Mit Indien reiht sich die bevölkerungsreichste Demokratie in die Liste der Länder ein, denen Verschlüsselung ein Dorn im Auge ist. Wenn es nach der Regierung geht, sollen künftig alle privaten und geschäftlichen Nutzer die Inhalte ihrer verschlüsselten Kommunikation 90 Tage lang im Klartext aufbewahren, damit Ermittlungsbehörden bei Bedarf auf sie zugreifen können. Die Regelung gilt ferner für verschlüsselt abgelegte Daten.

Im Entwurf zur nationalen Verschlüsselungs-Policy heißt es zudem, dass Verschlüsselungs-Algorithmen und Schlüssellängen vorgeschrieben werden. Das könnte möglicherweise bedeuten, dass gesetzlich verordnete Hintertüren in Software ein Stück näher rücken.

Mit Ausnahme von Massenprodukten auf SSL/TLS-Basis müssen sämtliche am indischen Markt vertretenen Anbieter von Verschlüsselungsprodukten ihre Waren bei einer Behörde registrieren und überprüfen lassen. Nutzern in Indien – offenbar auch solchen, die nicht Staatsbürger sind – ist es untersagt, nicht ordnungsgemäß registrierte Verschlüsselungslösungen zu verwenden.

Ausgenommen von der Regelung sind lediglich staatliche Behörden, die „sensitive und strategische Rollen“ erfüllen. Für Dienstleister, die etwa VPN-Zugänge oder andere IT-Dienste in Indien anbieten, könnte die Luft also bald eng werden, solange ihnen die Sicherheit ihrer Daten sowie Nutzer am Herzen liegt.

Indien ist nicht das erste Land, das mit den Folgen wirksamer Verschlüsselung zu kämpfen hat. In den vergangenen Jahren kam es wiederholt zu Forderungen, Hintertüren in Software einzubauen oder Schlüssel zur Dechiffrierung bei Ermittlungsbehörden zu hinterlassen. In Großbritannien plant die konservative Tories-Regierung, wie vor ihrer Wiederwahl in diesem Jahr versprochen, die sogenannte „snooper’s charter“ vor das Parlament zu bringen, das etwa den Einsatz verschlüsselter Messenger wie WhatsApp oder iMessage untersagen würde.

[Update 22. September 2015: Die indische Regierung hat den Gesetzentwurf nach heftigen Protesten zurückgezogen. Dabei wurde auch der Entwurf von der Ministeriums-Webseite gelöscht, den wir hier zu Dokumentationszwecken spiegeln.]