Blackberry hat den kanadischen Behörden offenbar Zugriff auf alle privaten Nachrichten von Blackberry-Kunden verschafft - zumindest theoretisch. Die Ermittlungsbehörden sind im Besitz des "Global Encryption Keys" von Blackberry.
Die kanadischen Behörden haben offenbar seit 2010 Zugriff auf alle Nachrichten, die private Blackberry-Nutzer mit dem integrierten Messenger untereinander austauschen. Das Unternehmen hat den kanadischen Ermittlungsbehörden dazu offenbar eine Kopie des privaten Verschlüsselungskeys gegeben, wie Vice News und Motherboard in einer gemeinsamen Untersuchung herausgefunden haben.
Dieser Schlüssel ermöglicht laut den Recherchen die Entschlüsselung aller Nachrichten, die über die offiziellen Blackberry-Server versendet werden. Unternehmen und Regierungsstellen, die ihre eigenen Blackberry-Server betreiben, werden jeweils mit einem eigenen Schlüssel abgesichert und sind daher nicht betroffen.
Blackberrys Vorgehen wurde jetzt durch Gerichtsdokumente bekannt. Die kanadische Polizei hatte über mehr als zwei Jahre lang versucht, die Veröffentlichung abzuwehren, unterlag aber am Ende. Angeblich sollen mit Hilfe des Schlüssels mehr als eine Million Nachrichten entschlüsselt worden sein.
Ein "Global Encryption Key"
Blackberry verschlüsselt alle Nachrichten zwischen den Messengern mit einem "Global Encryption Key", der auf allen Blackberry-Geräten vorkonfiguriert ist. Damit bietet dieses System kein Perfect Forward Secrecy. Diese Form des Schlüsselaustauschs würde es unmöglich machen, Kommunikation im Nachhinein zu entschlüsseln, selbst wenn der Schlüssel abhandenkommt. Blackberry bietet damit nur eine Transportverschlüsselung an. Auch eine Verifikation der Gesprächspartner ist in dem Protokoll nicht vorgesehen.
In dem Gerichtsverfahren ging es um einen Mordfall in Kanada. Die Polizei hat mittlerweile sechs Männer wegen Mordes angeklagt, nachdem private Blackberry-Nachrichten der Männer, die nach dem Mord versendet wurden, mitgelesen und entschlüsselt wurden.
Blackberrys globaler Verschlüsselungskey ist bei der Polizei
-
-
Na, das fehlt jetzt noch...
-
Zitat
Fatal für BlackBerry
BlackBerry hat sich stets bemüht, diese Überwachungsmöglichkeiten herunterzuspielen. In der Vergangenheit gab es stets öffentlichkeitswirksame Forderungen von Staaten wie Pakistan oder den Vereinigten Arabischen Emiraten, ebenfalls Zugriff auf solche Überwachungsmöglichkeiten zu haben. BBM sinkt damit auf das Sicherheitsniveau von SMS.
Fatal für BlackBerry ist, dass beim Publikum die Nachricht ankommt, BlackBerry könne verschlüsselte Nachrichten mitlesen. Das betrifft aber nur diese verschleierten BBM-Nachrichten. BlackBerry hat ein Produkt mit dem Namen BBM Protected, das auf BBM Ende-zu-Ende verschlüsselt. Dabei liegen drei Sicherheitsschichten aufeinander: TLS-Verschlüsselung zwischen Endgerät und BlackBerry-Netzwerk, Triple-DES-Verschleierung der BBM-Nachrichten und Ende-zu-Ende-Verschlüsselung der einzelnen Nachrichten. Auch bei BlackBerrys wichtigstem Produkt, dem BES (BlackBerry Enterprise Server), verwenden Server und Endgerät eine Ende-zu-Ende-Verschlüsselung, deren Schlüssel BlackBerry nicht kennt