Auf vice.com wurde ein Bericht veröffentlicht in dem es heißt, dass die kanadische Bundespolizei seit 2010 einen globalen Schlüssel für die Entschlüsselung von Pin zu Pin Nachrichten des BlackBerry Messengers (BBM) hat und einen eigenen virtuellen Server zur Entschlüsselung einsetzt.
Quellen seien nun veröffentlichte Gerichtsakten aus dem Jahr 2011 über einen Prozess gegen Gangs. Demnach haben BlackBerry und der Mobilfunkanbieter bei der Aufklärung aktiv geholfen. So wurden 1 Millionen Pin-to-Pin-Nachrichten entschlüsselt.
Aber: Es wird von vice.com zu hochgegriffen.
Warum?
Es wird suggeriert, dass es einen globalen Schlüssel für alle Dienste geben würde. Auch für Geräte, die durch BES verwaltet und zum Beispiel von Regierungen genutzt werden. Dem ist aber nicht so.
Der Reihe nach:
Die Jahre 2010 – 2011
Es gab in den Jahren für den BBM “nur” eine TLS Transport Verschlüsselung in Kombination mit einer Inhaltsverschlüsselung per 3-fachem DES 168-Bit Scrambling. BBM Protected mit dem PGP ähnlichen Verschlüsselungssystem war noch nicht erhältlich. Alle Nachrichten nutzten denselben Schlüssel, daher ist ein globaler Schlüssel bzw eine leichte Entschlüsselung gegeben.
BlackBerry Enterprise Service
BES setzt nicht nur eine Transportverschlüsselung ein. Es wird Ende-zu-Ende (E2E) verschlüsselt. Kunden können auch eigene Proxy und VPN Verbindungen einsetzen. Damit müsste auf den jeweiligen Punkten entschlüsselt und in einem zweiten Datenstrom an Dritte versendet werden.
Eine E2E Verschlüsselung ist mathematisch nachweisbar, genauso wie ein zweiter Datenstrom.
BES hat mehrere Zertifizierungen verschiedener Regierungen und internationaler Regierungsvereinigungen erhalten. Es wäre schon verwunderlich, wenn keine dieser Zertifizierungen eine Aufweichung der Verschlüsselung aufzeigen würden.
BlackBerry’s Haltung
In letzter Zeit machte BlackBerry CEO John Chen klar, dass man mit Strafverfolgungsbehörden bei richterlichen Beschlüssen helfen würde. BES Kunden würden dabei um Mithilfe gebeten. Verweigern diese einen Zugriff, könnte das Unternehmen keine Daten auswerten.
Was aber komisch anmutet:
BlackBerry ging zwei Jahre lang vor Gericht gegen eine Veröffentlichung dieser Information vor. Ein globaler Schlüssel öffnet Tür und Tor. Eine Überwachung ohne Kenntnis des Nutzers ist somit kein Problem.