IT-Sicherheit 22.01.1999, 17:20 Uhr

Verschlüsselungssoftware PGP bleibt vorerst ohne Alternative

Wer sichergehen will, daß seine elektronische Post nicht von Dritten mitgelesen werden kann, muß seine Daten verschlüsseln. Doch womit? Lutz Donnerhacke, Kryptographie-Experte und Mitbegründer des Internet-Providers IKS in Jena, vermißt im Gespräch mit den VDI nachrichten Verschlüsselungssoftware für den Massenmarkt.

VDI nachrichten: Die USA drängen auf eine Exportbeschränkung von Verschlüsselungssoftware. Doch nach dem internationalen Wassenaar-Abkommen vom Dezember vergangenen Jahres bereitet vor allem die Definition von Public-Domain-Software, die nicht unter Exportbeschränkungen fallen soll, Schwierigkeiten. Fällt PGP, die am häufigsten verwendete Software zur Verschlüsselung privater E-Mail-Kommunikation, unter diese Klausel?
Donnerhacke: Die Bestimmungen definieren nicht klar, was sie unter Public-Domain verstehen. In der Regel gibt es da Beschränkungen durch die Copyright-Vormerkungen von Firmen oder Softwareautoren, die verhindern, daß ein Produkt als Public-Domain angesehen werden kann. Copyright-Bedenken sollen gemäß der Texte des Abkommens allerdings nicht Ursache für Exportbeschränkungen sein. Dort ist auch zu lesen, daß alle Produkte, die heute frei verfügbar sind, es auch in Zukunft bleiben sollen. Ob PGP unter diese Klausel fallen wird, weiß man noch nicht genau. Es gibt mehrere Versionen dieser Software: Die richtigen Freeware-Versionen werden mit ziemlicher Sicherheit weiterhin frei exportierbar sein. Ob die kommerziellen Versionen unter dieselbe Klausel fallen, ist fraglich.
VDI nachrichten: Gegen die kommerziellen PGP-Versionen gibt es Vorbehalte, da diese Key-Recovery unterstützen, also eine Technik, die Drittparteien Zugang zu verschlüsselten Daten geben soll.
Donnerhacke: Der Softwarehersteller NAI, der PGP kommerziell vertreibt, veröffentlicht auch den Code der neuen Versionen. Dadurch ist man in der Lage, das Innenleben dieses Softwareprodukts zu prüfen. Es ist deshalb vollkommen klar, welche Methoden für die Verschlüsselung und für die Möglichkeiten, sie nachträglich wieder aufzuheben, verwendet wurden. Und kein Zweifel, PGP unterstützt in den höheren Versionen Key-Recovery.
VDI nachrichten: Wie aufwendig ist das Mitlesen?
Donnerhacke: Um eine Nachricht mitzulesen, bedarf es entsprechender Vorkenntnisse, aber solche „Mitschneide-Effekte“ können sehr schnell automatisiert werden. Zugeschnitten ist diese Funktion allerdings nicht auf staatliche Stellen, sondern auf Firmen: Gerade in US-Unternehmen ist es üblich, daß nach außen gehende Telefongespräche zur „Qualitätskontrolle“ mitgeschnitten werden, als eine Art Kundendokumentation. Solche Optionen will man sich im Fall von PGP bzw. Verschlüsselungssoftware allgemein offenhalten. Das ist der Hintergedanke, der zunächst nicht böswillig motiviert sein mag.
VDI nachrichten: Aber auch nicht gerade nach Vertraulichkeit klingt…
Donnerhacke: Diese „Mitlese-Funktionen“ können ein extrem politisches Potential enthalten, denn was in einer Firma funktioniert, könnte ja auch in größerem Maßstabe klappen. Und letztlich legt jedes Unternehmen oder jede Institution, die eine solche Software implementiert, selbst fest, wer die Mails mitlesen kann. Im Zweifel wird dann eben bestimmt, daß alle Mails, die einen Internetprovider verlassen, durch diesen oder jenen Dritten mitlesbar sein müssen. Man kann etwa für ganze Länder festlegen, daß grenzüberschreitender Verkehr eine bestimmte staatliche Stelle passieren und dort einsehbar sein muß. Inwieweit solche Funktionen in diesem Sinne bereits genutzt werden, ist unklar.
VDI nachrichten: Soll also bei den alten PGP-Versionen bleiben, wer sicher gehen will?
Donnerhacke: Die älteren Versionen von PGP sind deutlich komplizierter zu bedienen als die neuen. Man braucht eine bessere Kenntnis von der Materie oder muß nach dem Motto vorgehen: Einfach mal klicken – wenn s geht, prima, wenn nicht, schadet s auch nicht. Das bringt massive Probleme für den Nutzer mit sich, weil Kryptographie nichts bringt, wenn man nicht versteht, was man da tut.
VDI nachrichten: Wenn PGP in den Versionen 5 und 6 nur mit Key-Recovery zu bekommen ist und die älteren Versionen nicht auf einen Massenmarkt ausgerichtet sind – gibt es überhaupt eine Verschlüsselungssoftware, mit der sich der Otto-Normal-Nutzer behelfen kann?
Donnerhacke: Es existieren Benutzeroberflächen für die älteren Versionen von PGP, allerdings ist ihr Einsatz in den meisten Firmen unerwünscht. Ein Problem ist auch, daß sich diese Frontends nur schwer in die „normalen“ Windows-Umwelten und die alltäglichen Abläufe der meisten Computerbenutzer einpassen lassen. Insofern besteht kaum eine Chance, daß sie sich durchsetzen. Niemand will allein wegen Sicherheit irgendeine Komfortfunktion aufgeben. Ich hoffe aber, daß sich in Zukunft mehr Programmierer finden, die zeitgemäße Benutzerschnittstellen für akzeptable Kryptographieprogramme schreiben.
STEFAN KREMPL

Von Stefan Krempl
Von Stefan Krempl

Themen im Artikel

Stellenangebote im Bereich Softwareentwicklung

in-tech GmbH-Firmenlogo
in-tech GmbH Informatiker als Softwareentwickler C++/Qt für industrielle Systeme (m/w/d) Garching bei München, München
Pixida-Firmenlogo
Pixida Functional Owner – Digital Services und Connected Devices (m/w/d) München
Porsche AG-Firmenlogo
Porsche AG Softwareingenieur (m/w/d) ASPICE für Entwicklungsprozesse Weissach
Jungheinrich Aktiengesellschaft-Firmenlogo
Jungheinrich Aktiengesellschaft Embedded Softwareentwickler (m/w/d) Norderstedt
Porsche AG-Firmenlogo
Porsche AG IT Security Expert (m/w/d) Digital Workplace Weilimdorf
XTRONIC GmbH-Firmenlogo
XTRONIC GmbH Embedded Software Developer (w/m/d) Böblingen
SimonsVoss Technologies GmbH-Firmenlogo
SimonsVoss Technologies GmbH Senior Middleware Stack Architect (m/w/d) Unterföhring bei München
DIgSILENT GmbH-Firmenlogo
DIgSILENT GmbH Ingenieur Elektrotechnik (w/m/d) Anwendungsentwickler C++ Gomaringen
Porsche AG-Firmenlogo
Porsche AG Service-Experte (w/m/d) Data-Streaming Weilimdorf
XTRONIC GmbH-Firmenlogo
XTRONIC GmbH Requirements Engineer Bereich Kombiinstrumente (m/w/d) Böblingen

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.