| Zurück | Start Inhalt | Weiter |
Wie die meisten anderen Bereiche unserer Kultur hat auch die Kryptographie, also die Wissenschaft des Verschlüsselns und Entschlüsselns von Nachrichten, im 20. Jahrhundert mehrere Revolutionen erfahren.
Die wichtigste dieser Revolutionen war ein mathematischer Durchbruch: Es gelang, kryptographische Verfahren zu entwickeln, bei denen Sender und Empfänger einer Nachricht sich nicht vorher auf einen geheimen Schlüssel einigen müssen. Dieser Durchbruch ist der Grund, warum heute zum Beispiel Bankgeschäfte im Internet überhaupt möglich sind.
Die zweite Revolution besteht darin, dass Programme, die diese neuen Verfahren realisieren, heute für jeden frei erhältlich sind, und nicht etwa nur Geheimdiensten oder der Industrie zur Verfügung stehen. Diese Tatsache führte zu einer schweren »Identitätskrise« der Geheimdienste und hat weitreichende Auswirkungen auf Fragen der Privatsphäre, staatlicher Souveränität und gesellschaftlicher Sicherheit. Soll jeder Bürger das Recht haben, Informationen so zu verschlüsseln, dass nicht einmal die mächtigsten Geheimdienste der Welt diese Verschlüsselung aufbrechen können?
Fast alle Verfahren, die in der Geschichte der Kryptographie bis zum späten 20. Jahrhundert eingesetzt wurden, hatten eines gemein: Sender und Empfänger einer Nachricht mussten vorher auf einem sicheren Weg einen geheimen Schlüssel miteinander austauschen. Das galt zum Beispiel auch für die von den Deutschen im Zweiten Weltkrieg eingesetzte, berühmte Maschine Enigma. Sie war zu ihrer Zeit die fortschrittlichste Methode der Kryptographie auf der Welt, und die Geschichte ihrer Entwicklung und letztendlichen Überwindung durch die Gegner ist bis heute lehrreich.[25]
Die Enigma war ein tragbares Gerät ähnlich einer Schreibmaschine, in deren Innerem sich mehrere rotierende Walzen und eine Matrix von Steckkontakten befanden. Jede Einheit wie zum Beispiel eine U-Boot-Besatzung musste, um die verschlüsselten Befehle des Oberkommandos entgegennehmen zu können, über eine solche Enigma verfügen. Man ging darum beim Entwurf der Maschine davon aus, dass Exemplare der Enigma früher oder später auch in die Hände der Gegner fallen würden. Die Sicherheit des Verfahrens durfte davon nicht abhängen.
Um die Enigma benutzen zu können, benötigte man darum außerdem einen Schlüssel, das heißt eine Buchstabenkombination, die angab, wie die verschiedenen Codierwalzen und Steckkontakte der Enigma eingestellt werden mussten, um eine bestimmte Nachricht zu senden oder zu empfangen. Nur wer über eine Enigma-Maschine und über den passenden Schlüssel verfügte, konnte verschlüsselte Nachrichten austauschen. Die Schlüssel wiederum wurden täglich gewechselt. Eine U-Boot-Besatzung erhielt beispielsweise beim Auslaufen aus dem Heimathafen eine Liste von Schlüsseln für die nächsten Monate in Form eines Code-Buches. Fiel ein solches Code-Buch in gegnerische Hände, dann waren zwar die darin enthaltenen Schlüssel unbrauchbar, aber der Schaden blieb insgesamt beschränkt.
Dass die Enigma schließlich doch überwunden werden konnte, war eine Meisterleistung alliierter Mathematiker. Natürlich kann man jedes kryptographische Verfahren, das auf einem Schlüssel beruht, im Prinzip dadurch überwinden, dass man alle möglichen Schlüssel ausprobiert — derjenige Schlüssel, bei dem sich eine sinnvolle Nachricht ergibt, ist der richtige. Man spricht dann von der »brute force« Methode, also dem Knacken des Codes mithilfe »roher Gewalt«. Dieser Ansatz funktioniert natürlich dann nicht, wenn die Menge der möglichen Schlüssel so groß ist, dass das Ausprobieren unvertretbar lange dauern würde. Bei der Enigma war das der Fall: Je nach Modell gab es bis zu 200 Trilliarden mögliche Schlüssel. Als Zweierpotenz geschrieben, entspricht dieser Wert etwa der Zahl 277, man würde also 77 Nullen und Einsen benötigen, um einen Enigma-Schlüssel digital darzustellen. Man sagt darum auch, die Enigma habe eine Schlüssellänge von 77 bit gehabt. Würde jemand in jeder Minute einen dieser Schlüssel ausprobieren (im Vor-Computer-Zeitalter ein durchaus realistischer Wert), dann bräuchte er bis zum Erfolg viele Billiarden Jahre — das bekannte Alter des Universums ist dagegen nur ein Wimpernschlag.
Durch geniale Einsichten in die mathematische Struktur der Enigma gelang es dem polnischen Mathematiker Marian Rejewski jedoch bereits im Jahr 1932, die Menge der für eine bestimmte Nachricht in Frage kommenden Schlüssel drastisch zu verkleinern. Mithilfe eigens konstruierter elektromechanischer Rechenapparate ließen sich die verbliebenen Schlüssel in vertretbarer Zeit durchprobieren, so dass der polnische Geheimdienst manche der verschlüsselten Nachrichten abhören konnte. Im Juli 1939, als sich die politische Lage kurz vor dem Ausbruch des Krieges zu verschärfen begann, gab Rejewski seine Erkenntnisse an den britischen Geheimdienst weiter, der ein Team um den späteren Computerpionier Alan Turing auf die Enigma angesetzt hatte. Aufbauend auf Rejewskis Vorarbeit gelang es diesem Team, die Entschlüsselung weiter zu verbessern und mit den Veränderungen, welche die Deutschen im Laufe des Krieges an der Enigma vornahmen, Schritt zu halten. Bis zum Ende des Krieges waren die Alliierten damit in der Lage, einen großen Teil der geheimen deutschen Kommunikation abzuhören. Viele Historiker sind heute der Ansicht, dass sich ohne diesen Erfolg das Kriegsende um ein bis zwei weitere Jahre verzögert hätte.
Als nach dem Zweiten Weltkrieg die Ära der elektronischen Rechenmaschinen begann, wurden Verschlüsselungsverfahren zunehmend in Software realisiert. An die Stelle der Enigma traten mathematische Algorithmen und Programme, die wesentlich mächtiger waren als mechanische Walzen und Steckkontakte, die schnell an die Grenzen der Elektrik und Mechanik stießen. Ein Beispiel für ein solches weit verbreitetes Kryptographie-Verfahren ist der Data Encryption Standard (DES), der in den siebziger Jahren von IBM im Auftrag der amerikanischen Regierung entwickelt wurde. Viele Eigenschaften eines Verfahrens wie DES sind sehr vergleichbar mit denen der Enigma. Wie bei der Enigma gehört zu einer erfolgreichen Verschlüsselung einerseits der Algorithmus, also die »Rechenvorschrift«, nach der aus dem Klartext der verschlüsselte Text generiert wird. Bei der Enigma wurde diese Rechenvorschrift durch die physische Maschine realisiert, bei DES geschieht das durch ein Programm, das die Rechenvorschrift ausführt. Andererseits ist außerdem ein geheimer Schlüssel erforderlich, also eine Zahlenkombination oder ein Bitmuster, mit dem die Rechenvorschrift »eingestellt« wird. Beim ursprünglichen DES-Verfahren beträgt die Schlüssellänge 56 bit, ist also deutlich geringer als bei der Enigma. Allerdings ist für das DES-Verfahren keine analytische Abkürzung des Brute-force-Ansatzes bekannt, wie sie Rejewski und Turing für die Enigma gefunden hatten. Wie bei der Enigma besteht die Sicherheit auch nicht darin, dass das Verfahren selbst, also die Rechenvorschrift, geheim wäre: Die Beschreibung ist öffentlich verfügbar und jeder könnte ein entsprechendes Programm schreiben. Die Sicherheit liegt vielmehr darin, dass ohne den geheimen 56-bit-Schlüssel keine Verschlüsselung und Entschlüsselung möglich ist.
Genau darin liegt andererseits auch das größte Problem von Verfahren wie DES, nämlich dass Sender und Empfänger von Nachrichten zuvor über einen getrennten, sicheren Kanal einen Schlüssel austauschen müssen, am besten bei einem persönlichen Treffen. Das Internet, wie wir es heute kennen, wäre damit nicht möglich. Bankgeschäfte und Einkäufe lassen sich nur dann über das Netz abwickeln, wenn Passwörter und Kreditkarten-Nummern verschlüsselt übertragen werden. Wenn man allerdings zum Schlüsselaustausch bei jedem Anbieter persönlich vorstellig werden müsste, würde das System zusammenbrechen.
Die Lösung dieses Problems war eine der größten mathematischen Entdeckungen im 20. Jahrhundert. Sie ist auch darum bemerkenswert, weil sie zweimal erfolgte. Der für den britischen Geheimdienst arbeitende Mathematiker Clifford Cocks entwickelte im Jahr 1973 ein Verfahren, das ohne einen geheimen Schlüsselaustausch funktionierte. Da er jedoch für den Geheimdienst arbeitete, durfte er sein Ergebnis nicht veröffentlichen und war zum Stillschweigen verpflichtet. Etwa drei Jahre später stießen die Amerikaner Ronald Rivest, Adi Shamir und Leonard Adleman auf dasselbe Verfahren und gaben ihm, die Anfangsbuchstaben ihrer Nachnamen benutzend, den Namen RSA-Algorithmus. Dass Clifford Cocks ihnen bereits zuvor gekommen war, erfuhren sie und die Öffentlichkeit erst im Jahr 1997, als die Geheimhaltung aufgehoben wurde.
Das RSA-Verfahren revolutionierte die Kryptographie. Seine mathematischen Details zu erklären, würde an dieser Stelle zu weit führen, aber das Prinzip ist einfach. Die Grundidee von RSA ist, dass der Algorithmus nicht mit einem, sondern mit zwei Schlüsseln arbeitet. Eine Nachricht wird durch eine Rechenvorschrift verschlüsselt, die mit dem ersten dieser beiden Schlüssel »eingestellt« wird, ganz wie in der klassischen Kryptographie. Anders als bei den klassischen Verfahren ist die Rechenvorschrift jedoch so gewählt, dass sie nicht umgekehrt werden kann, auch dann nicht, wenn man den ersten Schlüssel kennt. Man benötigt, um die Nachricht wieder entschlüsseln zu können, eine andere Rechenvorschrift und den zweiten Schlüssel. Die beiden Rechenvorschriften bilden das RSA-Verfahren, sie sind öffentlich bekannt und dokumentiert. Die beiden Schlüssel hingegen sind — etwas vereinfacht gesagt — zufällig gewählte Zahlenkombinationen, also Bitmuster.
Mithilfe dieses Prinzips können zwei Personen eine verschlüsselte Nachricht austauschen, ohne dass vorher ein geheimer Schlüssel übermittelt werden müsste. Wie das funktioniert, erklären die Kryptographen oft anhand zweier fiktiver Personen namens Alice und Bob. Alice möchte Bob eine verschlüsselte Nachricht schicken. Damit Alice das tun kann, erzeugt Bob zunächst die beiden Schlüssel für das RSA-Verfahren. Einen der beiden Schlüssel behält Bob für sich, den anderen schickt er an Alice. Er muss dazu keinen sicheren Kanal verwenden, tatsächlich könnte Bob den Schlüssel im Telefonbuch oder auf seiner Homepage veröffentlichen. Alice besorgt sich diesen Schlüssel und benutzt ihn, um die Nachricht an Bob zu verschlüsseln. Nicht einmal sie selbst könnte die Nachricht jetzt wieder entschlüsseln, nur Bob kann das, weil er über den zugehörigen, zweiten Schlüssel verfügt. Man nennt den ersten der beiden Schlüssel auch den öffentlichen Schlüssel (engl. public key), der zweite ist der zugehörige geheime Schlüssel (engl. private key).
Man kann sich das Verfahren auch so vorstellen, dass der öffentliche Schlüssel, den Bob an Alice schickt, ein offenes Vorhängeschloss ist, zu dem nur er selber den Schlüssel besitzt. Alice legt ihre Nachricht in eine Kiste, verschließt sie und lässt das Vorhängeschloss einschnappen. Dann verschickt sie die Kiste an Bob, der mit seinem Schlüssel das Vorhängeschloss öffnet und die Nachricht entnimmt.
Das Verfahren funktioniert aber auch andersherum (und hier versagt das Bild mit dem Vorhängeschloss): Bob kann eine Nachricht mit seinem geheimen Schlüssel verschlüsseln; sie lässt sich dann nur mit seinem öffentlichen Schlüssel wieder entschlüsseln. Da Bobs öffentlicher Schlüssel allseits bekannt ist, bietet diese »Verschlüsselung« natürlich keine Abhörsicherheit. Wenn es Alice gelingt, die Nachricht mit Bobs öffentlichem Schlüssel zu entschlüsseln, dann kann sie jedoch sicher sein, dass die Nachricht wirklich von Bob stammt, denn nur er verfügt über den geheimen Schlüssel, mit dem sich eine solche Nachricht herstellen lässt. Nach diesem Prinzip funktionieren digitale Unterschriften. Sie erlauben es, festzustellen, ob eine digitale Information wirklich von dem stammt, der als Autor angegeben ist, und ob die Information auf dem Weg vom Sender zum Empfänger auch nicht verändert wurde.
Fast die gesamte verschlüsselte Kommunikation im Internet beruht heute auf den beiden Spielarten dieses Verfahrens. Man spricht wegen der beiden unterschiedlichen Schlüssel auch von asymmetrischer Kryptographie bzw. einem Public-Key-Verfahren. Ein Beispiel dafür ist das HTTPS-Protokoll, auf das die heute gängigen Web-Browser umschalten, wenn ein »sicherer« Website aufgerufen wird. Der Benutzer merkt das daran, dass der Anfang der Adresszeile des Browsers von »http://« auf »https://« wechselt, außerdem wird in der Statuszeile das Symbol eines Vorhängeschlosses eingeblendet. Der Benutzer kann dann sicher sein, dass die Verbindung zum Zielrechner erstens abhörsicher verschlüsselt ist und dass er zweitens auch wirklich mit dem Rechner verbunden ist, der in der Adresszeile angegeben ist. Letzteres wird durch die digitale Unterschrift des Zielrechners garantiert. Achtet der Benutzer darauf, dann ist er zum Beispiel sicher vor den in letzter Zeit häufigen Phishing-Angriffen, bei denen ein Website, der dem einer Bank täuschend ähnlich sieht, dazu benutzt wird, Kontodaten und Geheimzahlen zu erbeuten.
Es gehört zum Selbstverständnis eines jeden Geheimdienstes, dass er einerseits der eigenen Regierung und den eigenen Streitkräften möglichst sichere kryptographische Verfahren zur Verfügung stellt und andererseits alles daransetzt, die Kommunikation möglicher Gegner zu entschlüsseln. Viele Dienste beschäftigen dazu hochkarätige Mathematiker, und sie verfügen außerdem über gigantische Arsenale schierer Computerleistung. Das alles steht unter strenger Geheimhaltung, und so entsteht eine Art Schattenwelt, abgeschlossen vom öffentlichen mathematischen Forschungsbetrieb mit seinen Konferenzen und Publikationen. Nur selten und wenn, dann mit jahrzehntelanger Verzögerung, erfährt die Öffentlichkeit etwas von dem, was in dieser Schattenwelt vorgeht.
Als in den USA in den siebziger Jahren das DES-Verfahren eingeführt wurde, gab es vielfache Spekulationen, dass die US-amerikanische Kryptobehörde, die berüchtigte National Security Agency (NSA), bereits über eine Hintertür zu diesem Algorithmus verfügte, ja, dass der Algorithmus nur deshalb die staatliche Absegnung erhalten hatte, weil die NSA ihn durchbrechen konnte. Eine geheime mathematische Entdeckung war dazu wohl nicht einmal nötig. Wenn, wie vermutet wurde, die NSA über ein Vielfaches der damals kommerziell vorhandenen Computerleistung verfügte, dann ließ sich DES schon durch den reinen Brute-force-Ansatz aushebeln. Heute, wo sich ein Vielfaches der Leistung damaliger Großrechner auf jedem Schreibtisch befindet, geschieht das auch ganz routinemäßig: Bereits mehrfach wurden Wettbewerbe zum Auffinden eines DES-Schlüssels innerhalb weniger Tage gelöst, meist durch das Zusammenschalten großer Mengen von ansonsten unbeschäftigten Computern über das Internet. Die Electronic Frontier Foundation demonstrierte im Jahr 1998 den Bau eines Spezialcomputers, der einen DES-Schlüssel innerhalb weniger Tage finden konnte und lediglich 250.000 US-Dollar gekostet hatte.
Ein sicheres kryptographisches Verfahren, also eines, dem weder ein krimineller Lauscher noch ein Geheimdienst etwas anhaben kann, muss also unter anderem über eine gewisse Mindestlänge des Schlüssels verfügen. Fachleute gehen heute davon aus, dass Schlüssel mit bis zu 80 bit Länge theoretisch in der Reichweite sehr mächtiger Geheimdienste liegen könnten oder bald liegen werden. Moderne Verfahren wie zum Beispiel der Advanced Encryption Standard (AES) verfügen dagegen über eine Schlüssellänge von 128 bit oder mehr. Dabei muss man bedenken, dass sich die Zahl der möglichen Schlüssel mit jedem zusätzlichen Bit verdoppelt, was wahrhaft astronomische Verhältnisse ergibt. Es wurde zum Beispiel ausgerechnet, dass man allein zum Aufzählen aller möglichen 128-bit-Schlüssel die Leistung von zehn Großkraftwerken 100 Jahre lang konzentrieren müsste — aus rein thermodynamischen Erwägungen. Damit freilich hätte man die Schlüssel noch keineswegs wirklich ausprobiert, was einen noch viel höheren Aufwand bedeuten würde.
Beim RSA-Verfahren liegen die Verhältnisse etwas anders, denn hier sind die Schlüssel nicht einfach zufällige Bitmuster. Der öffentliche RSA-Schlüssel ist eine Zahl, die durch die Multiplikation zweier sehr großer Primzahlen entsteht (groß heißt hier: Zahlen mit mehreren hundert Stellen); der geheime Schlüssel besteht aus diesen beiden Primzahlen. Um zu einem öffentlichen Schlüssel den zugehörigen geheimen Schlüssel zu finden, muss man also die große Zahl in ihre beiden Faktoren zerlegen — eine Aufgabe, die jeder irgendwann in der Schule gelöst hat, für die es aber bis heute kein effizientes Verfahren gibt: Es hilft nichts, als alle möglichen Faktoren stur durchzuprobieren. Weil es also letztlich um Primzahlen geht und nicht um rein zufällige Bitmuster, sind sichere RSA-Schlüssel sehr viel länger als symmetrische Schlüssel wie beim DES- oder AES-Verfahren. Man geht heute davon aus, dass ein RSA-Schlüssel der Länge 1024 etwa einem symmetrischen Schlüssel von 80 bit entspricht, ein RSA-Schlüssel der Länge 2048 einem von 112 bit und ein Schlüssel der Länge 3072 einem von 128 bit.[26]
Solche Schlüssellängen sind nach allem, was man heute weiß, für einen Brute-force-Ansatz völlig unerreichbar. Zu glauben, dass ein Geheimdienst wie die NSA über eine »Wunderwaffe« verfügt, die diese kombinatorischen Klippen überwinden kann, grenzt an eine Verschwörungstheorie. Natürlich könnten Geheimdienste über unvorstellbar viel schnellere Rechner verfügen, als sie der Öffentlichkeit bekannt sind — aber die Idee eines derart radikalen technischen Gefälles gehört wohl doch eher in das Reich der James-Bond-Filme. Natürlich könnten die Mathematiker der Geheimdienste zu Durchbrüchen gelangt sein, die alle bekannten Krypto-Algorithmen hinfällig werden lassen — aber es ist ebenso evident, dass dieselben Durchbrüche früher oder später von der zahlenmäßig weit größeren Community der öffentlichen mathematischen Forschung wiederholt werden würden. Das tatsächliche Verhalten der Geheimdienste in den vergangenen Jahrzehnten scheint denn auch eher gegen die Existenz solcher »Wunderwaffen« zu sprechen.
Als Rivest, Shamir und Adleman ihre Entdeckung der asymmetrischen Kryptographie gemacht hatten, versuchte die NSA zunächst, die Veröffentlichung zu verhindern.[27] Der Versuch scheiterte an der Zivilcourage der Autoren. Zu Beginn der achtziger Jahre versuchte die NSA, mit den Universitäten eine Vereinbarung zu erreichen, die besagte, dass kryptographisch relevante Ergebnisse vor der Publikation der NSA vorzulegen waren. Für die Nutzung insbesondere durch die Industrie versuchte man außerdem kryptographische Verfahren zu etablieren, bei denen der Schlüssel, oder ein Teil des Schlüssels, bei einer Treuhandstelle hinterlegt werden musste (»key escrow«). Bei einem Straftatverdacht oder einer Gefährdung der nationalen Sicherheit würde der Geheimdienst auf richterliche Anordnung den Schlüssel erhalten und so die Kommunikation abhören können. Das Verfahren setzte sich nicht durch — und das vor allem deshalb, weil die Öffentlichkeit inzwischen über sehr viel mächtigere Werkzeuge verfügte.
Im Jahr 1991 — im selben Jahr, als Linus Torvalds den Linux-Kern schrieb — veröffentlichte der amerikanische Bürgerrechtler Phil Zimmermann das Programm Pretty Good Privacy, abgekürzt PGP. Es war die erste frei verfügbare Implementierung des RSA-Verfahrens, und die Software war ausdrücklich so verpackt und mit verständlicher Dokumentation versehen, dass auch Laien damit umgehen konnten. Denn genau das war Zimmermanns Ziel: Er wollte »Kryptographie für die Massen« ermöglichen, ausgehend von der Überzeugung, dass Privatsphäre durch starke Kryptographie — also Kryptographie, die auch von Geheimdiensten nicht durchbrochen werden kann — ein Bürgerrecht sein müsse.
»Es ist vertraulich. Es ist privat. Und es geht niemanden etwas an außer Ihnen. Sie planen vielleicht eine politische Kampagne, diskutieren über Ihre Steuern oder haben eine geheime Liebschaft. Oder Sie kommunizieren mit einem Dissidenten in einem repressiven Land. Was immer es ist, Sie wollen nicht, dass Ihre persönliche E-Mail oder Ihre vertraulichen Dokumente von irgendwem sonst gelesen werden. Es ist nichts Falsches daran, seine Privatsphäre einzufordern. Sie ist so selbstverständlich wie die amerikanische Verfassung.«[28]
Mit diesen Sätzen beginnt die Bedienungsanleitung von PGP, und was ihnen folgt, ist ein leidenschaftliches Plädoyer für die Privatsphäre im Zeitalter elektronischer Kommunikation. Zimmermann argumentiert, dass der übliche Einwand: »Wer nichts zu verbergen hat, braucht auch nichts zu verschlüsseln«, nicht verfängt. Beim papierenen Nachrichtenaustausch schreiben wir unsere Mitteilungen schließlich auch nicht offen auf Postkarten, sondern benutzen ganz selbstverständlich Umschläge, auch dann, wenn wir »nichts zu verbergen« haben. Der E-Mail-Verkehr (er ist in dieser Hinsicht heute nicht anders als 1991) gleicht hingegen dem Verschicken offener Postkarten — jeder, dessen Systeme die Nachricht auf dem Weg vom Sender zum Empfänger durchläuft, kann mitlesen. Wer in dieser Situation, wo die meiste Kommunikation vollkommen offen und im Klartext über das Netz geht, hingegen seine persönliche Post verschlüsselt, erregt damit schon fast automatisch Argwohn — selbst wenn er »nichts zu verbergen« hat. Die Lösung, so Zimmermann, wäre, dass jeder seine elektronische Post einfach grundsätzlich verschlüsselt, ohne dass er sich jedes Mal neu und bewusst dafür entscheiden müsste. PGP sollte genau das ermöglichen.
Die »Briefumschläge«, die Zimmermann den Leuten in die Hand gegeben hatte, waren freilich weitaus effektiver als ihre papierenen Vorbilder — so effektiv, dass kein Staat und kein Geheimdienst sie, im Interesse welcher Verbrechensbekämpfung oder nationalen Sicherheit auch immer, durchdringen konnte.
Natürlich bekam Zimmermann Ärger.
Zur damaligen Zeit galten die Krypto-Algorithmen, die PGP verwendete, als Rüstungstechnologie und durften darum nicht aus den USA exportiert werden. Dies aber war über das Internet längst geschehen, und so nahm die US-Zollbehörde im Jahr 1993 Ermittlungen gegen Zimmermann auf. Die Strafandrohungen waren horrend, und allein die Prozesskosten hätten ihn in den Ruin treiben können. PGP hatte jedoch inzwischen eine breite Anwenderschaft insbesondere bei Menschenrechtsorganisationen und Bürgerrechtlern gewonnen. In kürzester Zeit organisierten sich Unterstützer und begannen damit, Geld für einen eventuellen Prozess zu sammeln. Um die Exportbestimmungen zu unterlaufen, publizierte Zimmermann den Quelltext von PGP zusätzlich in Buchform.[29] Im Vorwort wies er ausdrücklich darauf hin, dass die gewählte Schriftart das Wiedereinscannen mit einem optischen Lesegerät ermöglichen würde — technisch gesehen ein großer Unsinn, denn der Code konnte jederzeit über das Internet heruntergeladen werden. Zimmermann spekulierte jedoch, dass die Behörden die Publikation eines Buches nicht würden verbieten können. Die Strategie ging auf: Im Jahr 1996 wurde das Verfahren eingestellt, ohne dass Anklage erhoben worden war.
Nachdem die exportrechtlichen Probleme durchgestanden waren, versuchte sich Phil Zimmermann in der kommerziellen Vermarktung seiner überaus erfolgreichen Software. Er bemühte sich dabei, drei teilweise widerstrebende Aspekte zu vereinen: Einerseits sollte PGP privaten Benutzern, politischen Dissidenten und Bürgerrechtsorganisationen frei zur Verfügung stehen, andererseits wollte Zimmermann mit dem kommerziellen Vertrieb der Software Geld verdienen. Schließlich und drittens war es für die Vertrauenswürdigkeit des Produktes wesentlich, dass der Quelltext offen im Internet zur Verfügung stand und von Experten auf Schwachstellen kontrolliert werden konnte. Die widerstrebenden Interessen führten zu Unklarheiten und Reibungsverlusten; in kurzer Zeit entstanden mehrere, teilweise miteinander inkompatible Versionen von PGP. Die Probleme wurden noch dadurch verstärkt, dass Zimmermann Ärger aufgrund von Software-Patenten bekam: Sowohl der RSA-Algorithmus als auch ein anderer, symmetrischer Algorithmus namens IDEA, den PGP intern verwendete, waren patentiert. Was RSA betraf, glaubte Zimmermann, sich auf eine mündliche Vereinbarung berufen zu können, die ihm erlaubte, den Algorithmus für nicht-kommerzielle Zwecke einzusetzen. Der Halter des Patents, die ursprünglich von Rivest, Shamir und Adleman gegründete Firma RSA Data Security, behauptete hingegen, von so einer Vereinbarung nichts zu wissen.
Die Free Software Foundation hatte sich Zimmermanns Idee einer »Kryptographie für die Massen« schnell zu Eigen gemacht. Der rechtliche Status von PGP war jedoch so unbefriedigend, dass bald klar wurde, dass eine Neuimplementierung als Freie Software erforderlich war: Im September 1999 erschien die erste Version von GPG, dem GNU Privacy Guard (auch GnuPG genannt). GPG wurde von Grund auf neu geschrieben, verwendet also keinerlei Code von PGP, und ist unter der General Public License (GPL) lizenziert. GPG verwendet außerdem keine patentierten Algorithmen: Statt RSA kommt für die asymmetrische Verschlüsselung der ElGamal-Algorithmus zum Einsatz, und statt IDEA können mehrere verschiedene, allesamt patentfreie symmetrische Algorithmen verwendet werden. (Das Patent auf RSA ist im Jahr 2001 ausgelaufen; seither unterstützt GPG optional auch diesen Algorithmus. Das IDEA-Patent wird in einzelnen Ländern allerdings noch bis etwa 2010 gültig sein.) Signalkräftige Unterstützung bekam das GPG-Projekt bereits im Jahr 1999, als das deutsche Bundeswirtschaftsministerium die Entwicklung mit 250.000 DM förderte.
Auch 15 Jahre nach Zimmermanns Aufruf »Kryptographie für die Massen!« hat sich an der allgemeinen Praxis des E-Mail-Schreibens kaum etwas geändert. Nach wie vor gehen fast alle Nachrichten im Klartext über die Leitung, nach wie vor kommunizieren die Internet-Nutzer, als schrieben sie ihre persönlichen Mitteilungen offen auf Postkarten. In der Industrie ist die Situation kaum anders; auch innerhalb oder zwischen Unternehmen wird nur höchst selten Verschlüsselung eingesetzt, selbst dann, wenn Daten übermittelt werden, die unter anderen Voraussetzungen strengsten Sicherheitsbestimmungen unterlägen.
Ändern würde sich das vermutlich erst dann, wenn Krypto-Software derart fest in die gängigen E-Mail-Programme integriert wäre, dass es keinerlei Anstrengung mehr bedürfte, ausgehende E-Mail zu verschlüsseln und eingehende zu entschlüsseln. Kryptographie müsste, mit anderen Worten, so transparent sein, wie sie es heute zum Beispiel beim Online-Banking ist, wo sie dem Benutzer, wenn er nicht weiß, worauf er achten muss, gar nicht weiter auffällt (vgl. S. 74 [link]).
Dort, wo verschlüsselte E-Mail mitunter wirklich lebenswichtig ist, wird sie freilich sehr wohl eingesetzt, so etwa bei Bürgerrechtsorganisationen wie amnesty international, die zu den prominentesten Benutzern von PGP gehören. Dass die Technik allerdings auch für Gruppen wie Al-Qaida »interessant« ist, versteht sich von selbst. Nach den Anschlägen vom 11. September 2001 dauerte es nur wenige Tage, bis Phil Zimmermann sich dem Vorwurf ausgesetzt sah, er habe den Terroristen mittels PGP die Arbeit erleichtert. Am 21. September erschien ein Artikel in der Washington Post, in dem Zimmermann mit der Aussage zitiert wurde, er sei »überwältigt von Schuldgefühlen«[30]. Zimmermann widersprach umgehend: Er habe, wie viele andere Amerikaner, über die Tragödie der Anschläge geweint, und er sei nicht glücklich darüber, dass Terroristen seine Software möglicherweise zur Planung benutzt hatten. Nach wie vor gelte jedoch seine Überzeugung, dass die Verfügbarkeit starker Kryptographie für jedermann der Gesellschaft mehr nütze als schade.[31]
| Zurück | Start Inhalt | Weiter |
| © André Spiegel 2006. Some Rights Reserved. | ||