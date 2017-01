Akzeptiert als einziger großer Hersteller das Root-Zertifikat der Regierung

Die beste Verschlüsselung funktioniert nur dann zuverlässig, wenn alle daran Beteiligen vertrauenswürdig sind. Doch gerade staatliche Institutionen verfolgen oftmals Ziele, die dem Bedürfnis der Nutzer nach der Privatheit ihrer Daten zuwiderlaufen. Umso problematischer wird es wenn große Softwarehersteller den Regierungen volles Vertrauen entgegenbringen, und genau dafür kommt nun Microsoft in die Kritik.

Vorwurf

Als einziger großer Browser- oder Betriebssystemanbieter vertraut Microsoft dem Root-Zertifikat Thailands, beklagt Privacy International. Dies könnten die jeweiligen Machthaber dazu nutzen, um verschlüsselte Internetverbindungen auszuspionieren, indem sie eigene Schlüssel für https-Verbindungen ausstellen und den Usern unterjubeln.

Vorgeschichte

Die Bürgerechtsorganisation betont, dass es sich dabei nicht bloß um eine theoretische Gefahr handle. Thailand pflege seit Jahren einen repressiven Zugang in Hinblick auf das Internet. So habe man in den letzten Jahren die Infrastruktur zentralisiert, um unerwünschte Meldungen leichter unterdrücken zu können. Auch sei wohl dokumentiert, dass die Regierung im September 2014 sogenannte Downgrade-Attacken vorgenommen hat, um Mail-Server dazu zu bringen, neue Nachrichten nicht verschlüsselt zu übertragen.

Ein paar Monate zuvor gab es eine vorübergehende Total-Blockade von Facebook, nachdem man das Unternehmen nicht dazu bringen konnte, die HTTPS-Verschlüsselung für seine Services abzudrehen. Damals ging es darum im Zuge eines Militärputsches Einblick in die Nutzerkommunikation zu bekommen, als dies nicht klappt schwenkte man auf Blockadepolitik um.

Argumentation

Gegenüber The Verge zeigt sich Microsoft von der Kritik wenig beeindruckt. Das thailändische Root-Zertifikat erfülle sämtliche der eigenen Standards. Man untersuche die Vertrauenswürdigkeit regelmäßig und in aller Ausführlichkeit, bisher hätten sich dabei keinerlei Probleme oder Risiken aufgetan.

Das aktuelle Zertifikatssystem steht immer wieder als potentieller Schwachpunkt der Web-Verschlüsselung im Mittelpunkt der Kritik. So haben etwa Mozilla und Google im Vorjahr gleich zwei chinesischen Certificate Authorities das Vertrauen entzogen, nachdem es bei diesen zu Unregelmäßigkeiten gekommen war. (red, 26.1.2017)