Handy-Apps. Die TU Graz entwickelt gemeinsam mit der TU Darmstadt eine neuartige Sicherheits-Software für mobile Messenger-Dienste: Ziel ist mehr Privatsphäre bei der Nutzung von WhatsApp, Signal & Co.
Das Problem, das die IT-Sicherheitsforscher der beiden Technischen Universitäten mit ihrer Neuentwicklung angehen: Bei der Installation eines Messenger-Dienstes auf einem Smartphone werden Nutzerinnen und Nutzer üblicherweise dazu aufgefordert, der App Zugriff auf das eigene Telefon-Adressbuch zu gewähren. Dadurch werden sie automatisch mit jenen Kontakten aus ihrem Adressbuch verbunden, die den Messenger-Dienst ebenfalls schon nutzen.
Der Dienstanbieter gleicht hierfür die Telefon-Adressbücher mit seiner eigenen Kontakt-Datenbank ab. Bei diesem Prozess werden derzeit die kompletten Adressbücher auf die Server des Dienstanbieters hochgeladen.
Dieser sogenannte „Mobile Contact Discovery“-Prozess stellt natürlich einen massiven Eingriff in die Privatsphäre dar: Dienstanbieter kommen dadurch nicht nur an die Daten jener Personen, die der Datenverarbeitung selbst zugestimmt haben. Es sind auch jene Personen betroffen, die man zwar im eigenen Adressbuch eingetragen hat, die selbst aber den jeweiligen Messenger gar nicht installiert und somit auch kein Einverständnis zur Verarbeitung und Speicherung ihrer Daten gegeben haben.
Neue Methode zur Kontaktermittlung
„Es gibt derzeit noch keine zufriedenstellenden Lösungen für ein Kontaktermittlungsverfahren mobiler Messenger-Dienste. Alle bisherigen Möglichkeiten sind entweder komplett unsicher oder bieten zumindest keinen nennenswerten Schutz“, sagt Christian Rechberger, Cybersecurity-Experte und Professor am Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie der TU Graz, sowie Area Manager für Data Security am Know-Center.
Rechberger hat gemeinsam mit seinem Instituts-Kollegen Daniel Kales sowie mit den beiden Forschern Christian Weinert und Thomas Schneider von der TU Darmstadt „ContactGuard“ entwickelt. Dabei handelt es sich um eine neue Methode der Kontaktermittlung, die Privatsphäre-Gefahren und kritische Szenarien signifikant einschränkt oder komplett vermeidet wie beispielsweise das Ausspionieren von Kontakten oder das Weiterverkaufen von Daten und das Auswerten sensitiver Beziehungen.
Und so funktioniert ContactGuard
Grundlage für die ContactGuard-Anwendung sind neue Verschlüsselungsprotokolle, die um ein Vielfaches effizienter und sicherer seien als alle bisher existierenden Ansätze. Dabei werden die gemeinsamen Kontakte zwischen dem Dienstanbieter und jenen Personen, die den Messenger-Dienst nutzen, mittels Schnittmengenberechnungen ermittelt.
- Die verschlüsselte Datenbank des Dienstanbieters wird – dank einer eigens von den Forschenden entwickelten Komprimierungstechnik – ressourcenschonend an den Nutzer, die Nutzerin gesendet und am Mobiltelefon gespeichert.
- Dort werden die Adressbucheinträge mit dem geheimen Schlüssel des Dienstanbieters verschlüsselt, jedoch ohne dass die Nutzerinnen und Nutzer den geheimen Schlüssel einsehen können.
- Auch umgekehrt erhält der Dienstanbieter keinerlei Informationen über die Adressbucheinträge der Nutzerinnen und Nutzer.
- Durch die beidseitige Datenverschlüsselung werden außerdem keine weiteren Informationen oder sensitiven Daten aus den Adressbüchern preisgegeben.
Tests sollen Weg für mehr Privatsphäre ebnen
Zusätzliche Effizienz verspricht laut TU Graz dabei der Einsatz der modernen Sicherheits-Chips, wie sie inzwischen in den allermeisten Smartphones enthalten sind – jedenfalls jenen, die in den vergangenen sieben Jahren auf den Markt kamen.
Im Vergleich zu älteren Chip-Generationen beschleunigen diese Chips die kryptografischen Berechnungen um den Faktor 35. Prototypische Tests hätten gezeigt, dass sich der Datenabgleich selbst bei 100 Millionen Datensätzen in einem zeitlich tolerablen Rahmen befindet. Lediglich bei der erstmaligen Registrierung könne es durch die kryptografischen Berechnungen und Datenübertragungen zu einer gewissen Latenz kommen. „Diese liegt aber selbst in Mobilfunknetzen für die Synchronisierung von bis zu 1.000 Kontakten im Bereich von wenigen Sekunden“, so Rechberger.
Der TU Graz-Forscher hofft nun, dass die Politik mit dem Wissen um die technischen Möglichkeiten die globalen Datenschutzgesetze im Sinne einer stärkeren Privatsphäre mittelfristig nachbessert: „Das könnte die Messenger-Dienste zum Handeln bewegen oder neue Angebote entstehen lassen.“