E-mail senden E-Mail Adresse kopieren

2024-05-13
Felix Koltermann

CISPA-Forscher entwickeln neues Sicherheitskonzept für Zoom-Gruppen

Zoom ist eine der bekanntesten Video-Konferenz-Softwares der Welt. Täglich wird sie von Millionen Nutzer:innen in dem Vertrauen verwendet, dass ihre Daten sicher sind und ihre Unterhaltungen nicht abgehört werden können. Bislang hängt dies von den Zoom-Servern ab, die den Zugang zu den einzelnen Gruppen kontrollieren: Die Zoom-Server überprüfen, ob alle Gruppenmitglieder das Passwort für das Meeting kennen. Nun gibt es einen neuen Weg: CISPA-Faculty Prof. Dr. Cas Cremers, sein Postdoc Mang Zhao und Dr. Eyal Ronen haben eine neue Methode zur Zugangskontrolle entwickelt, bei der der Zoom-Server keine Kenntnis der Passwörter hat. Das dazugehörige Paper „Multi-Stage Group Key Distribution and PAKEs: Securing Zoom Groups against Malicious Servers without New Security Elements” wird im Mai 2024 beim IEEE Symposium on Security and Privacy (S&P) vorgestellt.

Spätestens mit der Corona-Pandemie haben Video-Konferenz-Softwares wie Zoom den Weg in den privaten und beruflichen Alltag vieler Menschen gefunden. Wenn Nutzer:innen an einer Gruppenunterhaltung über Zoom teilnehmen wollen, benötigen sie dafür in der Regel ein Passwort. „Im Moment wird das Passwort dem Server mitgeteilt, um zu entscheiden, wer teilnehmen darf“, erklärt CISPA-Faculty Prof. Dr. Cas Cremers. Genau dieser Umstand behagt dem Forscher jedoch nicht. Da Zoom im Besitz des Passworts ist, ist Zoom theoretisch in der Lage, auf die Mitglieder der Gruppe zuzugreifen und neue Mitglieder nach Belieben hinzuzufügen.

„Wir hoffen natürlich, dass Zoom sagt: ‚Nein, nein, das werden wir nie tun‘. Aber wir haben keine technische Garantie dafür. Uns bleibt nur zu vertrauen, dass sie es nicht tun“, erzählt er. Und Cremers ist es wichtig, dass Sicherheit nicht ausschließlich auf Vertrauen basiert: „Ich möchte eine Technologie, die so beschaffen ist, dass wir uns selbst davon überzeugen können, dass wir eine sichere Verbindung zwischen uns haben und Zoom nicht mithören kann. Diese Garantie will ich haben.“ Die Herausforderung für den CISPA-Forscher bestand darin, eine Lösung zu entwickeln, ohne dass ein komplettes Re-Design von Zoom notwendig wird. „Theoretisch könnte man sich ein völlig anderes System ausdenken, als das, was Zoom derzeit verwendet. Aber das würde niemand akzeptieren“, so Cremers weiter.

Passwortaustausch zwischen Nutzer:innen, anstatt mit dem Zoom-Server

Cremers und seine Kollegen sahen sich also mit der Aufgabe konfrontiert, eine Lösung zu entwickeln, bei der der Zoom-Server nicht alle Passwörter kennt und darüber den Zugang kontrolliert. „Unsere Idee besteht darin, das Passwort nicht mehr an den Server weiterzugeben, sondern nur an die Teilnehmer:innen“, erklärt Cas. „Sie sollen untereinander eine sichere Verbindung herstellen können, ohne das Passwort jemals außerhalb der Gruppe weitergeben zu müssen.“ Dafür haben Cremers und seine Kolleg:innen ein modifiziertes Protokoll zum Austausch der Schlüssel entwickelt, das nur zwischen den Zoom-Nutzer:innen abläuft und die Zoom-Server außen vor lässt. Der Prozess läuft nur innerhalb der Software ab, ohne dass die Nutzer:innen aktiv etwas tun müssen.

„Wir verwenden dafür einen grundlegenden Baustein namens PAKE (Password based Key Exchange) und integrieren ihn in das Zoom-Protokoll. Wir verwenden PAKE, damit Gruppen die Zugangskontrolle selbst durchführen können, ohne sich auf den Zoom-Server zu verlassen“, erklärt Cremers. Da Zoom seinen Source-Code nicht öffentlich macht, musste der CISPA-Forscher sich anderweitig behelfen, um seine Anwendung zu testen: „Wir haben die Beschreibung der Software von Zoom aus ihrem Whitepaper übernommen,“ erklärt Cremers. Das ist eine vom Unternehmen selbst veröffentlichte, technische Beschreibung der Software, die jedoch keine Details enthält. „Deshalb wir können nicht hundertprozentig sicher sein, was Zoom tatsächlich verwendet. Aber aus unserer Entwicklerperspektive scheint die Lösung zu funktionieren“, so der CISPA-Faculty. 

Ein klares Ziel vor Augen: Aufzeigen, was möglich ist

Kontakt zum Unternehmen Zoom gab es bisher noch nicht, wenngleich sich der Forscher offen dafür zeigt. Und theoretisch ließe sich der von Cremers zusammen mit seinen Ko-Autoren entwickelte Sicherheitsmechanismus auch auf andere Video-Konferenz-Softwares anwenden. Wobei die praktische Umsetzung nicht so stark in seinem Fokus steht. „In gewissem Sinne besteht ein Teil unserer Arbeit auch darin, der Community zu zeigen, was für Möglichkeiten es gibt“, erzählt er. „Wir beweisen, dass mehr Privatsphäre und bessere Sicherheitsgarantien nicht nur ein Hirngespinst sind, sondern dass es einen Weg gibt, wie man diese umsetzen kann.“ Man könnte auch sagen, Cremers‘ Forschung ist wie eine Art Spiegel, um der anwendungsorientierten IT-Wirtschaft mit den Mitteln der Grundlagenforschung aufzuzeigen, was möglich ist und was nicht. Aber der CISPA-Forscher hat auch noch ein anderes, eher gesellschaftspolitisches Ziel vor Augen: „Wir Menschen wollen auf eine Art und Weise kommunizieren, bei der unsere Privatsphäre gewahrt bleibt und andere daran gehindert werden, unsere Kommunikation zu belauschen. Dies müssen auch die Unternehmen berücksichtigen, die die Infrastruktur für unsere Kommunikation bereitstellen.“ Seine Forschung zielt letztlich darauf ab, dieses breite gesellschaftliche Ziel zu erreichen.