(Zeit: 17Min. 00Sek.) Sachverständigenanhörung durch einen Ausschuss:
"In der Regel ist das so, dass da ein Theater stattfindet, mit Leuten die natürlich eingeladen werden, um das zu sagen, was sie d sagen. Und da werden irgendwelche Berichter von irgendwelchen Verbänden eingeladen. Letztendlich ist das eine Gruppierung von Lobbyisten, die dann dort .. drängt und sagt "Das finden wir toll, das müssen wir unbedingt machen." Und dann wurde wörtlich von einem Sachverständigen gesagt:"
'Dass in der Hackerszene die Überzeugung besteht, es gibt keinen Server auf dieser Welt, den ich nicht knacken kann und deren Lieblingsobjekte die Geheimdienste, NASA usw., sind, das mag schon sein.
"Wie gesagt, das war vor Snowden, wenige Wochen."
'Aber danach kann ich nicht einen vernünftigen Standard für einen Alltagsautausch der Kommunikation etablieren.'"
"Der gute Mann hat natürlich das Thema verfehlt: Alltagsaustausch in der Kommunikation ist eine facebook-Nachricht. Da brauche ich jetzt nicht noch einen De-Mail-Server zu implementieren. Also habe ich gesagt "Na ja, Freunde, ich mache Euch einen Vorschlag: Jeder Email-Client unterstützt sogar S/Mime. Und Ihr habt den Leuten doch gerade irgendwie diese Personalausweise andrehen wollen, die sie auch nicht haben wollten. In diesen Personalausweisen ist eine SmartCard, und da könntet Ihr so ein Zertifikat drauf haben, und dann könnten die Leute damit richtig schön ihre De-Mails verschlüsseln und signieren. Hättet Ihr zwei Fliegen mit einer Klappe geschlagen und hättet zusätzlich ein sicheres De-Mail-System.
(Sie hätten sich in dem Moment natürlich auch die ganze De-Mail-Sache knicken können, weil sobald jemand in der Lage ist, sein Dokument vernünftig zu signieren, ist es auch völlig egal, womit er es mir zusendet. Die kryptographische Signatur unter einem Dokument ist genau für diesen Zweck da.)"
"Dann mussten sie irgendwie meinen Vorschlag der Ende-zu-Ende-Verschlüsselung ad absurdum führen und loswerden.
[Anm. von J. Gruber:
"The good news is that there are solutions. The weakness of mass surveillance is that it can
very easily be made much more expensive through changes in technical standards: pervasive,
end-to-end encryption can quickly make indiscriminate surveillance impossible on a costeffective
basis. The result is that governments are likely to fall back to traditional, targeted
surveillance founded upon an individualized suspicion. Governments cannot risk the discovery
of their exploits by simply throwing attacks at every "endpoint," or computer processor on the
end of a network connection, in the world. Mass surveillance, passive surveillance, relies upon
unencrypted or weakly encrypted communications at the global network level."
Quelle: E. Snowden, Testimony (im Cache), März 2014
Und dann sagten sie: "Geht das auch auf dem SmartPhone?" Und da habe ich gesagt: "Ja." Und es stimmt, es ist übrigens ein Tipp: S/Mime-Zertifikat aufs iphone laden. Aber ich habe auch gesagt: "Das halte ich nicht für eine gute Idee." Und dann wurde gefragt "Ja, mit der Ende-zu-Ende-Verschlüsselung da müssen Sie jetzt mal erklären: Wie macht man das denn, wenn man im Urlaub in der Türkei in einen Internetshop geht und seine Ende-zu-Ende verschlüsselte De-Mail abholen möchte?" Die richtige Antwort ist natürlich 'Man macht es nicht'."
(Zeit: 22Min. 57Sek.) "Vom Identitätsnachweis zur qualifizierten elektronischen Signatur"
"Die qualifizierte elektronische Signatur, das ist eine tatsächliche, richtige kryptographische Signatur, die dokumentgebunden angebracht wird. D.h. ich nehme einen Text, eine Email oder sonst was, mache ein bisschen Magie, und habe auf Grund von asymmetrischer Kryptographie die Möglichkeit, dass mein Empfänger feststellen kann, dass das Dokument, was ich ihm signiert gesendet habe, (a) von mir signiert wurde und (b) auf dem Weg nicht verändert wurde. Das ist ein sehr entscheidender Bestandteil von asymmetrischer Kryptographie, findet bei PGP sehr viel Anwendung, findet aber auch bei den anderen asymmetrischen Verschlüsselungsverfahren ... da wird's genauso gemacht. Also man signiert etwas, das gesamte SSL-CA-Modell ist darauf aufgebaut, dass eine andere vertrauenwürdige Instanz signiert, dass diese Person sie ist, und die signiert wiederum ihren Text, und dann kann man so eine trust chain aufbauen. Das ist wunderbar, ich bin froh, dass es das gibt."
"Und jetzt wurde also gesagt, wir bauen diese Funktion zu signieren in den neuen Personalausweis ein. Geht auch mit anderen Sachen, man kann das, wie ich dann lernte, auch bei seiner Bank beantragen. Dann kriegt man auf den SmartCard-Chip seiner EC-Karte ein Zertifikat. Das heißt, es geht so ab: Ich kriege ein Dokument, stecke meinen Personalausweis oder Signaturkarte in ein Lesegerät, gebe den Geheimcode an, um das Zertifikat darin freizuschalten, bringe die Signatur an, und dieses Dokument ist dann von mir signiert und mit gutem Recht genau so viel wert wie eine Signatur mit Tinte."
"Und wenn dann etwas signiert ist, dann muss man sich überlegen, welchen Sinn haben Signaturen. Juristisch geht's natürlich um einen Identitätsbeleg gegenüber Dritten. Ja, wenn mir jemand etwas unterschrieben hat, z.B. einen Vertrag, dann kann ich zu einem Dritten gehen, z.B. einem Richter, und kann sagen "Diese Person hat sich nicht an den Vertrag gehalten". Der Begriff dafür ist, glaube ich, "dokumentierte Willensbekundung". Die muss ich mit einer Signatur versehen."
"Eine andere Funktion des Personalausweises ist, es den Menschen zu vereinfachen, die Identität zu lesen. Man muss dann nicht mehr auf den Personalausweis gucken, sondern kann ihn an ein Lesegerät halten, gibt auch den Code ein und überträgt der Person die Daten, die in ihm gespeichert sind. Das dient natürlich nur zur einmaligen Identitätsfeststellung, weil derjenige nichts weiter bekommt. Er bekommt nur einmal die Daten der Person und ein Zeichen, dass der Ausweis nicht gefälscht ist. Es gibt also Ausweis-Zeigen, und es gibt Unterschreiben."
"Und jetzt schauen wir uns einmal an, was wir mit De-Mail machen. Bei De-Mail gehe ich einmal hin zur Post oder wo ich meinen Ausweis zeigen kann. Die sagen "Ja, wunderbar. Du kriegst ne De-Mail-Adresse." Und dann ist jede De-Mail, die ich schreibe, ein signiertes Dokument und gleichwertig mit der qualifizierten elektronischen Signatur, was natürlich das hier ad absurdum führt. Um das mal zu vergleichen: Gerichtsfestigkeit der De-Mail. Ich gehe irgenwann mal zur Post und zeige meinen Ausweis. Ich schreibe dann einen Brief, schreibe hinten meinen Absender drauf und werfe ihn in einen Briefkasten. Dann kommt Magie, und die Post unterschreibt jeden Brief für mich, und ich wandere dann, wo immer ich hin muss, hin. Hat natürlich den Nachteil, wenn jemand anders zu dem Briefkasten geht und da was einwirft (Zeit 27Min. 09Sek.). Blöd.
(Zeit: 27Min. 05Sek.) "Hab' ich gedacht, wenn die Richter das hören, die anderen Sachverständigen, die werden kreidebleich. Und dann sagte Dr. Wolfram Viethues "Klageschriften kann man auch per Postkarte einreichen, eine Klageschrift, die im Briefumschlag ist, ist auch nicht in Geheimschrift abgefasst, sondern Klartext." Mit anderen Worten, ich soll mal den Ball ein bisschen flacher spielen. Thema erledigt. Ich hab' ihn dann noch darauf hingewiesen, dass wir dann auch Klagen demnächst über web.de-Grußkarte, facebook- oder twitter-Nachricht einreichen werden."
(Zeit: 27Min. 50Sek.)"Sie haben sich wirklich mit Händen und Füßen gegen die Ende-zu-Ende-Verschlüsselung gewehrt. Die Tatsache, dass viele Menschen keine Ende-zu-Ende-Verschlüsselung benutzen, ist meines Erachtens zum großen Teil darin begründet, dass es nicht per Default in jedem Email-Client drin ist, insbesondere PGP haben wir da selten per Default integriert. S/Mime hat sich noch nicht so ganz rumgesprochen. Es wird einfach per Default nicht gemacht. Mit De-Mail hätte man einmalig die Gelegenheit gehabt, das wirklich so richtig schön zu machen, jedem Bürger sein eigenes Zertifikat zu geben, so richtig schön den Anteil von verschlüsselter Kommunikation, die der Staat nicht lesen kann, mal richtig signifikant zu erhöhen. Damit habe ich -glaube ich- auch erklärt, warum das nicht getan wurde.
