Gruppenchat mit Messaging Layer Security: Mitinitiator Raphael Robert interviewt

Lange schien sie unmöglich: Verschlüsselte Kommunikation in Gruppen mit mehreren Tausend Menschen. Doch ein neuer Standard, Messaging Layer Security (MLS), soll genau das ermöglichen. Wir haben dazu mit Raphael Robert, Chef von Phoenix R&D, gesprochen. Sein Berliner Technologieunternehmen hat seinen Fokus auf sicherem Messaging und verfolgt das Ziel, Ende-zu-Ende-Verschlüsselung zugänglicher zu machen. Er arbeitet seit mehr als zehn Jahren an sicheren Kommunikationsprotokollen und ist Mitinitiator des Projekts Messaging Layer Security und More Instant Messaging Interoperability (MIMI).

heise online: Wofür ist MLS relevant? Was ist das genau?

Raphael Robert: Fast jeder verwendet heutzutage irgendeine Art von Messenger. Ein guter Teil der privaten Kommunikation findet digital statt, daher haben Sicherheitsfragen beim Messaging eine große Relevanz. An erster Stelle steht wahrscheinlich WhatsApp, damit müssten sich grundsätzlich alle WhatsApp-Nutzer mit Sicherheitsfragen beschäftigen. Gleichzeitig wechseln immer mehr Nutzer zu Signal. Beim Messaging-Layer-Security-Protokoll (MLS) beschäftigen wir uns mit der Zukunft sicherer Messenger.

Ende-zu-Ende-Verschlüsselung ist ein Begriff, der mittlerweile salonfähig ist, den die Leute kennen. Er bedeutet, dass Nachrichten nicht mehr im Klartext übermittelt werden und Betreiber von Messaging-Diensten diese nicht mehr mitlesen können – da die Nachrichten nun Ende-zu-Ende-verschlüsselt sind. Das Verfahren hat in den letzten zehn Jahren in einigen Messengern Einzug gehalten – in Signal, Threema, die sich für besonders sicher erklären, aber letzten Endes auch in WhatsApp, in Facebook Messenger. Bei Instagram ist die Ende-zu-Ende-Verschlüsselung optional, bei Telegram gibt es die Ende-zu-Ende-Verschlüsselung (E2EE) lediglich in sogenannten Secret Chats. Damit hat sie eine gewisse Dominanz erreicht.

Die Basis dafür war die Technologie, die eigentlich von Signal entwickelt wurde. Das heißt, ein großer Teil der Technologie, die in Signal steckt, findet sich auch in WhatsApp wieder. Diese Technologie war ihrer Zeit weit voraus und so herausragend gut, dass sie in WhatsApp übernommen wurde. Google verwendet sie zum Beispiel bei Rich Communication Services (RCS). Die Technologie wurde vor mehr als zehn Jahren in erster Linie für Signal selbst entwickelt, um die Bedürfnisse von Signal abzudecken und nicht die der gesamten Industrie. Einige Aspekte wurden hierbei nicht abgedeckt.

Welche waren das?

Zum Beispiel ist die Technologie nicht besonders geeignet, um Gruppenchats effizient zu verschlüsseln. Das wird dann sehr schnell sehr, sehr teuer, weil die Endgeräte viel rechnen müssen und auch große Nachrichten gleichzeitig verschicken. Der Grund ist, dass die Anzahl der Nachrichten proportional zur Anzahl der Gruppenteilnehmer steigt. In letzter Zeit gibt es auch andere Anbieter von Messenger-Diensten, die E2EE auch für Gruppenchats anbieten.

Es gab keinen wirklichen Standard und damit beispielsweise auch keine Software-Bibliotheken, die verwendet werden konnten, um Verschlüsselung in einen Messenger einzubauen. Das war die Motivation hinter Messaging Layer Security (MLS).

Wer steckt hinter MLS?

In der Runde waren unter anderem Mozilla, Cisco, Facebook, Twitter, Wire, wir (Phoenix R&D) und Universitäten wie die Oxford University, die das Projekt akademisch begleitet haben und gesagt haben: "Okay, wir brauchen eigentlich einen Standard für die Zukunft. Das, was Signal gemacht hat, ist sehr gut, aber es reicht nicht ganz aus, und wir würden es wirklich gerne in einem öffentlich zugänglichen Dokument spezifiziert haben, so dass jeder das dann für sich nachimplementieren kann".

Das Ganze wurde dann zu einer Standardisierungsorganisation, der Internet Engineering Task Force (IETF), gebracht. Der Prozess hat fünf Jahre gedauert und das Endergebnis ist das sogenannte MLS-Protokoll, das von der IETF, die zum Beispiel auch für die E-Mail-Protokolle, TLS und andere verantwortlich ist, verabschiedet und veröffentlicht wurde. Diese Dokumente bekommen dann eine RFC-Nummer und sind dann quasi in Stein gemeißelt. Das kann man nicht mehr anfassen, aber man kann es Internetstandard nennen.

Welche Vorteile hat das MLS-Protokoll?

Einer der Vorteile ist die Effizienz, so benötigt gerade die Kommunikation in Messengern mit MLS weniger Rechenleistung sowie Bandbreite und damit funktioniert die E2EE-Kommunikation auch für große Gruppen. Da gibt es durchaus Anwendungen, auch gerade in der Business-Kommunikation, also nicht nur im Consumer-Bereich.

Außerdem werden Quantencomputer wahrscheinlich ein Risiko darstellen, also muss man entsprechend aufrüsten. Das heißt nichts anderes, als dass man mit anderen sogenannten Kryptoprimitiven, also anderen Verschlüsselungsalgorithmen arbeiten muss. Diese sind leider ineffizienter als die alten Algorithmen und haben deutlich größere Schlüsselgrößen – bei Curve25519 haben die Schlüssel eine Größe von 32 Bytes, beim post-quantensicheren Kyber768 sind es 1184 Bytes. MLS bietet jedoch einen Effizienzgewinn, da typischerweise weniger Schlüssel benötigt werden.

Haben Sie da ein Beispiel?

Um jetzt mal exemplarische ein paar Zahlen zu nennen: Wenn man früher zum Beispiel Gruppen mit 100 Teilnehmern verschlüsseln konnte, so dass das etwa auf einem älteren Android-Handy noch einigermaßen flüssig lief und die Anforderungen an die Bandbreite nicht so hoch waren, dann ist das mit den neuen post-quantensicheren Verschlüsselungsalgorithmen nicht mehr möglich. Das heißt, wir haben dann bei gleicher Bandbreite nicht mehr Gruppen mit 100 Teilnehmern, sondern nur noch mit 10 Teilnehmern. MLS soll hier für mehr Effizienz sorgen. Außerdem kann jeder den offenen Standard nutzen. Derzeit ist das Signal-Protokoll eine Art De-facto-Standard, weil es von vielen genutzt wird. Faktisch müssen aber Firmen wie Facebook den Quellcode von Signal lizenzieren, wenn sie es verwenden wollen. Bisher gibt es auch kein Dokument, in dem das Protokoll vollständig im Detail spezifiziert ist. Von Signal selbst gibt es auch keine Implementierungen mit permissiven Lizenzen.

In welcher Form wird Interoperabilität mitgedacht?

Interoperabilität war nicht primär ein Punkt auf der Liste, den MLS jetzt abdecken sollte. Sie war aber immer irgendwie im Hintergrund. Die Arbeitsgruppe More Instant Messaging Interoperability (MIMI), die im November letzten Jahres bei der IETF gegründet wurde, hat sich Interoperabilität zum Ziel gesetzt und ist im Gegensatz zu MLS auch etwas politisch motiviert. Der Digital Markets Act (DMA) hat die Frage aufgeworfen, wie politisch erzwungene Interoperabilität technologisch aussehen könnte.

Der Zeitplan für das nächste Jahr ist sportlich. Bis 2024 sollen 1-zu-1-Chats interoperabel sein, im Jahr darauf Gruppenchats, dann Audio und Video. Es gibt einige Firmen, die daran beteiligt sind, unter anderem Cisco, Wire, Matrix und wir. In der ersten Phase haben wir grob den Rahmen abgesteckt und eine Charta definiert. Wir wollen einen minimalen Konsens darüber finden, welche Technologie notwendig wäre, um Interoperabilität zwischen verschiedenen Messengern zu erreichen. Es gibt verschiedene Vorschläge, wir nehmen MLS als Basis, Matrix hat beispielsweise eine Variante ihres Protokolls vorgeschlagen. Wir wollen das Rad nicht neu erfinden, letztendlich geht es bei der IETF immer um Konsens.

Bei MIMI – wo auch Cisco, Wire und Matrix dabei sind – wird man eben sehen, wie viele Firmen und Organisationen da mitmachen, das wird sicherlich auch noch wachsen. Unser Beitrag ist, zunächst etwas anzubieten, was so minimal wie möglich ist. Auf der anderen Seite ist es auch Teil der Charta, dass man sich auch um die Verschlüsselung von Metadaten kümmert, die bei der Kommunikation anfallen – zum Beispiel, wer kommuniziert wann mit wem und wie oft. Von den großen Messenger-Betreibern hat bisher nur Signal das Thema wirklich ernst genommen. Sie sammeln keine Metadaten, die sie bei Anfragen von Behörden auch nicht herausgeben müssten. Mit MIMI wollen wir auf das gleiche Niveau kommen, aber in einem standardisierten Rahmen, der auch die Kommunikation zwischen mehreren Anbietern explizit zulässt.

Können Metadaten nicht auch sensible Daten preisgeben?

Im privaten oder im medizinischen Bereich kann das natürlich sehr sensibel sein. Die Tatsache, dass ich einen Termin bei einem Onkologen habe, ohne zu wissen, was besprochen wird, ist an sich schon eine Information. Der Schutz von Metadaten sollte daher auch Teil eines Sicherheitskonzepts sein.

Was ist für die Zukunft geplant?

Der nächste Schritt ist, dass wir mit OpenMLS eine Software-Bibliothek unter MIT-Lizenz zur Verfügung stellen, die jeder nehmen und in sein Produkt einbauen kann und damit einen relativ kurzen Weg zu E2EE hat. Die Idee ist jetzt, dass jeder Zugang zu einem getesteten Ende-zu-Ende-Verschlüsselungsprotokoll hat.

Über die Ende-zu-Ende-Verschlüsselung hinaus, arbeiten wir auch daran Metadaten zu schützen, mit dem Ziel auch diese Technologie verfügbar zu machen.

(mack)