Schutz vor Überwachung durch Verschlüsselung mit Freier Software

Unter dem Motto „Deine Daten bei Geheimdiensten“ veranstaltet die Humanistische Union (HU) im Rahmen der Kampagne „ausgeschnüffelt“ eine Blogparade. Hier ist mein Beitrag.

Eine charakteristische Eigenschaft digitaler Kommunikation ist ihre vermeintliche Stofflosigkeit. Diese Stofflosigkeit ist es, die auch ein prinzipiell unbegrenztes Speichern und Archivieren aller elektronischen Kommunikation ermöglicht. Das, und die Möglichkeit diese Daten massenhaft und maschinell auszuwerten und zu analysieren, verleitet Geheimdienste rund um den Globus zum abhören und speichern unser aller Kommunikation. Als Gegenmaßnahme könnte man wieder vermehrt offline kommunizieren – oder aber eine starke Verschlüsselung durch Freie Software verwenden.

Freie Software und Ende-zu-Ende-Verschlüsselung

Unter Verschlüsselung versteht man die Verwendung mathematischer Algorithmen um einen zuvor klar lesbaren Text in eine nicht entzifferbare Zeichenreihenfolge umzuwandeln. Danach kann erst eine korrekte Entschlüsselung diesen Vorgang wieder umkehren, um den verschlüsselten Text wieder lesbar zu machen. Heutzutage finden sich viele Formen der Verschlüsselung die sich in punkto Anwendung und Methode mitunter stark unterscheiden. Für eine sichere Verschlüsselung unserer Kommunikation gelten dabei zwei Grundvoraussetzungen: Die Verwendung Freier Software und eine Ende-zu-Ende-Verschlüsselung.

Was ist eine Ende-zu-Ende-Verschlüsselung?
So bezeichnet man Verfahren, bei denen eine Nachricht oder Datei vom Sender direkt und lokal verschlüsselt wird um im Anschluss nur noch von dem gewünschten Empfänger (oder auch mehreren) entschlüsselt werden zu können. Den gesamten Weg zwischen beiden Endpunkten ist und bleibt die versendete Information jedoch verschlüsselt und ist von niemand anderem und keiner Drittpartei lesbar. Serverseitige Verschlüsselungsmethoden hingegen bieten nicht diese Sicherheit, da Nachrichteninhalte mitunter unverschlüsselt auf Server gelagert werden, zumindest aber bei Bedarf vom Serverbetreiber entschlüsselt werden können.

Was bedeutet Freie Software?
Einfach ausgedrückt handelt es sich dabei um Software von der Gesellschaft, für die Gesellschaft. Denn Freie Software ist Software, die in einem öffentlich transparenten, partizipativen und kollaborativen Prozess entwickelt wird und von dessen Nutzung niemand ausgeschlossen werden kann. Juristisch gesichert wird dieses Form des gemeinschaftlichen Eigentums durch die Definition der 4 Freiheiten Freier Software und der Verwendung einer Lizenz (z. Bsp. die Gnu GPL), welche diese vier Freiheiten beinhaltet: Die Freiheit diese Software zu verwenden, zu verstehen, zu verbreiten und zu verbessern. Von diesen Freiheiten ausgehend, kann man in einem Umkehrschluss alle Software die diese Freiheiten nicht gewährt als unfreie Software bezeichnen.

Warum kann ich bei Verschlüsselung nur Freier Software und keiner unfreien Software vertrauen?
Kurz gefasst aus dem ganz einfachen Grund, dass man bei unfreier Software den Quellcode nicht sehen kann (1). Denn wenn ich den Quellcode nicht sehen kann, kann auch kein Anwender wissen, was diese unfreie Software außer ihrer eigentlichen Funktion eventuell zusätzlich ungewolltes treibt. Es kann sich beispielsweise eine Hintertür im Code verstecken, welche dem Hersteller dieser Software bei Bedarf ermöglicht die eigentlich verschlüsselte Nachricht doch wieder zu entschlüsseln – ohne Wissen des Anwenders. Niemand weiß es, weil niemand den Code einsehen kann.
Technisch gesehen können solche Hintertüren auch im Code Freier Software stecken, doch der offene transparente Gestaltungsprozess erzeugt eine öffentliche Überprüfbarkeit des Quellcodes durch jede Frau und jeden Mann und damit eine Selbstkontrolle unter allen Beteiligten. Unentdeckte oder verborgene Hintertüren und Funktionen sind in der Praxis umso unwahrscheinlicher, je mehr Augen global und unabhängig voneinander auf den Quellcode schauen.

Verschlüsselung in der Praxis

Gute Verschlüsselung funktioniert. Sie funktioniert so gut, dass es bereits verschiedene Versuche unterschiedlicher Staaten gab, private Verschlüsselungsmethoden zu verbieten und Entwickler von Verschlüsselungssoftware zu verklagen beziehungsweise Dingfest zu machen. Doch in der Natur Freier Software liegt es auch, dass sie nicht eingedämmt werden kann. Ein im Internet einmal veröffentlichter Quellcode kann in kürzester Zeit unkontrolliert hundertfach kopiert und verteilt werden. Diesen Effekt wollen sich auch die Cypherpunks – eine Bewegung die sich für anonymen und verschlüsselten Datenverkehr engagiert – zu Nutze machen, wenn sie bereits 1993 in ihrem Manifest schreiben:

Cypherpunks write code.[...] We publish our code [...] Our code is free for all to use, worldwide. We don’t much care if you don’tapprove of the software we write. We know that software can’t be destroyed and that a widely dispersed system can’t be shut down.

Auch in der Post-Snowden-Ära gilt, dass starke Verschlüsselungsverfahren nahezu unknackbar sind. Zur technischen Entschlüsselung müsste man unter Umständen Hochleistungsrechner jahrelang beschäftigen, so dass sich ein Knacken nicht länger lohnt weil der Nutzen den Aufwand vermutlich nicht rechtfertigt. Außerdem gibt es auch andere Wege an die gewünschten Informationen zu gelangen. Wenn man an eine Kopie des privaten Schlüssels und des zugehörigen Passworts gelangt, ist auch ein voller Zugriff auf den Inhalt möglich. Das wiederum ist denkbar durch einen Vollzugriff auf das Betriebssystem des eigenen Rechners und dem Mitschneiden der Tastatureingaben noch vor der Verschlüsselung (2). Letztendlich kann die NSA auch zu klassischen Methoden von Straf- und Gewaltanwendung greifen, wie es dieser XKCD-Comic pointiert zum Ausdruck bringt:

Also warum sollte ich dennoch verschlüsseln?
Zum einen ist die NSA ein derart mächtiger Akteur, dass er nicht als allgemeiner Maßstab der persönlichen Kommunikationssicherheit herangezogen werden kann. Immerhin sprechen wir hier von einer Organisation, die jährlich Milliarden von Dollars in die Entwicklung von Abhör- und Spionagemaßnahmen steckt und das zugleich mit Rückendeckung des Staates. Für fast alle anderen Drittparteien hingegen ist eine ordentliche Ende-zu-Ende-Verschlüsselung quasi unüberwindbar. Und selbst für die NSA gilt: Welche Methoden auch immer zur Verfügung stehen oder Anwendung finden, eine verschlüsselte Kommunikation treibt die Kosten einer Überwachung definitiv in die Höhe. Bei einer allgemeinen, massenhaften Verwendung von Verschlüsselungsmethoden treibt es die Kosten gar so hoch, dass selbst die NSA nicht länger zu einer anlasslosen und totalen Massenüberwachung und -speicherung fähig ist. Insbesondere erschwert wird dadurch auch die Massenverarbeitung und -analyse dieser Inhalte, beispielsweise das scannen aller Mails auf bestimmte Inhalte. Denn Ende-zu-Ende-verschlüsselte Inhalte benötigen in jedem Fall eine Entschlüsselung mit einem privaten Schlüssel, der wiederum individuell pro Teilnehmer anders ist. Je mehr Teilnehmer eines Netzwerks folglich verschlüsseln, desto schwieriger bis unmöglich wird die Totalüberwachung des Netzes. Wird für diese Verschlüsselung Freie Software verwendet, sind zudem Hintertüren oder ähnliches nahezu ausgeschlossen. Das ist unser Schutz vor dem Überwachungsstaat: Freie Software von der Gesellschaft für die Gesellschaft.

Wie kann ich anfangen?

Das Stichwort heißt “Cryptoparty”. Das sind lokale Veranstaltungen bei denen bereits Verschlüsselung-Nutzende anderen Leuten das knowhow und howto beibringen. Frag am besten die Suchmaschine deines Vertrauens und du findest sicher auch eine Veranstaltung in deiner Stadt. Im besten Fall lernst du dabei gleich Andere kennen, mit denen du fortan verschlüsselt kommunizieren kannst. Macht Spaß.

Fussnoten:
(1) Was die Bedingung für die zweite Freiheit ist: das Recht, die Funktionsweise der Software zu untersuchen und zu verstehen
(2) siehe zu diesem Punkt auch dieses gulli.com Interview mit Werner Koch, Entwickler von GnuPG unter der Frage “Lars Sobiraj: Kann man die verwendeten Algorithmen knacken?”

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>