Sie gilt als die Königsdisziplin der sicheren Kommunikation im Netz. Doch wie funktioniert Ende-zu-Ende-Verschlüsselung eigentlich? Und warum ist sie bei vielen Messengern längst Standard – bei E-Mails aber nicht? Ein Überblick.
Unsere Briefe aus Papier sind auf dem Postweg durch einen Umschlag, vielleicht sogar durch ein Siegel geschützt. Die Kommunikation im Internet begann ohne einen solchen Schutz. E-Mails und Webseiten-Inhalte wurden im Klartext versendet. Wer die Daten abfing, konnte einfach mitlesen.
Heute sind Daten, die übers Internet verschickt werden, in der Regel verschlüsselt. Bei der so genannten Transportverschlüsselung kommt die Technik TLS (Transport Layer Security) zum Einsatz. Wer eine so verschlüsselte Nachricht unterwegs abfängt, bekommt nur unleserlichen Zeichensalat zu sehen. Auf den Servern, die den Inhalt senden und empfangen, ist die Nachricht allerdings lesbar. Dienstanbieter*innen können sie einsehen und Inhalte unter Umständen auch an Behörden weitergeben.
Sind Inhalte dagegen Ende-zu-Ende-verschlüsselt, sind sie nur auf den Endgeräten lesbar, die miteinander kommunizieren. Auch Dienstanbieter*innen oder Hacker*innen, die Daten vom Server stehlen, können sie nicht entziffern. Sie sind somit abhörsicher.
Wie funktioniert Ende-zu-Ende-Verschlüsselung?
Ende-zu-Ende-Verschlüsselung heißt auf Englisch „end-to-end encryption“ und wird auch im Deutschen häufig mit „E2EE“ abgekürzt. Viele E2E-Verschlüsselungstechniken, wie die häufig verwendeten Techniken PGP, S/MIME oder das Protokoll des Messengers Signal, das inzwischen von WhatsApp, Facebook und Skype übernommen wurde, nutzen ein asymmetrisches Verschlüsselungsverfahren.
Dabei kommt ein Schlüsselpaar zum Einsatz, das aus einem öffentlichen und einem privaten Schlüssel besteht.
Es funktioniert so: Anna schickt Bob eine Nachricht, zum Beispiel mit Hilfe einer Messenger-App, die Nachrichten Ende-zu-Ende-verschlüsselt. Annas App verschlüsselt die Nachricht, die sie Bob schickt, mit seinem öffentlichen Schlüssel. Diesen Schlüssel hat Bobs App erzeugt. Anna lädt ihn vor dem Absenden von einem öffentlich erreichbaren Schlüsselserver herunter (alternativ: Bobs App schickt zuerst eine unverschlüsselte Nachricht, die seinen öffentlichen Schlüssel enthält).
Den öffentlichen Schlüssel kann man sich vorstellen wie ein offenes Vorhängeschloss. Dieses Schloss kann Bob jeder Person geben, da es nur zum Verschlüsseln von Nachrichten an ihn taugt. Einzig und allein Bob kann das Schloss wieder öffnen – mit seinem privaten Schlüssel (manchmal ist es auch ein Schlüsselbund). Die entschlüsselte Nachricht liegt immer nur ihm vor.
Dieses sogenannte Public-Key-Verfahren hat den Vorteil, dass die privaten (geheimen) Schlüssel lokal auf dem jeweiligen Gerät gespeichert sind und nicht verschickt werden. So können sie auch nicht beim Transport abgefangen werden.
Wie sicher ist Ende-zu-Ende-Verschlüsselung?
Die Ende-zu-Ende-Verschlüsselung schützt den Inhalt Ihrer Nachrichten, Metadaten können jedoch trotzdem gesammelt werden. WhatsApp und der Facebook-Messenger beispielsweise erheben viele Informationen rund um Ihre Kommunikation, etwa wann Sie von wo aus mit wem kommunizieren und wie oft. Schon diese Daten allein können sehr aussagekräftig sein.
Auch besteht die Gefahr, dass sich Lauscher*innen als Nachrichtenempfänger*innen ausgeben. Über Sicherheitslücken können Programme ausgetrickst werden, auch Ihr Smartphone kann theoretisch gehackt und Ihr privater Schlüssel gestohlen werden. Deshalb sollten Sie Ihr Betriebssystem und alle installierten Apps stets auf dem neuesten Stand halten und Updates immer gleich installieren.
Besonders vertrauenswürdig sind Open-Source-Apps wie der Signal-Messenger, an dem eine große Privatsphäre-Community mitarbeitet. Das große öffentliche Interesse sowie die Überprüfbarkeit des Codes verringern die Gefahr von Sicherheitslücken in beträchtlichem Maß.
Wichtig: Die beste Verschlüsselung nützt nichts, wenn das Gerät, das die Nachrichten sendet und empfängt, selbst nicht geschützt ist. Nur mit einer starken Bildschirmsperre sind Inhalte auf dem Smartphone wirklich diebstahlsicher. Ansonsten kann jede*r sie lesen und weiterschicken, der Ihr Gerät in die Hand bekommt.
Dieser Artikel steht unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.
Screenshot twitter.com
