Die Mission der 24-jährigen Yan Zhu: Internetnutzer vor Überwachung schützen. Bei Yahoo und der Electronic Frontier Foundation macht sie Verschlüsselung massentauglich.
Als Yan Zhu 16 Jahre alt war, ging sie zur High School in St. Louis, Missouri. Dort langweilte sie sich so sehr, dass sie beschloss, sich direkt fürs College zu bewerben. Nicht für irgendeines, sondern für das berühmte MIT, das Massachusetts Institute of Technology. Sie wurde angenommen, und seither ist es mit der Langeweile vorbei.
Yan Zhu, geboren in Peking und mit fünf Jahren in die USA umgezogen, ist jetzt 24 Jahre alt und hat eine Mission: „Ich helfe Menschen, sicher, privat und anonym das Internet zu nutzen“. Sie tut das, indem sie eine E-Mail-Verschlüsselung für Yahoo-Nutzer entwickelt, mit der Initiative Let’s Encrypt und der Browsererweiterung HTTPS Everywhere sichere Internetverbindungen fördert, den elektronischen Briefkasten SecureDrop für Whistleblower verbessert und in einer von Tim Berners-Lee geleiteten Arbeitsgruppe des World Wide Web Consortiums (W3C) an der Web-Architektur der Zukunft arbeitet. Je weniger Daten unverschlüsselt, also als clear text über das Internet gesendet werden, desto zufriedener ist sie.
Es ist eine erstaunliche Karriere für eine Mittzwanzigerin, die nach eigenen Angaben „erst mit 17 oder 18 angefangen hat, Computer wirklich zu benutzen“. Gleichzeitig könnte man Yan Zhu als Traditionalistin bezeichnen: Sie arbeitet mit Verschlüsselungsmethoden, die zum Teil älter sind als sie selbst und von fantasievollen Hackern zwar nicht grundsätzlich gebrochen, aber immer wieder umgangen oder ausgetrickst werden. Denn bessere gibt es noch nicht, jedenfalls nicht für den Masseneinsatz.
- Verschlüsselung heute
-
Yan Zhu | © Fabian Mohr / ZEIT ONLINE
Die Snowden-Enthüllungen haben der Welt vor Augen geführt, welches Ausmaß die Überwachung des Internets angenommen hat, welch einen Aufwand die NSA betreibt, um Datenpakete rund um den Globus abzufangen und auszuwerten. Doch nicht nur Geheimdienste nutzen die Schwachstellen der Technik und die Sorglosigkeit der Nutzer aus. Andere staatliche Stellen benutzen Überwachungstechnik zur Zensur des Netzes. Kriminelle versuchen, an Zugangsdaten oder andere verwertbare Informationen zu gelangen. Und nicht wenige Unternehmen nutzen die vielfältigen Analyseverfahren, um das Verhalten und die Interessen von Internetnutzern zu beobachten.
Eine Möglichkeit, vieles davon zu verhindern oder zumindest erheblich zu erschweren, ist die Verschlüsselung von Nachrichten und Datenübertragungen. Dafür gibt es etablierte Protokolle und Programme wie PGP und SSL/TLS.
Yan Zhu hat es sich zur Aufgabe gemacht, diese lange bekannte Technik möglichst weit zu verbreiten. Als Entwicklerin bei Yahoo und bei der Bürgerrechtsbewegung Electronic Frontier Foundation (EFF) betreut sie deshalb Projekte wie Yahoo End-to-End, Let’s Encrypt und HTTPS Everywhere.
Zum Artikel „Verschlüsselung: Kampf dem Klartext“
- … und morgen
-
Tanja Lange | © Claudia Bracholdt / ZEIT ONLINE
Heutige Verschlüsselungsverfahren wie PGP und SSL/TLS basieren auf jahrzehntealten Methoden und Algorithmen. Sie sind nicht perfekt, hinreichend gut ausgestatte und motivierte Angreifer können sie überwinden. Aber insbesondere die mühelose, passive Massenüberwachung im Internet durch Geheimdienste können sie weitgehend unmöglich machen. Jedenfalls solange, bis es Computer gibt, die heutige kryptografische Verfahren brechen.
Quantencomputer werden das schaffen. Die Fachwelt rechnet damit, dass es in zehn bis 15 Jahren praxistaugliche Quantencomputer geben wird. Unternehmen wie IBM und Google arbeiten daran, aber auch die NSA versucht, einen solchen Computer zu entwickeln. Er ist ausdrücklich dafür gedacht, verschlüsselte Daten zu entschlüsseln.
Tanja Lange sucht deshalb Algorithmen, die künftig zur Verschlüsselung eingesetzt werden können und die auch einem Quantencomputer standhalten würden. Die deutsche Mathematikerin an der Technischen Universität Eindhoven leitet dazu das von der EU-Kommission geförderte Projekt PQCRYPTO, das steht für Post-Quantum-Cryptography.
Zum Artikel „Kryptografie: Verschlüsseln für den Tag X“
Eine dieser Techniken ist die Transportverschlüsselung mit SSL beziehungsweise dessen Nachfolger TLS. Mithilfe dieser Protokolle werden vor allem Internetverbindungen gesichert, bei denen sensible Daten wie Passwörter übertragen werden, also zum Beispiel beim Onlinebanking oder auf Shoppingseiten, aber auch bei der Anmeldung in sozialen Netzwerken. Nutzer erkennen eine SSL/TLS-Verbindung am „https“ in der Adresszeile ihres Browsers oder am Schloss-Symbol.
Der Vorteil dieser Technik: Sie verbirgt, welche Daten ein Nutzer überträgt, und zwar vor dem eigenen Internetprovider, vor Schnüfflern im selben WLAN zum Beispiel im Café, und auch vor Geheimdiensten wie der NSA und deren britischem Gegenstück GCHQ, die transatlantische Glasfaserkabel anzapfen und massenweise Daten kopieren und speichern.
Der Nachteil: Für Websitebetreiber ist es nicht ganz einfach, die Technik richtig zu implementieren. Zudem kostet es Geld, weil man dafür Zertifikate braucht, die den Nutzern zeigen, dass sie wirklich auf die gewünschte Website zugreifen und die von spezialisierten Unternehmen gegen Gebühr ausgestellt werden.
An dieser Stelle setzt Yan Zhu an. Mit der Initiative Let’s Encrypt, für die sie als Entwicklerin arbeitet, will sie die Implementierung von TLS stark vereinfachen: „Let’s Encrypt ist eine neue Zertifikatsstelle, die kostenlose Zertifikate ausgeben wird an alle, die ihre Websites mit SSL verschlüsseln wollen“, sagt sie. Diese Woche will Let’s Encrypt die ersten Zertifikate ausstellen.