Ende-zu-Ende-Krypto unter Beschuss - Verbot ist technisch aber Unsinn

Die Verfügbarkeit von Ende-zu-Ende-Verschlüsselungen steht immer wieder unter Beschuss. Erst kürzlich wurde ein neuer Vorstoß gestartet, die sichere Kommunikation insbesondere auf Messenger-Plattformen zu untergraben.
Sicherheit, Datenschutz, Security, Privatsphäre, Verschlüsselung, Kryptographie, Schlüssel, Zugang, schloss, Ende-zu-Ende-Verschlüsselung, Absicherung, Verschlüsselungssoftware, Schaltkreis, Kryptografie, Zugangsschutz, Datenschutzmodell
Zu diesem Thema gab es kürzlich einen Austausch zwischen Nutzern und den Anbietern des GoldBug Messenger Projektes. Dabei handelt es sich um einen Instant Messenger, der Ende-zu-Ende-Krypto nativ integriert und somit einfach nutzbar macht. Die Ausführungen dazu wollen wir an dieser Stelle dokumentieren:

Frage: Wie wären Verantwortlichkeiten geregelt, wenn es bei einem Ende-zu-Ende-Verschlüsselungsverbot sodann Zweitschlüssel gäbe?

GoldBug Messenger Projekt: Die Verantwortlichkeit für Klartexte sind an jede Kopie eines Schlüssels geknüpft. Auch wenn niemand die Absicht hat, Ciphertext in Klartext zu wandeln - außer ein oder die Schlüsselbesitzer - sind die Inhaber eines Schlüssels auch verantwortlich für den Inhalt einer Verschlüsselung. Sie sind auch verantwortlich für den Schutz des Schlüssels und damit des Inhalts der Verschlüsselung. Daten verantwortet also jeder, der sie speichert und einen Schlüssel dazu hat. Ende-zu-Ende Verschlüsselung wird sich nicht verbieten lassen.

Eine Ende-zu-Ende-Verschlüsselung ist heutzutage nicht nur mit einem geheimen Passwort (symmetrische Verschlüsselung), sondern auch schon mit a-symmetrischen Schlüsseln (also den bekannten Schlüsselpaaren des privaten und öffentlichen Schlüssels der PKI, Publik Key Infrastructure) vorhanden. Daher ist die Ende-zu-Ende-Verschlüsselung vielfältiger zu betrachten als derzeit in der politischen Debatte gedacht.

Die Vorstellung eines Generalschlüssels ist zudem vereinfacht: Ein Zweitschlüssel ist immer eine Kopie und Weitergabe eines definierten Schlüssels. Sodann kann ein sogenanntes REPLEO (Verschlüsselung des eigenen öffentlichen Schlüssels) einem Schlüssel vor einer Schlüsselübertragung zusätzlichen Schutz geben. So müsste ein Ende-zu-Ende-Verschlüsselungsverbot auch für das Verschlüsseln (und senden) von Schlüssel gelten. Wie soll ein Schlüssel gesichert werden, der durch eine Ende-zu-Ende-Verschlüsselung gesandt wird, um eine normale Verschlüsselung aufzubauen? Politik wackelt hier an den Grundfesten.

Eine Schein-Diskussion

Frage: Wenn vielfältige Technik die Ende-zu-Ende-Verschlüsselung schützt, warum ist sie dann so oft in der politischen Diskussion, ohne technische Aspekte und Antworten zu berücksichtigen?

GoldBug Messenger Projekt: Richtig, es ist eine Schein-Diskussion, die technisch längst beendet ist: Ende-zu-Ende-Verschlüsselung durch Cryptographisches Calling - das ist das Erneuern der Ende-zu-Ende-Verschlüsselung während der laufenden Sitzung durch zahlreiche Methoden - oder das Fiasco Forwarding mit Fiasco Keys (dabei werden für eine Nachricht gleich ein Dutzend an Ende-zu-Ende verschlüsselnden Schlüsseln gesandt) oder die Anwendung von Schlüsseln des McEliece Algorithmus (wie er schon in drei Chat-Applikationen eingebaut ist) ist sicher, wenn Ciphertext erst mal versandt ist oder mit Copy/Paste in einen Kommunikationskanal eingefügt wurde (vgl. ausführlich Nomenclatura 2019). Es müssen somit auch Softwareanbieter, Verschlüsselungsmethoden sowie Transport-Anbieter von Ciphertext bei der Ende-zu-Ende Verschlüsselung differenziert betrachtet werden. Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im InternetOft gehört - nie genutzt: Schutzmaßnahmen im Internet Frage: Es geht um den staatlichen Eingriff in die Infrastruktur der Anbieter. Wenn im Gesetz steht, der Anbieter von Verschlüsselung hat diese aufzumachen, dann hat er Verschlüsselung aufzumachen.

GoldBug Messenger Projekt: Wie genannt: Anbieter sind oft nur ein Kanal für Ciphertext. Ein E-Mail-Provider kann eingehenden Ciphertext nicht konvertieren. Somit muss man Anbieter für die Erstellung von Ciphertext von den Transporteuren und den (Zwischen-)Speichernden (Hostern) von Ciphertext trennen. Und dabei gilt: Ciphertext bei diesen Akteuren kann heute voraussichtlich nicht gebrochen werden, wenn der Verschlüsselungsalgorithmus jenseits von RSA und ECDSA ist - d.h. der Klartext besser mit den Algorithmen NTRU oder McEliece verschlüsselt wurde (vgl. a. Lexikon Nomenclatura 2019). Es ist also entscheidend, ob der Anwender verschlüsselt oder ein App-Anbieter oder ein Kanal- bzw. Cache-Anbieter davon betroffen ist. Ein Gesetz, dass Kanal-Anbieter Ciphertext nicht weiterleiten dürfen, wird es nie geben, wenn es Banking, Shopping und E-Mail weiterhin geben soll.

Frage: Es geht um die Problematik der politischen Diskussion, eine Ende-zu-Ende-Verschlüsselung einzuschränken. Im Falle, dass man auf die Hersteller von Verschlüsselungssoftware abstellt, könnten sie einer Export- bzw. Distributionskontrolle unterliegen, die für jeden Hersteller im Inland bzw. in Europa dann gelte?

GoldBug Messenger Projekt: Mathematik unterliegt weder der Exportkontrolle noch einer Distributionskontrolle. Software kann quelloffen sein oder im Internet jenseits lokaler und regionaler Rechtsprechung bezogen werden. Ciphertext zu erstellen erfolgt täglich wie Brot backen - und ist dabei kein Geld-Drucken. Wenn jeder Kommunikations-Laut eines Menschen wie jedes Datenpacket inspiziert werden soll, in welcher Gesellschaft leben wir dann? Das, was vertraulich - also nicht für Dritte bestimmt - unseren Mund verlässt, kann in einer freien Gesellschaft keiner Exportkontrolle unterliegen. Denn: wer illegal handeln will, wird auch illegale Werkzeuge nutzen, aber die Sicherheit allen zu nehmen, bedeutet größeres Unheil, als Verschlüsselung in der Hand aller zu belassen.

Wie die Probleme in der Praxis aussehen, erfahren Sie auf der kommenden Seite.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 07:15 Uhr 256gb USB Stick für iPhone MFI Zertifizierter Patianco USB 3.0 Speicherstick Externer Photostick für iPad Pendrive Flash Laufwerk für iOS,Android Handy,PC,Laptop,Daten Kopierten Mit Einem klic256gb USB Stick für iPhone MFI Zertifizierter Patianco USB 3.0 Speicherstick Externer Photostick für iPad Pendrive Flash Laufwerk für iOS,Android Handy,PC,Laptop,Daten Kopierten Mit Einem klic
Original Amazon-Preis
47,99
Im Preisvergleich ab
59,99
Blitzangebot-Preis
39,99
Ersparnis zu Amazon 17% oder 8
Im WinFuture Preisvergleich
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!