Verschlu sselung: ein Grundrecht freier Deutscher?

Transkript

1 Verschlu sselung: ein Grundrecht freier Deutscher? Prof. (emer) für Informatik R. Bayer, TU München, Fellow der Gesellschaft für Informatik Artikel 10(1) Grundgesetz der Bundesrepublik Dieser Artikel besagt einfach und für jeden verständlich: Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich. Derzeit können deutsche Bürger dieses Grundrecht nicht ausüben. Sie sollten auf diesem hohen Gut bestehen, politisch dafür kämpfen und sich für eine technisch sinnvolle Lösung einsetzen. Die Snowden-Affäre und die Informatik Ed Snowden hat die schlimmsten Befürchtungen vieler, die sich mit Informatik und IT-Technologie auch nur ein bisschen auskennen, zur Gewissheit gemacht: Die Staaten überwachen durch ihre Geheimdienste die Kommunikation ihrer Bürger flächendeckend und vollständig. Es gibt heute de facto keine Möglichkeit mehr außer hoffentlich dem alten handgeschriebenen Postbrief vertraulich zu kommunizieren. , Telefon, SMS und soziale Netze fallen dafür aus. Unser Grundrecht GG Artikel 10(1) wird massiv und systematisch verletzt, der Staat kann uns nicht schützen, aber er und seine Bürger müssen es wollen, so schwierig es auch ist. Die Ausspähung begann vermutlich schon in den 1980er Jahren - seitdem gibt es . Seit Mitte der 90er Jahre gibt es das öffentliche Internet und seit 9/11 wurde die Ausspähung massiv intensiviert und vor allem in den USA sogar weitgehend legalisiert. Die Informatik hat viel getan, um Möglichkeiten zu schaffen, absolut vertraulich zu kommunizieren. Ich nenne nur die öffentlichen Verschlüsselungsverfahren RSA (Rivest, Shamir, Adleman) und die Verfahren zur sicheren Verteilung von Schlüsseln (Diffie, Hellman). Sie hat dafür mit Recht höchste wissenschaftliche Auszeichnungen verliehen, darunter der Turing Award, vergleichbar mit dem Nobel Preis. Leider laufen diese Bemühungen in der heutigen politischen Lage vollständig ins Leere, ja sie sind sogar kontraproduktiv aus den folgenden Gründen:

2 Grund 1: Verschlüsselung ist nicht praktikabel Die von der Informatik Forschung bereitgestellten Verfahren zur Verschlüsselung sind von höchster Qualität, ihre Umsetzung in der Praxis ist aber unbrauchbar. Um z.b. mit dem Thunderbird verschlüsseln zu können, braucht man 38 Einzelschritte am Computer wenn man dabei keine Fehler macht und mindestens eine Stunde. Für Outlook und Apple Mail ist es etwas einfacher. Für die meisten heutigen Nutzer außer Informatikern ist das weder zumutbar noch möglich. Die Politiker und Journalisten, die herumschwafeln und den Bürgern empfehlen, Ihre s doch einfach zu verschlüsseln, wissen nicht, wovon sie reden. Außerdem ist vieles wie Telefonate und SMS gar nicht verschlüsselbar. Grund 2: Wer verschlüsselt, ist verdächtig Es ist sehr leicht zu erkennen, dass eine verschlüsselt ist, damit ist der Absender, z.b. Anne sofort besonders verdächtig. Eine Richtlinie der NSA besagt angeblich: In the context of a cryptanalytic effort, maintenance of technical data bases requires retention of all communications that are enciphered or reasonably believed to contain secret meaning, and sufficient duration may consist of any period of time during which encrypted material is subject to, or of use in, cryptanalysis. Auch der Empfänger Bob einer von Anne verschickten wird vermutlich verdächtig und schlimmer noch, auch alle anderen Empfänger X, Y, Z von unverschlüsselten s mit Absender Anne und sogar Absender Bob werden automatisch verdächtig und geraten ins Visier der Geheimdienste ohne etwas zu tun oder zu bemerken. Sie tun also niemandem einen Gefallen, wenn Sie Ihre s verschlüsseln, sondern Sie schaden vielleicht vielen Menschen X, Y, Z, die Sie nicht einmal kennen. Es ist z.b. durchaus wahrscheinlich, dass Y ohne den geringsten für ihn erkennbaren Grund länger, als ihm lieb ist, festgehalten und überprüft wird, wenn er in die USA einreist. Grund 3: Die Verschlüsselungsbranche Wenn man s verschlüsseln will, braucht man ein sog. Zertifikat, das ist wie ein elektronischer Personalausweis, in Kombination mit einem geheimen und einem öffentlichen Schlüssel. Ein solches Zertifikat bekommt man von einer certification authority (CA). Das sind öffentlich bekannte Internetseiten von renommierten Institutionen oder Privatfirmen, die auf höchste Sicherheit, Zuverlässigkeit, Integrität usw. geprüft sind. Diese CAs kontrolieren, überwachen und zertifizieren sich sogar gegenseitig, um einen möglichst hohen Standard sicherzustellen. Wie weit diese CAs von den Geheimdiensten überwacht werden oder sogar mit ihnen kooperieren, ist unbekannt und wird derzeit in den Medien nicht diskutiert. Diese Frage ist sicher nicht einfach zu recherchieren, der Kreis dieser Mitarbeiter ist wesentlich kleiner als der der NSA, aus dem Snowden stammt.

3 Ein Zertifikat wird benötigt, um eine zu signieren (elektronische Unterschrift) und zu verschlüsseln. Die Rolle und Funktionsweise eines Zertifikats wird genauer in mehreren Aufsätzen Verschlüsselung... auf erklärt. Leider sind diese CAs meiner Meinung nach eine der Hauptquellen für Verdächtigungen, denn sie kommunizieren mit ihren Kunden völlig ungeschützt per . Hier ist z.b. die , die ich vor einigen Tagen von der CA Comodo erhalten habe, diese ist nicht einmal von Comodo signiert. Sie kann nicht verschlüsselt sein, da der Kunde ja zu diesem Zeitpunkt s noch nicht verschlüsseln kann. Vorher hatte ich ein Zertifikat von der Firma StartSSL beschafft. Danach stellte sich heraus, dass es eine israelische Firma ist, die außerdem besonders lange brauchte, um mir mein Zertifikat zu schicken. Ich sehe keine realistische Möglichkeit nachzuprüfen, daß startssl NICHT mit dem Mossad kooperiert oder von ihm infiltriert ist. Die von den CA an ihre Kunden und Zertifikatnehmer verschickten s sind die einfachste, schnellste und umfassendste Methode, um verdächtige Personen per Definition nämlich solche, die verschlüsseln möchten ab initio, noch bevor sie etwas verschlüsseln konnten, zu erkennen und somit sogar deren Kommunikationspartner zu verdächtigen. Diese s werden selbstverständlich

4 von den Geheimdiensten ausgespäht, das ist sogar besonders einfach, weil ihre Absender, nämlich die CAs (weniger als 100) ja öffentlich mit ihren -Adressen bekannt sind. Diese s an ihre Kunden sind mit Sicherheit nicht verschlüsselt, der Empfänger könnte sie ja sonst nicht lesen! Und natürlich ist der Empfänger, der in dieser steht, klar ersichtlich (siehe meine Adresse in der Ellipse in obigem Bild) und sofort verdächtig, und für seine Kommunikationspartner gilt vielleicht schon ein Anfangsverdacht. Dass dies ein Dilemma (Catch-22) ist, haben auch einige Journalisten wie Andy Greenberg, vom Forbes Staff erkannt, er schreibt: In other words, privacy advocates may be facing a nasty Catch-22: Fail to encrypt your communications, and they re vulnerable to any eavesdropper s surveillance. But encrypt them, and they become legally subject to eavesdropping by the most powerful surveillance agency in the world. Das erste Fazit ist also: Wer verschlüsseln möchte, erweist sich, seinen Freunden und Partnern momentan einen Bärendienst. Ein Ausweg aus dem Dilemma Das Dilemma scheint zunächst ausweglos, aber vielleicht gibt es doch eine Lösung durch mehrere Maßnahmen, die ich hier skizziere. Eine zentrale Rolle spielen dabei die Gesellschaft für Informatik, die anderen wissenschaftlichen Fachgesellschaften und die Hochschulen, die eine Vorreiterrolle übernehmen sollten. -Verschlüsselung wäre dann kein Stigma mehr, das automatisch zu einem Anfangsverdacht bei den Geheimdiensten führt. Dazu muss man Folgendes verstehen: Um eine zu signieren, braucht der Absender sein eigenes Zertifikat. Das ist der einfachere Vorgang. Um eine zu verschlüsseln, braucht der Absender zusätzlich eine Kopie des Zertifikats des Empfängers. Der vorgeschlagene Prozess läuft dann so ab: 1. Die Mitglieder der Gesellschaft für Informatik (GI) installieren die Verschlüsselung ihrer E- Mails. Sie haben das erforderliche Know-how und können es anhand präziser Anleitungen, siehe mit einem einmaligen Arbeitsaufwand von ca. 30 Minuten tun. 2. Sie verteilen ihre Zertifikate durch den viralen Effekt, dass sie ihre s grundsätzlich signieren. Bei Erhalt einer von Anne signierten wird ihr Zertifikat beim Empfänger Bob automatisch gespeichert. Bob kann ab sofort verschlüsselte s an Anne schicken. 3. s an Empfänger, deren Zertifikate man hat, werden ab sofort automatisch signiert und verschlüsselt. 4. Ein Aufruf des Präsidenten der GI an ihre Mitglieder würde diesen Prozess beschleunigen.

5 5. Ein Aufruf der GI an andere Fachgesellschaften (Physik, Elektrotechnik, Maschinenbau, BITCOM), dem Beispiel der GI zu folgen, würde den Prozess der allgemeinen Verschlüsselung nochmals beschleunigen. 6. Die deutschen Fakultätentage folgen der Initiative der GI. 7. Die deutschen Universitäten und Hochschulen schließen sich an. 8. Mitarbeiter des öffentlichen Dienstes, insbesondere von Bundesregierung, Staatskanzleien und Ministerien sollten verpflichtet werden, ihre s zu verschlüsseln. 9. Firmen sollten aus eigenem Interesse verschlüsseln, um Industriespionage zu erschweren. 10. Durch diese Maßnahmen würde der Kreis der Verdächtigen so groß, dass Verschlüsselung von s kein sinnvolles Kriterium für Verdächtigung mehr ist. 11. Derzeit erfordert die Einrichtung von -Verschlüsselung 38 (achtunddreißig) Einzelschritte und etwa 1 Stunde Zeit für jemanden mit guter Internetkompetenz und einer präzisen Anleitung. Für die Masse der -Nutzer ist das unzumutbar oder aufgrund fehlender Kenntnisse sogar unmöglich. Die IT-Industrie muss die Verschlüsselung (die Informatik hat ja perfekte Lösungen seit vielen Jahren erarbeitet) so einfach umsetzen Ausfüllen einer einzigen Eingabe Maske dass sie auch für fachfremde Privatpersonen durchführbar wird. Die Einrichtung der Verschlüsselung für muss so einfach werden wie das Download und die Installation einer App auf einem Smartphone. 12. Sobald die Mehrheit der -Nutzer verschlüsselt, sind plötzlich fast alle verdächtig, und damit ist dieses Selektionskriterium wertlos geworden. Somit müssen die Geheimdienste ihre Strategie der Generalverdächtigung von Bürgern, die nur ihre Grundrechte wahren und ihre Privatsphäre schützen wollen, überdenken und objektivere Kriterien finden. Fazit Derzeit können wir unser Grundrecht nach GG Art.10(1) praktisch nicht wahrnehmen. Es zurück zu gewinnen erfordert den politischen Willen und die Initiative vieler Bürger, selbst wenn es die Arbeit der Geheimdienste erschwert. Der eben vorgeschlagene Prozess ist ein Beitrag dazu, mit dem wir sofort beginnen können.