Was die NSA Anschuldigungen für SSL bedeuten

Die Medien sind voll von Berichten darüber, dass die NSA die bekannte SSL-Verschlüsselung geknackt haben soll. Was bedeutet das nun für Ihre Datensicherheit im Internet?

Was ist SSL überhaupt?

httpsSSL (Secure Sockets Layer) ist ein Verschlüsselungsprotokoll, welches seit der Version 3.0 eigentlich TLS (Transport Layer Security) heißt, weiterhin aber unter der Abkürzung SSL wesentlich bekannter ist. Eine SSL-Verschlüsselung erfolgt immer, wenn bei Aufruf einer Webadresse ein „https“ vorangeht statt eines „http“. Die meisten aktuellen Browser kennzeichnen eine SSL-Verbindung in einer Sitzung durch die grafische Darstellung eines Schlosses in der Adresszeile.

Ist SSL jetzt überhaupt noch sicher?

Ja und nein. Dass bestimmte SSL-Versionen und -Varianten Lücken haben, ist seit geraumer Zeit bekannt. Bekannte Programme, welche in der Lage waren oder sind, bestimmte SSL-Verbindungen zu knacken, dadurch dass sie den Schlüssel extrahieren, sind Breast, Crime und das auf der diesjährigen Black Hat Konferenz vorgestellte Breach.

Es existieren sichere Verfahren!

Wegen der bekannten Lücken gibt es schon länger spezielle SSL-Varianten, die als besonders sicher gelten. Hervorzuheben ist hierbei das Perfect Forward Secrecy, kurz PFS-Verfahren. Dieses Verfahren verzichtet auf eine Schlüsselübertragung, und wendet stattdessen das in unserem Blog bereits vorgestellte Diffie-Hellman-Verfahren an, um einen Schlüssel mit dem Gegenüber auszuhandeln.

NSA und Bullrun

Die NSA soll Abkommen mit IT- und Softwarefirmen haben, um Hintertüren in deren jeweilige Software einzubauen, hinzu kommt der Verdacht, dass die NSA über Jahre Verschlüsselungsstandards beeinflusst hat. Wenn dies der Fall ist, wäre eine SSL-Verbindung ungeachtet der Variante und Version kein ausreichender Schutz vor Abhörmaßnahmen seitens der NSA mehr.

Fazit

Es gibt Verfahren, um die Sicherheit Ihrer Daten zu maximieren, inwieweit die NSA aber für Hintertüren in weit verbreiteter Software und Standards verantwortlich ist, lässt sich zur Zeit nicht mit Sicherheit sagen.

Hornetdrive nutzt lokale und clientseitige Verschlüsselung und ist daher der richtige Weg, Daten sicher über das Internet zu kommunizieren, den Schlüssel zu Ihren Hornetdrive-gelagerten Daten haben nämlich nur Sie als Anwender. Eine weitere Alternative wäre Teamdrive, welches auch für Sie als Privatperson interessant ist, da es zusätzlich eine WebDAV-Synchronisierung anbietet.

Schreibe einen Kommentar