In manchen Medien wird derzeit die Frage diskutiert, inwieweit der Zertifikatsupdate in Windows eine Schwachstelle oder gar eine Hintertür darstellt, mit deren Hilfe, so weiter die Spekulationen, Geheimdienste sich das SSL Protokoll für bestimmte Abhörmaßnahmen entschlüsseln könnten. 

An dieser Stelle betonen wir nochmals, dass Microsoft keiner Regierung die Möglichkeit gibt, unsere Verschlüsselung zu brechen und Microsoft auch keiner Regierung Schlüssel zur Entschlüsselung zur Verfügung stellt. Weitere Informationen dazu gibt es hier: http://blogs.technet.com/b/microsoft_presse/archive/2013/07/17/medienberichte-252-ber-us-sicherheitsprogramm-update-4.aspx

Zum Hintergrund, wie manche Leser es schon in diversen Forumsbeiträgen angemerkt haben (http://forum.spiegel.de/f22/verdeckte-updates-windows-hintertuer-gefaehrdet-internetverschluesselung-96812.html), hier eine weitere Information:

SSL-Zertifikate (die Web-Kommunikation verschlüsseln und damit sicher machen), kann grundsätzlich jeder erstellen. Dies passiert häufig auch, zum Beispiel bei der Software-Entwicklung oder beim Testen.

Um nun ein SSL-Zertifikat tatsächlich als „vertrauenswürdig“ einzustufen, muss eine „offizielle“ Stelle dieses Zertifikat aber „beglaubigen“. Dazu gibt es eine Reihe von Akkreditierungsstellen, die genau das tun. Diese Akkreditierungsstellen prüfen dann zum Beispiel, ob die Firma, die ein SSL-Zertifikat einsetzen möchte, auch tatsächlich die ist, für die sie sich ausgibt.

Wenn man nun zum Beispiel auf https://meine.deutsche-bank.de geht, zeigt der Browser nicht nur an, dass die Verbindung verschlüsselt ist, sondern auch, dass die Gegenseite tatsächlich die Deutsche Bank AG ist.

Diese Akkreditierungsstellen sind jedoch nicht vom Staat oder einer „höheren Macht“ vordefiniert und sie können sich über die Zeit ändern.

Damit Windows, ein Browser oder jedes andere Betriebssystem entscheiden kann, ob ein SSL-Zertifikat vertrauenswürdig ist, muss es zunächst prüfen, ob die Akkreditierungsstelle glaubwürdig ist (also das Stammzertifikat). Logik: Ist die Akkreditierungsstelle unglaubwürdig/unbekannt, dann ist es das SSL-Zertifikat auch.

Und genau hier ist die vermeintliche „Hintertür“: Windows hat eine Liste von Akkreditierungsstellen „an Board“, denen vertraut wird. Diese Liste an vertrauenswürdigen Akkreditierungsstellen kann beim Windows Update von Microsoft aktualisiert werden. Microsoft prüft die Anträge für diese Listen sehr genau und führt regelmäßige Kontrollen der Akkreditierungsstellen durch, um Missbrauch entgegenzuwirken. Wir wollen und setzen uns an breiter Front massiv dafür ein, dass die Privatsphäre unserer Kunden auch privat bleibt.

Posted by Thomas Baumgärtner
Communications Manager Security & Green IT