Chaosradio 284

Item

Title
Chaosradio 284
Subject
Dicke Bretter, diesmal über Ende-zu-Ende-Verschlüsselung und das Protokoll Messaging Layer Security
Date Issued
31 October 2023
Description
Wie entsteht ein technischer Standard, der Ende-zu-Ende-Verschlüsselung für Millionen Smartphones ermöglicht?
content
In dieser Episode haben wir Raphael Robert zu Gast, der in der sicheren Messaging-Branche tätig ist. Wir sprechen über die Standardisierung von Technologien und den Weg zur Entwicklung eines solchen Standards. Besonders interessiert uns der Standard, der die Ende-zu-Ende-Verschlüsselung der Messaging-App Wire betrifft.

Zu Beginn gab es kein etabliertes Protokoll oder einen Standard für die Ende-zu-Ende-Verschlüsselung in Wire. Ab 2016 begannen jedoch einige Leute, über dieses Thema zu diskutieren und nach Lösungen zu suchen. Es gab verschiedene Protokolle wie das Signalprotokoll und das Off-the-Record-Protokoll, aber keines davon war ideal für asynchrones Messaging geeignet. Das Signalprotokoll löste dieses Problem und wurde populär.

Als Mitarbeiter von Wire war ich persönlich in diesen Prozess involviert und suchte nach Möglichkeiten zur Verbesserung. In der Forschung wurde das Konzept ART vorgestellt, das eine effiziente Ende-zu-Ende-Verschlüsselung in größeren Gruppen ermöglichte. Da das Signalprotokoll nicht vollständig spezifiziert und unter einer permissiven Lizenz verfügbar war, wurde beschlossen, diesen Standard in der IETF zu standardisieren.

Die IETF ist eine offene Standardisierungsorganisation, die sich auf die Entwicklung von Standards für das Internet konzentriert. Im Gegensatz zu anderen Organisationen ermöglicht die IETF individuelle Teilnahme und Engagement, ohne dass man einem Unternehmen angehören muss. Die meisten Teilnehmer sind freiwillig und investieren viel Zeit und Überzeugung in ihre Mitarbeit. Es gibt auch Möglichkeiten für Studierende, daran teilzunehmen, ohne eine Unternehmensaffiliation zu haben.

Die IETF-Konferenzen finden dreimal im Jahr statt und ermöglichen persönliche oder Online-Teilnahme. Die Struktur umfasst verschiedene Abteilungen, sogenannte Areas, die von Bereichsleitern und Arbeitsgruppen, die von Chairs geleitet werden, verwaltet werden. Die Konferenzen sind für Menschen aus verschiedenen Kontinenten zugänglich, unabhängig von Reise- oder Visa-Problemen.

Wenn genügend Interessierte zusammenkommen und ein Thema klar benennen und umreißen, kann eine Arbeitsgruppe gegründet werden. Diese Arbeitsgruppe legt fest, welche Arbeitsdokumente entwickelt werden sollen. Die eigentliche Arbeit findet meistens bei persönlichen Treffen statt, während bei den großen Konferenzen eher gezeigt wird, was bisher erreicht wurde. Alles basiert auf Konsens und alle Diskussionen und Entscheidungsprozesse sind öffentlich und transparent.

Die Entwürfe durchlaufen einen Reifeprozess, bevor sie zur Standardisierung vorgeschlagen werden. Schließlich wird ein Request for Comments (RFC) erstellt, der den endgültigen Standard festlegt. RFCs haben oft eine lange geschichtliche Bedeutung und einige sind auch heute noch relevant.

In dieser Episode erfahren wir auch, dass der RFC-Prozess gewisse Kompetenzen erfordert und dass nicht jeder daran teilnehmen kann. Es wird auch diskutiert, wie RFCs in verschiedenen Gremien verwendet werden und warum der Name RFC beibehalten wurde.

Abschließend betonen wir, dass RFCs eine große Tragweite haben und dass wir uns freuen, von Raphael weitere Einblicke in den Standardisierungsprozess und die Arbeit in der IETF zu erhalten. Wir bedanken uns bei Raphael für seine Teilnahme und verabschieden uns von unseren Hörern. Wir freuen uns darauf, sie beim nächsten Mal wiederzusehen.

00:00:23 Vorstellung des Podcasts "Dicke Bretter" und des Gasts
00:03:12 Schwerpunkte des Unternehmens im Bereich Messaging
00:05:56 Entstehung der Diskussion über Standards im Messaging-Bereich
00:08:50 Defizite bei Off-the-Record und Signal-Protokoll
00:11:40 Entstehung des Standards bei der IETF
00:16:04 Offene Teilnahme und Zugangshürden bei Konferenzen
00:19:20 Entstehungsprozess von Arbeitsgruppen und die Rolle der Charter
00:23:10 Unterschied zwischen Arbeit in kleinem Kreis und öffentlichen Terminen
00:30:20 Die Entwicklung von RFCs und die Notwendigkeit von Kommentaren.
00:33:01 Die Herausforderungen des Trade-Offs zwischen Sicherheit und Effizienz.
00:37:38 Running Code als Beweis der Funktionalität
00:41:00 Interoperabilitätstests für MLS-Protokoll
00:44:03 Funktionale Anforderungen und Threat Modelling in MLS
00:47:38 Politische Interessenträger und Debatten um Ende-zu-Ende-Verschlüsselung
00:50:46 Aktive Debatte in Großbritannien und Positionierung von Unternehmen
00:53:58 Debatten über Gesetzgebungen zur Informationsüberwachung
00:57:02 Demografische Berichte und die Zusammensetzung der ITF
00:59:56 Gemeinschaftlicher Prozess von Spezifikation und Codeerstellung
Extent
1:07:06
Identifier
ark:/45490/buYMnt
Beteiligte Person
Chaos Computer Club