Project Capillary: Google verschlüsselt Pushbenachrichtigungen Ende-zu-Ende
Google arbeitet an einem Projekt, um die Inhalte von Pushbenachrichtigungen über den Firebase Cloud-Messaging-Dienst (FCM) künftig mit einer Ende-zu-Ende-Verschlüsselung zu versehen(öffnet im neuen Fenster) . Bislang sind die Nachrichten nur mit TLS auf dem Transportweg geschützt, könnten also theoretisch vom Betreiber mitgelesen werden.
Das Capillary genannte Projekt basiert auf der gleichnamigen von Google entwickelten Bibliothek und soll es für Entwickler "deutlich vereinfachen" , Pushnachrichten verschlüsselt auszuliefern. Die Software soll es außerdem ermöglichen, dass Nachrichten nur auf Geräten entschlüsselt werden, die erst vor kurzem vom Nutzer entsperrt wurden. So könne verhindert werden, dass bei einem gestohlenen Smartphone noch eingehende Pushnachrichten gelesen werden können.
Rückwirend bis Kitkat
Die Änderungen sollen bis zum API-Level 19 (Android Kitkat) unterstützt werden. Somit könnten auch ältere Android-Geräte davon profitieren. Die Nachrichten werden zunächst im Device-Encrypted-Storage gecached und müssen mit einem Schlüssel aus dem Android Keystore entschlüsselt werden. Dieser Schlüsselbund muss vom Nutzer manuell freigegeben werden. Auch mit Project Capillary werden Nachrichten vom Server der App-Betreiber weiterhin über Googles Server gesendet und dann an das Smartphone geschickt.
Capillary unterstützt zur Verschlüsselung RSA und ECDSA (Elliptic Curve Digital Signature Algorithm), außerdem die von der IETF standardisierte Web-Push-Encryption ( RFC 8291(öffnet im neuen Fenster) ), die unter anderem Elliptic Curve Diffie-Hellman (ECDH) für den Schlüsselaustausch einsetzt. Zuletzt hatte Google angekündigt, dass App-Entwickler es in Android P künftig explizit beantragen müssen, wenn ihre App unverschlüsselte Verbindungen zu Servern aufnehmen will .