Cryptography FM Podcast über unsere Privatsphäre-Forschung

For einigen Wochen erhielten alle Autoren unserer Publikation eine Einladung, an einer Episode von Cryptography FM teilzunehmen, ein Podcast über aktuelle Themen im Bereich theoretische und angewandte Kryptografie. Zusammen mit zwei meiner Co-Authoren (es gab ein Limit von drei Gästen) nahmen wir letzte Woche das Gespräch auf. Die Folge wurde gestern veröffentlicht, und ist hier im Anschluss nachzuhören (englischer Inhalt).

Andere Bezugsquellen: Cryptography FM Apple podcasts Google podcasts Spotify

Hintergrund

Der Podcast handelt von Contact Discovery (frei übersetzt: Kontaktabgleich), mit dem mobile Nachrichten-Apps with WhatsApp erkennen, welche deiner Kontakte ebenfalls dort registriert sind. Dieser Mechanismus hat zwei Probleme: Der Server (z.B. WhatsApp) erfährt all deine Kontakte, was sehr viel über dich preisgeben kann. Außerdem können dritte Parteien viele Accounts erstellen, alle mögliche Telefonnummern ausprobieren, und jede Menge Nutzerdaten abgreifen.

Das erste Problem kann durch kryptografische Protokolle verhindert werden, die aber leider noch zu ineffizient für die Nutzung mit Milliarden Nutzern sind. Das zweite Problem von Enumerations-Angriffen kann durch Anfragenbegrenzung abgeschwächt werden, wobei jeder Nutzer täglich nur eine geringe Anzahl an Kontakten überprüfen kann. "Normale" Nutzer ändern ihre Kontakte nur gelegentlich, deshalb würde man strikte Beschränkungen durch die Dienste erwarten. Unsere Forschung hat aber gezeigt, dass diese Grenzen oft unerwartet hoch waren, wodurch Angreifer in kurzer Zeit Millionen von Nutzern finden können. Leider ist es auch schwierig festzulegen, was genau einen "unnormalen" Nutzer ausmacht, weil solche Dienste ganz unterschiedlich genutzt werden.

Es ist auch ungünstig, dass diese beiden Probleme gegensätzlich sind. Werden die Kontakte der Nutzer vor dem Server verborgen, so ist es schwerer, das Verhalten der Nutzer auf Unregelmäßigkeiten zu bewerten, Hiding the user's contacts from the server prevents it from making judgements about the behaviour of account regarding their contacts, beispielsweise, dass sich Kontakte häufig ändern. Wir brauchen bessere Algorithmen um beide Probleme gleichzeitig zu verringern, ohne dabei einen Aspekt auf Kosten des Anderen zu verbessern.

Der Podcast

Generell bin ich nicht allzu begeistert von Podcasts. Die unstrukturierten Unterhaltungen sind mir oft zu ausgedehnt, und ich bemerke, dass spontane Erklärungen komplexer Themen nicht akkurat sind, während wichtige Punkte nicht oder nur unzureichend vermittelt werden. Dieses Phänomen lässt sich auch in unserer Folge feststellen, und ich bin nicht ganz glücklich wie einige Details unserer Forschung dargestellt wurden. Außerdem wurden einige wichtige Punkte aufgrund von Zeitbeschränkungen nicht erwähnt.

Mir wurde allerdings gesagt, dass ich nicht übermäßig kritisch sein soll, und dass die spontane Art eines Podcasts gerade seine Attraktivität ausmacht. Insgesamt bin ich auch mit der Episode zufrieden, und die Teilnahme war definitiv interessant und angenehm. Mit etwas mehr Übung könnte ich mich sogar häufiger in einem solchen Format sehen.

Ein technisches Detail

Das Element zum Abspielen des Podcasts auf dieser Seite wurde von mir speziell für diesen Einsatz programmiert. Es basiert auf Amplitude.js, einem Audiospieler in JavaScript, der recht einfach zu bedienen und anzupassen ist. Ich bin mir noch nicht sicher, wie oft ich davon Gebrauch machen werde, aber sicherlich eine coole Ergänzung für mein Repertoire.