überlegungen tobt vor allem unter US-Administratoren außerdem eine hitzige Debatte darüber, ob der Angriff durch die NSA und andere Dienste nicht in aller erster Linie ein politisches Problem ist. Andere Gesetze, nicht anderer Code müsse her, meinen viele. Calea, der Patriot Act und der Foreign Intelligence Surveillance Act zwinge Betreiber zur Zusammenarbeit mit dem Staat -- seinen Laden dicht zu machen sei nobel, "aber ich brauche ja was zum Beißen und mein Kunde freut sich auch, wenn er noch eine E-Mail bekommt", schreibt einer der Betroffenen.
Ebenfalls im Angebot der Lösungsvorschläge: Politikern, die der NSA (oder anderen Schnüfflern) große Budgets geben, sollten abgestraft werden. Wie wäre es, wenn große Konzerne wie AT&T oder Verizon ihre Wahlkampfspenden an diese einfrören? Eines aber könnten die Entwickler auf jeden Fall selbst tun, mahnte der Security-Experte Jeffrey Schiller. Denn bislang hätten die Ingenieure komplett darin versagt, für Endnutzer leicht bedienbare Technik zu liefern. (mho)
