Neues Sicherheitskonzept für Zoom-Gruppen

Visualisierung zum Paper „Multi-Stage Group Key Distribution and PAKEs: Securing Zoom Groups against Malicious Servers without New Security Elements“
(c) CISPA

Zoom ist eine der bekanntesten Video-Konferenz-Softwares der Welt. Täglich wird sie von Millionen Nutzer:innen in dem Vertrauen verwendet, dass ihre Daten sicher sind und ihre Unterhaltungen nicht abgehört werden können. Bislang hängt dies von den Zoom-Servern ab, die den Zugang zu den einzelnen Gruppen kontrollieren: Die Zoom-Server überprüfen, ob alle Gruppenmitglieder das Passwort für das Meeting kennen. Nun gibt es einen neuen Weg: CISPA-Faculty Prof. Dr. Cas Cremers, sein Postdoc Mang Zhao und Dr. Eyal Ronen haben eine neue Methode zur Zugangskontrolle entwickelt, bei der der Zoom-Server keine Kenntnis der Passwörter hat. Die Ergebnisse stellen sie am 21. Mai auf der S&P vor.

Spätestens mit der Corona-Pandemie haben Video-Konferenz-Softwares wie Zoom den Weg in den privaten und beruflichen Alltag vieler Menschen gefunden. Wenn Nutzer:innen an einer Gruppen-Unterhaltung über Zoom teilnehmen wollen, benötigen sie dafür in der Regel ein Passwort. „Im Moment wird das Passwort dem Server mitgeteilt, um zu entscheiden, wer teilnehmen darf“, erklärt CISPA-Faculty Prof. Dr. Cas Cremers. Genau dieser Umstand behagt dem Forscher jedoch nicht. Da Zoom im Besitz des Passworts ist, ist Zoom theoretisch in der Lage, auf die Mitglieder der Gruppe zuzugreifen und neue Mitglieder nach Belieben hinzuzufügen.

„Wir hoffen natürlich, dass Zoom sagt: ‚Nein, nein, das werden wir nie tun‘. Aber wir haben keine technische Garantie dafür. Uns bleibt nur zu vertrauen, dass sie es nicht tun“, erzählt er. Und Cremers ist es wichtig, dass Sicherheit nicht ausschließlich auf Vertrauen basiert: „Ich möchte eine Technologie, die so beschaffen ist, dass wir uns selbst davon überzeugen können, dass wir eine sichere Verbindung zwischen uns haben und Zoom nicht mithören kann. Diese Garantie will ich haben.“ Die Herausforderung für den CISPA-Forscher bestand darin, eine Lösung zu entwickeln, ohne dass ein komplettes Re-Design von Zoom notwendig wird. „Theoretisch könnte man sich ein völlig anderes System ausdenken, als das, was Zoom derzeit verwendet. Aber das würde niemand akzeptieren“, so Cremers weiter.

Passwortaustausch zwischen Nutzer:innen, anstatt mit dem Zoom-Server

Cremers und seine Kollegen sahen sich also mit der Aufgabe konfrontiert, eine Lösung zu entwickeln, bei der der Zoom-Server nicht alle Passwörter kennt und darüber den Zugang kontrolliert. „Unsere Idee besteht darin, das Passwort nicht mehr an den Server weiterzugeben, sondern nur an die Teilnehmer:innen“, erklärt Cas. „Sie sollen untereinander eine sichere Verbindung herstellen können, ohne das Passwort jemals außerhalb der Gruppe weitergeben zu müssen.“ Dafür haben Cremers und seine Kolleg:innen ein modifiziertes Protokoll zum Austausch der Schlüssel entwickelt, das nur zwischen den Zoom-Nutzer:innen abläuft und die Zoom-Server außen vor lässt. Der Prozess läuft nur innerhalb der Software ab, ohne dass die Nutzer:innen aktiv etwas tun müssen.

„Wir verwenden dafür einen grundlegenden Baustein namens PAKE (Password based Key Exchange) und integrieren ihn in das Zoom-Protokoll. Wir verwenden PAKE, damit Gruppen die Zugangskontrolle selbst durchführen können, ohne sich auf den Zoom-Server zu verlassen“, erklärt Cremers. Da Zoom seinen Source-Code nicht öffentlich macht, musste der CISPA-Forscher sich anderweitig behelfen, um seine Anwendung zu testen: „Wir haben die Beschreibung der Software von Zoom aus ihrem Whitepaper übernommen,“ erklärt Cremers. Das ist eine vom Unternehmen selbst veröffentlichte, technische Beschreibung der Software, die jedoch keine Details enthält. „Deshalb wir können nicht hundertprozentig sicher sein, was Zoom tatsächlich verwendet. Aber aus unserer Entwicklerperspektive scheint die Lösung zu funktionieren“, so der CISPA-Faculty.

Ein klares Ziel vor Augen: Aufzeigen, was möglich ist

Kontakt zum Unternehmen Zoom gab es bisher noch nicht, wenngleich sich der Forscher offen dafür zeigt. Und theoretisch ließe sich der von Cremers zusammen mit seinen Ko-Autoren entwickelte Sicherheitsmechanismus auch auf andere Video-Konferenz-Softwares anwenden. Wobei die praktische Umsetzung nicht so stark in seinem Fokus steht. „In gewissem Sinne besteht ein Teil unserer Arbeit auch darin, der Community zu zeigen, was für Möglichkeiten es gibt“, erzählt er. „Wir beweisen, dass mehr Privatsphäre und bessere Sicherheitsgarantien nicht nur ein Hirngespinst sind, sondern dass es einen Weg gibt, wie man diese umsetzen kann.“ Man könnte auch sagen, Cremers‘ Forschung ist wie eine Art Spiegel, um der anwendungsorientierten IT-Wirtschaft mit den Mitteln der Grundlagenforschung aufzuzeigen, was möglich ist und was nicht. Aber der CISPA-Forscher hat auch noch ein anderes, eher gesellschaftspolitisches Ziel vor Augen: „Wir Menschen wollen auf eine Art und Weise kommunizieren, bei der unsere Privatsphäre gewahrt bleibt und andere daran gehindert werden, unsere Kommunikation zu belauschen. Dies müssen auch die Unternehmen berücksichtigen, die die Infrastruktur für unsere Kommunikation bereitstellen.“ Seine Forschung zielt letztlich darauf ab, dieses breite gesellschaftliche Ziel zu erreichen.

Wissenschaftliche Ansprechpartner:

Cas Cremers and Eyal Ronen and Mang Zhao
(2024) Multi-Stage Group Key Distribution and PAKEs: Securing Zoom Groups against Malicious Servers without New Security Elements.
In: IEEE Symposium on Security and Privacy, 2024.
Conference: IEEE Symposium on Security and Privacy

https://publications.cispa.saarland/4014/

https://www.cispa.de/

Media Contact

Felix Koltermann Unternehmenskommunikation
CISPA Helmholtz Center for Information Security

Alle Nachrichten aus der Kategorie: Informationstechnologie

Neuerungen und Entwicklungen auf den Gebieten der Informations- und Datenverarbeitung sowie der dafür benötigten Hardware finden Sie hier zusammengefasst.

Unter anderem erhalten Sie Informationen aus den Teilbereichen: IT-Dienstleistungen, IT-Architektur, IT-Management und Telekommunikation.

Zurück zur Startseite

Kommentare (0)

Schreiben Sie einen Kommentar

Neueste Beiträge

Ein Pilz verwandelt Zellulose direkt in neuartige Plattformchemikalie

Ein neues Verfahren zur Massenproduktion von erythro- Isozitronensäure aus Abfällen könnte die Substanz zukünftig für die Industrie interessant machen. Der Pilz Talaromyces verruculosus kann die vom Markt bisher wenig beachtete…

Neue Erkenntnisse über die Evolution des Prion-Proteins

Eine Bochumer Studie beschreibt eine Säuger-spezifische Domäne des Prion-Proteins und bietet neue Ansätze zur Erforschung neurodegenerativer Erkrankungen. Zuerst verursachen sie Gedächtnislücken und Schwierigkeiten beim Gehen, schließlich verhindern sie elementare motorische…

Rittal entwickelt Megawatt-Kühlung für KI

Neue Kühllösung nutzt Wasser für Single Phase Direct Liquid Cooling. Künstliche Intelligenz (AI) verspricht geradezu revolutionären Nutzen. Ist die IT-Infrastruktur schon bereit? Betreiber von Rechenzentren betreten mit ihren Technologie-Partnern gerade…

Partner & Förderer