Missing Link: Daten-Minimalismus als Prinzip – teile und herrsche
Nach den Snowden-Enthüllungen ist die Verschlüsselung von Datenverkehr vorangekommen. Beim "Partitioning"-Ansatz steht Politik wieder auf der falschen Seite.
(Bild: oatawa/Shutterstock.com)
Zehn Jahre nach den Enthüllungen von Edward Snowden ist die Verschlüsselung von Datenverkehr mächtig vorangekommen. Wenn sich als nächstes das Konzept des "Partitioning" durchsetzt, also die Verschleierung meiner Netzaktivitäten auch gegenüber von mir gewählten Dienstleistern, hilft das vielleicht gegen den Überwachungskapitalismus. Die Politik steht dabei wie so oft auf der falschen Seite, warnt vor "Going Dark"-Szenarien und spielt damit den Überwachungskapitalisten in die Hände.
Der Beobachtung von Datenverkehren auf den Schlagadern des Netzes haben Entwickler, Internetfirmen und Aktivisten in der ersten Dekade nach Edward Snowden mit jeder Menge nachgebauter Verschlüsselung (fast) ein Ende gesetzt. Von der grundsätzlichen Absicherung des Webprotokolls HTTP mit TLS über den ganz neuen TCP Nachfolger Quic, bei dem Verschlüsselung schon integriert ist, bis hin zu den verschiedenen Varianten von verschlüsseltem DNS (DNS über TLS, DoT; DNS über HTTPS, DoH) – unverschlüsselte Datenströme sind inzwischen eine Seltenheit.
Trau, schau, wem
Das Aussperren neugieriger Beobachter während der Übertragung von Paketen ist aber nur ein erster Schritt. Ausreichend ist es nicht, wie der ehemalige Vorsitzende der Internet Engineering Task Force (IETF), Jari Arkko, seinen Entwicklerkollegen in einem aktuellen Dokument nochmals ans Herz legt.
Vielmehr kann es wichtig sein, auch den am Kommunikationsvorgang beteiligten Endpunkten den Blick darauf zu verwehren, was ein Nutzer sagt und tut. Der Server, auch der eines Dienstleisters, dessen sich der Nutzer bedient, könnte kompromittiert sein oder bösartig, erläutert Arkko. Oder aber ihr Interesse ist einfach nicht deckungsgleich mit dem des Nutzers.
Arkko, der den Vorsitz der IETF im Sommer der Snowden-Enthüllungen vom NSA gesponserten Russ Housely übernahm und erst kürzlich aus dem Internet Architecture Board ausschied, unterstreicht: "Wir stehen außerdem auch neuen Angreifern und Risiken gegenüber. Beispielsweise sind die wachsenden Datenspeicher verschiedenster Internet-Dienste mitzubedenken." Gerade wenn ein im Kommunikationsprotokoll vorgesehener Partner selbst an Datensammlungen sehr interessiert ist, gilt es weitere Sicherungsmaßnahmen – auch gegen dieses Ende der Leitung – vorzusehen.
Das "Principle of Least Privilege (PoLP)" müsse unbedingt beachtet werden. Das heißt, jedes Programm und jeder Nutzer eines Systems sollte genau auf der Basis der Rechte operieren, die er für die Erledigung seiner Aufgabe unbedingt benötigt. Auch mit Blick auf die technische Effektivität ist es gut, wenn keine Partei über alle Informationen verfügt.
Decoupling/Partitioning
Arkkos Kollegen im IAB müssen nicht mehr überzeugt werden von diesem Konzept.
Die aktuelle Vorsitzende des IAB, Mirja Kühlewind, auch eine Ericsson-Forscherin, hat zusammen mit zwei IAB Mitgliedern der Idee des "Teile und herrsche" über deine Daten einen eigenen Entwurf gewidmet. In Partitioning als Architektur für private Kommunikation stellen Kühlewind, Apple Entwickler Tommy Pauly und Cloudflare Entwickler Christopher Wood viele der Protokolle vor, bei denen IETF-Arbeitsgruppen aktuell auf das Prinzip setzen. Apple, Cloudflare und auch Google Entwickler sind maßgeblich beteiligt an den Arbeiten zu verschiedenen Partitioning-Protokollen. Auch der Begriff "Decoupling" wird für die Verteilung von Information (und damit Macht) gebraucht.
Die einfachste Variante der Informationsdistribution bietet im Prinzip schon TLS, schreiben Kühlewind und Kollegen. Denn die Transportverschlüsselung erlaubt künftig lediglich dem Client, den TLS-Intermediären und dem Zielserver die eigentlichen Inhalte zu sehen. Nach außen sind nur noch Metadaten und IP-Header sichtbar. Ohne weitere Verteilung der Daten bietet das freilich keinen Schutz vor der Einsichtnahme und Aggregation von identifizierenden Metadaten und Inhalten bei Intermediären selbst.
"Die Verschlüsselung eines Datenaustauschs über HTTP verhindert, dass die Mittelbox, die eine Client IP-Adresse sieht, die Identität des Nutzeraccounts kennenlernt. Aber der TLS-Terminierungsserver sieht beides und kann es korrelieren", so die Autoren.
Oblivious-Spezifikationen
Gestartet haben den jüngsten Trend zum Partitioning die Gruppen, die sich um mehr Vertraulichkeit beim DNS bemühten. Wie als Entschuldigung, dass mit DNS über HTTPS (DoH) plötzlich mehr Zentralisierung von DNS-Verkehr bei großen Plattformen stattfindet – Firefox DoH-Verkehr landet etwa bei Cloudflare –, kamen die DoH-Macher mit ihrer Idee der Aufteilung der DNS-Anfragen auf unterschiedliche Proxies.
Während ein erster Proxy die verschlüsselte Anfrage eines anfragenden Clients erhält, bekommt der Zielserver die Frage nach dem Inhalt, weiß aber nicht, von wem diese ursprünglich kommt. Eine Grundvoraussetzung für Oblivious DNS over HTTPS (ODoH) ist, dass die verschiedenen Proxies nicht kooperieren. Sonst lassen sich die Metadaten, die den Anfrager identifizieren, wieder zusammenführen damit, auf welchen Seiten er unterwegs war.
Das Basiskonstrukt für ODoH gefiel den Entwicklern von Apple und Cloudflare so gut, dass sie es sofort auf HTTP Verkehr übertrugen.
Bei OHTTP schickt der Client seine Anfragen über ein "ahnungsloses" Relay, das den Inhalt der Anfrage nicht lesen kann, zu einem "ahnungslosen" Gateway, das die Nachricht entschlüsseln, aber den anfragenden Client nicht identifizieren und nicht direkt ansprechen kann. Zur Verschlüsselung wird Hybrid Public Key Encryption eingesetzt, bei denen symmetrische und asymmetrische Verschlüsselung kombiniert werden.
Masque, PPM, PrivacyPass
Die verschiedenen Oblivious-Spezifikationen sind aber längst nicht alle Partitioning-Protokoll Entwürfe.
Laut Kühlewind, Pauly und Wood gehören auch die Arbeiten rund um Masque (Multiplexed Application Substrate over QUIC Encryption) und PrivacyPass dazu. Schon ältere Proxies für das Tunneln von IP- und UDP-Verkehr durch HTTP sorgten für eine solche datenschutzfreundliche Aufspaltung von Verkehren.
Für Vertraulichkeitsgewinne bedarf es, wie Google Ingenieur David Schinazi in einem der neuesten Dokumente schreibt, dabei des Einschaltens mehrerer Proxies.
Mit dem auf QUIC aufsetzenden HTTP/3 kann ein User Ende-zu-Ende verschlüsselt seinen Zielserver erreichen und dabei seinen Weg über mehrere Connect-UDP-Tunnels verschleiern, verspricht Schinazi.
QUIC und HTTP3 manifestieren dabei zugleich den beachtlichen Siegeszug des Webprotokolls als universelles Substrat des Internets. "Die IETF hat hart daran gearbeitet, das Web nur noch über Port 80 und HTTPS zu liefern und unverschlüsselten Verkehr über Port 80 (TCP/UDP/SCTP) auszurangieren", konstatiert Geoff Huston, Chefwissenschaftler von APNIC, auf Nachfrage von heise online.
Die IETF Arbeitsgruppe PrivacyPass soll helfen, die ID von Nutzern von der Information über ihre jeweiligen Zugriffe auf bestimmte Dienste zu trennen. Die für die Dienste notwendige Authentifizierung wird dabei über vorab bei Ausgabestellen anonym erworbene "Tokens" erledigt. Das dafür verwandte Konzept ist altbekannt, es sind die von David Chaum entworfenen blinden Signaturen.
Ungeliebte Vorzeigeprojekte
Chaum hatte die Blind Signatures 1983 als Basis für ein anonymes Online-Bezahlsystem entworfen. Mit Digicash war er seiner Zeit um 40 Jahre voraus. Der aktuelle Run auf digitales Geld beschert seiner alten "Partitioning"-Idee gerade eine Neuauflage in Form des digitalen Bargelds aus dem Hause GNU. Viele Zentralbanken, einschließlich der europäischen, sind an einer anonymen Variante des Bezahlens im Netz – und an Partitioning Ideen – nicht interessiert.
Neben blinden Signaturen und Digitcash hat Chaum noch ein anderes Partitioning Konzept vorweggenommen. Mittels Proxis, die Chaum allerdings Mixe nannte, sollte für Anonymität im damals noch weitgehend unverschlüsselten Netz gesorgt werden, so Chaums Empfehlung. Deutsche Informatiker und Datenschützer bauten auf dieser Empfehlung vor rund 20 Jahren ein Anonymisierungs-System zum Surfen im Web auf: den ursprünglich AN.ON genannten Dienst.
Von den Universitäten Dresden und Regensburg gemeinsam mit dem unabhängigen Landeszentrum für Datenschutz in Kiel entwickelt und betrieben, galt das Webanonymisierungstool Strafverfolgern einige Jahre lang als möglicher Untergang des Abendlandes. Zu Fall gebracht haben es am Ende aber nicht Staatsanwälte oder Polizisten, sondern die Nutzer selbst, für die Vertraulichkeit nicht so wichtig war.
Nach dem Auslaufen der öffentlichen Förderung hatten einige der Macher versucht, den Datenschutz freundlichen Anonymsierungsdienst unter dem Namen JonDo beziehungsweise JonDonym als Bezahlservice weiterzubetreiben und scheiterten.
Wirtschaftliche Erwägungen seien dabei wohl der Hauptgrund dafür gewesen, teilt Hannes Federrath, einer der Köpfe des ursprünglichen AN.ON-Projekts und heute Professor an der Universität Hamburg, auf Anfrage mit.
"Das System war als vom BMWI gefördertes Forschungsprojekt gestartet. Da JonDonym kostenpflichtig war, die Alternative Tor dagegen kostenlos, muss man wohl feststellen, dass die Zahlungsbereitschaft für Anonymisierungsdienste in der Masse vermutlich nicht oder noch nicht besonders ausgeprägt ist", so Federraths nüchternes Fazit. Tor gibt es nach wie vor und auch andere Alternativen aus den USA starten gerade, etwa das auch aus der Wissenschaft kommende Start-up Invisv.
Das deutsche Partitioning-Vorzeigeprojekt beziehungsweise die JonDos GmbH aber gab genau zu dem Zeitpunkt auf, als Apple, Google, Cloudflare, Fastly und Mozilla bei der IETF die Arbeiten am Partitioning begannen.
Partitioning zu schwach bei Verkehrsanalysen?
Die neueren Partitioning-Entwürfe bei der IETF beurteilt Federrath vorsichtig noch als eher "leichtgewichtige Anonymisierung". Man gehe dabei wohl von "einem deutlich schwächeren Angreifer aus als JonDonym oder Tor". Gegen omnipräsente Angreifer würden die beschriebenen Verfahren kaum Schutz bieten, schätzt er und auch Verkehrsanalysen bleiben möglich, so seine Sorge. "Gegen Beobachter, die Paketlaufzeiten und -größen an den Endpunkten beobachten können, helfen die Konzepte zum Privacy Partitioning vermutlich nicht", schreibt Federrath. Allerdings könnten die Lösungen durchaus nützlich sein, etwa wenn man sich vor Online-Werbung schützen möchte.
Apples Private Relay, das laut Apple Entwickler und RFC-Vielschreiber Pauly, den ganzen Satz von Partitioning-Techniken kombiniert (Multi-hop Masque proxy, Oblivious DoH, TLS 1.3 plus ein Client, der mit RSA Blind Signatures authentifiziert wird) sind laut Federrath "vermutlich die momentan cleverste Variante von leichtgewichtiger Anonymisierung".
Apple betreibt dabei den ersten, Akamai, Cloudflare, Fastly oder Google das zweite Relays und solange sie nicht kollaborieren, seien die Nutzer sicher vor einem Logging ihrer Aktivitäten. Allerdings seien Verkehrsanalysen "sowohl den Betreibern als auch außenstehenden Angreifern schon deshalb möglich, weil die übertragenen Daten nicht indeterministisch verzögert und gemixt werden wie etwa bei JoDonym", schätzt Federrath. Schützen könnten die Lösungen aber immerhin gegen Online-Werbung.
Motive der Unternehmen
Wollen sich die Player des Überwachungskapitalismus also selbst beschränken?
Der Druck, HTTPS global durchzudrücken, so Huston, kam maßgeblich auch von Google, obwohl man sich damit einen zusätzlichen Round-Trip einkaufte. Bei Güterabwägungen des Internet-Riesen ist die Geschwindigkeit seiner Operationen eigentlich die heilige Kuh.
"Die Güterabwägung war Transaktionsgeschwindigkeit versus Privacy", sagt Huston, und "die Kosten von HTTPS sind ein zusätzlicher Round-Trip für den TLS-Handshake und der Verlust von Inline-Caching. Der Gewinn ist Vertraulichkeit und Authentizität". Warum sich Google mal gegen die heilige Kuh entschieden hat, sei von außen nicht nachvollziehbar. Sicher ist sich Huston: "Ich glaube nicht wirklich, dass Google an meine Interessen (als Nutzer) denkt, zumal ich noch nicht einmal zahle für Googles Dienste."
Huston, der zu den alten Hasen im Internet-Geschäft gehört, vermutet, dass es für den aktuellen Run auf die neuen Partitioning-Protokolle – abgesehen von echten Datenschutzinteressen einzelner Entwickler – bei den großen Plattformen sehr viel weniger uneigennützige Gründe gibt. "Nicht Vertraulichkeit für mich als Nutzer sind das Ziel, sondern die Privacy, die mit ihren Anwendungen verbunden wird. Denn die Partitioning-Dienste werden nicht für alle Anwendungen und Transaktionen angeboten, sie sind sehr Applikations- und Transaktions-spezifisch", so der Australier.
Die nicht unbeträchtlichen Einstiegsinvestitionen für das Ausrollen der Partitioning Konzepte ließen sich wohl nicht zuletzt damit begründen, dass man Informationen über die Anwendungen vor den Betreibern der Infrastrukturen und parallel laufender Anwendungen verberge.
Apples Private Relay-Dienst sieht Huston etwas anders als Federrath. Es erlaube den Nutzern praktisch, sehr weit ins Dunkel der Anonymität abzutauchen. Dass viele Regierungen – auch die permanent auf Anti-"Going Dark"-Maßnahmen bedachte Regierung in seinem Heimatland – Apple das so durchgehen ließen, erstaune ihn ein wenig.
Regierungen – auf der falschen Seite?
Das letzte Wort in dieser Diskussion ist natürlich keineswegs gesprochen, auch nicht in der dem Datenschutz laut eigener Gesetze verpflichteten Europäischen Union. Diesen Monat tagte zum ersten Mal die von der schwedischen EU-Präsidentschaft initiierte neue Expertengruppe für den Zugang zu Daten zum Zweck effektiver Strafverfolgung (High-Level Expert Group on Access to Data for Effektive Law Enforcement). Ganz oben auf der Agenda der Gruppe stehen laut dem vor dem ersten Treffen vorgelegten Papier: Verschlüsselung beziehungsweise Zugang zum Klartext, Vorratsdatenspeicherung, Data-Lokalisierung und Roaming, Anonymisierung unter Einbeziehung von VPNs und dem Darknet.
Beim European Dialoge on Internet Governance brachte ein britischer Consultant im Rahmen einer Diskussion um die Fragmentierung des Netzes das Empfinden aufseiten der Strafverfolger auf den Punkt und nannte die neuen Vorschläge für PrivacyPass und Masque einen regelrechten "Angriff" auf das Netz. Das klingt, 10 Jahre nach Snowden, irgendwie verkehrt, zeigt aber vor allem, was man vonseiten der Gesetzgeber und Aufsichtsbehörden erwarten kann.
Nicht auch Wettbewerbsfreundlichkeit oder gar auf starke Sicherheit und Vertraulichkeit beim Partitioning-Design legt die öffentliche Hand Wert. Eher muss man befürchten, dass Zugriffsmöglichkeiten – und daher abgeschwächte Konzepte – vielen Strafverfolgern und einigen Politikern gerade recht kommen werden.
(bme)
