Schwindel mit der Sicherheit bei WebTV fliegt auf

Ein Ingenieur von WebTV bestätigt den Verdacht

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Ein Ingenieur von WebTV bestätigt: Microsoft hat für US-Behörden Sollbruchstellen in die 128-bit Verschlüsselung eingebaut. Verdacht auf indivîduelles Tracking der Benutzer erhärtet.

Auf Anfrage hat einer der Microsoft-Ingenieure, die an der Implementierung der "Sicherheitsmechanismen" in der Settop-Box WebTV massgeblich mitgewirkt haben, erklärt - siehe Ausrisse weiter unten, - dass die Formulierungen in der Presseaussendung zum Thema 128-bit zweideutig (somewhat ambiguous) seien. Damit wurde der Eindruck einer absolut sicheren End-to-End Kommunikation erweckt, was nicht den Tatsachen entspricht.

Tatsächlich wird diese sichere Verschlüsselungsmethode zwar für den Transport durchs Internet verwendet, bestimmte Strecken legt die Mail aber nur mit dem sogenannten Secure Socket Layer verschlüsselt zurück. Um diese 40-bit SSL (TLS) Encryption zu brechen, benötigen dafür spezialisierte Rechner zwischen zwei und zehn Tausendstel Sekunden. Das erklärt hinlänglich die Zufriedenheit des US-Unterstaatssekretärs William Reinsch, der erklärt hatte, die 128-bit von WebTV stellten "kein erhöhtes Risiko für nationale Sicherheit und Strafverfolgungsbehörden" dar.

Sind diese Sollbruchstellen im Bereich des proprietären Netzwerks von Microsoft/WebTV eingebaut, dann funktioniert die genannte Firma de facto nicht anders als eine verdeckte "Trusted Third Party", die eine Hintertür für bestimmte US-Dienste und Behörden offenhält. Das etwa in Frankreich obligate und auch als "Key Escrow" bekannte "Trusted Third Party" Prinzip bedeutet nichts anderes als Hinterlegung des privaten Schlüssels zum gefälligen Gebrauch durch neugierige Behörden. Gegen diese Praxis hatte sich Bill Gates in der Vergangenheit mehrfach ausgesprochen.

Das Rätsel der versteckten digitalen Unterschriften bei allen Postings von WebTV-Benützern in den Newsgroups ist durch den unten zitierten Briefwechsel zwar geklärt, dies trägt aber keineswegs zur Beruhigung bei, im Gegenteil.

Wenn prinzipiell alle Aktionen und Einstellungen der Benutzer, vom Setup über perönliche Präferenzen bis zu den Postings an öffentliche Newsgroups, verschlüsselt beziehungsweise digital signiert werden, verstärkt dies nur den schlimmen Verdacht, dass dies nur deswegen geschieht, weil WebTV/Microsoft damit in der Lage ist, sämtliche Bewegungen seiner Benützer im Netz anhand der Unterschrift individuell zu tracken.

Auszüge aus dem Briefwechsel eines der Ingenieure von WebTV mit einem Fragesteller. Beide Personen wurden, entgegen der sonstigen Gewohnheit, aus leicht nachvollziehbaren Gründen anonymisiert.

> The press release implies that there is secure end-to-end email between two WebTV customers.

The wording is somewhat ambiguous though it does have more of a bent on the security of the transport layer. Perhaps it could have been clearer and specifically said that messages where encrypted during transport using 128 bit encryption.

> Perhaps I am overly cynical, but I am guessing that they are using SSL (TLS) from a web based email application on the client to WebTV's servers. I presume email data is decrypted at the servers, then re-encrypted to the recipient when she uses the WebTV client to read email.

Close. We could not even export SSL (TLS) with 128 encryption in this scenario. We have a proprietary transport protocol that we use that employs 128 bit RC4.

> This approach would allow access to private email at the servers by WebTV employees or law enforcement agencies. ... I believe that WebTV's email security is directly coupled to their ability to establish and enforce good security policy within their operation and the trustworthiness of the employees who have access to sensitive data.

Partially true. We believe a major component of our security is indeed in the encrypted transport of your email from the service through the internet, through a leased POP to your box .... This level of protection goes beyond email to registration, preferences/setup, "favorites" etc... Virtually all communications with the WebTV service. ... I agree that the carefully worded press release may imply more than what we got. ....

Kommentare an Erich Moechel