US-Medien berichten, dass Regierungsbehörden von Dienstanbietern im Internet die Herausgabe der geheimen Schlüssel ihrer Server mit SSL-Verschlüsselung fordern. Mit dem in den Berichten als "Master-Key" bezeichneten Schlüssel ließe sich die gesamte Kommunikation des Servers entschlüsseln – und in vielen Fällen sogar im Nachhinein. Die großen Konzerne sollen die Herausgabe allerdings bisher verweigern.
Allerdings ist die Quellenlage äußerst dünn; CNet beruft sich auf eine einzige Person, die nach eigenen Angaben mit solchen Forderungen konfrontiert wurde, aber anonym bleiben wollte. Nach deren Angaben hätten die großen Internet-Konzerne dieses Ansinnen bereits abgelehnt, weil die rechtliche Grundlage dafür nicht ausreiche. Im Visier seien deshalb jetzt vor allem kleinere Firmen, die keine so gut ausgerüsteten Rechtsabteilungen haben. Die befragten Firmen wie Google, Apple, Yahoo und AOL wollten sich nicht dazu äußern, ob sie solche Anfragen erhalten hätten. Lediglich Facebook verneinte dies explizit und erklärte genau wie Microsoft, man würde in einem solchen Szenario die geheimen Schlüssel nicht herausgeben.
Diese geheimen SSL-Schlüssel der Server sind allerdings ein durchaus lohnendes Ziel. Mit ihnen könnte man nicht nur live alles mitlauschen, sondern bei fast allen überwachten Diensten sogar im Nachhinein zuvor einmal verschlüsselt aufgezeichnete Daten entschlüsseln. Wie unter anderem der NSA-Whistleblower Edward Snowden berichtete, sammelt die NSA verschlüsselte Daten der großen Internet-Plattformen für solche Zwecke in großem Stil präventiv ein.
Deren Verschlüsselung müsste jedoch eigentlich nicht so leicht angreifbar sein; denn das eingesetzte Protokoll SSL/TLS sieht durchaus einen Schutz gegen "heute aufzeichnen, morgen knacken" vor. Allerdings setzt von den großen US-Konzernen weder Microsoft noch Apple, Twitter, Facebook, Yahoo oder AOL diese sogenannte Perfect Forward Secrecy (PFS) ein. Einzige Ausnahme: Google hat seine Server bereits 2011 auf Schlüsselaustausch mit PFS umgestellt. In Deutschland sieht das etwa bei Mail-Providern etwas besser aus: GMX und Web.de verschlüsseln standardmäßig mit PFS, 1&1 und T-Online können es zwar prinzipiell, müssten aber vom Browser aktiv dazu gezwungen werden, was aber in aller Regel nicht passiert.
Was es mit dieser scheinbar obskuren SSL-Funktion auf sich hat und wie man davon profitieren kann, erklärt der heise-Security-Artikel Zukunftssicher verschlüsseln mit Perfect Forward Secrecy (ju)