Licht am Ende des Tunnels

document-encrypted-yellowGerade erst konnte ich das Video zu meinem Rant über Security und Usability veröffentlichen, da gibt es auch schon wieder Grund zur Freude. Mit Threema gibt es endlich eine Software mit echter Ende-zu-Ende-Verschlüsselung und einer kinderleichten Möglichkeit die Schlüssel anderer Menschen zu überprüfen. Bis auf vier etwas Menschen (alles Digital-Natives wohlgemerkt) konnte ich alle meine Whatsapp-Kontakte davon überzeugen auf die sicherere Alternative umzusteigen. Dass dabei die Angst vor Facebook der treibende Faktor war und nicht die Überzeugung, dass Verschlüsselung notwendig ist, ist zwar schade aber nicht zu ändern. Noch mehr Grund zur Freude liefert das Update von APG, dem Android Privacy Guard, mit dem man (zusammen mit K-9 Mail) echte OpenPGP-Unterstützung für seine Mails bekommt. Das Programm hat dank der Arbeiten von Dominik Schürmann am Fork OpenPGP-Keychain, der jetzt zurück in APG integriert wurde, einen reisen Schritt nach vorne in Sachen Usability gemacht. Wer es nicht kennt, sollte es sich auf jeden Fall man angucken!

Wenn das so weiter geht, freue ich mich wieder etwas mehr auf die Zukunft 🙂

PA030 – Ein verbesserungswürdiger Antrag

Es ist jetzt schon ein paar Wochen her, dass ich in Bongs gegen den Antrag auf „Freie, rechtskräftige digitale Signaturen und E-Mail-Verschlüsselung für alle“ geredet und gestimmt habe. Ich habe damals einigen Leuten versprochen, meine Position genauer darzulegen. Ursprünglich wollte ich das Thema nur ein paar Tage sacken lassen, dann jedoch kam ein winzig wenig Arbeitsstress hinzu, was die bis heute andauernde Verzögerung begründet. Entschuldigung.

Was passiert war

Am zweiten Tag des BPT12.2 wurde als letzter Antrag PA030 behandelt. Die Antragssteller waren zur Vorstellung schon nicht mehr verfügbar, so dass es überhaupt nur zur Vorstellung kam, weil ein mutiger Pirat ohne Rücksprache den Antrag übernahm und – sehr knapp – vorstellte. Es folgte laut Protokoll:

„Anmerkung: GO-Antrag auf Meinungsbild, wer dem Antrag zustimmen würde.“

„Versammlungsleiter: Kartenszeichen. Ich teile mit, es geht stark positiv aus.“

Ich stehe am Mikrofon – ich glaube es stehen noch zwei Leute hinter mir – und sage sinngemäß, dass ich zwar kein Kryptographieexperte sei aber doch zumindest Diplom Informatiker und erhebliche Zweifel daran hätte, dass der Antrag technisch Sinn mache, und ich die große Gefahr sähe, dass wir uns zum Obst machen würden. Ich bitte um Aufklärung. Anschließend setzt eine kleine Völkerwanderung ein, die Versammlung schließt reflexmäßig die Rednerliste. Von den folgenden Beiträgen bekomme ich nur wenig mit, da mir von rechts und links (teils gleichzeitig) erklärt wird, wie das funktionieren soll, oder aber, dass ich einfach zu doof bin. Viele Gesichter sind gezeichnet von Verzweiflung ob meines ungeschickten Vorgehens, das einen tollen Antrag zu fällen droht, oder Feindschaft, weil ich es gewagt habe einen sichergeglaubten Sieg infrage zu stellen. Soweit zumindest meine ganz subjektive, egozentrische Erinnerung.

„Versammlungsleiter: Dann Abstimmung zu diesem Antrag. Wer dafür ist: Gelb. Wer gegen den Antrag ist, die blaue Karte. Die 2/3 Mehrheit wurde nicht erreicht, der ist abgelehnt.“

Warum ich nach wie vor gegen PA030 in seiner damaligen Form bin

Ich halte PA030 für verbesserungswürdig – im doppelten Wortsinn. Er ist handwerklich nicht gut genug, aber seine Ziele sind unterstützenswert und verdienen es im Grundsatzprogramm Erwähnung zu finden. Ich gehe im Folgenden auf die drei Absätze ein, die laut Antrag ins Grundsatzprogramm aufgenommen werden sollten, und zeige auf, warum diese noch nicht gut genug sind. Dabei sind einige Einwände etwas kleinkariert, aber ich spiele hier bewusst den Advocatus Diaboli, denn jede Schwäche unseres Grundsatzprogramms wird uns um die Ohren gehauen werden. Wollen wir wirklich, dass uns der netzpolitische Sprecher einer anderen Partei in einer Talkshow ein technisches Gutachten vorhält, in dem steht, dass das, was wir im Grundsatzprogramm stehen haben, Blödsinn ist? Klar kann man solch ein Gutachten anschließend entkräften, aber der Imageschaden wäre irreversibel: „Das Pannen-Programm der Piraten“ (fiktive BILD-Schlagzeile).

„Die Piratenpartei setzt sich dafür ein, ein staatlich finanziertes Trustcenter einzurichten, das jedem Bürger unabhängig vom Einkommen die Möglichkeit gibt, Dokumente und E-Mails für eine abhörsichere Korrespondenz zu verschlüsseln und rechtskräftig digital zu signieren.“

Der Kritik, dass solch ein Trustcenter nicht nur staatlich finanziert sein sollte, sondern zudem unter staatlicher – idealerweise parlamentarischer – Kontrolle stehen sollte, schließe ich mich nicht an. Zwar würde ich dies begrüßen und selber auch in den Antrag schreiben, aber solche Details braucht es im Grundsatzprogramm nicht zwingend. Viel mehr stört mich die Formulierung, dass das Trustcenter die Verschlüsselung ermöglichen soll; dies impliziert eine Schlüsselgenerierung durch das Trustcenter statt einer Signierung eigenerstellter Schlüssel. Selbst die Autoren des Antrags scheinen sich dieser Schwäche bewusst zu sein, denn in der Begründung schreiben sie:

„Wichtig zu wissen ist, dass ein vollständiges Zertifikat einen privaten Schlüssel enthält, der jedoch vom Zertifikatinhaber selbst und nicht vom Trustcenter erstellt wird. Das Trustcenter, ob nun staatlich oder nicht, kennt diesen also NICHT und hat deshalb aus technischen Gründen KEINE Möglichkeit verschlüsselte Daten zu entschlüsseln bzw. sogar digitale Signaturen zu fälschen.“

Soweit so schlecht. Die Tatsache, dass die Überschrift „Begründung“ und nicht „Erklärung“ lautet, hätte die Autoren vielleicht stutzig machen sollen. Diese Begründung kommt eben nicht ins Grundsatzprogramm und diese Begründung wird nicht mit 2/3-Mehrheit vom BPT verabschiedet. Diese Begründung kann inhaltliche Schwächen eben nicht ausbügeln, auch wenn sich die Autoren dies scheinbar wünschen.

„Die dafür notwendigen Zertifikate sollen deshalb für Privatpersonen (nicht juristische Personen) kostenlos zu erwerben und zu verwenden sein und dazu dienen, jedermann abhörsichere Kommunikation und rechtssichere Geschäfte bzw. Vertragsabschlüsse über das Internet zu ermöglichen.“

Dieser Absatz ist nicht sonderlich hilfreich, denn die Formulierung „unabhängig vom Einkommen“ aus dem ersten Absatz macht doch schon klar, dass hier keine horrenden Gebühren anfallen sollen. Wir präsentieren uns hier unnötig als Kostenlospartei und Wünschdirwaspartei. Dazu wirft dieser Absatz Fragen auf, die man nur in einem Wahlprogramm oder Positionspapier detailliert erklären kann; die Autoren flüchten sich erneut in die Begründungserklärung. Was ist mit gemeinnützigen Vereinen? Wer zahlt die Hardware, die man definitiv braucht, wenn man nicht will, dass ein 0815-Trojaner die elektronische Unterschrift fälschen kann? Wichtig ist die Forderung nach rechtssicheren Vertragsabschlüssen, die im Folgenden leider nicht genug Beachtung durch die Autoren findet.

„Die Erstellung der Zertifikate hat so zu erfolgen, dass der Staat technisch nicht in der Lage ist, mit diesen Zertifikaten verschlüsselte Inhalte zu entschlüsseln (d.h. er darf keine Kenntnis der geheimen Schlüssel besitzen).“

Dieser Absatz macht Sinn, wenn man die Begründungserklärung kennt, aber nur mit der Implikation aus dem ersten Absatz ergibt sich das Bild, dass die Piraten wollen, dass das Trustcenter dem Bürger ein Schüsselpaar ausstellt ohne den geheimen Schlüssel zu kennen. Das ist technisch natürlich Blödsinn und von den Autoren so sicherlich nicht gemeint, aber meiner Meinung nach durchaus eine naheliegende Interpretation, die uns als technisches Vollversagen vorgeworfen werden wird, sollten wir so etwas ins Grundsatzprogramm hineinschreiben.

Viel schlimmer ist aber, dass die Autoren übersehen, dass es einem Bürger möglich sein muss, zu beweisen, dass seine digitale Unterschrift gefälscht wurde. Im Gegensatz zu den ad-hoc Erklärungen auf dem BPT ist dies eben nicht dadurch möglich, jedem Bürger nur ein Schlüsselpaar zu signieren, denn jeder geheime Schlüssel kann verloren gehen oder öffentlich werden, was eine Sperrung und Neuausstellung notwendig macht. Zudem muss sich ein Vertragspartner darauf verlassen können, dass eine digitale Unterschrift nur so anfechtbar ist, wie eine normale Unterschrift, sonst wird das gewünschte Ziel der flächendeckenden Akzeptanz nicht erreicht werden. Wie solch ein Beweis anzutreten ist (z.B. durch Abdruck des Schlüssel-Fingerprints auf dem Personalausweis) muss nicht im Grundsatzprogramm stehen.

Wenn alle von einem Trustcenter signierten Schlüssel zum Vertragsschluss taugen, muss der Bürger diesem Trustcenter entweder vertrauen, dass es keine zusätzlichen Schlüsselpaare als die meinigen signiert oder beweisen können, welches Schlüsselpaar das einzig gültige ist, um Missbrauch aufklären zu können. Ich würde kein System einsetzen, das darauf aufsetzt, dass der Administrator des Trustcenters nicht hingeht und mich online bei den Piraten ab- und bei der NPD anmeldet, um anschließend entsprechende Devotionalien auf meinen Namen online einzukaufen.

Man kann all diese Probleme lösen und ich hoffe mich bis Marktbings in die Erstellung eines weiteren Antrages einbringen zu können; die Idee hat viel Potential und sollte weiter verfolgt werden.

Eine letzte Anmerkung

Die meisten Leute, die sich im Anschluss an meine Wortmeldung mit mir unterhalten wollten, haben das sehr höflich und konstruktiv gemacht, wenn auch ob der Situation leicht gehetzt. Dieses Feedback war super und ich habe mich darüber gefreut. Was ich bedauerlich fand waren die wenigen verletzend gemeinten Äußerungen, die jemandem mit weniger dickem Fell wahrscheinlich ordentlich zugesetzt hätten. Feige wurde ich aus der Menge als „Idiot“ und „zu doof die Technik zu verstehen“ beschimpft, auf Twitter fanden sich ähnlich unfeine Formulierungen, die zum Teil anschließend wieder gelöscht wurden. Ich kann die Enttäuschung verstehen, wenn ein Antrag auf dem BPT kippt, aber man sollte doch in einer demokratischen Partei ein Mindestmaß an Impulskontrolle an den Tag legen. Solche Pöbeleien brauchen wir nicht! Sie verursachen ein Klima, das dialogfeindlich ist und berechtigte Kritik mundtot machen soll.

E-Akte

Verleitet von Herrn Vetters Blogpost „Die E-Akte kommt“ habe ich mir ein paar Gedanken zur technischen Umsetzung gemacht.

Anforderungen

Zeiten ändern sichDie Anforderungen können klar in zwei Kategorien unterteilt werden: Funktion und Sicherheit. Ersteres ist zwingend notwendig um die nötige Akzeptanz zu erreichen, die solch ein Projekt benötigt, um tatsächlich sinnvoll eingesetzt werden zu können; andernfalls riskiert man Vermeidungsverhalten (z.B. Verweise auf Papierakten in der E-Akte). Letzteres ist Grundvoraussetzung für den Einsatz in einem so sensiblen Bereich wie der Strafjustiz. Weiterlesen