Keine Bewegung an der amerikanischen Kryptofront
Cypherpunks und Regierungsabgeordnete streiten weiter um den "vernichtenden" Charakter von Verschlüsselungssoftware.
"Die Sicherheit der amerikanischen Öffentlichkeit" sieht Peter Toren in Gefahr, wenn starke Kryptographieprogramme weltweit ohne Einschränkungen von Kriminellen genutzt werden können. Er denkt dabei vor allem an Terroristen, Drogenhändler, Vertreiber von Kinderpornographie oder Kreditkartenbetrüger, die durch den Einsatz von Verschlüsselungssoftware dem Arm des Gesetzes eine lange Nase drehen.
Allerdings konnte der Vertreter des Justizministerium der Vereinigten Staaten auf der Computer, Freedom, and Privacy Conference (CFP) in der neuen High-Tech-Wunderstadt Austin, Texas, Mitte Januar niemanden so richtig von der Regierungsansicht überzeugen, die "harte" Kryptoprogramme mit Schlüssellängen von über 40 Bit nach wie vor als nicht zum Export freigegebene "Waffen" ansieht und - gedrängt vor allem vom FBI - die Pläne für eine Hinterlegung (key escrow) oder der Möglichkeit zum "Nachmachen" der privaten Verschlüsselungssoftware (key recovery) aufrechthält.
Eingesehen hat die Regierung in den USA allerdings inzwischen, daß mit dieser Haltung die großen Fische kaum von Verbrechen abgehalten werden. "Vielleicht kriegen wir so die Kartells nicht", gab der aus Washington zur Verteidigung der politischen Pläne Abgesandte zu. Im Bereich der Alltagskriminalität sei aber viel zu erreichen, solange starke Verschlüsselung noch nicht in die Betriebssysteme von Microsoft eingebaut sei. Mit dieser Auffassung zeigte sich Toren ganz auf der Linie seines Ministeriums: Microsoft bietet selbstverständlich genauso wie der Konkurrent Netscape einen Webbrowser für Nordamerika mit einer 128-Bit-Verschlüsselung an. Doch für das Justizministerium zählt bekanntlicherweise der Internet Explorer nicht zum Betriebssystem.
In den Augen des Publikums bewies Toren damit allerdings nur, auf welch schwankendem Boden sich die Regierungsseite längst befindet: einerseits fordern Computerunternehmen seit langem freie Anwendungs- und Exportmöglichkeiten starker Kryptographiesoftware im Hinblick auf einen Abbau der Wettbewerbsnachteile im Vergleich zu Softwareunternehmen in Europa sowie auf eine schnellere Akzeptanz von E-Commerce im internationalen Rahmen, was bereits zu einer ersten Kompromißlösung geführt hat. So können beispielsweise Browserhersteller für den internationalen Markt eine Version anbieten, die Verschlüsselungen mit bis zu 128 Bit auf einzelnen, registrierten Websites - etwa von Banken - ermöglicht. Andererseits hat sich der FBI-Direktor Louis Freeh - im ewigen Kampf um die besten Spionagetechniken mit den Kollegen von der National Security Agency (NSA) - das erklärte Ziel gesetzt, bei Verdachtsmomenten jederzeit Zugang zu verschlüsselten Daten haben zu wollen. Im vergangenen Jahr forderte er deswegen, sogar die für den Landesgebrauch in den Staaten zugelassenen starken Kryptolösungen zu regulieren.
After January 31, 2000, it shall be unlawful for any person to manufacture for distribution, distribute, or import encryption products intended for sale or use in the United States, unless that product... includes features or functions that provide an immediate access to plaintext capability.
Aus dem Security and Freedom through Encryption ("Safe") Act
Die Ideen des FBI-Direktors haben längst Eingang in die Gesetzgebungspläne der USA gefunden. Vier Vorschläge zur Regulierung von Kryptographie liegen zur Zeit dem Kongreß vor. Am deutlichsten spiegelt dabei der sogenannte "Safe"-Act des Republikaners Bob Goodlatte die Haltung der Sicherheitsbehörden wider, der sowohl Kryptobeschränkungen für die USA als auch Key Recovery fordert und bisher die meisten Befürworter im Kongreß hat. Neu sind in dem aktuellen Entwurf zudem die Bestrebungen, rund um die Uhr einen sofortigen Zugang zu Schlüsseln und damit zum "Klartext" zu haben - ohne den Kryptographiebenutzern auch nur auf die Untersuchungen aufmerksam machen zu müssen. Eine wichtige Rolle würde dabei natürlich auch die internationale Übernahme der amerikanischen Pläne spielen. Zwei liberalere Gesetzesvorschläge sehen dagegen keine Notwendigkeit für eine Schlüsselhinterlegung bei der Regierung vor, auch wenn Hintertüren für die Sicherheitsbehörden nicht ausgeschlossen werden. Beiden mangelt es aber an Rückhalt im Kongreß.
Angesichts dieser Situation wäre es Alan Davidson vom Washingtoner Center for Democracy and Technology am liebsten, wenn in der nahen Zukunft überhaupt kein Kryptogesetz erlassen würde. Ein schlechtes Gesetz sei momentan schlimmer als ein weiteres Jahr der Ungewißheit und mit momentanen Exportbeschränkungen. Damit hatte er den Großteil des sich bunt aus Rechtsanwälten, Hackern, Crackern, Cypher- und Cyberpunks sowie Unternehmensabgesandten zusammensetzenden Auditoriums hinter sich. Patrick Ball vom AAAS Science and Human Rights Program etwa machte deutlich, daß seine Organisation durch ein Kryptoverbot in den Grundlagen ihrer Arbeit behindert würde. Internetnutzer aus Ländern mit Menschrechtsverletzungen seien darauf angewiesen, ihre Nachrichten absolut sicher an die Washingtoner Vereinigung zu schicken, da sonst ihr Leben auf dem Spiel stehe. Die ganze Diskussion um Kinderpornographie etwa findet er in diesem Zusammenhang stark "übertrieben", wenn man gegenrechne, daß täglich Hunderttausende Kinder weltweit grob mißhandelt würden.
Letztlich zeigte sich nur die Unternehmensseite von der Notwendigkeit einer gesetzlichen Kryptoregelung in Kürze überzeugt. "Wir machen Zweidrittel unserer Umsätze außerhalb der USA und das Thema Nummer eins für uns ist momentan die Sicherheit der Transaktionen", machte etwa Aaron Cross, Leiter der Abteilung für Öffentliche Fragen bei IBM, klar. Man befände sich nun bereits im sechsten Jahr einer intensiven und gereiften Debatte, die inzwischen "die Spitzen der Regierung und der Unternehmerschaft Amerikas" erreiche. Im Gegenzug für Exporterleichterungen für heimische Kryptoprodukte seien Schlüsselhinterlegungsmechanismen in Kauf zu nehmen - allerdings nur, wenn die Standards von der Industrie entwickelt würden. Seine weiteren Bedingungen für eine Kooperation mit der Regierung: der Öffentlichkeit müßte die Wahl der Verschlüsselungsmethoden freistehen, und ein sofortiger Zugriff auf alle verschlüsselten Inhalte stehe genauso wenig zur Debatte wie jegliche Beschränkungen für den Inlandsmarkt. Am besten wäre es aber, wenn die Regierung endlich "ganz aus dem Weg" gehen würde.
Insgesamt mußte Peter Toren sich sogar vom Rechtsprofessor Michael Froomkin die Frage gefallen lassen, ob die Regierung in der Kryptofrage national wie international nicht in eine Sackgasse geraten sei. Gerade aus Europa werden Einsprüche gegen die "Vorschriften" der amerikanischen Regierung erhoben, auch wenn Frankreich nach wie vor eine der strengsten Kryptoregelungen weltweit hat und auch in Großbritannien bzw. Deutschland die Pläne zur Schlüsselaufbewahrung mit Zugang für Regierungsbehörden nicht vom Tisch sind. Die EU vertritt jedoch eine liberale Kryptopolitik, auch wenn bisher nur Gesetzesvorschläge diskutiert werden. In einem internationalen Vergleich hat eine Studie des Electronic Privacy Information Center Anfang Februar zudem herausgefunden, daß von 243 Regierungen die amerikanische unter den demokratischen, hochindustrialisierten Ländern als einzige Administration die Beschränkung von Verschlüsselungssoftware im eigenen Land erwägt.
The only way of thinking of computers as a weapon of mass destruction is if you drop them off in a big volume from an airplane on people's heads.
Sun-CEO Scott McNealy
Wie lange die US-Regierung ihre immer isolierter wirkende Haltung gegenüber harter Verschlüsselungsangeboten noch aufrecht halten kann, ist unklar. Der Druck von Lobbygruppen nimmt momentan stark zu und immer mehr Entscheidungsträger nehmen sich der Frage an. Scott McNealy hatte beispielsweise kürzlich erklärt, daß die Lobbyorganisation der Computerindustrie im Silicon Valley in Washington die eigenen Bedürfnisse klarer darstellen werde. In der ganzen Diskussion sei ihm von Anfang an schleierhaft gewesen, wie mit Kryptographiesoftware ausgerüstete Computer in eine Kategorie mit Massenvernichtungsmitteln gelangen konnten.
Doch auch bis zu einer gesetzlichen Regelung der Kryptofrage durch den amerikanischen Kongreß muß der Recht der Welt nicht auf sichere Verschlüsselungssoftware Made in USA verzichten. "Es ist unmöglich, den Fluß von Kryptotechnologie zu verhindern", hatte der französische Anwalt Daniel Kahn bereits am Anfang der Konferenz klargemacht. Wenig später zeigten Cypherpunks und Hacker, wie das in der Praxis funktioniert. Phil Zimmermann, der legendäre Gründer der E-Mail-Verschlüsselungssoftware PGP , etwa machte darauf aufmerksam, daß der Sourcecode der US-Version seines Programms in ständig aktualisierter Auflage in Buchform publiziert werde, weil Printpublikationen vom Exportverbot ausgenommen sind. Beigelegt ist dem Buch eine auf Fehlererkennung optimierte Scannersoftware. Und in einer Nachtsession zeigten Hacker von der Universität Berkeley, wie einfach sich eine internationale Version von Netscape in ein eigentlich für den US-Markt vorbehaltenes vollwertiges Kryptoprodukt verwandeln läßt: Öffnet man das heruntergeladene Programm mit einem Unix-Editor wie Emacs, lassen sich mit zwei Wortänderungen die im Webbrowser eingebauten Kryptobeschränkungen aufheben. Wer es ganz einfach haben will: auf der Website von Fortify findet sich eine Applikation, die diesen Prozeß automatisiert.