Hadmut

Wie uns unsere Politiker und unsere Wissenschaftler immer mehr für dumm verkaufen.

Heute: Die Bundesministerin Aigner, der Professor, die Kryptographie und die Datenschutz-Vaporware X-pire!



Ein Leser hat mir gerade ein paar Links dazu geschickt (Danke!). Auf dem Heise Newsticker wird heute berichtet (und geht wohl auf diesen Artikel in der Sueddeutschen zurück), daß unsere Verbraucherschutzministerin Ilse Aigner (CSU) auf einer Fachkonferenz ihres Ministeriums am 11. Januar vom Saarbrücker Sicherheits- und Kryptographie-Professor Michael Backes eine Technik namens X-pire! vorstellen lassen werde, mit der man seine Dateien mit einem Verfallsdatum versehen könne. Dazu wird Aigner mit starken Worten zitiert:

“Made in Germany” sollte weltweit für höchsten Datenschutz im Internet stehen, sagte Aigner.[…] Da es heutzutage oft unvermeidlich sei, dass Menschen Datenspuren hinterlassen, müsse das Problem der Profilbildung geregelt werden, erläuterte die Ministerin. “Wir dürfen nicht zulassen, dass künftig jemand einen Namen im Internet eingibt und automatisch ein ganzes Dossier oder ein lückenloses Bewegungsprofil über die gesuchte Person erhält. Zumindest nicht gegen deren Willen.” Aigner begrüße es daher, dass Innenminister Thomas de Maizière die Veröffentlichung kommerzieller Persönlichkeits- und Bewegungsprofile verbieten will.

Starke Worte. Da könnte man einiges erwarten.

Und dann natürlich wieder der unvermeidliche Politiker-Dummspruch (den ich allerdings zum ersten Mal so in der Form sehe, daß jemand damit nicht neue Gesetze fordert, sondern gleich selbst sagt, daß es schon Gesetze gibt):

“Das Internet ist kein rechtsfreier Raum. Es gibt Gesetze, die Unternehmen einhalten müssen, wenn sie ihre Dienste hier anbieten – auch Google, Apple und Facebook”, so Aigner.

Schon diese Aussage ist unsinnig und damit höchst fragwürdig. Denn deutsche Gesetze gelten in Deutschland, und damit eben nicht für Google, Apple und Facebook. Weil das Problem dabei ist, daß sie ihre Dienste eben gar nicht so eindeutig hier anbieten. (Ich habe hier mal darüber berichtet, daß ich mir einen Apple iPod gekauft habe, und es völlig unklar war, bei wem ich den eigentlich gekauft habe, weil die deutsche Apple damit nichts zu tun hatte und das Gerät von einem Versanddienstleister aus Irland kam. Wenn man bei Apple.de bestellt, kann man nicht einmal Gewährleistung fordern, weil man nicht weiß, bei wem und wie. Facebook sitzt meines Wissens auch nicht in Deutschland, und bei Google weiß ich es nicht, aber die Datenverarbeitung findet dort auch außerhalb Deutschlands statt.)

Also ist das schon mal gar nicht so klar und eindeutig, daß diese Firmen diese Gesetze einhalten müssen, wie Aigner es behauptet. Das Problem ist eher, daß diese Firmen unsere Gesetze gerade nicht einhalten müssen. Insofern könnte es ironischerweise gerade so sein, daß das Internet weit überwiegend tatsächlich ein gewisser rechtsfreier Raum ist, nämlich frei von deutschem Recht, und diese Reden mehr so ein Gezappel aus Hilfslosigkeit sind.

Der nächste Widerspruch in sich ist, daß sie dann mit einem Krypto-Professor und einer Verschlüsselungslösung daherkommt. Kryptographie ist aber gewissermaßen eine »gewaltsame« Form der Durchsetzung, weil sie dafür sorgt, daß ein Angreifer etwas nicht kann. Kryptographie setzt man nicht ein, weil der Angreifer sich an geltendes Recht halten muß, sondern gerade deshalb, weil der Angreifer sich nicht an das Recht hält und man es auf rein juristischem Wege eben nicht durchsetzen kann. Kryptographie ist Straßenkampf, Recht des Stärkeren. Da geht es nicht um Dürfen oder Müssen, da geht es nur um Können.

Kryptographie ist quasi eine Komplementärtechnik zu Recht. Sie einzusetzen heißt, daß man sein Recht eben gerade nicht ausreichend auf normalem Wege durchsetzen kann und deswegen zu informationstechnisch brachialer Durchsetzung greifen muß (denn das und nur das ist Kryptographie, wenn man sie ernst nimmt und richtig macht, und nicht nur als Kreideformel an der Tafel ansieht, frei nach Woody Allen, der gefragt wurde, ob denn Sex überhaupt etwas Schmutziges sein könnte, und antwortete „Ja, wenn man es richtig macht.” Kryptographie ist da so ähnlich wie Sex.)

Wer also sagt, daß es im Internet Recht gäbe, an das Firmen sich halten müßten, und dann mit kryptographischen Methoden daherkommt, der widerspricht sich schon von vornherein selbst, denn er gibt damit ja zu, daß sein Recht nicht viel wert ist und er deshalb die juristischen oder staatlichen Methoden aufgibt, weil sie nicht effektiv sind. Man soll eben nicht alles glauben, was Politiker verkünden, schon gar nicht im Bereich Internet und IT-Sicherheit.

Was aber ist nun dieses X-pire! dieses Krypto-Professors?

Es gibt dazu eine Webseite, und auch in der Uni noch eine mit „elementaren (nicht-wissenschaftlichen) Informationen” (fragt sich, wo es denn die wissenschaftlichen Infos gäbe), auf der es sogar eine höchst erstaunlich lange Liste von Berichterstattungen gibt (sehr verblüffend, wer darüber alles berichtet, aber das hängt wohl auch nur damit zusammen, daß unsere Zeitungsredaktionen keine richtigen Redakteure mehr haben, sondern fast nur noch den zentral von den Presseagenturen verteilten Einheitsbrei abonnieren und durchreichen, meist sogar wortwörtlich und ohne jede Kontrolle, deshalb steht auch überall das gleiche drin). Aber zuerst sollte man sich tatsächlich das Video ansehen, das die da anbieten. Etwas Geduld ist dabei gefragt. Ich dachte erst, mein Player sei nicht angelaufen und wollte nach dem Fehler suchen, aber das Video zeigt tatsächlich anfangs nur ein Standbild. Er scheint einfach ein nur ein wortloser Powerpoint-Vortrag zu sein, den man als „Video” aufgezeichnet hat und anpreist. Videos sind halt so Mode heute, die muß man haben wie einen fetzigen Namen. Inhalt ist nicht mehr so wichtig, Powerpoint ist sowieso out. Also gibt man das dann einfach als Video aus, alter Wein in neuen Schläuchen, wie das ganze Verfahren.

Wie funktioniert also X-pire! ?

Eigentlich ganz einfach. (Zu einfach.) Wer eine Datei, als bestes Beispiel ein Bild, in einer Weise veröffentlichen möchte, die „datenschutzverträglich” sein soll, soll dies so tun können, daß das Bild nur eine gewisse Zeit lang abrufbar ist und dann nicht mehr. Daß man dem Bild also ein „Haltbarkeitsdatum” mitgeben kann. Damit soll man also sein Portrait oder vielleicht auch das ungünstige Bild, wo man bei der letzten Klassenfete in sehr peinlicher Situation aufgenommen wurde, so ins Internet stellen können, daß es nur eine gewisse, frei wählbare Zeit abrufbar ist.

Dazu soll der Benutzer das Bild zunächst (symmetrisch) verschlüsseln, und dann statt des Originalbildes das verschlüsselte Bild irgendwo online stellen. Den Schlüssel selbst hinterlegt der Benutzer dann zusammen mit dem Ablaufdatum bei einem vertrauenswürdigen zentralen Server.

Greift ein Anwender dann auf eine Webseite mit so einem verschlüsselten Bild zu, soll ein Plugin im Browser automatisch beim Schlüsselserver nach dem Schlüssel für dieses Bild anfragen. Ist das Ablaufdatum noch nicht erreicht, antwortet der Server mit dem Schlüssel, und der Browser kann das Bild entschlüsseln und anzeigen. Ist das Datum überschritten, gibt der Server den Schlüssel nicht mehr heraus und das Bild soll damit nicht mehr angezeigt werden können.

Der Vorschlag hat zwei wesentliche Probleme:

Er ist nicht neu, sondern schon bekannt, trivial und oft vorgeschlagen, weil es die typische erste Herangehensweise von Laien ist.

Er funktioniert nicht, wie jeder, der sich mit IT-Sicherheit und dem Internet mal etwas eingehender beschäftigt hat, erkennen kann.

Verblüffend daran ist aber vor allem, daß dieser Professor Michael Backes beides sogar auf seiner Textseite dazu zugibt:

Die Idee, dass alle veröffentlichten Daten vom Nutzer nur verschlüsselt zur Verfügung gestellt werden und eventuell nur Teile der Schlüssel über mehrere Server verteilt gespeichert werden, ist alleine gesehen nicht neu und löst das Problem auch nicht vollständig. Es muss verhindert werden, dass ein Angreifer alle Schlüssel speichert und somit sich immer Zugriff auf alle Daten bewahrt. Dies verhindert unser System, indem es das Lösen eines CAPTCHAs für das Herunterladen von Schlüsseln erfordert. Die hierfür benötigte menschliche Interaktion erhöht den Aufwand eines Angreifers beim Sammeln von Schlüsseln enorm.

Also sowas ist dann nun wirklich grober Unfug und eigentlich schon bösartiger Schwindel, Betrug an der Öffentlichkeit. Schon die Logik dazu muß man sich mal auf der Zunge zergehen lassen: Wir wissen, daß das Verfahren ein alter Hut ist und nicht funktioniert, aber wir glauben, daß es funktioniert und die Angreifer sich beeindrucken lassen, wenn ein Professor daherkommt und wir noch ein paar CAPTCHAs mit reinmischen.

Das ist so dämlich und schlecht, daß nicht einmal mir dazu auf Anhieb genug angemessene Schimpfwörter einfallen.

Aber da ich hier ja nicht (nur) schimpfen, sondern die Fehler nachvollziehbar herauspräparieren und aufzeigen will, möchte ich das mal genauer analysieren.

(Anmerkung: Wer nicht weiß, was ein „Captcha” ist: Um Webseitenabfragen von Computern zu verhindern und sicherzustellen, daß ein echter Mensch abfragt, zeigt man irgendwelche verzerrten und mit Störmustern überlagerten Buchstabenkombinationen an, die der Benutzer eingeben soll, oder stellt Aufgaben wie Rechenaufgaben oder Hunde- und Katzenbilder voneinander zu unterscheiden, weil man annimmt, daß nur der Mensch, aber nicht der Computer das in kurzer Zeit kann.)

Angriff

Eigentlich sollte man besser „Gegenmaßnahme” oder „Workaround” schreiben, denn der Vorschlag ist so lächerlich schwach, daß dessen Aushebeln, das so offensichtlich ist, daß es sich einem förmlich aufdrängt, nicht einmal der Bezeichnung Angriff wert ist.

Der erste tödliche Konstruktionsfehler dieses Verfahrens liegt darin, daß die Software (das Browser-Plugin), die den Schlüssel holt, auf einem unsicheren Rechner, und zwar dem des Betrachters der Webseiten läuft, dem unterstellt wird, der Angreifer zu sein.

Der zweite tödliche Konstruktionsfehler ist die Annahme oder Unterstellung (die nicht mal explizit formuliert ist, aber aus der Beschreibung des Verfahrens hervorgeht, offenbar haben die selbst nicht mal drüber nachgedacht, was sie da schreiben, oder das wenigstens mal formal zusammengestellt), daß jeder Besucher der Webseite Einzelkämpfer ist und es keine Kooperation oder Quervernetzung zwischen den »Angreifern« gibt.

Und genau da läßt sich trivial angreifen. Man betreibt das übliche reverse engineering des Browser-Plugins (denn eine seriöse technische Beschreibung des Verfahrens und des Protokolls, die man ebenfalls verwenden könnte, scheint es noch nicht zu geben) und baut das Plugin funktionsidentisch nach oder holt sich irgendeine OpenSource-Implementierung, die es vielleicht mal geben könnte.

Und dieses Plugin erweitert man dann um zwei Funktionen und baut noch einen „Piratenserver” auf:

Der „Piratenserver” funktioniert ähnlich wie der echte Schlüsselserver, nimmt die Schlüssel aber auch von Benutzern an und schert sich nicht um Ablaufdaten, sondern bewahrt die Schlüssel dauerhaft auf und beantwortet jede Anfrage.

Wenn das modifizierte Browser-Plugin auf ein verschlüsseltes Bild stößt, fragt es vor dem echten Schlüsselserver beim Piratenserver an. Kennt der den Schlüssel schon, wird der verwendet und der echte Schlüsselserver nicht mehr angefragt. Außerdem kann das Plugin die Schlüssel lokal cachen oder sogar alle bekannten Schlüssel für ein Forum oder eine Website vorab zur Beschleunigung gesammelt abfragen und lokal speichern. Das ist viel schneller und effizienter, als bei jedem Bild einzeln nachzufragen.

Kennt der Piratenserver den Schlüssel noch nicht, fragt das Plugin auf dem normalen Weg beim echten Schlüsselserver an, beantwortet gegebenenfalls das Captcha, und schreibt danach den Schlüssel in seinen Cache und lädt ihn zum Piratenserver hoch.

Damit genügt es, wenn innerhalb der Gültigkeitsdauer nur ein einziger Benutzer mit einem modifizierten Plugin auf das Bild zugreift (was ja in der Regel der Fall ist, und wenn nicht, muß man ein Bild, das sowieso keiner anguckt und keiner sehen will, auch nicht datenschützen und verschlüsseln), damit alle anderen Benutzer des modifizierten Plugins das Bild dauerhaft und ohne jeden Kontakt zum Schlüsselserver abfragen können.

Jemand, der viel Übung im Schreiben von Browser-Plugins und mit Datenbanken hat, würde so eine Modifikation innerhalb eines Tages hinbekommen, wenn er erst einmal ein funktionsgleiches Plugin im Quelltext oder eine genaue Beschreibung des Protokolls hat. So ein modifiziertes Plugin dürfte also sehr schnell auftauchen. Ich hätte sogar Lust, dafür selbst in die Tasten zu greifen, einfach nur um zu zeigen, was für ein Bockmist das ist.

Und ein solches modifiziertes Plugin wäre ausnehmend effektiv und effizient, denn dieses Verfahren ist so schlecht und unsinnig gebaut, daß nicht nur die „bösen Buben” es verwenden würden, sondern sogar die ganz lieben und ehrlichen Benutzer, die nichts Böses oder Datenschutzwidriges im Schilde führen:

Die Anfrage nach dem Schlüssel bei einem zentralen Server in Deutschland würde den Seitenaufbau erheblich und spürbar verlangsamen, was Benutzer erfahrungsgemäß als sehr lästig empfinden. Deshalb würde schon die Abfrage bei einem Server etwa in Asien oder den USA die Sache beschleunigen.

So ein Piratenserver würde es ermöglichen, etwa beim ersten Zugriff auf ein Forum oder auf Facebook gleich mal alle Schlüssel en bloc runterzuladen und vorzuhalten. Allemal besser und schneller als bei jedem einzelnen Bild langwierig nachzufragen.

Dazu kommt der dritte tödliche Fehler, nämlich die Hinzunahme von Captchas. Ausgerechnet das einzige, was die noch selbst dazugepackt haben, macht die Sache erst so richtig schlecht (es passiert häufig in der Kryptographie, daß etwas, was man arglos mit draufpackt, das Gesamtsystem massiv schwächt oder außer Funktion setzt). Selbst dem ehrlichsten Benutzer gehen Captchas über kurz oder lang massiv auf den Wecker, sie sind lästig, sie nerven, sie kosten Zeit und Tipperei (was z. B. auf Geräten ohne ordentliche Tastatur wie iPhone oder iPad noch viel mehr nervt). Also wird selbst der Benutzer, der gar nicht vor hat, irgendwas zu klauen oder irgendwelche Gültigkeitsdauern zu überschreiten oder gegen irgendwelche Datenschutzgesetze zu verstoßen, allein schon um diese nervigen Captchas loszuwerden, ein modifiziertes Plugin verwenden. Eine Win-Win-Situation, denn der Benutzer ist die Captchas weitgehend los, und durch die nun viel größere Benutzerbasis bekommt der Piratenserver viel mehr Schlüssel für seine Sammlung, also sogar von den »ehrlichen« Benutzern, die nicht gegen Datenschutz verstoßen, sondern nur ihre Ruhe haben wollen. Das ist natürlich pikant, denn dieser Professor Michael Backes schrieb ja auf seiner Webseite (es ist nämlich so schön blöd, daß ich es einfach nochmal zitieren muß): Die Idee, dass alle veröffentlichten Daten vom Nutzer nur verschlüsselt zur Verfügung gestellt werden und eventuell nur Teile der Schlüssel über mehrere Server verteilt gespeichert werden, ist alleine gesehen nicht neu und löst das Problem auch nicht vollständig. Es muss verhindert werden, dass ein Angreifer alle Schlüssel speichert und somit sich immer Zugriff auf alle Daten bewahrt. Dies verhindert unser System, indem es das Lösen eines CAPTCHAs für das Herunterladen von Schlüsseln erfordert. Die hierfür benötigte menschliche Interaktion erhöht den Aufwand eines Angreifers beim Sammeln von Schlüsseln enorm. Das heißt, sie nehmen etwas, was nicht neu ist und auch nicht funktioniert, und nehmen daran nur eine einzige Änderung vor, nämlich die Hinzunahmen von Captchas (was ja nicht einmal die Erfindungstiefe hat, um von einem eigenen Verfahren sprechen zu können…), und macht damit das Verfahren erst so richtig schlecht, weil man damit all die 99% ehrlichen und harmlosen Benutzer da draußen in der Welt, so sehr nervt und gängelt, daß sie lieber die Angriffssoftware verwenden als das Verfahren regulär zu benutzen.

Damit hat die Truppe um Professor Michael Backes den größten Murks verzapft, das wirklich dämlichste getan, was man in einem Sicherheits- oder Kryptoverfahren überhaupt tun kann: Sie erhöhen nicht den Aufwand für den Angreifer, sondern für den ehrlichen Benutzer. Und zwar so sehr, daß die reguläre, ehrliche Teilnahme am Protokoll aufwendiger und teurer wird als der Angriff, als zu schwindeln. Und damit bringen sie selbst den ehrlichen Benutzer, der überhaupt nicht angreifen und sich wohlverhalten will, dazu, die Angriffsmethode der regulären Teilnahme vorzuziehen, weil schwindeln billiger ist als zu kooperieren.

Kryptographie ist, wenn der Angriff um den Faktor 2100 teurer ist als der befugte, reguläre Gebrauch – und nicht billiger.

Mehr oder weniger Datenschutz?

Das ganze ist juristisch äußerst fragwürdig. Und es dürfte wohl kaum zu mehr Datenschutz führen, sondern zu weniger. Denn selbst wenn das Verfahren funktionierte und angewendet würde, wie beabsichtigt, ergibt sich daraus ein massives Datenschutzproblem, weil man dann nämlich am zentralen Schlüsselserver die IP-Adressen aller Leute mitschreiben kann, die auf ein Bild zugreifen, selbst wenn sie im Ausland sitzen.

Wer Zugriff auf den Schlüsselserver – oder auch nur dessen Internet-Verbindung, falls die Anfragen selbst nicht verschlüsselt sind – hat, sieht sofort, wer auf dieser Welt alles auf ein Bild zugreift, das jemand aus Deutschland hier nach diesem Verfahren eingestellt hat.

Würde ich also beispielsweise ein Foto von mir nach diesem Verfahren in ein Forum oder auf eine Facebookseite in den USA oder irgendwo in Asien packen, könnte der Betreiber dieses Schlüsselservers sofort sehen, von welchen IP-Adressen wann auf meine Seiten zugegriffen wird (und wenn der Browser-Plugin entsprechend programmiert ist, noch mehr).

Was meint Ihr, wie interessant das für die Behörden wäre, diese Zugriffsprotokolle zu haben, wenn die Webseite jemandem gehört, der unter Terrorismusverdacht oder so steht. Und da regen die sich alle über die Vorratsdatenspeicherung auf.

So ein Server wäre eine absolute Datenschutzkatastrophe und würde im Datenschutz sehr viel mehr Schaden hinterlassen, als er nutzen könnte. Und daß die Sache laut Sueddeutscher letztlich auf den Innenminister de Maizière zurückgeht – ein Schelm, wer sich was dabei denkt.

Und dazu sagt Aigner in der Sueddeutschen:

Deutsche Unternehmen haben das Zeug, in dieser Frage zu Vorreitern zu werden. Diese Chance dürfen sie sich nicht entgehen lassen. Made in Germany sollte weltweit für höchsten Datenschutz im Internet stehen.

Es wäre zum Lachen, wenn es nicht so traurig wäre. Irgendwie sind der Dame da mit Maßstäbe entglitten, und wir machen uns als Deutsche gerade weltweit lächerlich – mehr noch als mit der Street-View-Verpixelung. Die war nämlich nur dämlich. Hier richten wir aber mehr Schaden als Nutzen an, weil eine zentrale Stelle damit zum Protokollanten aller Zugriffe wird, selbst dann wenn ein ausländischer Benutzer auf einen ausländischen Webserver zugreift.

Und da schreit die Aigner so über die USA, die sich nicht an unser Datenschutzrecht halten. Hat mal jemand drüber nachgedacht, ob ein solcher Server das Datenschutzrecht anderer Länder verletzt? Oder gilt der Dummspruch vom Internet, das kein rechtsfreier Raum sein darf, etwa nur für deutsches Recht? Wir regen uns darüber auf, wenn irgendwer ein Profiling von Internet-Nutzern anlegt, aber hier machen die das ohne mit der Wimper zu zucken.

Würde ich also irgendwo auf der Welt einen Webserver betreiben, dann würde ich das Einstellen solcher verschlüsselter Bilder verbieten und verhindern – und zwar gerade wegen des Datenschutzes, den das System so sehr verletzt.

Ich jedenfalls wäre auch nicht damit einverstanden, wenn ich als Besucher auf eine Webseite zugreife und mein Browser dann im Hintergrund beim Bundesschlüsselserver anzeigt, welche Webseiten ich besucht habe.

Das wäre nämlich dann auch eine Erweiterung der Vorratsdatenspeicherung. Dann weiß der Staat nämlich nicht nur, welche IP-Adresse ich wann gehabt habe, sondern dann weiß er auch etwas darüber, welche Webseiten ich besuche. Und die Aufzeichnung des Verkehrs war bisher nicht Teil der Vorratsdatenspeicherung.

Und vermutlich wird man sich auch namentlich beim Server registrieren müssen, um den Dienst in Anspruch nehmen zu können, womit der Betreiber dann auch gleich noch sehen kann, wer das Bild auf dem ausländischen Server gestellt hat. Was dann gleich noch den hübschen, aber kontraproduktiven Nebeneffekt hat, daß der Serverbetreiber sofort weiß, wer derjenige ist, der da bei der Firmenfeier nackt und besoffen auf dem Tisch tanzt – und dabei wollte man ja gerade das als Datenschutz verhindern.

Also entweder ist dieses System nicht nur technisch-kryptographisch, sondern auch rechtlich ganz großer Unfug, oder irgendwer versucht hier gerade, die Öffentlichkeit massiv hinters Licht zu führen. Denke ich an die Ungereimtheiten mit De-Mail und dessen Sicherheit, glaube ich sogar fast an Letzteres.

Und schaut man sich die Liste der Medien an, die über diesen Unfug berichtet haben (ich weiß nicht, ob sie positiv berichtet haben, aber Kritik hätte Backes wohl nicht aufgelistet), habe ich ernsthafte Zweifel daran, daß man der Presse noch irgendwo vertrauen kann.

Einschleichende Zensur?

Aber nicht nur zur Vorratsdatenspeicherung paßt der Vorschlag. Auch zur Kinderpornosperre und den Zensurbestrebungen.

Denn in dem Moment, wo ein Bild zwar im Ausland gespeichert ist, aber der Schlüssel dazu auf einem deutschen Server liegt, fällt das unter deutsches Recht und in den Entscheidungsbereich deutscher Richter.

Und noch schlimmer ist, daß nach der derzeit geltenden Rechtsauffassung der Betreiber des Servers der Störerhaftung unterliegt, weil man ihm durchaus unterstellen kann, daß er am Lesen von Bildern usw. aktiv teilnimmt, weil ohne seine Herausgabe des Schlüssels ein Lesen nicht mehr möglich wäre.

Unter Anwendung der bestehenden Rechtsmeinung käme man – etwa bei einer Unterlassungsklage oder Sperrverfügung – ohne weiteres zu dem Ergebnis, daß der Betreiber Störer ist und auch nicht nur Zugangsprovider, sondern am Content mitwirkt, und auf Unterlassung in Anspruch genommen werden kann. Das bedeutet, daß selbst dann, wenn eine Datei im Ausland liegt, deutsche Gerichte den Zugriff effektiv sperren könnten, falls denn das Verfahren verwendet wird (und der beschriebene Angriff nicht stattfindet).

Wer also einen solchen Server betreibt (der wohl ohnehin nur nennenswert genutzt würde, wenn man dazu verpflichtet wäre), könnte/müßte sich darauf gefaßt machen, Hauptangriffsziel des Abmahn- und Unterlassungsindustriezweiges der deutschen Anwälte zu werden. Fragt sich, wer so blöd ist, ein solches Risiko einzugehen.

Apropos Risiko: Warum sollte überhaupt jemand einen solchen Schlüsselserver betreiben? Was hat er davon außer Ärger, Kosten und Betriebsrisiko? Er müßte Geld dafür verlangen. Womit wir beim Problem des Bezahlens und damit schon wieder beim Problem des Datenschutzes wären…

Systematische Inkompetenz

Über die Mängel des Einzelfalles hinaus wirft der Vorgang ganz erhebliche und tiefe Zweifel an der fachlichen Befähigung Professor Backes’ als Professor, Informatiker, Sicherheitsfachmann und Kryptologe auf, die ich vor allem deshalb ansprechen möchte, weil es grobe Befähigungslücken sind, die in Deutschland eigentlich für alle Universitäts-Professoren unter den Informatikern, besonders die, die auf IT-Sicherheit und Kryptographie machen, notorisch und für die Inkompetenz der ganzen Branche symptomatisch sind, weil grundlegende wissenschaftliche und sicherheitstechnische Fähigkeiten nicht gelehrt und nicht erlernt werden:

Welches Problem soll denn da überhaupt gelöst werden? Wichtigste Voraussetzung für ein Sicherheitsverfahren – oder überhaupt jedes Verfahren, jede Konstruktion in Informatik oder den anderen Ingenieurwissenschaften – daß man erst einmal erkennt, feststellt und beschreibt, welches Problem man lösen will. Insbesondere in der IT-Sicherheit und in der Kryptographie ist es ganz wichtig, daß man beschreibt, wer der Angreifer ist, wo er bezüglich der Kommunikation sitzt, wie er angreift, worin der Schaden besteht. Wie will man denn ein Verfahren konstruieren, wenn man sich nicht im klaren ist, wo das Ziel ist? Und wie will man Wirksamkeit und Erfolg messen, wenn man nicht weiß, woran? Da ist hier aber nur Gefasel, und eigentlich nicht mal das. Ein paar armselige Powerpoints als Video verkauft. Und im Text so eine ganz allgemeine Feststellung, daß heute alles anders wäre als früher. Will man so etwa IT-Sicherheit betreiben? Mit so oberflächlichem BlaBla und ohne erkennbares Ziel? Hintergrund ist die chronische Krankheit der deutschen Informatik. Es werden nicht Probleme gelöst. Es werden isoliert Lösungen gebaut und dann erwartet, daß sich die passenden Probleme selbst einstellen oder zugeliefert werden. Selbst wenn man unterstellt, das Verfahren funktionierte: Ist es wirklich ein nennenswertes Problem, daß Bilder nach der beabsichtigten Zeit noch im Internet mißbraucht werden? Freilich schreibt die Journalie ja immer wieder das gleiche, kommt immer wieder die (erfundene?) Anekdote von dem armen Menschen, dessen Bewerbung um eine Stelle bei irgendeiner Firma gescheitert ist, weil der Personaler beim Googeln über die Saufbilder von der Party von vor 10 Jahren gestolpert ist. Urban Legend? Oder wurde das Bild gar nicht vom Abgelichteten selbst, sondern von irgendwelchen fiesen Handyknipsern eingestellt, die einen Teufel tun werden, und ihren Bildern noch ein Ablaufdatum bzw. einen Rückrufmechanismus mitgeben werden? In wievielen Fällen ist denn überhaupt die Situation gegeben, daß der Bildberechtigte selbst ein Bild einstellt, also die Verschlüsselung überhaupt durchführen und das Ablaufdatum selbst bestimmen könnte, und es dann zu Schaden kam, weil irgendwer das Bild runterkopiert hatte oder er es nicht löschen konnte? Und würden nicht gerade Betreiber wie Google & Co. versuchen, das Verfahren auszuhebeln? Ich tue mir gerade sehr schwer damit, dahinter einen Angriff zu sehen, der im Verhältnis zu all den anderen offenen Problemen signifikant wäre. Und IT-Sicherheit hat nun mal mit dem Abwehren von Angriffen (und nicht nur mit dem Vortanzen vor der Ministerin) zu tun. Worauf beruht eigentlich die Sicherheitswirkung? Eine der einfachsten Selbstverständlichkeiten ist, daß man nachvollziehbar beschreibt, worauf die Sicherheitswirkung eines Verfahrens beruhen soll. Backes schreibt aber schon selbst, daß es eigentlich nicht so richtig wirkt, und er schreibt: Die hierfür benötigte menschliche Interaktion erhöht den Aufwand eines Angreifers beim Sammeln von Schlüsseln enorm. Was ist das für ein Geschwafel? Das ist doch keine Aussage, nicht nachprüfbar, nichts was eines Wissenschaftlers, gar eines Kryptologen würdig wäre. Wieviel ist denn „enorm”? Und worauf beruht diese Aussage? Ich habe ja oben gezeigt, daß diese Annahme nicht stimmt. Und dann steht da noch: Es muss verhindert werden, dass ein Angreifer alle Schlüssel speichert und somit sich immer Zugriff auf alle Daten bewahrt. Dies verhindert unser System, indem es das Lösen eines CAPTCHAs für das Herunterladen von Schlüsseln erfordert. Das ist doch offenkundig falsch. Wieso soll das Lösen eines Captchas verhindern können, daß ich mir anschließend den Schlüssel dauerhaft speichere? Oder mit anderen dabei kooperiere (s.o.)? Da stimmt doch gar nichts. Er macht einen der häufigsten Standard-Fehler deutscher Universitäts-Sicherheits-Wissenschaftler: Er unterstellt, daß sich der Angreifer wohlverhält und das Protokoll mitspielt. Ich habe schon soooo viele Sicherheitsprotokolle von deutschen Universitäten gesehen, die nicht sichern, sondern lediglich „funktionieren” – solange der Angreifer mitspielt und sich an die Regeln hält. Als würde man einen Tresor bauen, dessen Sicherheitswirkung allein auf der Annahme beruht, daß Einbrecher nicht klauen wollen. Deshalb bringen die meisten Protokolle und Verfahren auch keine echte Sicherheit. Und als Sicherheitsnachweis wird meistens auch nur gezeigt, daß das Verfahren die „abgesicherte” Hauptfunktion nicht weiter stört, wenn alle brav sind. Und so wird auch hier einfach unterstellt, daß die Benutzer so treudoof mitspielen und es ihnen einfach mal zu lästig und unangenehm ist, Schlüssel aufzuzeichnen oder ähnliches. So kann man natürlich ganz viele tolle Sicherheitssysteme bauen, wenn sie darauf beruhen, daß dem Angreifer das Angreifen zu lästig ist und er es lieber bleiben läßt. So funktioniert ein Großteil der deutschen Sicherheitswissenschaft. (Die Uni Karlsruhe ist sogar der Auffassung, daß es in der Sicherheitstechnik grundsätzlich falsch ist, einen Angreifer zu betrachten, weil es Angreifer im Allgemeinen überhaupt nicht gibt, und Sicherheit eine beliebige transitive Eigenschaft ist. Das erleichtert die Sicherheitswissenschaft natürlich ungemein, wenn es keine Angreifer gibt oder man ihnen einfach unterstellt, daß ihnen Angriffe zu anstrengend sind. Unsere Politik täte sich auch viel leichter, wenn sie unterstellte, daß es keine Terroristen gibt oder die keine Lust mehr haben.) Das Wissen über Datenschutz ist anscheinend gleich oder nahe Null. Das ist natürlich die passende akademische Voraussetzung, um ein Datenschutzverfahren zu entwickeln. (Ist an deutschen Universitäten aber insbesondere in Informatik weder notwendig, noch üblich oder erwartet, daß man sich in dem Gebiet auskennt, über das man redet.) Um Kommunikationssicherheit zu treiben, und um die geht es hier, muß man eine topologische Analyse der Kommunikation und der Angreiferposition erstellen. Hätte Backes das getan, dann hätte er ein wesentliches Problem dabei erkannt, nämlich daß der Angreifer in der Position des Kommunikationspartners ist, und man schon deshalb mit symmetrischen Chiffren nicht weit kommt, und das Problem an sich deutlich komplexer ist und sein muß, als man mit solchen Trivial-Verfahren erreichen kann. Da fehlt es schon an der grundlegenden Systematik von Sicherheitsentwürfen. Das wirkt so richtig laienhaft, wie jemand, der sich zum ersten Mal an sowas versucht. Wie die üblichen Fragen und Vorschläge, die einem in der täglichen Praxis von Frachfremden immer wieder vorgetragen werden. Ebenso gehört es zu dem wichtigen Wissen für die Kryptologie, daß kryptographische Verfahren niemals ein Problem lösen, sondern immer nur ein Problem in ein oder mehrere andere transformieren. Jede Anwendung einer kryptographischen Technik setzt die Identifikation, Betrachtung und Lösung des daraus erwachsenden neuen Problems voraus. Kryptographische Sicherheit zu bauen heißt auch immer, eine Kette von Transformationen darzustellen, an deren Ende eine nicht-kryptographische Methode stehen muß. Dazu würde hier die Erkenntnis gehören, daß der Angreifer mit der Entschlüsselung sowohl Schlüssel, als auch Klartext hat und dann damit tun und lassen kann, was er will. Und das Problem müßte man betrachten. Backes ignoriert es aber einfach – weil er es auch nicht richtig erkannt hat. Auch da fehlen die Systematik und grundlegende Arbeitsweisen. Einfach eine Verschlüsselung hinzuwerfen und das war’s, das funktioniert nicht. Und dazu gehört dann auch nicht nur die Erkennung des Folgeproblems, das aus der Anwendung von Kryptographie erwächst, sondern auch die Erkennung des Primärproblems, das man lösen will, von dem man wegtransformieren will. Symmetrische Chiffren transformieren dabei gar nicht mal so toll: Eine Transformationseigenschaft ist die Verkehrsreduktion. Man muß nicht mehr die ganze Nachricht durch einen sicheren Kanal schicken, um sie vertraulich zu halten, sondern nur noch den (meist im Verhältnis zur Nachricht relativ kurzen) Schlüssel. Man spart also Bandbreite/Rechenleistung, weil symmetrische Chiffren die Bandbreite transformieren. Das ist hier aber nicht das wirliche Problem. Eine zweite Eigenschaft von symmetrischen Chiffren ist, daß sie den Zeitpunkt transformieren. Man kann den Schlüssel also schon übertragen, bevor man die eigentlich Nachricht selbst kennt, und damit ausnutzen, daß der sichere Kanal vorher, aber nicht mehr bei Übertragung der Nachricht zur Verfügung steht, um sie vertraulich zu halten. Das ist hier auch nicht das Problem. (Aus diesen beiden Eigenschaften der symmetrischen Verschlüsselung folgt die Standard-Frage, die man in solchen Fällen grundsätzlich immer stellen muß: Bringt die Verschlüsselung überhaupt etwas, oder kann man an Stelle des Schlüssels nicht besser gleich die Nachricht selbst auf dem sicheren Kanal übertragen? Man muß eine vernünftige Antwort darauf und einen triftigen, dokumentierten Grund haben, warum man die Übertragung der Nachricht auf dem sicheren Kanal durch die Übertragung des Schlüssels auf dem sicheren Kanal ersetzen will. Das gehört eigentlich zum Grundhandwerkszeug des Kryptologen und Sicherheitsingenieurs.) Das stinkt also gewaltig danach, daß dieser Professor Backes versucht, mit symmetrischen Chiffren ein Problem zu lösen, das diese nicht transformieren (sprich: lösen), er also einfach das falsche Werkzeug verwendet. Und in der Tat sieht das auch so aus, man könnte nämlich das Problem auf genau dieselbe Weise ganz ohne Kryptographie lösen, indem man statt eines Bildes nur ein Dummy-Bild mit einer eindeutigen Nummer/ID speichert, und das Browser-Plugin vom zentralen Server nicht den Schlüssel, sondern das Bild holt. Oder nochmal etwas verallgemeinert ausgedrückt: Statt der ID nehmen wir gleich einen URL. Man müßte also statt dem ganzen Krypto-Quatsch einfach eine Referenz auf ein Bild, also einen URL speichern. Entweder, indem wir die Betreiber wie Google und Facebook dazu anhalten, das zu erlauben, oder aber, indem wir ein JPEG ein neues Tag einführen, das den URL des echten Bildes enthält, und als Bild-Inhalt ein leeres Bild oder einen Hinweistext anzeigen. Das Browser-Plugin könnte dann das Bild automatisch durch das ersetzen, was von dem URL geholt wird. Damit könnte man also ein Facebook-Profil mit einem JPEG-Bild bauen, und das Bild trotzdem auf einem vertrauenswürdigen deutschen Server ablegen, auf dem man es löschen kann, und der es an Crawler wie Google nicht herausgibt. Damit hätte man exakt denselben Effekt wie X-pire! erreicht, sogar einen noch viel besseren, weil es keine Schlüssel gibt, auf die man aufpassen muß, ein „Piratenserver” sich nicht auf das Speichern von Schlüsseln beschränken könnte, und man wirklich nur einen Speicherort hat, und nicht einmal einen zentralen, teuren, kostenpflichtigen, datenschutzproblematischen X-pire!-Server hat, sondern das Bild auf jedem beliebigen Server unter eigener Kontrolle ablegen kann. Ich könnte mein Bild also hier auf meinem eigenen Server unter danisch.de ablegen und müßte mich um niemanden sonst scheren, der Staat könnte nicht automatisch mitprotokollieren, ich müßte niemanden dafür bezahlen. X-pire! tut wirklich gar nichts, was das nicht auch tun würde. Und wer den Blödsinn Captcha wirklich will, könnte das in das dafür zuständige Browser-Plugin ebenfalls einbauen. Und damit komme ich zurück auf das, was ich oben über das falsche Werkzeug, über das Anwenden einer symmetrischen Chiffre auf das falsche Problem, das sie nicht löst, gesagt habe. Denn das Problem, was Backes hier angeht, ist bei Licht betrachtet gar nicht das der Vertraulichkeit oder des sicheren Kanals (wofür sym. Chiffren taugen), sondern das der Verfügbarkeit einer Ressource und der Zugangsberechtigung. Und das ist überhaupt kein Problem der Kommunikationssicherheit und damit auch nicht der Kryptographie, sondern ein Problem der Systemsicherheit, und fällt damit in die Thematik der Bereitstellung eines sog. Referenzmonitors, oder verständlich gesagt: Die Daten auf einen Webserver zu legen, auf dem man selbst das Sagen hat und die Bilder löschen kann. Ganz banal. Eigentlich geht es also nur darum, die Bilder nicht auf dem »bösen« Server zu speichern, über den man keine Löschkontrolle hat, sondern dort nur die Referenz auf den Speicherort auf dem »guten« Server, den man unter Kontrolle hat und auf dem man Zugriffsrechte (hier: nur über die Zeit, man könnte aber auch mehr machen) durchsetzen kann. Einfach nur die völlig banale und unspektakuläre Einführung einer Indirektionsstufe vom Fremdsystem auf das eigene. Das ist das, was Backes da eigentlich macht, und was mit Kryptographie überhaupt nichts zu tun hat, und das man mit Kryptographie auch nicht lösen kann, weil es eben System- und nicht Kommunikationssicherheit ist. Er rührt halt einfach nur laienhaft Kryptographie irgendwie da rein und verwendet die Schlüssel und die Bild-Nummer als Querreferenz. Der Mann ist Professor für Informationssicherheit und Kryptographie – und weiß anscheinend nicht einmal, was das überhaupt ist. So sieht’s aus. Und damit kommen wir zum eigentlichen Problem: Beware of snakeoil! Wenn jemand unter Anwendung von Kryptographie überhaupt nichts erreicht, was nicht auch genausogut (oder sogar besser) unter Weglassen der Kryptographie bzw. durch eine simple organisatorische Maßnahme zu erreichen ist, dann weiß man sicher und genau, daß derjenigen überhaupt keine Krypto- oder Sicherheitsentwurf gemacht hat, sondern nach der (in der deutschen Universitäts-Informatik-Szene leider sehr verbreiteten) Eintopf-Methode vorgegangen ist: Einfach mal alles, in einen Topf werfen, ein paar aktuelle Krypto-Begriffe mit reinwerfen, dreimal umrühren und dem Ding einen tollen Namen geben. Die Leute werden es schon fressen. Wer Kryptoverfahren anwendet und damit keinen Schritt weiterkommt, wer sie also nicht konstruktiv, sondern nur plaktiv verwendet, hat keine Ahnung von Kryptographie und ist ein Scharlatan.

In diesem ganzen Ding ist doch überhaupt nichts drin, was auf Sachkunde, Wissen oder Berufserfahrung schließen ließe. Das ist laienhaft, stümperhaft, dilettantisch. Der scheint mit Informationssicherheit und Kryptographie nicht umgehen zu können.

Und der Mann ist ordentlicher Professor für Informations-Sicherheit und Kryptographie! Wie kann sowas passieren? (Und immer dran denken, die Leute sind verbeamtet, die bezahlen und alimentieren wir mit unseren Steuergeldern bis zum Tod, und das noch mit einer höheren Pension, als ein Angestellter Rente bekommt.)

Was läuft da an der Universität Saarbrücken so schief, daß jemand, der einen solchen Unfug von sich gibt, Professor für dieses Thema werden kann?

Die Frage ist vielleicht falsch gestellt. Denn 2007 wollte die Universität Karlsruhe die Nachfolge des verstorbenen Professors Beth besetzen. Im damaligen Berufungsverfahren gab es 42 Bewerbungen. Und auf Platz 1 der Rangliste landete – Michael Backes. Was läuft in Karlsruhe schief, daß der da ebenfalls solchen Erfolg haben konnte? Suchen die sich systematisch die Leute raus, die vom Thema keine Ahnung haben? Eine Äußerung aus der Uni Karlsruhe im damaligen Berufungsverfahren läuft jedenfalls darauf hinaus.

Andererseits könnte er auch unabhängig von der Befähigung als Dummy auf die Liste gekommen sein, denn der Wunschkandidat der Uni Karlsruhe war eine – eigentlich verbotene – Hausberufung, der auch nicht viel drauf hatte. Also hat man ihn zusammen mit zwei anderen in einen Dreiervorschlag gepackt, neben denen er nicht zu schlecht aussah, und damit vielleicht bewußt zwei Konkurrenten genommen, die nicht der Brüller waren – und die beide keine echten Konkurrenten waren, weil sie beide schon anderweitig Professuren angenommen hatten, Backes von Platz 1 in Saarbrücken und der von Platz 3 in Darmstadt, also beide nicht mehr zur Berufung standen. Der Dreiervorschlag war also in Wirklichkeit ein Einervorschlag. Die Akten der anderen 39 Bewerber hatte man schon rückstandslos entsorgt. Damit hat man gedeichselt, daß der Hauskandidat auf Platz 2 durchrutschen konnte, weil das Ministerium die Besetzung nicht weiter verzögern wollte, ein höchst fragwürdiges Manöver. Man könnte sich sogar die Frage stellen, ob man sich da nicht sogar in gegenseitiger Absprache Dummy-Kandidaten zuschiebt, weil man so die eigenen Kandidaten in einem Pseudo-Dreier-Vorschlag tarnen kann und es immer gut wirkt (und höhere Bezahlung bringt), wenn man vorweisen kann, an einer anderne Uni auf Platz 1 der Berufungsliste gewesen zu haben – „und trotzdem hat er sich für uns entschieden!”

Was auch immer da gelaufen sein mag – solange an deutschen Universitäten Leute Professor für Informationssicherheit und Kryptographie werden können, die so einen Mist von sich geben, für den ich damals jeden Studenten, der mir sowas als Seminar- oder Studienarbeit abgeliefert hätte, zum Teufel gejagt hätte, haben wir in Forschung und Ausbildung ein ganz grundlegendes katastrophales Fundamentalproblem, was jeden Fortschritt in einer Schlüsseltechnologie wie dem Internet verhindert. Und weil wir diese Leute ja auch verbeamten und sie dann bis 67 arbeiten lassen, werden wir dieses Problem auch in den nächsten 30-40 Jahren nicht mehr los.

Ja, liebe Frau Ministerin Aigner, dann mal viel Spaß bei Ihrer „Fachkonferenz” am 11. Januar. Die Presse wird ja wieder politloyal und auftragsgemäß jubeln. „Höchster Datenschutz made in Germany” und so.

Nachtrag 1: Was möglicherweise noch nicht so ganz explizit aus dem Text hervorging: Das ist ein schönes Beispiel dafür, daß das Reinrühren von Kryptographie nicht automatisch etwas sicherer macht, sondern auch das Gegenteil bewirken kann. Treibt man das so, wie ich das oben vorgeschlagen habe, ohne diese Verschlüsselung, aber mit einer Referenz (als img-Tag oder als Erweiterung von JPEG durch ein entsprechendes Tag) auf einen vertrauenswürdigen Server, dann müßte der Piratenserver das ganze Bild speichern und bräuchte damit sehr viel Platz und Bandbreite. Mit X-pire! muß der Piratenserver aber nur die Schlüssel speichern, braucht also mal locker und geschätzt um den Faktor 1000 weniger Platz und Bandbreite, und die modifizierten Clients können das eben auch als Schlüsselsammlung cachen und speichern. Der unbedachte Einsatz von Kryptographie macht das Verfahren also nicht etwa stärker, wie durch das Buzzword „Verschlüsselung” suggeriert wird, sondern sogar schwächer. Weil die von mir oben erwähnte, für die symmetrische Verschlüsselung charakteristische Bandbreitentransformation hier nicht dem Rechteinhaber oder befugten Benutzer, sondern nur dem Angreifer zugute kommt. Also mal Kryptographie so richtig kontraproduktiv eingesetzt. (Oh wie glücklich das Land, das solche Professoren für Kryptographie hat…)

Nachtrag 2: Wenn ich das Bild auf meinen eigenen (bzw. einen lokalen vertrauenswürdigen) Server lege, und auf Facebook oder wo auch immer nur eine Referenz ablege, habe ich gegenüber X-pire! sogar noch den – völlig trivialen, kostenlosen und ohne jeden Aufwand erzielten – Vorteil, daß ich über meine eigene robots.txt-Datei steuern kann, ob und wie die Bilddaten in Suchmaschinen aufgenommen und gecacht werden sollen. Zumindest die großen, seriösen Anbieter halten sich dran. Und macht man das nicht über <img src=… , sondern wie vorgeschlagen über ein neues JPEG-Tag, hätte man sogar gewisse Chancen (bzw. könnte mit denen vereinbaren), daß Suchmaschinen dem nicht folgen und das Bild daher gar nicht finden.