Philip Zimmermann |
Häufig gestellte FragenSeit vielen Jahren stellen mir PGP-Benutzer per e-mail immer wieder die gleiche Frage. Immer wieder anders formuliert, aber täglich die gleiche Frage: Frage: Enthält PGP eine Hintertür? Kommen Sie schon, mir können Sie es sagen, ich erzähle es nicht weiter. Antwort: Nein. Es hat nie und wird nie eine Hintertür in diesem Produkt geben, solange ich mit diesem Programm zu tun habe. Ich habe mich nicht durch all diese Schwierigkeiten hindurchgekämpft nur um zu sehen, dass mein Produkt korrumpiert wird. Ausserdem veröffentlichen wir den Quellcode, jeder kann es also selber nachprüfen. Ausserdem habe ich in meinen politischen Texten (z.B. meine Aussage vor dem Senat, Warum ich PGP geschrieben habe und das Vorwort zu einem meiner Bücher) meine Wertvorstellungen und Motive dargelegt. Beim Studium der Texte kann der Leser meine Beweggründe erkennen, die dazu geführt haben, dass ich PGP entwickelte und weshalb ich nie eine Hintertür in PGP erlauben würde. Das Entwicklungsteam von PGP teilt diese Wertvorstellungen, sie arbeiten an PGP weil sie daran glauben. Diese Leute werden sicher keine Hintertüren in PGP einbauen. Nach jahrelanger Zusammenarbeit kann ich versichern, dass sich diese Leute genauso dieser Idee verpflichtet fühlen wie ich selber. Frage: Ich nehme an, dass in PGP seit dem Terroranschlag vom 11. September eine Hintertür eingefügt wurde. Stimmt das? Antwort: Nein, dieser Angriff hat meine Überzeugung in Sachen Privatshpäre und Bürgerrechte nicht verändert. Dazu verweise ich auf meine Antwort auf einen Artikel der Washington Post zum Thema 9/11. Frage: Ich habe ein Gerücht aufgeschnappt, das besagt, dass die Regierung die Anklage nur deshalb fallengelassen hat, weil Sie sich geeinigt haben, PGP mit einer Hintertür auszustatten. Stimmt das? Erzählen Sie es mir ruhig, ich sage es nicht weiter. Antwort: Sie haben falsch gehört. Nein, ich habe keine Vereinbarung abgeschlossen und hätte das auch nicht gemacht, wenn es der einzige Weg gewesen wäre um dem Gefängnis fernzubleiben. Aber ich musste gar nicht mit denen Verhandeln. Nach drei Jahren strafrechtlicher Untersuchung haben sie mich nicht angeklagt, weil wir sie besiegt haben. Die Regierung hätte grosse Probleme gehabt, wenn sie damals im Jahr 1996 die Gerichtsverhandlung angesetzt hätte. Es ging um wichtige verfassungsmässige Rechte. Ausserdem hatten sie auch ein gröberes Problem in der Beweisführung. Zusätzlich hätte es zu grossen politischen Problemen geführt, wenn ausgerechnet in einem Wahljahr ein solcher Prozess gestartet worden wäre, vor allem weil die Computerindustrie beinahe einstimmig gegen eine Strafverfolgung. Nicht alles in dieser Welt ist ein Ergebnis einer dunklen Verschwörung - manchmal gewinnt man auch einfach. Das war einer dieser Momente. Manchmal fragen mich die Leute ob die Regierung die Strafverfolgung abgeblasen hat, weil irgendein Weg gefunden wurde, PGP zu knacken, beispielsweise mit irgendeiner fantastischen Kryptoanalysemethode, also ohne dass PGP mit einer Hintertür ausgestattet wurde. Aus verschiedenen Gründen schätze ich dies als beinahe unmöglich ein. Erstens spricht dagegen, dass die NSA, wenn sie die Möglichkeit hätte PGP zu knacken, dieses Wissen geheim halten und darin sicher nicht einen Bundesanwalt einweihen würde. Die NSA würde der Polizei bei einem Geheimnis von dieser Tragweite nicht vertrauen. Dazu kommt, dass die Popularität von PGP durch den Übergriff der Regierung auf meine Person stark gesteigert wurde. Wenn die NSA PGP geknackt hätte, dann würde es also für die NSA mehr Sinn machen, zurückzulehnen und abzuwarten wie die Strafverfolgung läuft - weil dadurch die Verbreitung von PGP noch zusätzlich gesteigert würde und die NSA dadurch viel mehr Möglichkeiten hätte, von diesem Wissen zu profitieren. Wenn also die abgebrochene Strafverfolgung der einzige Beweis für die Fähigkeit der NSA sein soll, PGP-verschlüsselte Daten zu entziffern, dann habe ich dies nach meiner Auffassung mit den aufgezählten Gründen widerlegt. Der richtige Grund, weshalb es zu keiner Verurteilung gekommen ist: wir haben sie geschlagen. Frage: Ich habe gehört, dass wir nur den alten, verbotenen Versionen von PGP trauen können, so z.B. der Version 2.6.2 Alle späteren Versionen haben eine Hintertür, das ist der Grund, wieso sie von der Regierung erlaubt worden sind. Stimmt das? Kommen Sie, mir können Sie es sagen. Antwort: Nein, nein, nein. Die Versionsnummer hat nichts damit zu tun, ob eine Version aus der USA exportiert werden darf oder nicht. Bitte beachten Sie, dass keine Version von PGP "verboten" war. Man durfte das Programm immer schon in den USA verwenden, aber in den 90er Jahren unterlagen alle Programme mit starker Kryptographie einer Exportkontrolle, davon war auch PGP betroffen. Wenn die heutigen Versionen von PGP damals schon erhältlich gewesen wären, wären sie genauso unter die gleiche Exportkontrolle gefallen. Im Jahr 2000 hat die US-Regierung die Exportkontrolle von starker kryptographischer Software gelockert, das hat es erlaubt, alle Versionen von PGP auf legale Weise zu exportieren, somit auch die älteren Versionen wie z.B. 2.6.2. Das Gesetz hatte sich geändert, nicht die Software. Das Gesetz änderte sich, weil sich die gesamte US-Computerindustrie (sie stellt immerhin die grösste und stärkste Branche der USA dar) gemeinsam dafür einsetzte, die Exportrestriktionen abzuschwächen. Geld bedeutet politischen Einfluss. Nach jahrelangem Kampf gab die Regierung schliesslich auf. Hätte das Weisse Haus die Exportbeschränkungen nicht gelockert, hätte der Kongress und das Gerichtswesen der Regierung diesen Schritt abgenommen. Frage: Ich habe gehört, dass die Polizei ein paar Kriminelle geschnappt hat, die mit PGP gearbeitet haben. Die einzige Möglichkeit, wie die Polizei die Leute erwischt haben kann war, dass die Polizei PGP geknackt hat. Es muss also eine Hintertür geben. Können Sie dies bestätigen? Bitte erzählen Sie es mir, ich sage es auch nicht weiter. Antwort: Es gibt viele Wege wie die Polizei an die notwendigen Beweise gelangen kann, ohne dabei PGP zu knacken. Manchmal können sie Daten aus unverschlüsselten, gelöschten Textdateien wiederherstellen. Manchmal installieren sie ein Tastaturschnüffler um das Passwort mitzulesen, wenn es vom Anwender eingegeben wird. Manchmal verwendet das Zielobjekt auch einen zu einfaches Passwort, dass von der Polizei mit einer Lexikonattacke erraten werden kann. Vielleicht wurde auch eine Wanze (Mikrophon) im Büro installiert. Manchmal hat die Polizei auch Informanten. Die Liste lässt sich beliebig weiterführen. Keine dieser Möglichkeiten stützt sich auf eine kryptografische Schwächen oder eine Hintertür in PGP. Frage: Ich habe gehört, dass die US-Regierung eine Veröffentlichung von PGP nur erlauben würde, wenn es mit einer Hintertür ausgestattet ist. Gibt es eine? Sagen Sie es mir, von mir erfährt es niemand. Ich verspreche es. Antwort: Lest es von meinen Lippen ab: Es gibt keine Hintertüren in PGP. Habt ihr nicht aufgepasst? Schon mal daran gedacht, wie absurd es für mich ist, eine Frage per e-mail zu erhalten, die von einer fremden Person gestellt wird, die mir versichert, dass sie meine voraussichtlich skandalöse Antwort nicht öffentlich machen wird? Schaut mal her, wenn ihr wirklich den Drang verspührt an Verschwörungstheorien zu glauben, hier habe ich euch eine bessere: Die Regierung hat diese fiesen Gerüchte über Hintertüren in PGP in die Welt gesetzt, weil sie keine Möglichkeit haben, PGP zu knacken. Gibt es eine bessere Möglichkeit, die Leute davon abzuhalten, PGP zu benützen? Und ihr seid darauf reingefallen, weil ihr diese schlauen Gerüchte für bare Münze genommen habt. Ich persönlich glaube auch nicht an diese Verschwörungstheorie hier, weil ich - im Gegensatz zu anderen Leuten - kein Verschwörungsfanatiker bin. Frage: Sicher, ich habe das in einem chat room gehört, es stimmt. Bitte sagen Sie es mir, gibt es eine Hintertür? Antwort: Ich muss gehen. |