Twitter hat kürzlich eine Möglichkeit zur Verschlüsselung von Direktnachrichten eingeführt, mit dem Ziel, die Privatsphäre seiner Nutzer zu stärken. Doch trotz der guten Absichten weist die aktuelle Implementierung einige erhebliche Sicherheitsmängel auf. Matthew Garrett, ein anerkannter Experte im Bereich IT-Sicherheit und Verschlüsselung, hat die Schwächen in einem Blog-Beitrag ausführlich beschrieben und beleuchtet, wie Twitter seine Lösung zumindest halbwegs effektiv verbessern könnte. Dabei zeigt sich, dass die Probleme weder unlösbar noch unerreichbar sind, solange das Unternehmen bereit ist, die richtigen Schritte anzugehen. Die Grundidee hinter der Verschlüsselung von Direktnachrichten ist klar: Nur die Kommunikationspartner sollen Zugriff auf den Inhalt der Nachricht haben.
Um das zu gewährleisten, darf kein Dritter, auch nicht Twitter selbst, die Nachrichten mitlesen können. Twitter nutzt hierfür eine Infrastruktur namens Juicebox, welche mit Hardware-Sicherheitsmodulen (HSMs) zusammenarbeitet. HSMs sind spezialisierte Geräte, die Schlüsselmaterial sicher generieren und speichern, ohne dass es gefährdet wird, kompromittiert zu werden. Juicebox verwendet für jeden HSM einen individuellen Schlüssel, der in Form eines Schlüsselpaares vorliegt. Dabei bleibt der private Schlüssel ausschließlich im HSM verborgen, während nur der öffentliche Schlüssel an den Client, also die Anwendung beim Nutzer, weitergegeben wird.
Der Datenverkehr zwischen Client und Backend wird mit dem Noise-Protokoll verschlüsselt, was dafür sorgt, dass selbst beim Abfangen der Nachrichten kein Zugriff auf die verschlüsselten Daten möglich ist. Hier liegt jedoch der Kern des Problems: Der Client, also die Twitter-App oder der Webbrowser, muss sicher sein, dass der empfangene öffentliche Schlüssel auch tatsächlich zu einem privaten Schlüssel gehört, der in einem echten HSM gespeichert ist. Aktuell fehlt eine solche Garantie komplett. Die jeweiligen Schlüssel werden vom Server über eine API an den Client übermittelt, was bedeutet, dass Twitter theoretisch jeden öffentlichen Schlüssel liefern könnte – auch solche, die nicht mit einem abgesicherten HSM verbunden sind. Dadurch eröffnet sich ein erhebliches Risiko.
Twitter könnte die Verschlüsselungsinfrastruktur missbrauchen, um beispielsweise gezielt bestimmte Nutzer zu überwachen. Indem der Server einen anderen Schlüssel bereitstellt, könnte Twitter die verschlüsselte Verbindung vorzeitig beenden, die Nachricht entschlüsseln und dann eine gefälschte Antwort an den Client schicken. Der Nutzer würde dabei keinerlei Hinweis erhalten, dass das Vertrauen missbraucht wurde. Solche undurchsichtigen Vorgehensweisen erschweren es Nutzern und Sicherheitsforschern, Manipulationen oder Überwachungen nachzuweisen. Die gute Nachricht ist, dass es praktikable Lösungen gibt, um zumindest diese spezielle Schwachstelle zu beheben.
Twitter könnte verpflichtend nachweisen, dass ihre Schlüsselpaare in authentischen HSMs generiert wurden. Darüber hinaus wäre es möglich, das Schlüsselmaterial direkt in den Clients zu hinterlegen. So hätten Nutzer beim Start der App oder des Webbrowsers bereits den korrekten öffentlichen Schlüssel im Einsatz, sodass Manipulationen über die API nicht mehr ohne Weiteres möglich sind. Ein Angreifer müsste dann tatsächlich das Programm verändern, um neue Schlüssel einzuschleusen, was deutlich aufwendiger und leichter zu entdecken wäre. Trotz dieser Verbesserungen bliebe eine zentrale Herausforderung bestehen: das Web-Client-Problem.
Da Twitter Webanwendungen in Form von Javascript ausliefert, könnte die Website selbst manipuliert werden, wenn Twitter dies gewollt oder erzwungen durch Ermittler implementieren würde. Das bedeutet, dass selbst eine technisch sichere Schlüsselverteilung nicht ausreicht, um eine vollständige Vertrauensbasis zu schaffen. Nutzer könnten mit schädlichem Code konfrontiert werden, der Nachrichten auf dem Weg entschlüsselt oder manipuliert. Momentan gibt es keine weit verbreitete Technologie oder Frameworks, die solche böswilligen Eingriffe zuverlässig erkennen oder verhindern könnten. Dies ist ein grundsätzlicher Nachteil webbasierter Dienste im Vergleich zu nativen Anwendungen wie Signal, die ihren Quellcode offenlegen und kryptographische Schlüssel lokal verwalten.
Signal gilt daher als das Maß der Dinge für verschlüsselte Kommunikation und stellt Twitter derzeit in dieser Hinsicht weit in den Schatten. Auch wenn Twitter seine Infrastruktur verbessern würde, könnten die Nutzer niemals sicher sein, ob der Web-Client nicht manipuliert wird, sofern sie nicht explizit auf native Apps umsteigen. Es geht also weniger darum, dass Twitters Idee grundsätzlich falsch wäre, sondern vielmehr um deren Umsetzung und die daraus resultierenden Sicherheitslücken. Ein transparenterer Umgang seitens Twitter, etwa durch öffentliche Audits der Schlüsselinfrastruktur und eine verstärkte Einbindung von Drittprüfern, könnte Vertrauen schaffen und die Verschlüsselung nachhaltiger gestalten. Ebenso wäre ein Ausbau nativer, quelloffener Anwendungen sinnvoll, um die Nutzer vom potenziell unsicheren Web-Client möglichst fernzuhalten.
Insgesamt zeigen sich zwei zentrale Erkenntnisse: Erstens ist die Implementierung von End-to-End-Verschlüsselung für soziale Medienplattformen wie Twitter technisch möglich, aber ebenfalls komplex und anfällig für Manipulationen. Zweitens sind transparente Prozesse und der Schutz der Schlüssel eine unerlässliche Voraussetzung, um den Nutzern tatsächlich einen sicheren Kommunikationskanal zu bieten. Solange diese Punkte nicht umgesetzt werden, ist es trotz vorhandener Verschlüsselung schwer, Vertrauen in Twitters Direktnachrichten zu setzen. Für Nutzer, die auf maximale Sicherheit und Privatsphäre Wert legen, bleibt daher weiterhin Signal die bevorzugte Lösung. Signal kombiniert moderne Verschlüsselung mit offener Software und einem hohen Maß an Transparenz.
![ICANN fee price hike by 11% [pdf]](/images/FCCD7552-8DEB-40DF-88A4-E1861DA941FA)
