Bericht von der GI Tagung in Bonn
Date: Fri, 13 Jun 1997 19:33:24 +0200 (METDST)
From: "R.Theisen" 
To: win-sec-request@cert.dfn.de, win-sec@cert.dfn.de
Subject: Re:  PGP legal?
Mime-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit

Hallo Frank,

Du hast ja die Hamburger Erklärung für Verschlüsselungsfreiheit mit unterzeichnet. Die Ergebnis-Liste (leider immer noch nicht fertig) steht, wie ich Dir geschrieben habe, unter ftp://TROLL.HZ.KFA-JUELICH.DE/pub/KRYPTO/hhlist.txt

In ftp://TROLL.HZ.KFA-JUELICH.DE/pub/KRYPTO/doc/recht.htm findest Du eine Zusammenstellung über die rechtliche Nutzungs-Situation von PGP hier in Deutschland. Die gilt auch heute, an einem Freitag, den 13.. Im letzten Teil lege ich dar, warum ich gegen eine Krypto-Regulierung bin.

Gestern habe ich mich auf die Veranstaltung der GI in Bonn eingeladen, die die GI in ihrer Anzeige in der Computer Zeitung angekündigt hatte für ihre fördernde Mitglieder. Das bin ich nicht, aber das Forschungszentrum Jülich gehört dazu. Ich weiß nicht, ob ich deshalb eine Einladung (auf Antrag) erhalten habe, oder weil ich in meinem Antrag auf unsere HH-Erklärung hingewiesen hatte.

Prof. Andreas Pfitzmann hat einen sehr guten Überblicksvortrag über sym. und asym. Verschlüsselung gehalten und u.a. sehr deutlich gemacht, daß man dann, wenn man ein digitales Signatur-Verfahren erlaubt, daß man dann, wenn man Multimedia einsetzt (--> Steganographie: 1 Promille ist nicht entdeckbar; Prof. Ruland sprach neulich von 2 %) nicht verhindern kann, daß man dann, wenn man nicht dauernd alle Nachrichten überwacht, auch mit einem Verfahren, wo die Schlüsselherausgabe vorgeschrieben ist (key escrow) nicht verhindern kann, daß Nachrichten unabhörbar übermittelt werden können. Als letztes hat er das Key Recovery-Verfahren auseinander geholt, das nur dann Sinn macht, wenn man Daten lokal abgespeichert hat, verschlüsselt, aber den Schlüssel verloren hat. Auf diesem Gebiet ist IBM anscheinend führend. Wenn man dieses Verfahren aber auf die datenkommunikation anwendet, macht das keinen Sinn, außer, daß ein Kanther-Dietrich erzeugt werden kann.

Herr Pohlmann von der Firma Kryptokom aus Aachen versuchte klarzumachen, warum wir Verschlüsselung brauchen, das diese kein Selbstzweck ist. Das den Benutzern, den Firmen klarzumachen ist nach seiner Erfahrung das schwierigste: Das Problembewußtsein existiert oft nicht. Am Beispiel ihres Produktes KrytoLAN versuchte er dann exemplarisch aufzuzeigen, was machbar ist: Virtual Private Network ist da ein Schlagwort, das sich durch deren Verschlüsselungsboxen und PC-Verschlüsselungs- Hard- und Software erzeugen läßt. Mich interessierte das weniger, da ich dieses Produkt selbst habe und mehr darüber weiß, als er da "verkaufen" konnte.

Der wichtigste Vortrag aber war die "Plauderstunde" von Dr. Sandl, der RD im Bundeswirtschaftsministerium ist (RegierungsDirektor?). Ich kann hier nur einige Aspekte bringen (der sprach auch so schnell, daß ich kaum etwas aufs Papier gebracht habe):

USA
Das Exportverbot wird zwar gelockert (Sym. Schlüssel > 56 bit; RSA-Schlüssellänge := 1024bit), aber nur dann, wenn der Benutzer an einen Key-Recovery-Agent angeschlossen ist. Diese stehen alle in den USA. ==> Wer die sicherere Verschlüsselung haben will, ist von den USA aus abhorchbar. Das scheint (ich bin mal vorsichtiger als ich es da gehört habe) sogar so zu sein, daß Wirtschaftspionage von den USA systematisch betrieben wird. H. Pohlmann hat sich in diesem Zusammenhabg darüber geärgert, daß man darüber hier immer noch viel zu wenig spricht, wel das ja unsere "Freunde" sind. Er wünscht sich eine Aussage der Bundesregierung: "Wer amerikanische Sicherheitsprodukte kauft, kauft sich den Abhörer gleich mit. Bei deutschen Produkten besteht diese Gefahr nicht."

BRD
Es existiert eine völlige Pat-Situation: Das Wirtschaftsministerium, das Bildungs- und das Justizministerium sind gegen eine Krypto-Regulierung, alle anderen mehr oder weniger dafür. Das wird sich jetzt nicht mehr ändern, das wird sich selbst nach der nächsten Wahl nicht ändern. Es kommt keine Krypto-Regulierung. Der Riß geht durch fast alle Parteien (außer CSU).

Folge: Wir sind aber auch nach außen sprachlos.

Was kann das Wirtschaftsministerium tun?
  • Nutzer-Interessen Fördern: Nutzerschutz: durch Krypto-TüV für mehr Transparenz bei den Produkten sorgen. Die US-Produkte sind zwar sehr preiswert, aber auch nicht so sicher.
  • Bericht von der GI Bonn OECD: Die Schlüsselaufbewahrung soll verbessert werden. Der Verbraucher soll wenigsten wissen, wie seine Schlüssel aufbewahrt werden. Das deutsche Datenschutzrecht kann man dafür als Hebel einsetzen.
  • Reklame für Verschlüsselung machen: Benutzer, so kannst Du Dich selbst besser schützen.
  • Die deutsche Krypto-Industrie förden.

Was sollte man tun:
  • Die derzeitige Krypto-Debatte im engeren Sinne so schnell wie möglich beenden. Eventuell macht da eine Prüfung der Verfassungsmäßigkeit den Krypto-Regulierungsvorschlägen schnell und endgültig ein Ende.
  • Gefahr: Die de-facto Krypto-Beschränkung droht über die Produkte. Wenn sich IBM, Microsoft, Netscape usw. zusammentun und ein Produkt in die Bedienoberflächen integrieren, das sehr einfach zu nutzen ist, weltweit, dann frägt keiner mehr, wie sicher ist das Produkt, wer kann darüber alles Abhorchen (Als erster wohl die NSA: Wirtschaftsspionage scheint ein Auftrag zu sein, den diese US-Behörde hat und keiner wehrt sich (Rudi)).

Was tut sich:
Die US sammeln Verbündete für ein Key Recovery Verfahren: Auf dem Umweg über digitale Signaturen wird dieses gleich mitgeliefert. Es bestehen schon eine Reihe von bilateralen Absprachen: Frankreich, Großbritanien (UK), die Schweiz, ja sogar Schweden äußern sich sehr wohlwollend. Nur Kanada ist strikt dagegen. Japan hält sich bedeckt. Ganz entscheidend wird es sein, was Deutschland macht. Deutschland aber ist auf Grund der gegenseitigen Blockade (s.o.) sprachlos.

Die sich anschließende Diskussion war sehr lebhaft. H. Pfitzmann ist dafür, daß wir ein eigenes sicheres Betriebssystem aus Gründen der nationalen Souveranität entwickeln sollten. H. Kowalski (Deutsche Telekom, Telesec (Siegen)) sieht keinen Weg an Microsoft vorbei. Sie haben sich am MS Information Framework beteiligen müssen, um an die Stecker-Schnittstellen API zu kommen. Dabei wird man nicht nur von MS verpflichtet, sich einer Sicherheitsüberprüfung zu unterwerfen. Wegen der US Re-Exportpolitik kann man dann, wenn man endlich die MS-Zustimmung hat, dann nicht machen, was man will, sprich für sicher hält. Ansonsten landet man auf einer schwarzen Liste. Dann dürfen US-Firmen nicht mehr mit denen, die auf dieser Liste stehen, Geschäftsbeziehungen unterhalten.

Solange in Deutschland alle Entscheidungen nur nach den Kosten gehen, führt nach Ansicht von H. Kowalski kein Weg an Microsoft vorbei. Die Kosten aber werden in Zeiten, wo der Staat kein Geld mehr hat, immer wichtiger. Also wird das gekauft, was billiger ist und nicht das, was sicherer ist.

Da einige Bankenvertreter da war, spielte das SET-Protokoll eine Rolle, das von IBM, Microsoft, Netscape, Visa, MasterCard unterstützt wird. Das verwendet 56bit DES und 1024 bit RSA. Es gilt aber als nicht besonders sicher. Da könnte man doch darauf dringen, daß man sicherer Verfahren selbst aktivieren kann.

Nach Ansicht eines Bankenvertreters wird alle Welt SET machen, u.a. auch deshalb, weil sich damit die bisherige Bankenwelt sehr einfach wieder im Netzbereich darstellen und erhalten läßt: Da behält man sein Struktur.

Gruß

Rudi (Theisen) 13.6.97

zur ckzurück © 1996-2024 Lutz Donnerhacke @ IKS GmbH Jena Thursday | 26.Dec.2024