Was ist das Signal-Protokoll und wie funktioniert es?

Das Signal-Protokoll gilt weithin als das sicherste Verschlüsselungsprotokoll für Messaging, das derzeit verfügbar ist. Es schützt die privaten Gespräche von Milliarden Menschen auf mehreren Plattformen, darunter Signal, WhatsApp und Hashe. Aber was genau ist es, und wie schafft es das Protokoll, so starke Sicherheitsgarantien zu bieten?

Dieser Artikel erklärt das Signal-Protokoll in verständlichen Worten. Wir behandeln seine Kernkomponenten, wie sie zusammenwirken und warum es zum Industriestandard für sichere Kommunikation geworden ist.

1. Überblick: Was ist das Signal-Protokoll?

Das Signal-Protokoll ist eine Sammlung kryptografischer Spezifikationen, die eine Ende-zu-Ende-verschlüsselte Kommunikation zwischen zwei oder mehr Geräten ermöglichen. Es wurde entwickelt, um mehrere schwierige Probleme der sicheren Kommunikation gleichzeitig zu lösen:

• Wie stellt man eine sichere Verbindung zwischen zwei Personen her, die noch nie miteinander kommuniziert haben?
• Wie stellt man sicher, dass vergangene Nachrichten geschützt bleiben, selbst wenn ein Schlüssel kompromittiert wird?
• Wie stellt man sicher, dass zukünftige Nachrichten geschützt bleiben, selbst wenn ein Schlüssel kompromittiert wird?
• Wie geht man mit Nachrichten um, die in falscher Reihenfolge eintreffen oder wenn eine Partei offline ist?

Das Protokoll erreicht all dies durch eine elegante Kombination bewährter kryptografischer Grundbausteine, die so zusammengesetzt sind, dass sie mehrschichtige Sicherheitsgarantien bieten.

2. Eine kurze Geschichte

Das Signal-Protokoll wurde von Moxie Marlinspike und Trevor Perrin bei Open Whisper Systems (heute Signal Foundation) entwickelt. Es entstand aus früheren Protokollen namens TextSecure und OTR (Off-the-Record Messaging).

Die entscheidende Innovation war die Lösung des "asynchronen" Problems. Frühere Protokolle für verschlüsselte Nachrichten erforderten, dass beide Parteien gleichzeitig online waren, um eine sichere Verbindung aufzubauen. Das Signal-Protokoll ermöglicht es, eine verschlüsselte Nachricht an jemanden zu senden, der offline ist, ohne die Sicherheit zu beeinträchtigen. Das war für die Praxis mobiler Kommunikation unabdingbar.

Seit seiner ersten Veröffentlichung wurde das Signal-Protokoll mehrfach von anerkannten Kryptografen unabhängig geprüft und mithilfe mathematischer Beweise formal verifiziert. Es gilt als der Goldstandard der Messaging-Verschlüsselung.

3. Die kryptografischen Bausteine

Das Signal-Protokoll verwendet mehrere kryptografische Grundbausteine:

Curve25519: Eine elliptische Kurve für den Schlüsselaustausch. Sie erzeugt die gemeinsamen Geheimnisse, die als Grundlage für Verschlüsselungsschlüssel dienen. Curve25519 ist bekannt für seine Geschwindigkeit, Sicherheit und Widerstandsfähigkeit gegen Seitenkanalangriffe.

AES-256: Der symmetrische Verschlüsselungsalgorithmus, der den eigentlichen Nachrichteninhalt verschlüsselt. AES-256 ist derselbe Algorithmus, den Regierungen zum Schutz geheimer Informationen verwenden.

HMAC-SHA256: Wird zur Nachrichtenauthentifizierung verwendet und stellt sicher, dass Nachrichten während der Übertragung nicht manipuliert wurden.

Ed25519: Wird für digitale Signaturen verwendet. Damit können Benutzer die Identität des jeweils anderen verifizieren.

Jede dieser Komponenten ist bewährt, umfassend erforscht und allgemein vertrauenswürdig. Die Innovation des Signal-Protokolls liegt nicht darin, neue kryptografische Grundbausteine zu erfinden, sondern bestehende auf einzigartig wirksame Weise zu kombinieren.

4. X3DH: Der erste Schlüsselaustausch

Wenn zwei Personen zum ersten Mal miteinander kommunizieren möchten, müssen sie ein gemeinsames Geheimnis aufbauen. Das Signal-Protokoll verwendet dafür einen Mechanismus namens X3DH (Extended Triple Diffie-Hellman).

Jeder Benutzer hat drei Arten von Schlüsseln:

• Identity Key (Identitätsschlüssel): Ein langfristiges Schlüsselpaar, das die Identität des Benutzers repräsentiert. Wird einmal erstellt und ändert sich selten.
• Signed Pre-Key (Signierter Vor-Schlüssel): Ein mittelfristiges Schlüsselpaar, das regelmäßig rotiert wird. Es ist vom Identity Key signiert, um Fälschungen zu verhindern.
• One-Time Pre-Keys (Einmal-Vor-Schlüssel): Eine Reihe von Einmal-Schlüsselpaaren, die auf den Server hochgeladen werden. Jedes wird für genau eine neue Konversation verwendet und dann verworfen.

Wenn Alice Bob zum ersten Mal eine Nachricht senden möchte, lädt sie Bobs öffentlichen Identity Key, Signed Pre-Key und einen One-Time Pre-Key vom Server herunter. Dann führt sie drei (oder vier) Diffie-Hellman-Operationen mit Kombinationen dieser Schlüssel durch, um ein gemeinsames Geheimnis abzuleiten. Dieses gemeinsame Geheimnis wird zum Ausgangspunkt aller nachfolgenden Verschlüsselungsschlüssel für die Konversation.

Das Elegante an X3DH ist, dass Bob nicht online sein muss. Seine Pre-Keys wurden im Voraus auf den Server hochgeladen, sodass Alice jederzeit eine sichere Konversation initiieren kann.

5. Der Double-Ratchet-Algorithmus

Sobald der erste Schlüsselaustausch abgeschlossen ist, verwendet das Signal-Protokoll den Double-Ratchet-Algorithmus für die laufende Kommunikation. Der Name stammt von den zwei "Ratschen", die den Verschlüsselungszustand kontinuierlich vorantreiben:

Die symmetrische Ratsche (Chain Ratchet): Nach jeder Nachricht wird ein neuer Nachrichtenschlüssel aus dem vorherigen Kettenschlüssel abgeleitet. Alte Kettenschlüssel werden gelöscht. Das bedeutet: Selbst wenn ein Angreifer einen Nachrichtenschlüssel erlangt, kann er nur diese eine Nachricht entschlüsseln, nicht vergangene oder zukünftige.

Die Diffie-Hellman-Ratsche (asymmetrische Ratsche): Jedes Mal, wenn eine Partei eine Nachricht sendet, fügt sie einen neuen ephemeren öffentlichen Schlüssel bei. Die andere Partei nutzt diesen für eine neue Diffie-Hellman-Operation und leitet einen frischen Kettenschlüssel ab. Dies bietet sogenannte "Selbstheilung": Selbst wenn der aktuelle Verschlüsselungszustand kompromittiert wird, stellt der nächste DH-Ratschenschritt die Sicherheit wieder her.

Das Ergebnis ist, dass jede einzelne Nachricht mit einem einzigartigen Schlüssel verschlüsselt wird. Die Kompromittierung eines Schlüssels betrifft nur eine Nachricht. Das System erneuert ständig seinen Sicherheitszustand, was langfristige Überwachung extrem schwierig macht.

6. Perfect Forward Secrecy

Perfect Forward Secrecy (PFS) ist eine der wichtigsten Eigenschaften des Signal-Protokolls. Sie bedeutet, dass vergangene Konversationen geschützt bleiben, selbst wenn Ihr langfristiger Identitätsschlüssel in der Zukunft kompromittiert wird.

Der Grund: Vergangene Nachrichtenschlüssel lassen sich nicht allein aus dem Identitätsschlüssel ableiten. Die ephemeren Schlüssel, die im Double Ratchet verwendet werden, werden nach Gebrauch gelöscht. Es gibt also keine Möglichkeit, die Verschlüsselungsschlüssel für alte Nachrichten zu rekonstruieren.

PFS ist entscheidend, weil eine Schlüsselkompromittierung immer möglich ist, sei es durch einen raffinierten Angriff, ein gestohlenes Gerät oder eine richterliche Anordnung. Mit PFS bleibt der Schaden begrenzt. Ein kompromittierter Schlüssel entsperrt nicht Ihren gesamten Nachrichtenverlauf.

Nicht alle Verschlüsselungsprotokolle bieten PFS. Telegrams MTProto beispielsweise bietet diese Garantie im Standardmodus nicht.

7. Wer nutzt das Signal-Protokoll?

• Signal: Die Referenzimplementierung, entwickelt vom selben Team, das das Protokoll erschaffen hat.
• WhatsApp: Hat das Signal-Protokoll 2016 für alle Nachrichten übernommen. Allerdings sind WhatsApps Metadaten-Praktiken ein separates Problem.
• Hashe: Verwendet das Signal-Protokoll für die gesamte Nachrichtenverschlüsselung, kombiniert mit Sealed Sender, ephemeren Nachrichten by Design und vollständiger Anonymität. Made in Frankreich.
• Google Messages: Nutzt das Signal-Protokoll für RCS-verschlüsselte Konversationen zwischen Android-Geräten.
• Facebook Messenger: Hat Ende-zu-Ende-Verschlüsselung basierend auf dem Signal-Protokoll für persönliche Nachrichten übernommen.

Die Tatsache, dass das Signal-Protokoll von Plattformen mit Milliarden von Nutzern übernommen wurde, ist ein Beleg für seine Robustheit und Zuverlässigkeit.

8. Grenzen des Protokolls

Das Signal-Protokoll ist herausragend in dem, was es tut, hat aber Grenzen, die wichtig zu verstehen sind:

• Es schützt keine Metadaten: Das Protokoll verschlüsselt den Nachrichteninhalt, verbirgt aber nicht inhärent, wer mit wem kommuniziert. Sealed Sender ist ein separater Mechanismus, der dieses Problem teilweise adressiert.
• Es benötigt einen vertrauenswürdigen Server für die Schlüsselverteilung: Der erste Schlüsselaustausch hängt von einem Server ab, der Pre-Keys verteilt. Wenn der Server gefälschte Schlüssel verteilt, ist theoretisch ein Man-in-the-Middle-Angriff möglich. Sicherheitsnummern (Schlüsselverifizierung) mindern dieses Risiko.
• Es schützt nicht vor Endgerätekompromittierung: Wenn Ihr Gerät kompromittiert ist (Malware, physischer Zugriff), kann der Angreifer Nachrichten lesen, während Sie sie tippen oder empfangen.
• Gruppennachrichten sind komplexer: Der Sender-Keys-Mechanismus für Gruppen bringt andere Sicherheitskompromisse mit sich als Einzelgespräche.

9. Fazit

Das Signal-Protokoll repräsentiert den Stand der Technik bei sicherer Nachrichtenversendung. Seine Kombination aus X3DH-Schlüsselaustausch, Double-Ratchet-Algorithmus und Perfect Forward Secrecy bietet ein Sicherheitsniveau, das jahrelanger akademischer Überprüfung und praktischem Einsatz standgehalten hat.

Zu verstehen, wie das Signal-Protokoll funktioniert, hilft Ihnen, fundierte Entscheidungen darüber zu treffen, welche Messaging-Apps Ihre Gespräche tatsächlich schützen. Wenn ein Dienst behauptet, "Ende-zu-Ende-Verschlüsselung" zu verwenden, lautet die entscheidende Frage: Welches Protokoll? Wenn die Antwort das Signal-Protokoll ist, können Sie sicher sein, dass die kryptografische Grundlage solide ist. Aber denken Sie daran: Das Protokoll schützt den Inhalt. Für umfassenden Datenschutz müssen Sie auch Metadaten, Anonymität, Ephemerität und das Geschäftsmodell hinter der App berücksichtigen.