Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Messaging Layer Security: Ende-zu-Ende-Sicherheit für große Gruppen

Die Internet Engineering Taskforce hat das Messaging-Layer-Security-Protokoll als Standard für die Kommunikation in großen Gruppen veröffentlicht.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Hipster im Büro mit mobilen Endgeräten

(Bild: SFIO CRACHO/Shutterstock.com)

Lesezeit: 5 Min.
Von
  • Monika Ermert
Inhaltsverzeichnis

20 Entwürfe haben die Entwickler bei der Internet Engineering Task Force (IETF) gebraucht. Jetzt ist die neue Spezifikation für Ende-zu-Ende verschlüsselte Gruppenchats fertig. Das Messaging-Layer-Security-Protokoll (MLS) erscheint heute als Request for Comment (RFC) 9420. Erstmals gibt es damit auch für große Gruppen skalierbare Post-Compromise-geschützte Ende-zu-Ende-Verschlüsselung. Zugleich bereitet MLS interoperablem Messaging den Weg.

Die in fünf Jahren entwickelte Spezifikation kombiniert das von Messengern wie Signal verwandte Double Ratchet-Verfahren mit dem in Transport-Layer-Security-Standard (TLS) erprobten Mechanismen zur Identifizierung der Teilnehmer. Das Double Ratchet-Verfahren sorgt für die nur kurzzeitige Verwendung jeweils neu generierter Sitzungsschlüsseln und erlaubt, dass die Kommunikationspartner nicht immer online sein müssen, um up to date zu sein.

Effizientere Krypto

Der Clou von MLS ist, dass die für die jeweilige "Epoche" – die Zeit bis zum Neueintritt oder Ausschluss eines Gruppenmitglieds – geltenden Schlüsselderivate nicht paarweise ausgetauscht werden müssen. Stattdessen setzten die Entwickler auf eine Baumstruktur, die das Einführen neuer Teilnehmer oder deren Ausschluss innerhalb einzelner Arme (Nodes) vorsieht. Das erlaubt, die aufwändigen Kryptooperationen großer Gruppen deutlich zu reduzieren.

Bei Gruppen von 1500 Clients können so die für Updates, die sogenannten Commits, notwendige Kryptooperationen auf sechs bis acht verringern, wo man sonst mehrere Hundert gebraucht hätte, erläutert Rohan Mahy von Wire gegenüber heise online. Wire gehörte zu den Initiatoren des neuen Standards und testet bereits heute Implementierungen mit großen Gruppen. Laut Mahy arbeitet man in Testimplementierungen mit 5000. Noch größere Gruppen erproben unter anderem Wickr und WebEx. Google hat, wie Mahy berichtet, seinerseits Unterstützung angekündigt. Wire will den finalen MLS-Standard ab Herbst intern testen.

Große Gruppen abgesichert

Wie groß die Gruppen am Ende tatsächlich sein können, war ein bis zuletzt durch die Internet Engineering Steering Group der IETF diskutierter Punkt. Weil entsprechende "Kleinigkeiten" noch klarer gefasst werden müssen, wird das zugehörige Architekturdokument erst später veröffentlicht. Mehrere 10.000 Teilnehmer sind laut den Entwicklern kein Problem für das Protokoll. Dass man bei solch großen Gruppen kaum noch mit strikter Geheimhaltung rechnen darf, steht auf einem anderen Blatt.

Die Teilnehmer sind stets authentifiziert und sollte das Gerät eines Teilnehmers kompromittiert sein, kann durch Abschalten des entsprechenden Baumastes die Vertraulichkeit schon in der nächsten Epoche wieder hergestellt werden. Neben Forward Security durch das Austauschen der jeweils für die Epoche geltenden Schlüsselderivate gibt es so auch bessere Post-Compromise Security als bei reinen Sender Key-Verfahren, wie sie etwa WhatsApp verwendet.

Auf Herz und Nieren geprüft

MLS skaliere für die großen Gruppen besser und sei sicherer als alles, was es bisher auf dem Markt gebe, versichert Richard Barnes, einer der Hauptautoren des MLS RFC und Entwickler bei Cisco. Cisco implementiert den Standard bei WebEx im Rahmen des Zero Trust für Ende-zu-Ende-verschlüsselte Webkonferenzen und hat mit die größten Gruppen getestet.

Laut Barnes profitierte MLS enorm von der Zusammenarbeit zwischen den klassischen Firmenentwicklern und Wissenschaftlern, die mit entsprechenden Entwürfen für asynchrone Ende-zu-Ende-Verschlüsselung von Gruppenkommunikation den Anstoß für die Standardisierung gegeben hatten. Die Wissenschaftler waren Barnes zufolge "sehr gut darin, alle möglichen Szenarien zu entwerfen, wie die per MLS gesicherten Kommunikationen angegriffen werden könnte und glücklicherweise auch darin, wie man solche Angriffe vermeiden kann."

Quantum-Resistenz und andere nächste Schritte

Auch bei der Art der verwendeten Schlüsselalgorithmen gibt sich MLS avantgardistisch. Die Nutzung verschiedener Cipher Suites, standardisierte Sammlungen kryptographischer Verfahren, ist schon jetzt möglich. Gegen die gefürchteten Downgrade-Attacken soll der vorgesehene Austausch von Key Packages der Teilnehmersysteme wirken. Für eine künftige Quanten-sichere Verschlüsselung sieht Mahy etwa die Nutzung eines hybriden Post-Quantum-resistenten, traditionellen Schüsselaustauschmechanismus auf der Basis von X25529Kyber768 vor. Diese sind selbst noch in der Standardisierung.

Laut Barnes visiert WebEx als nächstes Verbesserungen bei der E2E-Identität an, das die Impersonierung von Teilnehmern nachhaltig verhindern soll. In der MLS Arbeitsgruppe und der OpenID Foundation werde daran gearbeitet, die von Arbeitgebern ausgegebenen IDs in MLS gesicherten Gruppen zu integrieren.

Messenger Interoperabilität

Ein weiteres großes Nachfolgethema für MLS sind Schnittstellen, um verschiedene Messenger interoperabel zu machen. Für die großen Gatekeeper wie WhatsApp wird diese Funktion durch den Digital Market Acts zu einem Muss. Eine zentrale Forderung des europäischen Gesetzgebers ist dabei, dass trotz Plattform-übergreifendem Messaging keine Sicherheitseinbußen für die Nutzer entstehen. MLS legt mit den Ende-zu-Ende-verschlüsselten Gruppenchats eine wichtige Grundlage dafür.

(mack)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten