MIKEY-SAKKE: Unsichere VoIP-Verschlüsselung à la GCHQ
Die vom britischen Geheimdienst GCHQ entwickelter VoIP-Verschlüsselung erlaubt das Mithören aufgezeichneter Gespräche, auch im Nachhinein. Kein Wunder also, dass das GCHQ diesen Algorithmus als Standard für geheime Kommunikation haben will.
- Fabian A. Scherschel
Die Informationssicherheitsabteilung (CESG) des britischen Geheimdienstes GCHQ ist unter anderem damit betraut, Verschlüsselungstechniken abzusegnen, die innerhalb der Regierung für geheime Kommunikation verwendet werden. Für sichere Sprachkommunikation über das Internet (VoIP) empfiehlt die CESG eine Technik, die einen selbstentwickelten Algorithmus namens MIKEY-SAKKE (Sakai-Kasahara Key Encryption in Multimedia Internet KEYing) verwendet. Wie Dr. Stephen Murdoch vom University College London darlegt, erlaubt dieser Algorithmus dem GCHQ passive Massenüberwachung aller Gespräche im großen Stil.
Entschlüsselung als Feature
Der Knackpunkt bei MIKEY-SAKKE steckt im Schlüsselaustausch, der stattfinden muss, bevor eine sichere Ende-zu-Ende verschlüsselte Verbindung aufgebaut wird. Im Gegensatz zu vielen Chat-Programmen, die einen geheimen Schlüssel über die Methode Ephemeral Diffie-Hellman (EDH) untereinander ausmachen, erzeugt bei SAKKE der Dienstbetreiber geheime Schlüssel für die Gesprächspartner und schickt ihnen diese. Das führt dazu, dass der Betreiber alle geheimen Schlüssel unter seiner Kontrolle hat und beliebige Gespräche entschlüsseln kann.
Außerdem kann die Regierung im Zuge sogenannter Lawful-Interception-Iniativen Gespräche massenweise mitschneiden und dann den Betreiber dazu zwingen, die geheimen Schlüssel der Gesprächspartner heraus zu geben. Dann können die Spione die vorher gesammelten Gespräche entschlüsseln. Kein Wunder also, dass MIKEY-SAKKE die einzige Verschlüsselungstechnik ist, die für Secure Chorus in Frage kommt, die offizielle VoIP-Lösung der britischen Regierung. Alle Hersteller, die VoIP-Systeme verkaufen wollen, die im Vereinigten Königreich von Behörden genutzt werden, müssen Secure Chorus umsetzen. Und auch im privaten Sektor werden entsprechende Produkte aggressiv als "sicher nach Regierungs-Standard" beworben.
Hauptsache, die Backdoor funktioniert
Bei einem Treffen der Mobilfunk-Standardisierungsorganisation 3GPP zu Lawful Interception gab das GCHQ dann auch ganz offen zu, dass die britische Regierung MIKEY-SAKKE explizit auch deswegen entwickelt habe und vorantreibe, da man bei dieser Technik Gespräche entschlüsseln kann, wenn dies gesetzlich abgesegnet ist. Und vor allem könne man unbemerkt entschlüsseln, da dies nicht auf einem Man-in-the-Middle-Angriff wie bei anderen Techniken beruht und dort zu Abbrüchen der Verbindung führen kann. (fab)
