2115383

US-Behörden: Wie sicher ist iMessage?

09.09.2015 | 16:08 Uhr |

iMessage ist vor Zugriff von Behörden geschützt, Apple verweigert Hintertüren. Mithören ist aber theoretisch möglich.

Wie ein Bericht der New York Times zeigt, wird Apple von US-Behörden immer wieder um Zugriff auf Benutzerdaten gebeten. In einem jetzt von der New York Time beschriebenen Fall, zwang Apple erstmals ein Gerichtsbeschluss zur Herausgabe von iMessage-Daten. In dem Strafverfahren, in dem es um Drogen- und Waffendelikte ging, stellte Apple klar: Mithören von Nachrichten in Echtzeit wäre nicht möglich, das Unternehmen händigte aber Nachrichten der Beschuldigten aus, die in iCloud gespeichert waren. Unter Fachleuten wie Matthew Green hat dies, abseits aller Diskussionen über Datenschutz, zur Frage geführt, wie sicher iMessage eigentlich vor Zugriffen des Staates ist. Laut Apples Dokumentation zu iOS ist die Kommunikation zwischen zwei iMessage-Nutzern gut gesichert. Ausnahme ist allerdings der Versand von Dateianhängen wie Fotos und Dokumenten. Diese speichert Apple unverschlüsselt auf iCloud-Servern, versendet sie allerdings verschlüsselt. Wie der Bericht der New York Times zeigt, hat Apple auf diese Dateien vollen Zugriff. Sehr gut sind dagegen Textnachrichten geschützt.

So funktioniert die iMessage-Verschlüsselung

Messaging-Apps benutzen für die Ende-zu-Ende-Verschlüsselung Schlüsselpaare: Sobald ein Anwender iMessage aktiviert, legt das iPhone automatisch zwei Schlüssel an: Der nur auf dem jeweiligen Gerät gespeicherte RSA-Key mit 1280 Bit Länge dient der Verschlüsselung der Nachrichten, ein 256 Bit langer ECDSA-Schlüssel der Signierung. Jeder iMessage-Nutzer besitzt also einen privaten und einen öffentlichen Schlüssel. Die privaten Schlüssel bleiben auf dem iPhone, Apple hat darauf keinen Zugriff. Die öffentlichen verwaltet Apple dagegen auf einem Server, einer Art Verzeichnis aller iMessage-Teilnehmer. Schreibt man eine iMessage-Nachricht an Person B, fragt die App bei Apple nach den öffentlichen Schlüsseln und Adresse dieser Person B. Textnachrichten, die in eine Push Notification passen, sendet iMessage per 128-bit-Verschlüsselung geschützt an den Empfänger, längere Nachrichten und Dateianhänge über iCloud.

Zugriff auf die Server

Gegenüber Hackern ist iMessage also gut geschützt, eigentlich hat Apple keinen Zugriff auf die Nachrichten. Angreifbar ist das System nach Meinung vieler Fachleute, wenn eine Behörde Zugriff auf Apples Server erhält - oder bereits erhalten hat. So bemängelt etwa Matthew Green, dass man beim Erhalt des öffentlichen Keys des Empfänger dann doch auf Apple vertrauen muss. Hätte eine Behörde Zugriff auf die Server, könnte man jeden beliebigen Key erhalten. Ein weiteres Problem: Viele Anwender besitzen mehrere Apple-Geräte, etwa ein iPad und ein Macbook. Deshalb versenden Apples Servern bei Anfragen oft gleich mehrere Schlüssel des Empfängers, um die Chats auf allen Geräten synchron zu halten. Als denkbare Lösung könnte eine Behörde wie die NSA deshalb einfach einen zusätzlichen Key für ein NSA-Gerät mitsenden lassen - und erhielte jede neue Nachricht. Zwar erhält jeder Nutzer eine Nachricht, wenn ein neues Geräte bei iMessage angemeldet wird. Wer sagt aber, dass man eine solche Nachricht nicht einfach per Server einfach unterdrücken kann? Technisch ist dies aber schwer umzusetzen und bisher wohl nicht erfolgt.

Laut Green gibt es mit der neuen Technologie CONIKS eine mögliche Lösung für diesen Angriff auf die Schlüssel-Server. Grundlage ist ein spezieller Server, der die Konsistenzprüfung aller Schlüssel ermöglicht. Aber auch hier ist offenbar die Unterstützung mehrerer Geräte eines Nutzers ein Problem. Nicht zu vergessen iCloud-Backups, die oft auch Backupdateien und Nachrichten von iMessage beinhalten.

Unsere Meinung: Apples iMessage ist sicher, vor allem bei Beschränkung auf Textnachrichten. Allerdings gibt es doch einige Eingriffsmöglichkeiten für Behörden. Ein grundsätzliches Problem scheint nach unserer Meinung aber alle sichereren Lösungen wie CONIKS zu betreffen: Ein mehr an Sicherheit bedeutet einen Verlust an Bedienkomfort - was sich Apple im Konkurrenzkampf mit Facebook, Whats App und Weibo wohl kaum leisten will.

0 Kommentare zu diesem Artikel
2115383