Schlüsselfragen

Kommt jetzt die Krypto-Renaissance?

Ein Geständnis vorweg: Vor 14½ Jahren hatte ich ein T-Shirt mit meiner achtstelligen PGP-Key-ID. Das war allerdings eher Kryptik als Kryptografie, denn dafür hätte es eigentlich der 40-stellige PGP-Fingerabdruck sein sollen, aber egal: Ich hatte mir die Mühe gemacht, mich so weit hineinzufuchsen in die asymmetrische Kryptografie, dass ich Dinge hätte verschlüsseln, entschlüsseln und unterschreiben können.

14½ Jahre später gibt es glücklicherweise kein Foto mehr von diesem T-Shirt, und in den Wirren der Computerwechsel und im Wandel der Speichermedien ist der Schlüssel von damals weg. Die Zahl der Menschen, die mit mir in dieser Zeit verschlüsselt kommunizieren wollten, war genau null.

Vier Schlüsselrohlinge in bunten Mustern
(Foto CC-by-nc-sa Leo Reynolds)

Jetzt, im Post-Snowden-Zeitalter, nach Prism, Tempora, Boundless Informant und weiteren NSA-Enthüllungen, fühlt sich die Lage anders an, und wie es jetzt weitergehen soll, wird heftig diskutiert.

Edward Snowden selbst ist ein Kind seiner Zeit. Er hat gar nicht erst geglaubt, dass er unerkannt bleiben, ein normales Leben führen kann. Er hat auch nicht daran geglaubt, dass jemand für die grenzenlose Überwachung vor Gericht kommen wird. Im E-Mail-Interview mit Jacob Appelbaum und Laura Poitras (Spiegel 28/2013) setzt er stattdessen auf die Tech-Firmen und ihre Kundinnen und Kunden: „Die Unternehmen sollten einklagbare Klauseln in ihre Nutzungsbedingungen schreiben, die ihren Kunden garantieren, dass sie nicht ausspioniert werden. Und sie müssen technische Sicherungen einbauen.“ Es gibt laut Snowden auch Unternehmen, die nicht mit der NSA kooperierten. „Es würde jedoch sicher mehr Firmen dieser Art geben, wenn die kollaborierenden Konzerne von den Kunden abgestraft würden. Das sollte höchste Priorität aller Computernutzer sein, die an die Freiheit der Gedanken glauben.“

Darüber hinaus glaubt Snowden ganz offensichtlich noch an etwas anderes: Verschlüsselung. Den Kontakt zu den Medien hatte er über verschlüsselte E-Mails aufgenommen, und in einer Frage-Runde beim Guardian schrieb er: „Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it.”

Vor diesen Hoffnungsschimmer schiebt sich aber natürlich auch eine schwarze Wolke: „Meistens sind die Metadaten wertvoller als der Inhalt der Kommunikation“ (Snowden im Spiegel-Interview). Dann nützt also auch nicht viel, dass der Inhalt verschlüsselt ist?

Das Verführerische an Kryptografie ist, dass sie manchmal als technische Lösung für ein gesellschaftliches, ein politisches Problem gesehen wird. Das Dumme an E-Mail-Kryptografie-Lösungen ist, dass sie auch heute für durchschnittlich versierte Userinnen und User eine ziemliche Herausforderung sind: Beim weltumspannenden OffshoreLeaks-Projekt sind einige der Journalistinnen und Journalisten schlicht an PGP gescheitert, und stattdessen wurde ein gut abgesichertes Forum zur Kommunikation genutzt. Aber Frank Rieger vom CCC – jemand, der von angewandter Kryptografie nun wirklich viel versteht, – sagt auch: „Dass GPG-Mailcrypto doof ist und vermutlich bleiben wird, ist kein Grund für generellen Crypto-Usability-Pessimismus und Gejammer.“

Auch wenn die Usability besser wird, bleibt Kryptografie für durchschnittlich versierte Userinnen und User eine Frage des Vertrauens. Dass diese drei Zeilen Code-Änderungen den Unterschied zwischen einem sicheren und einem nicht so sicheren Gruppen-Chat ausmachen, können sie nicht wissen.

Ärgerlicherweise liegt auch Mario Sixtus nicht völlig falsch, wenn er Verschlüsselung als gefährliche Scheinlösung brandmarkt: „Wer Verschlüsselung als Mittel gegen Prism et al propagiert, kann auch gleich zu Clownsmasken gegen Videoüberwachung raten.“

Nein, Verschlüsselung ist nicht das Mittel gegen Prism. Aber dass Mario Sixtus überhaupt weiß oder ahnt, was Prism ist, das hat er Verschlüsselung zu verdanken.

Früher hätte man ganz einfach so lange für Mehrheiten geworben, bis der Staat irgendwas tut oder verbietet. Hier handeln ja aber schlecht kontrollierte Geheimdienste mehrerer Staaten im Verbund. Falk Steiner hat das als völkerrechtlich wie politisch-theoretisches Problem erster Güterklasse bezeichnet und sieht zwei Auswege, die beide nicht sehr wahrscheinlich klingen: Entweder internationale Standards für die Überwachung schaffen oder als Staat aus der Kooperation aussteigen, auf die Erkenntnisse verzichten und auf sichere Kommunikation setzen.

Wie zu erwarten war: Hier kommt heute keine Lösung mehr. Ein Rückzug aus dem Netz steht überhaupt nicht zur Debatte, ein sensibler Umgang mit sensiblen Daten ist als gute Idee keine Neuigkeit. Dazu kommt aber vermutlich noch ein bisschen mehr digitale Selbstverteidigung in Form von Kryptografie. Ein neues notwendiges Übel im Umgang mit dem Netz, genau wie alle lernen mussten, mit Spam-Mails umzugehen oder bei Facebook die schlimmsten Vorgaben zu verändern. Das ist, wie gesagt, keine Lösung des Problems, aber zumindest ermöglicht es vielleicht, ein bisschen freier zu kommunizieren, um der Problemlösung näher zu kommen.

(Hier ist mein Schlüssel.)

Post-Prismacy

Fünf Gedanken zu den NSA-Enthüllungen.

Journalism by conflict
Es war streckenweise herzerweichend anzusehen, wie manche verwirrt vor den Widersprüchen des PRISM-Skandals standen und den Kopf schüttelten: Aber die Firmen bestreiten das doch! Moment, aber das steht doch auf den angeblichen NSA-Folien anders! Glenn Greenwald — einer der Journalisten, die für die NSA-Enthüllungen gesorgt haben, — hat das auf ABC schön erklärt: „[T]here was a conflict, which is what we reported, that the NSA claims that they have direct access, the companies deny it. […] So we reported these discrepancies precisely because we want them, those parties, to resolve it in public, in sunlight, and let people decide whether or not that’s the kind of country they want to live in when the government can get this massive amount of information.“ Journalismus bedeutet also in diesem Fall nicht, die wahre Wahrheit zu verkünden, sondern dem Publikum zu erklären, dass sich hier zwei Erklärungen im Konflikt befinden.

Die überraschende Nicht-Überraschung
Ja, wer sich schon vorher wirklich dafür interessiert hat, konnte die letzten Tage herumlaufen und allen erzählen, das sei doch alles nicht überraschend. Ach wirklich? Dass sich Politiker bis zum US-Präsidenten zum Thema NSA äußern, äußern müssen; dass sich nicht nur die Befürworter von Privatsphäre, sondern auch die Sicherheitsmaximalisten rechtfertigen müssen; dass es Tag für Tag Enthüllungen gibt, die weltweit in den Medien erscheinen — das ist alles nicht neu? Dass Informationen über geheime Programme sogar ansatzweise freigegeben werden müssen, um sie zu verteidigen — alles keine Überraschung? Na dann.

Bleibt alles anders
Der Whistleblower Edward Snowden hat seine Sorge so beschrieben: „The greatest fear that I have regarding the outcome for America of these disclosures is that nothing will change. People will see in the media all these disclosures, they know the lengths that the government is going to grant themselves powers unilaterally to create greater control over American society and global society — but they won’t be willing to take the risks necessary to stand up and fight to change things, to force their representatives to actually take a stand in their interests.“ Keine völlig unwahrscheinliche Annahme: Umso bemerkenswerter, dass Snowden sich trotzdem entschieden hat, das alles ans Licht zu bringen.

Let’s debate!
Wo jetzt zumindest ansatzweise mehr Informationen über die Telefon- und Internetüberwachung auf dem Tisch liegen, sollten wir Edward Snowden zumindest einen Wunsch erfüllen: über das Thema reden und streiten. David Simon (der Erfinder von „The Wire“) hat das in seinem Blog getan und die Enthüllungen für Quatsch erklärt: Das sei doch fast alles noch so wie bei den öffentlichen Telefonen in Baltimore, dem Ausgangspunkt der Telefonüberwachung in „The Wire“, nur eben im Zeitalter von Terrorismus und Big Data eine Nummer größer. Nach einer langen Debatte hat Simon ein Update geschrieben, in dem er davon ein klein bisschen abrückt.

Shut up Go on and take my money!
Natürlich verdanken wir die Enthüllungen über PRISM in erster Linie Snowden, denn es ist seine Freiheit und sein Leben, die auf dem Spiel stehen. Dass die Aufdeckung für ein maximales Echo gesorgt hat, das haben Guardian und Washington Post sehr gut hinbekommen. Insbesondere die Dramaturgie des Guardian war grandios: Erst das PRISM-Programm aufdecken, dann dank Boundless Informant belegen, dass die NSA die eigenen Aufseher nicht besonders wahrheitsgetreu informiert hat, schließlich den Whistleblower und seine Motive vorstellen. Ich würde mich freuen, den Guardian-Journalismus mitzufinanzieren, aber das ist gar nicht so leicht. Ein Abonnement des Guardian Weekly ist bislang die beste Idee, wie ich für Journalismus bezahlen kann, für den ich gern bezahlen würde.