Ursprünglicher Autor: Matthew Green
Originalzusammenstellung: Block Einhorn
Über den Autor: Matthew Green ist Kryptograph und Professor an der Johns Hopkins University. Ich entwerfe und analysiere Verschlüsselungssysteme, die in drahtlosen Netzwerken, Zahlungssystemen und Plattformen zum Schutz digitaler Inhalte verwendet werden. In meiner Forschung untersuche ich verschiedene Möglichkeiten, wie Verschlüsselungstechnologie zum Schutz der Privatsphäre der Benutzer eingesetzt werden kann.
Der Artikel wurde durch die jüngste besorgniserregende Nachricht inspiriert, dass Pavel Durov, CEO von Telegram, von den französischen Behörden verhaftet wurde, weil er Inhalte nicht angemessen überwachte. Auch wenn ich die Einzelheiten der Situation nicht kenne, stellt die Verwendung strafrechtlicher Anklagen zur Nötigung von Social-Media-Unternehmen eine ziemlich besorgniserregende Eskalation dar, und die Dinge sind nicht so einfach, wie sie scheinen.
Aber über diese Verhaftung möchte ich heute nicht sprechen.
Worüber ich sprechen möchte, ist ein bestimmtes Detail in der Berichterstattung, nämlich: Fast jeder Nachrichtenbericht über diese Verhaftung bezieht sich auf Telegram als „Verschlüsselungs-App“. Hier sind einige Beispiele:
Diese Aussage macht mich verrückt, weil sie aus einer sehr begrenzten technischen Perspektive nicht falsch ist. Auf jeder wichtigen Ebene führt es die Menschen jedoch grundsätzlich in die Irre, was Telegram und seine Funktionsweise in der Praxis angeht. Solche Fehlinformationen schaden sowohl Journalisten als auch Telegram-Nutzern, insbesondere denen, die dadurch ernsthaft geschädigt werden könnten.
Kommen wir nun zu den Details.
Ist Telegram verschlüsselt?
Viele Systeme verwenden auf irgendeine Weise Verschlüsselung. Wenn wir jedoch im Zusammenhang mit modernen privaten Nachrichtendiensten über Verschlüsselung sprechen, hat das Wort normalerweise eine ganz bestimmte Bedeutung: Es bezieht sich auf die Verwendung einer standardmäßigen Ende-zu-Ende-Verschlüsselung zum Schutz der Benutzer Nachrichteninhalt. Bei branchenüblicher Verwendung stellt diese Funktion sicher, dass jede Nachricht mit Verschlüsselungsschlüsseln verschlüsselt wird, die nur den kommunizierenden Parteien bekannt sind und dem Dienstbetreiber nicht zur Verfügung stehen.
Aus Ihrer Sicht als Benutzer bedeutet eine „verschlüsselte Messaging-App“, dass Ihre Nachrichten jedes Mal, wenn Sie ein Gespräch beginnen, nur von der Person gelesen werden können, mit der Sie chatten. Wenn der Betreiber eines Nachrichtendienstes versuchen würde, den Inhalt Ihrer Nachrichten einzusehen, würde er nur nutzlose verschlüsselte Daten sehen. Die gleichen Zusicherungen gelten für jeden, der sich in die Server des Anbieters hacken könnte, sowie für die Strafverfolgungsbehörden, die Vorladungen gegen den Anbieter ausstellen, im Guten wie im Schlechten.
Telegram passt aus einem einfachen Grund eindeutig nicht zu dieser strengeren Definition: Es aktiviert standardmäßig keine Ende-zu-Ende-Verschlüsselung. Wenn Sie eine Ende-zu-Ende-Verschlüsselung in Telegram verwenden möchten, müssen Sie für jede private Konversation manuell eine optionale Ende-zu-Ende-Verschlüsselungsfunktion namens „Verschlüsselte Chats“ aktivieren. Diese Funktion ist für die meisten Konversationen ausdrücklich nicht aktiviert und funktioniert nur bei Einzelgesprächen, niemals in Gruppenchats mit mehr als zwei Personen.
Als seltsame „Zusatzfunktion“ ist die Aktivierung der Ende-zu-Ende-Verschlüsselung von Telegram für nicht erfahrene Benutzer tatsächlich sehr umständlich.
Erstens ist die Schaltfläche zum Aktivieren der Telegram-Verschlüsselung im Hauptdialogfenster oder Startbildschirm nicht sichtbar. Um es in der iOS-App zu finden, musste ich mindestens viermal klicken – einmal, um zur Profilseite des Benutzers zu gelangen, einmal, um ein verstecktes Menü mit Optionen aufzurufen, und schließlich, um zu bestätigen, dass ich die Verschlüsselung verwenden wollte. Und selbst dann konnte ich kein verschlüsseltes Gespräch starten, da die Funktion „Verschlüsselter Chat“ nur funktioniert, wenn der Gesprächspartner zufällig online ist.
Starten Sie einen „verschlüsselten Chat“ mit meinem Freund Michael in der neuesten Telegram-iOS-App. Diese Option ist in der normalen Chat-Oberfläche nicht direkt sichtbar. Zur Aktivierung sind vier Klicks erforderlich:
(1) Betreten Sie Michaels Profilseite (Bild links),
(2) Klicken Sie auf die Schaltfläche „…“, um den ausgeblendeten Optionssatz anzuzeigen (mittleres Bild).
(3) Wählen Sie „Geheimen Chat starten“,
(4) Klicken Sie im Bestätigungsdialogfeld „Möchten Sie wirklich fortfahren?“ auf „Bestätigen“. Danach konnte ich immer noch keine Nachrichten an Michael senden, da die geheime Chat-Funktion von Telegram nur funktioniert, wenn die andere Person auch online ist.
Insgesamt ist dies eine ganz andere Erfahrung als das Starten eines neuen verschlüsselten Chats in einer modernen, branchenüblichen verschlüsselten Messaging-App, bei der Sie einfach ein neues Chat-Fenster öffnen.
Auch wenn dies wie eine Kleinigkeit erscheinen mag, kann der Unterschied zwischen der standardmäßigen Ende-zu-Ende-Verschlüsselung und diesem Erlebnis erheblich sein. In der Praxis bedeutet dies, dass die überwiegende Mehrheit der Telegram-Eins-zu-eins-Gespräche – sowie jeder Gruppenchat – möglicherweise von den Telegram-Servern gesehen und aufgezeichnet werden kann, die alle zwischen Benutzern gesendeten Nachrichteninhalte anzeigen und aufzeichnen können. Das mag zwar für jeden Telegram-Nutzer ein Problem darstellen, muss aber natürlich nicht als besonders sichere Verschlüsselung beworben werden.
(Wenn Sie an den Details und weiterer Kritik am tatsächlichen Verschlüsselungsprotokoll von Telegram interessiert sind, werde ich weiter unten näher darauf eingehen.)
Ist die Standardverschlüsselung wirklich wichtig?
Vielleicht ist es wichtig, vielleicht auch nicht! Dieses Problem kann aus zwei unterschiedlichen Perspektiven betrachtet werden.
Ein Aspekt ist, dass das Fehlen einer Standardverschlüsselung bei Telegram für viele Menschen völlig in Ordnung ist. Die Realität ist, dass viele Benutzer Telegram einfach nicht als verschlüsseltes privates Messaging-Tool verwenden. Für viele Menschen ist Telegram eher ein Social-Media-Netzwerk als eine private Messaging-App.
Insbesondere verfügt Telegram über zwei beliebte Funktionen, die es perfekt für diesen Anwendungsfall machen. Eine davon ist die Möglichkeit, „Kanäle“ zu erstellen und zu abonnieren. Jeder Kanal ist wie ein Rundfunknetzwerk, und eine Person (oder mehrere Personen) kann Inhalte an Millionen von Lesern weitergeben. Wenn Sie eine Nachricht an Tausende von Fremden senden, ist es nicht so wichtig, den Inhalt Ihres Chats privat zu halten.
Telegram unterstützt auch große öffentliche Gruppenchats mit Tausenden von Benutzern. Diese Gruppen können für die Öffentlichkeit zugänglich sein oder nur auf Einladung eingerichtet werden. Ich persönlich würde zwar niemals in Betracht ziehen, einen Gruppenchat mit Tausenden von Menschen zu teilen, aber ich habe gehört, dass viele Leute diese Funktion mögen. In einer großen öffentlichen Gruppe wie dieser spielt die Unverschlüsselung des Telegram-Gruppenchats keine so große Rolle – denn wen interessiert schon die Verschlüsselung, wenn man sich auf einem öffentlichen Platz unterhält?
Aber Telegram ist nicht auf diese Funktionen beschränkt, und viele Benutzer, die diese Funktionen nutzen, machen auch andere Dinge.
Stellen Sie sich vor, Sie führen einen großen Gruppenchat auf einem „öffentlichen Platz“. In dieser Umgebung kann kein hoher Datenschutz erwartet werden, sodass eine Ende-zu-Ende-Verschlüsselung für Sie nicht wichtig ist. Aber nehmen wir an, Sie und fünf Freunde verlassen den Platz, um ein privates Gespräch zu führen. Verdient dieses Gespräch einen starken Datenschutz? Das spielt keine Rolle, da Telegram diesen Schutz nicht bietet, zumindest nicht in der Standardverschlüsselung, die Sie nicht vor dem Teilen von Inhalten von den Servern von Telegram schützt.
Nehmen wir an, Sie nutzen die Social-Media-Funktionen von Telegram hauptsächlich zum Konsumieren von Inhalten und nicht zum Generieren dieser. Doch eines Tages entdeckt Ihr Freund, der aus ähnlichen Gründen auch Telegram nutzt, dass Sie auf der Plattform sind und beschließt, Ihnen eine private Nachricht zu senden. Sorgen Sie sich gerade um Ihre Privatsphäre? Werden Sie die Funktion „Verschlüsselter Chat“ manuell aktivieren – auch wenn dies vier explizite Klicks über ein verstecktes Menü erfordert und Sie daran hindert, sofort zu kommunizieren, wenn einer von Ihnen offline geht?
Ich vermute stark, dass sich viele Menschen wegen der Social-Media-Funktionen bei Telegram angemeldet haben, es aber letztendlich auch für private Chats nutzen werden. Ich denke, Telegram ist sich dessen bewusst und neigt dazu, sich als „sichere Messaging-App“ zu bewerben und über die Verschlüsselungsfunktionen der Plattform zu sprechen, gerade weil sie wissen, dass sie den Menschen ein angenehmeres Gefühl geben. Aber in Wirklichkeit vermute ich auch, dass nur wenige dieser Benutzer tatsächlich die Verschlüsselungsfunktionen von Telegram nutzen. Viele Benutzer wissen möglicherweise nicht einmal, dass sie die Verschlüsselung manuell aktivieren müssen, und denken möglicherweise, dass sie die Verschlüsselung bereits verwenden.
Dies führt mich zu meinem nächsten Punkt.
Telegram weiß, dass die Verschlüsselung schwer zu aktivieren ist, vermarktet sein Produkt jedoch weiterhin als sichere Messaging-App.
Die Verschlüsselungsfunktionen von Telegram werden seit 2016 (wahrscheinlich schon früher) aus vielen der in diesem Artikel genannten Gründe heftig kritisiert. Tatsächlich wurden viele dieser Kritikpunkte vor vielen Jahren von Experten, darunter auch mir, in Gesprächen mit Pavel Durov auf Twitter geäußert.
Trotz manchmal bissiger Auseinandersetzungen mit Durov glaubte ich damals immer noch überwiegend, dass Telegram gute Absichten hatte. Ich denke, Telegram ist damit beschäftigt, sein Netzwerk zu erweitern, und im Laufe der Zeit werden sie die Qualität und Benutzerfreundlichkeit der Ende-zu-Ende-Verschlüsselung der Plattform verbessern: indem sie sie beispielsweise als Standard festlegen, Gruppenchats unterstützen und es ermöglichen, verschlüsselte Chats zu starten Offline-Benutzer werden möglich. Ich gehe davon aus, dass Telegram zwar eher ein Mitläufer als ein Anführer sein wird, es aber irgendwann einen Funktionsumfang erreichen wird, der mit Signal und WhatsApp in Bezug auf Verschlüsselungsprotokolle vergleichbar ist. Eine andere Möglichkeit besteht natürlich darin, dass Telegram die Verschlüsselung vollständig aufgibt und sich darauf konzentriert, eine Social-Media-Plattform zu werden.
Was tatsächlich passiert ist, hat mich noch mehr verwirrt.
Der Eigentümer von Telegram hat die Benutzerfreundlichkeit seiner Ende-zu-Ende-Verschlüsselung nicht verbessert und das verschlüsselte Benutzererlebnis ist seit 2016 praktisch unverändert geblieben. Trotz einiger Upgrades der zugrunde liegenden Verschlüsselungsalgorithmen, die von der Plattform verwendet werden, wird das Benutzererlebnis von Secret Chat im Jahr 2024 praktisch das gleiche sein wie vor acht Jahren. Trotzdem wuchs die Nutzerbasis von Telegram im gleichen Zeitraum um das Sieben- bis Neunfache.
Unterdessen wirbt Pavel Durov, CEO von Telegram, weiterhin aktiv für Telegram als „sichere Messaging-App“. Kürzlich hat er Signal und WhatsApp auf seinem persönlichen Telegram-Kanal scharf kritisiert und angedeutet, dass diese Systeme von der US-Regierung hintertürig seien und dass nur das unabhängige Verschlüsselungsprotokoll von Telegram wirklich vertrauenswürdig sei.
Dies könnte verständlich sein, wenn es sich um einen legitimen technischen Streit zwischen zwei Plattformen handeln würde, die beide standardmäßig eine Ende-zu-Ende-Verschlüsselung unterstützen. Allerdings hat Telegram in dieser Diskussion wirklich keinen Platz. Es ist nicht länger amüsant zu sehen, wie die Telegram-Organisation Benutzer dazu ermutigt, sich von Messaging-Apps fernzuhalten, die standardmäßig verschlüsseln, während sie sich selbst weigert, grundlegende Funktionen zu implementieren, die Benutzernachrichten weitgehend verschlüsseln würden. Tatsächlich fängt es an, ein wenig bösartig auszusehen.
Welche weiteren Verschlüsselungsdetails gibt es?
Dies ist ein Kryptografie-Blog, daher wäre es mir nachlässig, wenn ich nicht etwas Zeit damit verbringen würde, langweilige Kryptografieprotokolle zu erklären. Ich würde mir auch die großartige Gelegenheit entgehen lassen, über die internen Details der Verschlüsselung von Telegram zu staunen, die mich jedes Mal, wenn ich sie ansehe, fast immer in Erstaunen versetzen.
Um es weniger schmerzhaft zu machen, werde ich die Details in einem Absatz behandeln. Sie können ihn also gerne überspringen, wenn Sie kein Interesse haben.
Die geheime Chat-Funktion von Telegram basiert auf einem benutzerdefinierten Protokoll namens MTProto 2.0, entsprechend den meiner Meinung nach neuesten Verschlüsselungsspezifikationen. Dieses System verwendet einen 2048-Bit-Finite-Field-Diffie-Hellman-Schlüsselaustausch, wobei der Gruppenparameter (glaube ich) vom Server ausgewählt wird. (Da der Diffie-Hellman-Schlüsselaustausch die Online-Interaktion beider Benutzer erfordert, kann kein verschlüsselter Chat eingerichtet werden, wenn ein Benutzer offline ist.) Der MITM-Schutz wird vom Endbenutzer übernommen, der die Fingerabdrücke der Schlüssel vergleichen muss. Der Server stellt einige seltsame zufällige Nonces (Zufallswerte) bereit, deren Zweck ich nicht ganz verstehe * – in der Vergangenheit dienten diese Nonces dazu, den Schlüsselaustausch gegenüber bösartigen Servern völlig unsicher zu machen (aber dieses Problem wurde längst behoben *). Die generierten Schlüssel werden dann im erstaunlichsten, nicht standardmäßigen authentifizierten Verschlüsselungsmodus verwendet – einem Modus namens Infinite Obfuscation Extensions (IGE), der auf AES basiert und SHA 2 für die Authentifizierung verwendet. **
Hinweis: Im obigen Absatz ist alles, was ich mit einem „*“ markiert habe, ein Punkt, an dem ein erfahrener Kryptograf die Hand hebt und eine Frage in einem Kontext stellt, der einem professionellen Sicherheitsaudit ähnelt. Ich werde nicht näher darauf eingehen, aber es genügt zu sagen, dass die Telegram-Verschlüsselung sehr ungewöhnlich ist.
Wenn Sie mich fragen würden, ob das Protokoll und die Implementierung der geheimen Telegram-Chats sicher sind, würde ich sagen, dass dies wahrscheinlich der Fall ist. Ehrlich gesagt spielt es keine Rolle, denn es spielt keine Rolle, wie sicher es ist, wenn die Leute es nicht tatsächlich nutzen.
Block-Einhorn-Hinweis: Einfach ausgedrückt verwendet das Verschlüsselungssystem von Telegram einige komplexe Technologien zum Schutz von Informationen, aber im Hinblick auf die Benutzererfahrung sind seine Einrichtung und Verwendung relativ kompliziert. Einige technische Details scheinen undurchsichtig zu sein, insbesondere die Verwendung von Zufallszahlen und die Art und Weise, wie Schlüssel geschützt werden.
endlich
Obwohl die Ende-zu-Ende-Verschlüsselung eines der besten Tools ist, die wir je entwickelt haben, um Datenschutzverletzungen zu verhindern, ist das nicht die ganze Geschichte. Eines der größten Datenschutzprobleme beim Messaging ist die große Menge an Metadaten – im Wesentlichen Daten darüber, wer den Dienst nutzt, mit wem er spricht und wann er spricht.
Diese Daten sind in der Regel nicht durch eine Ende-zu-Ende-Verschlüsselung geschützt. Selbst in reinen Rundfunk-Apps wie den Telegram-Kanälen gibt es viele nützliche Metadaten darüber, wer die Sendung hört. Die Informationen selbst sind für die Menschen wertvoll, wie die enormen Geldbeträge traditioneller Rundfunkanstalten für die Erfassung dieser Daten belegen. Derzeit sind möglicherweise alle diese Informationen auf den Servern von Telegram vorhanden und stehen jedem zur Verfügung, der sie sammeln möchte.
Ich kritisiere Telegram nicht speziell, da das gleiche Problem bei fast jedem anderen Social-Media-Netzwerk und jeder privaten Messaging-App besteht. Aber es sollte erwähnt werden, aber ich erwähne diese Probleme, um nicht den Eindruck zu erwecken, dass nur eine Verschlüsselung ausreicht.