Der Ende-zu-Ende verschlüsselnde Messenger-Dienst Signal wird seit geraumer Zeit in Ländern wie Ägypten, dem Oman, den Vereinigten Arabischen Emiraten und in Katar von lokalen Zensurbehörden blockiert. Da diese in die verschlüsselten Nachrichten der Nutzer nicht hineinschauen können, blockieren sie kurzerhand den kompletten Traffic der Android- und iOS-App.

Die Signal-Macher um Kryptografen Moxie Marlinspike hatten das bisher mit einer Technik namens Domain Fronting über die Server von Googles App Engine umgangen. Google hat Signal diesen Einsatz seiner Technik nun verboten und die Entwickler wollten auf Amazons AWS umsteigen. Amazon droht allerdings damit, ihnen ebenfalls die Nutzung der eigenen Server zu verwehren.

So funktioniert Domain Fronting

Beim Domain Fronting baut der Client, in diesem Fall die Signal-App, eine TLS-verschlüsselte Verbindung zu einem Server unter einer großen Domain wie etwa google.com auf. Anstatt dann allerdings etwa die Google-Suche aufzurufen, wird der Traffic auf eine andere Subdomain umgeleitet – etwa eine App-Engine-Domain von Signal, die ebenfalls unter google.com zu Hause ist.

Für den Service-Provider des Nutzers, und damit die Zensoren des Landes, ist nur sichtbar, dass eine TLS-Verbindung zu google.com stattgefunden hat, nicht aber, wohin der Traffic wirklich ging. Da die meisten Länder nicht pauschal alle Dienste, die unter der Domain google.com zu erreichen sind blocken wollen, lässt sich auf diesem Wege die Zensur umgehen.

Das Ganze ist ein Trick, der sich den Aufbau von Cloud-Infrastrukturen zu nutze macht. Das gibt auch Moxie Marlinspike bei Signal offen zu. Der Hack funktioniert deswegen, weil Google und Amazon den Teil ihrer Server-Infrastruktur, der TLS-Verbindungen terminiert, von dem Teil, der die ankommenden Verbindungen verarbeitet, getrennt haben. Beide Firmen wollen dies nun ändern, da sie offensichtlich nicht zum politischen Spielball in der Zensur-Diskussion werden wollen.

Sieg für die Zensoren

Google teilte den Signal-Entwicklern mit, dass man Domain Fronting in Zukunft technisch verhindern will. Auch Amazon will gegen die Praxis auf technischem Wege vorgehen, hat die Messenger-Macher nun aber zusätzlich deutlich gewarnt, dass Domain Fronting gegen die Nutzungsbedingungen von AWS verstoße. Die E-Mail an die Signal-Entwickler bei Whisper Systems war eine Reaktion darauf, dass öffentlich gemacht wurde, dass man von App Engine auf AWS wechseln wolle. Marlinspike und Konsorten hatten geplant die zu Amazon gehörige Domain souq.com für Domain Fronting zu benutzen. Souq ist der größte Online-Marktplatz des arabischen Kulturraumes und gehört seit 2017 zu Amazon.

Für Moxie Marlinspike ist das Vorgehen der beiden Cloud-Konzerne ein klarer Sieg der Zensoren in den entsprechenden Ländern, der zu Lasten der Nutzer gehe. Die Verantwortlichen in den entsprechenden Behörden hätten "nur abwarten müssen", um ihre Ziele zu erreichen. Man arbeite bei Whisper Systems an neuen Methoden, um solch staatliche Zensur weiterhin zu umgehen, könne aber bisher nicht sagen, wie genau so etwas aussehen werde. Laut Marlinspike werde diese Arbeit enorm erschwert, wenn Cloud-Provider fortwährend auf Netzwerk-Ebene offenlegen wollen, welchen Endpunkt verschlüsselter Traffic in ihrer Infrastruktur hat. (fab)