Verschlüsselung: Kampf dem Klartext
Als Yan Zhu 16 Jahre alt war, ging sie zur Highschool in St. Louis, Missouri. Dort langweilte sie sich so sehr, dass sie beschloss, sich direkt fürs College zu bewerben. Nicht für irgendeines, sondern für das berühmte MIT, das Massachusetts Institute of Technology. Sie wurde angenommen, und seither ist es mit der Langeweile vorbei.
Yan Zhu, geboren in Peking und mit fünf Jahren in die USA gezogen, ist jetzt 24 Jahre alt und hat eine Mission: "Ich helfe Menschen, sicher, privat und anonym das Internet zu nutzen" . Sie tut das, indem sie eine E-Mail-Verschlüsselung für Yahoo-Nutzer entwickelt, mit der Initiative Let's Encrypt(öffnet im neuen Fenster) und der Browsererweiterung HTTPS Everywhere(öffnet im neuen Fenster) sichere Internetverbindungen fördert, den elektronischen Briefkasten Securedrop(öffnet im neuen Fenster) für Whistleblower verbessert und in einer von Tim Berners-Lee geleiteten Arbeitsgruppe des World Wide Web Consortiums(öffnet im neuen Fenster) (W3C) an der Web-Architektur der Zukunft arbeitet. Je weniger Daten unverschlüsselt, also als "clear text" über das Internet gesendet werden, desto zufriedener ist sie.
Es ist eine erstaunliche Karriere für eine Mittzwanzigerin, die nach eigenen Angaben "erst mit 17 oder 18 angefangen hat, Computer wirklich zu benutzen" . Gleichzeitig könnte man Yan Zhu als Traditionalistin bezeichnen: Sie arbeitet mit Verschlüsselungsmethoden, die zum Teil älter sind als sie selbst und von fantasievollen Hackern zwar nicht grundsätzlich gebrochen, aber immer wieder umgangen oder ausgetrickst werden. Denn bessere gibt es noch nicht, jedenfalls nicht für den Masseneinsatz.
Eine dieser Techniken ist die Transportverschlüsselung mit SSL beziehungsweise dessen Nachfolger TLS. Mithilfe dieser Protokolle werden vor allem Internetverbindungen gesichert, bei denen sensible Daten wie Passwörter übertragen werden, also zum Beispiel beim Onlinebanking oder auf Shoppingseiten, aber auch bei der Anmeldung in sozialen Netzwerken. Nutzer erkennen eine SSL-/TLS-Verbindung am "https" in der Adresszeile ihres Browsers oder am Schlosssymbol.
Der Vorteil dieser Technik: Sie verbirgt, welche Daten ein Nutzer überträgt, und zwar vor dem eigenen Internetprovider, vor Schnüfflern im selben WLAN, zum Beispiel im Café, und auch vor Geheimdiensten wie der NSA und deren britischem Gegenstück GCHQ, die transatlantische Glasfaserkabel anzapfen und massenweise Daten kopieren und speichern.
Der Nachteil: Für Websitebetreiber ist es nicht ganz einfach, die Technik richtig zu implementieren(öffnet im neuen Fenster) . Zudem kostete es in der Vergangenheit Geld, weil man dafür Zertifikate braucht, die den Nutzern zeigen, dass sie wirklich auf die gewünschte Website zugreifen und die von spezialisierten Unternehmen gegen Gebühr ausgestellt werden.
An dieser Stelle setzt Yan Zhu an. Mit der Initiative Let's Encrypt, für die sie als Entwicklerin arbeitet, will sie die Implementierung von TLS stark vereinfachen: "Let's Encrypt ist eine neue Zertifikatsstelle, die kostenlose Zertifikate an alle ausgeben wird, die ihre Websites mit SSL verschlüsseln wollen" , sagt sie. Diese Woche will Let's Encrypt die ersten Zertifikate ausstellen.
Let's Encrypt: HTTPS-Verschlüsselung einrichten in weniger als einer Minute
Als mögliche Zielgruppe von Let's Encrypt nennt Zhu Menschen, die eine kleine, private Website absichern wollen, aber wenig Ahnung von Webentwicklung haben. "So jemand braucht für die Implementierung von SSL mindestens ein bis zwei Stunden. Mit Let's Encrypt soll das weniger als eine Minute dauern. Es automatisiert die Implementierung in der sichersten bekannten Konfiguration. Und es ist kostenlos."
Es gibt zwar auch andere Anbieter, die kostenlose Zertifikate ausgeben oder zumindest nicht mehr als zehn US-Dollar verlangen, aber dann müssen die Websitebetreiber immer noch selbst herausfinden, wie sie ihre Seite damit absichern. Noch ein Vorteil von Let's Encrypt: Die Zertifikate werden automatisch erneuert, wenn sie abgelaufen sind – etwas, das Administratoren sonst gerne mal vergessen.
HTTPS Everywhere: Browser zu sicheren Verbindungen zwingen
Weil ein komplett SSL-/TLS-gesichertes Netz so etwas wie ein Lebenstraum von Zhu ist, hat sie auch das Browser-Add-on HTTPS Everywhere weiterentwickelt. "Die Erweiterung für Firefox, Firefox für Android, Chrome und Opera erzwingt verschlüsselte HTTPS-Verbindungen zu Websites, die das nicht standardmäßig unterstützen" , erklärt sie.
Das Add-on wird also immer dann aktiv, wenn eine Seite über eine HTTPS-Verbindung erreichbar wäre, ein Nutzer dazu aber auch "https://..." in die Adresszeile seines Browsers eingeben müsste, weil er andernfalls automatisch eine ungesicherte Verbindung aufbauen würde. Es basiert auf einer ständig aktualisierten Whitelist: Hunderte Freiwillige untersuchen Websites darauf, inwieweit sie HTTPS unterstützen, und schreiben entsprechende Regeln für das Add-on.
HTTPS Everywhere ist ein Projekt der Bürgerrechtsbewegung Electronic Frontier Foundation (EFF). Für die arbeitet Zhu seit etwa drei Jahren. Nach ihrem MIT-Abschluss war sie nach Kalifornien gezogen, um in Stanford über Quantengravitation(öffnet im neuen Fenster) zu promovieren, hatte die Elite-Uni aber schnell wieder verlassen, "weil ich den Eindruck hatte, die akademische Kultur wäre nicht die richtige für mich" , wie sie sagt. Außerdem wollte sie an Dingen arbeiten, "die unmittelbar relevant für Aktivisten und Journalisten" sind. So fand sie im berühmten Hackerspace Noisebridge und eben bei der EFF in San Francisco Gleichgesinnte. In diesem Umfeld entwickelte sie ihre technischen Fertigkeiten – und ihren sehr nerdigen Sarkasmus, der weniger im persönlichen Gespräch mit ihr, aber umso mehr in ihrem Twitter-Profil(öffnet im neuen Fenster) zum Vorschein kommt.
Yahoo und seine Paranoiden
Zhus "day job", wie sie ihn nennt, ist aber nicht bei der EFF, sondern bei Yahoo. Das Unternehmen versucht gerade, sein mieses Image in Sicherheitsfragen loszuwerden. Yahoo nahm – wenn auch unfreiwillig(öffnet im neuen Fenster) – am Prism-Programm der NSA teil und galt lange Zeit als langsam und rückständig(öffnet im neuen Fenster) , wenn es um Datensicherheit und Verschlüsselung ging.
Erst als Alex Stamos(öffnet im neuen Fenster) im März 2014 neuer Chef der intern Die Paranoiden genannten Sicherheitsabteilung wurde, die Verschlüsselung von Nutzerdaten vorantrieb und sich öffentlich mit NSA-Direktor Michael Rogers anlegte(öffnet im neuen Fenster) , änderte sich das. Stamos, mittlerweile Sicherheitschef von Facebook, war es auch, der Yan Zhu zu Yahoo und den Paranoiden holte.
Yahoo End-to-End: E-Mail-Verschlüsselung für die Massen
Dort leitet sie nun das Projekt Yahoo End-to-End, ein Plug-in für den Chrome-Browser, mit dessen Hilfe sich Yahoo-Nutzer verschlüsselte E-Mails senden können, ähnlich wie GMX und Web.de(öffnet im neuen Fenster) das seit Kurzem ermöglichen. Beide Lösungen basieren auf dem 25 Jahre alten Programm PGP(öffnet im neuen Fenster) .
Die Abkürzung PGP steht für Pretty Good Privacy, und das trifft es im Kern ziemlich gut: PGP sorgt dafür, dass nur Sender und Empfänger eine Nachricht lesen können, selbst wenn sie unterwegs von einem Dritten abgefangen wird. Außerdem lässt sich mit der Signaturfunktion von PGP überprüfen, ob eine Nachricht wirklich vom vermeintlichen Absender kommt, oder ob jemand sie manipuliert hat.
Es ist allerdings nicht ganz einfach, PGP richtig zu benutzen, weshalb es nie wirklich massentauglich geworden ist. Yahoo End-to-End soll die Benutzung von PGP erheblich erleichtern, damit die Hürde zum Verschlüsseln und Signieren sinkt, und mehr Menschen es tun.
Kompatibel mit Googles PGP-Lösung und mit GnuPG
Aber warum überhaupt diese alte, komplizierte Technik, die sich nie richtig durchgesetzt hat? Warum entwickelt Yahoo nichts Eigenes, Neues? "Der Vorteil von PGP ist: Es wurde ausführlich getestet und optimiert" , sagt Zhu. "Viele Menschen haben sich damit beschäftigt und sichergestellt, dass es wirklich ziemlich sicher ist."
Yahoo nutzt als Basis für sein Add-on einen Code von Google, das schon früher angefangen hatte, an einem ganz ähnlichen Projekt zu arbeiten. Der Vorteil: Yahoo-Nutzer werden auch mit Gmail-Kunden verschlüsselt kommunizieren können, und auch mit Nutzern von GnuPG(öffnet im neuen Fenster) , einer freien Alternative zu PGP.
Im Moment wird die Chrome-Erweiterung von Yahoo(öffnet im neuen Fenster) noch getestet, das Unternehmen hat den Quellcode veröffentlicht(öffnet im neuen Fenster) , damit externe Spezialisten ihn überprüfen können. Yahoo möchte die Erweiterung aber noch in diesem Jahr seinen Nutzern anbieten.
PGP war sozusagen Zhus Einstiegsdroge: Ihr Weg von der Highschool-Abbrecherin zur Hackerin habe nämlich mit einem "sehr paranoiden Freund am College" begonnen, sagt sie. "Er akzeptierte keine unverschlüsselten Mails von mir. Das motivierte mich, den Umgang mit PGP zu lernen." Heute hat Verschlüsselung für sie nichts mehr mit Paranoia zu tun, es ist zu einer Selbstverständlichkeit geworden. Für E-Mails, die sie unverschlüsselt schickt, entschuldigt sie sich mittlerweile.