Discord startet Ende-zu-Ende-Verschlüsselung für Audio- und Video-Chats
Um die Privatsphäre zu wahren, verschlüsselt der Onlinedienst Discord ab sofort bestimmte Formen des Nachrichtenaustauschs Ende-zu-Ende.
Damit ausschließlich Sender und Empfänger die Inhalte von über Discord geführten Audio- und Videochats hören und sehen können, führt der Onlinedienst nun eine Ende-zu-Ende-Verschlüsselung (E2EE) ein. Dafür haben die Entwickler das "Discord Audio & Video End-to-End Encryption"-Protokoll (DAVE) erschaffen.
Über den Onlinedienst tauschen sich weltweit eigenen Angaben zufolge 200 Millionen Nutzer per Audio-, Text- und Video-Chat über verschiedenste Themen wie Computerspiele aus. Wie aus einer Mitteilung von Discord hervorgeht, soll die E2EE ab sofort eingeführt werden. Textnachrichten bleiben aus Moderationsgründen unverschlüsselt. In einem Beitrag führen die Entwickler aus, wie man erkennen kann, ob E2EE aktiv ist.
Hintergrund
Eine korrekt umgesetzte Ende-zu-Ende-Verschlüsselung garantiert, dass nur Sender und Empfänger die Inhalte entschlüsseln und somit Ton und Bild hören beziehungsweise sehen können. Das heißt, dass selbst der Anbieter eines Dienstes, in diesem Fall Discord, nicht mithören kann. Damit das gegeben ist, werden unter anderem die privaten Schlüssel lokal gespeichert. E2EE soll in erster Linie die Privatsphäre wahren.
Um dem gerecht zu werden, darf der Code der Verschlüsselung aber keine Blackbox sein, in der Anbieter etwa Hintertüren einbauen. Dementsprechend haben die Discord-Entwickler das DAVE-Whitepaper und den Code der libdave-Bibliothek auf Github veröffentlicht.
Sicherheitsprüfung
Außerdem haben die Entwickler im Zuge eines Security-Audits DAVE vor der Inbetriebnahme vom IT-Security-Dienstleister Trail of Bits überprüfen lassen. Die Sicherheitsforscher haben im Protokoll mehrere Schwachstellen entdeckt, die unter anderem die Verschlüsselung brechen können. So war etwa die Verschlüsselung von AV1-kodierten Inhalten kaputt. Die Forscher geben an, dass die Sicherheitsprobleme nun gelöst sind.
Zudem untersuchten sie den Code auf Ansatzpunkte für Attacken und wurden auch hier an einigen Stellen fündig. Auch diese Schwachstellen wurden mittlerweile geschlossen.
(des)