HTTP 2.0: So funktioniert die neue Internetverschlüsselung

Es ist ein ehrgeiziges Projekt. Die Internet Engineering Task Force (IETF) will bis Ende 2014 grosse Teile des Datenverkehrs verschlüsselt sehen und arbeitet dazu an einem neuen Übertragungsprotokoll namens HTTP 2.0. Die Neuentwicklung ist auch für Unternehmen interessant.

Die NSA-Affäre löste nicht nur einen öffentlichen Aufschrei, sondern auch die händeringende Suche nach Möglichkeiten zum Schutz vor „Big Brother“ aus. Der neue IETF-Standard hat zwar noch einige technische Hürden zu nehmen, könnte aber nach seiner Einführung auch Unternehmen vor Wirtschaftsspionage schützen.

Die IETF ist eine lose Organisation von Programmierern und Web-Architekten, die auf einer gemeinsamen, wenn auch weit gefassten, Basis zusammenarbeiten. Auf ihr Konto geht die Entwicklung des HTTPS-Protokolls, mit dem eine sichere, weil verschlüsselte Kommunikation zwischen Rechner und Webserver stattfinden kann. Die Benutzung dieses Standards ist Webseitenbetreibern jedoch freigestellt; immerhin kommt er bei Banken, vielen Onlineshops und den beiden meistbesuchten Webseiten der Welt – Google und Facebook – zum Einsatz. Man erkennt ihn daran, dass URLs mit „https://…“ beginnen.

Wegen dieser Optionalität, aber vor allem weil man HTTPS mittlerweile als geknackt ansehen muss, visiert die IETF die Entwicklung eines neuen Protokolls an: HTTP 2.0. Der Hauptunterschied zu HTTPS ist, dass HTTP 2.0 standardmässig bei jeglicher Webkommunikation zum Einsatz kommen soll. „Rasend schnell“ entwickle sich das neue Protokoll, sagt Stephen Farrell, Computerwissenschaftler am Dubliner Trinity College. Er ist in das Projekt involviert.

Bereits in einem Jahr könnte die Software fertig sein, wäre aber auch dann nicht verpflichtend. Gute Gründe für ihren Einsatz gibt es genug. Viele Experten sind der Meinung, dass die NSA-Datenspionage deswegen so massiv ausfiel, weil man es dem Geheimdienst so leicht gemacht hat: Unverschlüsselte Verbindungen seien nun mal eine gefundenes Fressen für die Schlapphüte.

Farrell träumt davon, dass sich in naher Zukunft die „Web- und E-Mail- Verschlüsselung flächendeckend durchgesetzt“ haben wird. Derzeit legt die IETF ihren Fokus auf die Verschlüsselung von E-Mail- und Instant Messaging-Datenverkehr. Zwar gibt es bereits heute Protokolle, mit denen diese Datenströme verschlüsselt werden, und zwar bei jedem Sprung zwischen Rechner und E-Mail-Provider bzw. E-Mail-Provider und dem Zielrechner oder -Smartphone.



Wenn die Protokolle jedoch nicht richtig implementiert sind, funktionieren sie nicht. Das ist der Fall etwa bei Datenverkehr zwischen Gmail und einem kleineren E-Mail-Anbieter. Kann der verschlüsselte Text nicht gelesen werden, geht aber nicht die E-Mail mit einem entsprechenden Vermerk an den Absender zurück; sie wird einfach unverschlüsselt ausgeliefert. Genau hier setzt das IETF-Projekt an. „Da gibt es noch Verbesserungsmöglichkeiten“, so Farrell.

In gewisser Weise stellen die momentanen Aspirationen der IETF nach einem allgemeinen Verschlüsselungsstandard eine Kehrtwende dar. Denn vor gerade einmal anderthalb Jahren hatte sich noch eine Mehrheit in der Organisation gegen eine Standard-Verschlüsselung in HTTP ausgesprochen. Die Snowden-Leaks scheinen ein Umdenken bewirkt zu haben.

Die wohl grösste technische Hürde, die wohl auch bisher hinter der Ablehnung einer vorinstallierten HTTP-Verschlüsselung stand, ist das Caching von Webseiten. Darunter versteht man das statische Abspeichern von Webseiten auf dem Nutzer näher gelegenen Servern. Dieser so genannte Cache ist schneller abrufbar und deshalb beim Surfen komfortabel. Sicherheitstechnisch hat er jedoch einen schwerwiegenden Nachteil: Der Cache liegt immer im Klartext vor.

Eine Verschlüsselung des Caches ist zwar prinzipiell möglich, verkompliziert die Sache aber gewaltig, da auch die Aktualisierung des Caches durch den Hauptserver verschlüsselt werden müsste. Der gesamte Vorteil des Cachings – die schnelle Abrufbarkeit – könnte dadurch zerstört werden. Stephen Farrell: “Die technische Herausforderung ist, wie bekommen wir den Sicherheitsvorteil bei gleichzeitiger Beibehaltung des Caching-Nutzens? Daran wird gearbeitet.“

Doch die Aktualisierung des wichtigsten Webprotokolls hin zu einer abhörsicheren Version hängt nicht nur von der technologischen Entwicklung ab. Tim Bray, Google-Mitarbeiter und an der Entwicklung mehrerer Internetprotokolle beteiligt, hält in seinem Blog fest: „Letztendlich ist es ein Politikum und nicht ein technologisches Problem.“ Mit anderen Worten: Es gibt eine Lobby dafür und eine dagegen. Ob HTTP 2.0 flächendeckende Anwendung findet, hängt nicht zuletzt davon ab, welche der beiden die Oberhand behält.

Auch für Unternehmen ergibt sich hier eine Ambivalenz: Auf der einen Seite könnte man damit werben, den Kunden sichere Verbindungen anzubieten und sich selbst vor Wirtschaftsspionage zu schützen; auf der anderen Seite wird es schwieriger, Missbrauch der eigenen Dienste zu ahnden, vor allem wenn die Nutzung von Diensten wie Tor dazu kommt. In jedem Fall sollte man die Entwicklung im Auge behalten.

 

Oberstes Bild: © Brian Jackson – Fotolia.com

jQuery(document).ready(function(){if(jQuery.fn.gslider) {jQuery('.g-22').gslider({groupid:22,speed:10000,repeat_impressions:'Y'});}});