idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Zoom ist eine der bekanntesten Video-Konferenz-Softwares der Welt. Täglich wird sie von Millionen Nutzer:innen in dem Vertrauen verwendet, dass ihre Daten sicher sind und ihre Unterhaltungen nicht abgehört werden können. Bislang hängt dies von den Zoom-Servern ab, die den Zugang zu den einzelnen Gruppen kontrollieren: Die Zoom-Server überprüfen, ob alle Gruppenmitglieder das Passwort für das Meeting kennen. Nun gibt es einen neuen Weg: CISPA-Faculty Prof. Dr. Cas Cremers, sein Postdoc Mang Zhao und Dr. Eyal Ronen haben eine neue Methode zur Zugangskontrolle entwickelt, bei der der Zoom-Server keine Kenntnis der Passwörter hat. Die Ergebnisse stellen sie am 21. Mai auf der S&P vor.
Spätestens mit der Corona-Pandemie haben Video-Konferenz-Softwares wie Zoom den Weg in den privaten und beruflichen Alltag vieler Menschen gefunden. Wenn Nutzer:innen an einer Gruppen-Unterhaltung über Zoom teilnehmen wollen, benötigen sie dafür in der Regel ein Passwort. „Im Moment wird das Passwort dem Server mitgeteilt, um zu entscheiden, wer teilnehmen darf“, erklärt CISPA-Faculty Prof. Dr. Cas Cremers. Genau dieser Umstand behagt dem Forscher jedoch nicht. Da Zoom im Besitz des Passworts ist, ist Zoom theoretisch in der Lage, auf die Mitglieder der Gruppe zuzugreifen und neue Mitglieder nach Belieben hinzuzufügen.
„Wir hoffen natürlich, dass Zoom sagt: ‚Nein, nein, das werden wir nie tun‘. Aber wir haben keine technische Garantie dafür. Uns bleibt nur zu vertrauen, dass sie es nicht tun“, erzählt er. Und Cremers ist es wichtig, dass Sicherheit nicht ausschließlich auf Vertrauen basiert: „Ich möchte eine Technologie, die so beschaffen ist, dass wir uns selbst davon überzeugen können, dass wir eine sichere Verbindung zwischen uns haben und Zoom nicht mithören kann. Diese Garantie will ich haben.“ Die Herausforderung für den CISPA-Forscher bestand darin, eine Lösung zu entwickeln, ohne dass ein komplettes Re-Design von Zoom notwendig wird. „Theoretisch könnte man sich ein völlig anderes System ausdenken, als das, was Zoom derzeit verwendet. Aber das würde niemand akzeptieren“, so Cremers weiter.
Passwortaustausch zwischen Nutzer:innen, anstatt mit dem Zoom-Server
Cremers und seine Kollegen sahen sich also mit der Aufgabe konfrontiert, eine Lösung zu entwickeln, bei der der Zoom-Server nicht alle Passwörter kennt und darüber den Zugang kontrolliert. „Unsere Idee besteht darin, das Passwort nicht mehr an den Server weiterzugeben, sondern nur an die Teilnehmer:innen“, erklärt Cas. „Sie sollen untereinander eine sichere Verbindung herstellen können, ohne das Passwort jemals außerhalb der Gruppe weitergeben zu müssen.“ Dafür haben Cremers und seine Kolleg:innen ein modifiziertes Protokoll zum Austausch der Schlüssel entwickelt, das nur zwischen den Zoom-Nutzer:innen abläuft und die Zoom-Server außen vor lässt. Der Prozess läuft nur innerhalb der Software ab, ohne dass die Nutzer:innen aktiv etwas tun müssen.
„Wir verwenden dafür einen grundlegenden Baustein namens PAKE (Password based Key Exchange) und integrieren ihn in das Zoom-Protokoll. Wir verwenden PAKE, damit Gruppen die Zugangskontrolle selbst durchführen können, ohne sich auf den Zoom-Server zu verlassen“, erklärt Cremers. Da Zoom seinen Source-Code nicht öffentlich macht, musste der CISPA-Forscher sich anderweitig behelfen, um seine Anwendung zu testen: „Wir haben die Beschreibung der Software von Zoom aus ihrem Whitepaper übernommen,“ erklärt Cremers. Das ist eine vom Unternehmen selbst veröffentlichte, technische Beschreibung der Software, die jedoch keine Details enthält. „Deshalb wir können nicht hundertprozentig sicher sein, was Zoom tatsächlich verwendet. Aber aus unserer Entwicklerperspektive scheint die Lösung zu funktionieren“, so der CISPA-Faculty.
Ein klares Ziel vor Augen: Aufzeigen, was möglich ist
Kontakt zum Unternehmen Zoom gab es bisher noch nicht, wenngleich sich der Forscher offen dafür zeigt. Und theoretisch ließe sich der von Cremers zusammen mit seinen Ko-Autoren entwickelte Sicherheitsmechanismus auch auf andere Video-Konferenz-Softwares anwenden. Wobei die praktische Umsetzung nicht so stark in seinem Fokus steht. „In gewissem Sinne besteht ein Teil unserer Arbeit auch darin, der Community zu zeigen, was für Möglichkeiten es gibt“, erzählt er. „Wir beweisen, dass mehr Privatsphäre und bessere Sicherheitsgarantien nicht nur ein Hirngespinst sind, sondern dass es einen Weg gibt, wie man diese umsetzen kann.“ Man könnte auch sagen, Cremers‘ Forschung ist wie eine Art Spiegel, um der anwendungsorientierten IT-Wirtschaft mit den Mitteln der Grundlagenforschung aufzuzeigen, was möglich ist und was nicht. Aber der CISPA-Forscher hat auch noch ein anderes, eher gesellschaftspolitisches Ziel vor Augen: „Wir Menschen wollen auf eine Art und Weise kommunizieren, bei der unsere Privatsphäre gewahrt bleibt und andere daran gehindert werden, unsere Kommunikation zu belauschen. Dies müssen auch die Unternehmen berücksichtigen, die die Infrastruktur für unsere Kommunikation bereitstellen.“ Seine Forschung zielt letztlich darauf ab, dieses breite gesellschaftliche Ziel zu erreichen.
Cas Cremers and Eyal Ronen and Mang Zhao
(2024) Multi-Stage Group Key Distribution and PAKEs: Securing Zoom Groups against Malicious Servers without New Security Elements.
In: IEEE Symposium on Security and Privacy, 2024.
Conference: IEEE Symposium on Security and Privacy
Visualisierung zum Paper „Multi-Stage Group Key Distribution and PAKEs: Securing Zoom Groups against ...
Criteria of this press release:
Business and commerce, Journalists, Scientists and scholars
Information technology
transregional, national
Research results
German
Visualisierung zum Paper „Multi-Stage Group Key Distribution and PAKEs: Securing Zoom Groups against ...
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).
