Tech-News-Technologie

„Fingerabdrucktechniken zur Lokalisierung des Absenders einer Nachricht nicht absolut, anfällig für Identitätsdiebstahl“

Während WhatsApp und Signal kein Protokoll darüber führen, wer Benutzer Nachrichten senden, wird auch argumentiert, dass jeder Nachricht eine digitale Signatur oder eine eindeutige Hash-ID hinzugefügt wird. Dies ist jedoch möglicherweise keine narrensichere Methode, argumentieren Experten.

Snap, Snapchat, Augmented Reality, Facebook, Schnapplinsen,Snap stellt ersten globalen Leiter für Plattformsicherheit ein (Bildnachweis: Indian Express)

Die im Februar dieses Jahres bekannt gegebenen Informationstechnologieregeln 2021 berufen sich auf eine Reihe neuer Richtlinien für Social-Media-Vermittler. Umstritten ist jedoch, dass diese neuen Regeln von Social-Media-Vermittlern, insbesondere Messaging-Apps wie WhatsApp, verlangen könnten, den Absender der Nachricht auf Anforderung der Behörden ausfindig zu machen.

Experten aus der Zivilgesellschaft und dem Internet haben gesagt, dass dies die Ende-zu-Ende-Verschlüsselung von Messaging-Apps wie WhatsApp, Signal und anderen, die solche Technologien einsetzen, negativ beeinflussen könnte. Während WhatsApp und Signal kein Protokoll darüber führen, wer Benutzer Nachrichten senden, wird auch argumentiert, dass jeder Nachricht eine digitale Signatur oder eine eindeutige Hash-ID hinzugefügt wird.

Aber ist dieser digitale Fingerabdruck eine zuverlässige Methode, um den Absender einer Nachricht ausfindig zu machen? Wir sprachen mit Rajnesh Singh – Regional Vice President Asia-Pacific bei der Internet Society und hier ist, was er zu sagen hatte. Hier sind die bearbeiteten Antworten einer E-Mail-Interaktion.



Was sind die Herausforderungen beim Fingerabdruck von Nachrichten? Kann es die Ende-zu-Ende-Verschlüsselung negativ beeinflussen oder kann es erhalten bleiben?

Fingerabdrucktechniken wie digitale Signaturen sind nicht absolut und anfällig für Identitätswechsel. Es besteht die Gefahr, dass unschuldige Benutzer in illegales Verhalten von Cyberkriminellen verwickelt werden, die sich als Absender ausgeben. Ein Angreifer, der auf das digitale Signatursystem eines Unternehmens zugreift, kann potenziell sehen, wann ein bestimmter Benutzer eine Nachricht sendet – indem er die Absenderinformationen empfängt und entschlüsselt.

Der Inhalt der Nachricht selbst kann ohne Zugriff auf unverschlüsselte Daten des die Nachricht sendenden Geräts nicht mit Fingerabdrücken versehen werden, was das Vertraulichkeitsversprechen von Ende-zu-Ende-Verschlüsselungsdiensten bricht. Es gibt auch die praktische Kostenfrage. Die Implementierung digitaler Fingerabdrücke erfordert, dass Dienstanbieter die Funktionsweise ihrer App überarbeiten.

Die IT-Regeln möchten den Absender einer Nachricht kennen, ohne sich den Inhalt anzusehen. Ist das theoretisch möglich? Wenn das so ist, wie? Und wenn nicht warum?

Es ist unklar, ob die Richtlinien verwendet werden, um den Urheber bestimmter Inhalte auf einer Plattform zu identifizieren, oder ob sie nur verwendet werden, um den Urheber einer bestimmten weitergeleiteten Nachricht zu identifizieren.

Durch die Verwendung digitaler Signaturen kann es möglich sein, den Absender einer bestimmten weitergeleiteten Nachricht ohne Blick auf den Inhalt zu identifizieren. Dies fügt jedoch Sicherheitslücken hinzu und könnte von schlechten Akteuren umgangen werden.

Wenn die Richtlinien dazu dienen, den Urheber bestimmter Inhalte auf einer Plattform zu identifizieren, ist dies nur möglich, indem man sich irgendwann die unverschlüsselten Inhalte ansieht, also eine Ende-zu-Ende-Verschlüsselung umfasst.

WhatsApp, Signal, Fingerabdrucktechnik, Fingerabdruck auf Nachrichten, Fingerabdruck im ComputerRajnesh Singh – Regional Vice President Asia-Pacific bei der Internet Society

Welche Risiken bestehen beim Fingerabdruck von Nachrichten? Warum ist es nicht narrensicher?

Das Problem mit Fingerabdruck-Nachrichten besteht darin, dass sie anfällig für Identitätswechsel sind. Bei Nachrichten, die manuell kopiert und nicht in einer Anwendung weitergeleitet werden, geht der entsprechende Fingerabdruck des Absenders verloren. Dies bedeutet, dass die Person, die den Inhalt einer Nachricht kopiert hat, als Absender und nicht als wirklicher Absender gekennzeichnet wird.

Es ist nicht praktikabel, nachzuweisen, dass eine Person die Nachricht tatsächlich gesendet hat, indem sie sich ausschließlich auf den „digitalen Fingerabdruck“ verlässt, da sich jemand Zugriff auf das Gerät der Person hätte verschaffen können, um die Nachricht zu senden.

Sie könnten die ID des Absenders (einschließlich der mit der App verknüpften Telefonnummer) gefälscht haben oder eine geänderte Version der App verwendet worden sein. Wenn sich jemand Zugang zu einem Konto verschafft oder sich als Benutzer ausgibt, könnte der unschuldige Benutzer rechtliche Konsequenzen für die Handlungen eines Kriminellen haben, der sich als er ausgibt.

Da auch in Indien derzeit ein Datenschutzrahmen fehlt, verschärft dies das Problem.

Eine Herausforderung für die Strafverfolgungsbehörden besteht darin, dass E2E-Apps normalerweise nicht so einfach auf Daten zugreifen können. Gibt es Möglichkeiten, dies zu umgehen, ohne E2E bei Messaging-Apps zu beeinträchtigen?

Selbst in der Welt der Ende-zu-Ende-verschlüsselten Dienste gibt es verschiedene Ansätze – meist traditioneller Natur –, die Strafverfolgungsbehörden verwendet haben, um sich Zugang zu den Aktivitäten eines Kriminellen zu verschaffen. Beispiele hierfür sind das Einbinden eines Informanten in die Gruppenkommunikation, das Herbeiführen eines der beteiligten Kriminellen, um Zugriff auf unverschlüsselte Daten zu erhalten, das Ausnutzen bekannter Schwachstellen in Systemen und das Verwenden von Metadaten, um zu verstehen, wer wann und mit welcher Datenmenge an wen gesendet hat.