Sichere und dezentralisierte Suchmaschine für Journalisten
Carmela Troncoso, Professorin am SPRING © 2020 Alain Herzog
Für einen gegen Lecks geschützten Informationsaustausch zwischen Investigativjournalistinnen und -journalisten hat ein EPFL-Labor eine dezentralisierte Suchmaschine und eine sichere Nachrichtenanwendung entwickelt, um ihre Anonymität zu wahren.
Das Internationale Konsortium der Investigativjournalistinnen und -journalisten (ICIJ), das über 200 Mitglieder in 70 Ländern zählt, hat zahlreiche Affären, insbesondere in den Bereichen Medizin- und Steuerbetrug, aufgedeckt. Die berühmteste betrifft sicherlich die Panama Papers. Dieser Skandal hat die Existenz mehrerer Hunderttausend Briefkastenfirmen offengelegt, deren Aktionäre Persönlichkeiten aus der Welt der Kunst, der Politik, der Wirtschaft, des Sports etc. waren.
Eine solche, auf Millionen von Dokumenten basierende Untersuchung konnte nur dank einer internationalen Zusammenarbeit von Journalistinnen und Journalisten durchgeführt werden. Ein Leck beim Austausch von so sensiblen Informationen hätte nicht nur das Erscheinen in den Medien, sondern auch die Sicherheit der Medienschaffenden und ihrer Quellen gefährdet.
Im Auftrag des Konsortiums hat das EPFL-Labor für Sicherheitsingenieurwesen und Privatsphäre (SPRING) vor Kurzem ein vollständig anonymes, dezentralisiertes Such- und Informationsaustauschsystem namens Datashare Network entwickelt. Dieses wurde im Rahmen des Usenix Security Symposium 2020 als weitweiter Referenz für Fachleute vorgestellt.
Anonymität im gesamten Prozess
Kern des Systems ist die Anonymität. Informationssuche und -austausch können ohne Offenlegung der Identität oder des Suchinhalts gegenüber Kolleginnen und Kollegen oder der Organisation erfolgen. Diese bürgt für den reibungslosen Betrieb des Systems, erhält aber keine Kenntnis vom Austausch. Sie gibt virtuelle Token heraus, mit denen die Journalistinnen und Journalisten ihre Nachrichten und Dokumente versehen, um gegenüber den anderen zu garantieren, dass sie dem Konsortium angehören.
Ein zentralisiertes Verarbeitungssystem wäre ein zu offensichtliches Ziel für Hacker. Da die Organisation keine dezentralisierten Server in verschiedenen Ländern besitzt, bleiben die Dokumente auf den Servern oder Computern der Mitglieder. Die Nutzerinnen und Nutzer speichern nur einige Informationen im System, mit denen die anderen den Bezug zu ihrer Untersuchung herstellen können.
Bei der Suche nach einer Information werden ein paar Schlüsselbegriffe in die Suchmaschine eingegeben. Wenn die Suche erfolgreich ist, können die Kolleginnen und Kollegen, deren Identität immer noch nicht bekannt ist und die möglicherweise interessante Dokumente haben, über ein «Bulletin»-System kontaktiert werden, über das die Nachricht an alle geschickt werden kann. Die Suchanfragen werden verschlüsselt an alle Nutzerinnen und Nutzer übermittelt. Wenn Informationen übereinstimmen, erhält der Anfrager eine Nachricht und entscheidet, ob er Kontakt aufnehmen und möglicherweise Informationen austauschen will. «Aufgrund der unterschiedlichen Zeitzonen und der Tatsache, dass bestimmte Mitglieder nur ein paar Stunden am Tag Internetzugang haben, war es wichtig, Suchanfragen und Antworten auch nicht synchronisiert verarbeiten zu können», betont Carmela Troncoso, Leiterin des SPRING an der Fakultät für Computer- und Kommunikationswissenschaften. Ein anderes, ebenfalls geschütztes und anonymes Nachrichtensystem ermöglicht dann den bilateralen Austausch.
Zwei völlig neue, geschützte Programme
«Mit diesem eindeutig praxisorientierten System konnte das SPRING interessante Herausforderungen anpacken», sagt die Informatikerin. Das Forschungsteam nutzte bekannte Elemente wie anonyme Authentifizierungs- und Kommunikationsmechanismen und optimierte sie für diese Art der Nutzung. Es hat aber auch zwei völlig neue geschützte Elemente entwickelt: eine nicht synchronisierte Suchmaschine und ein Nachrichtensystem.
Die Sicherheit der Suchmaschine wird durch ein neues, als «multi-set private set intersection» (MS-PSI) bezeichnetes Protokoll gewährleistet. Dieses erlaubt eine effiziente Suche in zahlreichen Datenbanken, ohne das Risiko eines Lecks zu erhöhen. Der Nachrichtenserver nutzt hingegen eine sehr hohe Anzahl von nur einmal verwendbaren, virtuellen Mailboxen. Diese Entwicklung basiert auf dem in der Informatik sehr gut bekannten «Pigeonhole»-System, das Optionen – in diesem Fall die Mailboxen – zufällig auswählt. Bisher ermöglicht es allerdings keinen Austausch von Dokumenten. «Im Augenblick verwenden die Journalistinnen und Journalisten andere bestehende und geschützte Nachrichtensysteme», erklärt sie.
Die Zusammenarbeit zwischen dem Labor und der Journalistenorganisation hat zu einem neuen Korpus an Bedürfnissen geführt, die in wissenschaftlichen Publikationen bisher nur selten untersucht wurden. Das Datashare Network passt sich effizient an Tausende Nutzerinnen und Nutzer sowie Millionen von Dokumenten an, wobei die gesamte Kommunikation verschlüsselt ist. «Die besonderen Auflagen dieser Entwicklung ebnen jedoch neue Wege für die Forschung und besitzen ein grosses Potenzial für andere Bereiche», meint sie abschliessend.