Project Vault Google will Passwörter überflüssig machen

Ein neues System von Google soll Daten und Kommunikation so gut verschlüsseln, dass nicht einmal der Computer, den man benutzt, etwas davon mitbekommt. Der Arbeitstitel: Project Vault, Projekt Tresor.

Mini-Computer in Form einer Speicherkarte: Das Betriebssystem wird getäuscht
SPIEGEL ONLINE

Mini-Computer in Form einer Speicherkarte: Das Betriebssystem wird getäuscht

Von , San Francisco


Googles Kryptografie-Experten glauben einen Weg gefunden zu haben, uns vor uns selbst zu schützen. Das Problem kennt jeder: Passwörter. Entweder sind sie gut, aber man kann sie sich nicht merken oder sie sind schlecht, weil man zu faul ist, sich mit guten abzuplagen. Auf der Entwicklerkonferenz Google I/O in San Francisco hat Googles Advanced Technology and Projects Group, kurz ATAP, eine Möglichkeit vorgestellt, dieses Dilemma zu überwinden: Project Vault, ein winziges Gerät, das Daten und Kommunikation stark und sicher verschlüsseln können, und dabei quasi unangreifbar gegen Schnüffler geschützt sein soll.

Einer der Tricks, mit denen Googles Forscher ihr System sicher machen wollen: Statt den Anwender zur Identifikation nach einem Passwort zu fragen, analysieren sie sein Verhalten. In einem Beispiel wurde gezeigt, wie zwei Forscher an einem per Vault geschützten Smartphone abwechselnd denselben Satz eintippten. Anhand der typischen Bewegungsmuster beim Tippen konnte das System entscheiden, wer von beiden der rechtmäßige Nutzer des Handys war.

Auf ähnliche Weise könnte Vault auch andere Sensoren benutzen, etwa die Kamera und das Mikrofon, um den Anwender zu erkennen. Durch die Kombination mehrerer Sensoren wäre die Sicherheit "gegenüber den besten Fingerabdrucksensoren" zehnmal höher, sagte ATAP-Chefin Regina Dugan in San Francisco.

Ein Ex-Hacker als Entwicklungschef

Entwickelt wurde Project Vault von einer Gruppe von Profi-Hackern, die für Google arbeiten. Deren Chef, Peiter Zatko, machte schon in den Neunzigern als Mitglied der Hackergruppe the L0pht von sich reden, arbeitete später für die US-Militärforschungsbehörde Darpa und ist seit 2013 Google-Mitarbeiter.

In San Francisco lästerte Zatko: "In Smartphones und Computern stecken bereits Sicherheitsmodule: In Handys schützen Sim-Karten die Daten, die den Providern wichtig sind, in Computern schützen TPM-Module (Trusted Platform Modules) die Daten, die Inhalteanbietern wichtig sind." Nur um die Sicherheit der Daten der Anwender kümmere sich niemand. Das wolle Google nun ändern.

Ein PC im Format einer Speicherkarte

Im Grunde ist Project Vault ein kompletter Mini-Computer im Format einer winzigen Speicherkarte. Das spezielle Echtzeitbetriebssystem des Rechners soll in der Lage sein, Sprache, Daten und Video verzögerungsfrei zu verschlüsseln.

Fotostrecke

26  Bilder
Entwicklerkonferenz: Ein Rundgang über die Google I/O 2015

Auf der Google I/O zeigte Zatko als Beispiel einen per Vault verschlüsselten Chat zwischen zwei Smartphones. Die eingegebenen Buchstaben wurden dabei sofort von dem Sicherheitschip verschlüsselt, sodass beispielsweise eine aufs Telefon eingeschleuste Schadsoftware keine Chance hätte, die Daten mitzulesen. Zum Beweis ließ Zatko einen Computer den Datenstrom mithören. Auf dem Bildschirm waren nur wirre Zahlen- und Ziffernkolonnen zu sehen.

Zusätzlich zu dieser Möglichkeit, Kommunikation in Echtzeit vor Lauschern zu schützen, verfügt Project Vault über vier Gigabyte Speicherplatz für eigene Daten. Für Foto- oder Musiksammlungen ist das natürlich viel zu wenig. Für einige sensible Dokumente aber sollte das vollkommen ausreichen.

Das Betriebssystem wird getäuscht

Gegenüber dem Computer oder dem Handy, in den oder das man so eine microSD-Karte einsteckt, täuscht das System vor, eine simple Speicherkarte zu sein, auf der nur zwei Dateien gespeichert sind. Der Rest des Speicherplatzes wird als defekt markiert, damit beispielsweise ein Handy nicht versucht, auf der Karte Fotos abzulegen.

Fotostrecke

9  Bilder
Vor Ort in San Francisco: So sieht es bei der Google I/O aus

Die beiden scheinbar leeren Dateien haben eine wichtige Funktion: Sie dienen als Ein- und Ausgabekanal, über die externe Apps mit dem Verschlüsselungssystem kommunizieren. So kann beispielsweise eine Chat- oder Videokonferenz-App zwar ihre Daten verschlüsselt übertragen, hat aber keinerlei Zugriff auf das System selbst. Dasselbe gilt auch für Schadsoftware, die wegen dieses Tricks keine Möglichkeit hat, sich in die Verschlüsselung einzuklinken.

Nebenbei ist die Verschlüsselungstechnik auf diese Weise unabhängig vom Betriebssystem, funktioniert also mit Windows-PC ebenso gut wie mit Android-Handys, Macs oder Linux-Rechnern.

Erst mal ausprobieren

Einen Haken hat das ehrgeizige Projekt dennoch: Ein fertiges Produkt ist es noch nicht. Was er auf Googles Entwicklerkonferenz gezeigt habe, seien die ersten fertigen Exemplare von Project Vault, sagte Zatko. Das Projekt befinde sich noch in einer "experimentellen Phase". Erst einmal sollen 500 Exemplare intern bei Google getestet werden.

Danach wolle man Project Vault zunächst Großunternehmen, erst später auch Privatpersonen anbieten. Die Einführung im Großkundenbereich begründet Zatko so: Wenn es bei den großen Firmen funktioniert, würden Normalanwender damit erst recht keine Probleme haben. Außer sie haben ein iPhone. Apples Smartphones haben grundsätzlich keinen Steckplatz für Speicherkarten, können also auch nicht per Vault geschützt werden.

Forum - Diskutieren Sie über diesen Artikel
insgesamt 50 Beiträge
Alle Kommentare öffnen
Seite 1
Untertan 2.0 01.06.2015
1. Hmmm
Ich sehe hier eineige praktische wie auch theoretische Probleme. Das Nutzerverhalten kann sich im Lauf der Zeit nämlich durchaus ändern (wenn man sicherer im tippen wird, eine Hand verletzt hat usw.). Dann stellt sich bei Google natürlich noch die Frage, wie fleißig der Tresor nach Hause telefoniert...
Leser161 01.06.2015
2. Interessante Idee
Interessante Idee, aber als Backup sollte es ein Passwort oder ein Dongle geben. Sonst gibt es ggf. interessante Szenarien wie bei The Net mit Frau Bullock. Sprich "Ja sie sehen aus wie Sie, aber der Computer sagt Sie sind es nicht. Sorry da kann ich nichts machen."
bruno47 01.06.2015
3. Es geht um Vertrauen!
Selbstverständlich kann durch Technik die Datenübertragung im Internet sicherer gemacht werden. Ich bin nur felsenfest davon überzeugt, dass in allen technischen Sicherungen wieder Hintertüren für Geheimdienste hineinkonzipiert sind. Und damit wird hier wieder nur Pseudosicherheit verkauft. "Du sollst nicht datenstehlen" lautet das Gebot. "Und wenn ich es trotzdem mache?". Solange unsere Staaten auf diese Frage keine glaubwürdige Antwort geben, solange sie obendrein selbst als Diebe auftreten, ist alles andere Augenwischerei.
fritze28 01.06.2015
4. ein witz oder?
ein ehemaliger hacker, der vermutlich nach einer Anklage die seiten gewechselt hat und dann zu den US Sicherheitsbehörden gewechselt ist, hat nun ein UNKNACKBARES System entwickelt? kann ich nicht glauben, das würden die US Geheimdienste nicht zulassen geschweige denn die deutschen Geheimdienste, die schon immer geistig wie auch finanziell hinter dem Straftätern hängen! da wird das Patent vom US Geheimdienst aufgekauft, damit es nicht auf den Markt kommt!
schmuggi 01.06.2015
5. Dürfen die das denn?
Sollte es Google gelingen ein unschlagbares Verschlüsselungssystem zu entwickeln, gibt es da immernoch die usamerikanische Regierung, welche das nicht tollerieren wird. NSA könnte einpacken. Geldströme nicht mehr kontrolliert werden. Ergo gibt es soetwas nicht oder es muß noch mit Hintertüren ausgestattet werden ehe es in Umlauf kommt :)
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.