Skip to content

Vertrauen ist gut, Open Source ist besser

20. November 2007

Ein böses Erwachen erlebten kürzlich mehrere Kunden des Mailproviders Hushmail. Wie iTNews berichtet, bot der Provider unter anderem mit PGP verschlüsselte E-Mails an, die „nur Sender und Empfänger lesen können“. Die Schlüssel wurden vom Provider selbst, nach einem nicht näher beschriebenen System, verwaltet.

Kunden, die darauf vertrauten, dass die Inhalte ihrer Mails nur ihnen und dem Empfänger bekannt wurden, sollten eines besseren belehrt werden: Im Rahmen einer Gerichtsverhandlung wegen diverser Drogendelikte soll Hushmail die Private Keys einiger Kunden (also diejenigen Schlüssel, die zum Entschlüsseln von für einen selbst bestimmten Nachrichten verwendet werden und auf gar keinen Fall in fremde Hände gelangen sollten; eine Einführung in die Public Key-Kryptographie gibt es hier) dazu benutzt haben, deren E-Mails selbst zu entschlüsseln, und diese Mails dann an die Ermittlungsbehörden herausgegeben haben.

Dies ist besonders peinlich, als Hushmail offenbar unter anderem damit geworben hat, auch an die Autoritäten auf keinen Fall Schlüssel herauszugeben oder in einer ähnlichen Form zu kooperieren. Nachdem nun drei CDs mit Mails den Besitzer wechselten dürften die Kunden was das angeht schlauer sein. Wirklich helfen tut ihnen dies allerdings nicht mehr, ob sie nun wirklich „etwas zu verbergen“ haben oder versehentlich ins Visier der Ermittler geraten sind.

Über die Motive von Hushmail kann man nur spekulieren, ebenso wie über das Ausmaß an Druck durch die Behörden, der auf den Provider ausgeübt wurde, bevor dieser kooperierte. Das Grundproblem bei diesen Vorfällen liegt sowieso ganz woanders: Beim Vertrauen in eine Firma, da, wo man Möglichkeiten, sich abzusichern, aus der Hand gibt, und sich darauf verlässt, dass andere das für einen tun.

In aller Regel wird einem dabei nichts negatives passieren. Aber wie der Fall Hushmail zeigt, gibt es auch Gegenbeispiele- Fälle, in denen man sich als User auf eine Sicherheit verlässt, die dann faktisch nicht vorhanden ist. Fälle, in denen Vertrauen nicht erfüllt wird und man als Benutzer wenig Möglichkeiten hat, dagegen vorzugehen oder sich zu schützen.

Denkt man dies einen Schritt weiter, ist man bei einer etwas anderen Art der Freiheit, nämlich bei freier Software. Vergleichen wir einmal eine Dienstleistung wie Hushmail und beispielsweise ein Tool zur Festplattenverschlüsselung von einem beliebigen kommerziellen Hersteller (bei dem es sich, wie in diesen Fällen oft üblich, um Closed Source handelt). An sich sind die beiden Fälle gar nicht so unterschiedlich: In beiden Fällen ist der Kunde auf der Suche nach höherer Sicherheit, die er sich zu verschaffen versucht, indem er das Angebot eines kommerziellen Herstellers wahrnimmt. Der Hersteller versichert, dass seine Produkte sicher sind und weder durch Designfehler noch durch absichtliche Eingriffe kompromittiert sind. Der Kunde kann dies nun glauben, er wird sogar möglicherweise einige Erfahrungswerte haben, die ihn die Situation etwas besser einschätzen lassen. Wirklich wissen kann er aber nicht, ob die Versicherungen des Anbieters stimmen. Ebenso gut könnte ein Programmierer eine dicke Vulnerability übersehen haben, die sich auf russischen Exploit-Börsen bereits großer Beliebtheit erfreut. Oder der Programmierer wurde vom Chef gefeuert und verkauft die Vulnerability selbst auf einer Exploit-Börse. Oder aber in den Verschlüsselungsalgorithmus wurde eine Backdoor eingebaut, deren Master Key die Herstellerfirma besitzt, und der Praktikant dieser Firma ist schon mit der DVD-Hülle auf dem Weg zum Polizeirevier. Unwahrscheinliche, aber durchaus denkbare Risiken bei der Verwendung von „Black Box“-Software.

Open Source dagegen ist zwar nicht unfehlbar, aber wesentlich besser kontrollierbar. Auch wenn der normale User den Sourcecode nicht besser versteht als das Kamasutra auf altindisch (meine Güte, werden die Googlebots an diesem Satz nun ihre Freude haben) wird es immer Menschen geben, die genau verstehen, was hinter den Kulissen eines Programms passiert, und dementsprechend merken, wenn etwas nicht stimmt. Exploits haben so ebenso erhöhte Chancen, gefunden zu werden, wie Backdoors oder Spionagefunktionen.

Um noch einmal auf Hushmail zurückzukommen: Mit Enigmail wäre das nicht passiert. Verschlüsselt man selbst, auf dem eigenen Rechner, ist das zwar (gerade für unerfahrene Benutzer) mehr Aufwand, aber dafür weiß man auch, was mit den Keys passiert. Man wiegt sich nicht in der falschen Sicherheit, dass schon jemand auf einen aufpasst, wenn dieser Jemand möglicherweise längst ganz andere Interessen verfolgt.

Das selbe gilt bei Software. Wer die Wahl hat zwischen Vertrauen und etwas Sensible Guessing auf der einen und einer engagierten, teilweise sehr kompetenten Community, die nach Fehlern sucht, auf der anderen Seite, sollte sich überlegen, ob er nicht trotz der möglicherweise schwierigen Eingewöhnung die zweite Variante wählt.

Das hat wenig mit Ideologie zu tun (sicher gibt es auch sehr eifrige Verfechter freier Software, für die selbst ein unter Wine laufendes kommerzielles Computerspiel der Inbegriff des Bösen ist, sowie Menschen mit einer sehr lobenswerten Einstellung zu freier Software, die diese aus Gründen von Offenheit und gesellschaftlichem Fortschritt propagieren- aber weder die einen noch die anderen sind hier Thema) und sehr viel mit Risikominimierung.

Zum Abschluss ein Zitat von Bruce Schneier zu genau diesem Thema: „As a cryptography and computer security expert, I have never understood the current fuss about the open source software movement. In the cryptography world, we consider open source necessary for good security; we have for decades. Public security is always more secure than proprietary security. It’s true for cryptographic algorithms, security protocols, and security source code. For us, open source isn’t just a business model; it’s smart engineering practice.“

Vor diesem Hintergrund sollte auch die Debatte, ob Antivirus-Software-Hersteller XY nun den Bundestrojaner verschont, an Brisanz verlieren. In diesem Fall helfen dieselben Mechanismen gegen skrupellose Geschäftemacher, Cyberkriminelle und als Sofortmaßnahme gegen nur moderat verfassungstreue Politiker. Entweder man glaubt den Werbeversprechen der größten, besten, tollsten Sicherheit, oder man verlässt sich auf schlichten gesunden Menschenverstand, Teamarbeit und Wahrscheinlichkeiten. Letzteres mag zwar schwer sein, ist aber die einzige wirklich langfristige Möglichkeit, im Datennetz des 21. Jahrhunderts sicher unterwegs zu sein.

Advertisements
3 Kommentare leave one →
  1. Smuggler permalink
    20. November 2007 6:05 pm

    Hallo,

    leider ist dieser Artikel nicht ganz so korrekt.
    Das Problem bei Hush ist NICHT die Frage ob open oder closed source besser ist. Die Hush Encryption Engine ist nämlich open (nicht frei) source:
    http://www.hushmail.com/help-downloads

    Das Problem hier ist nicht die Frage ob Source-Code verfügbar ist, sondern die Frage der Software-Distribution.
    Hier ist es völlig egal ob man es mit einer kommerziellen oder „non-profit“ Organisation zu tun hat.
    Um es noch deutlicher zu machen: Der „Schaden“, der durch Kooperation mit Strafverfolgern entsteht, ist bei einer kommerziellen Organisation direkt messbar und wesentlich höher als bei einem privaten Softwareentwickler.

    Nichts hindert die Verbreiter von Enigmail daran, gezielt einzelnen Personen eine kompromittierende Version unterzuschieben (so, beim nächsten Update zwischendurch).

    Ich hoffe ich konnte die Sache etwas aufklären.

    Danke für Deinen/Euren Blog

  2. Annika permalink*
    20. November 2007 6:17 pm

    Hi,

    ich glaube, da hast du meine Intention nicht ganz richtig interpretiert. Es ging mir nicht darum, ob Hushmail Open oder Closed Source ist, sondern um die Parallele „ich gebe sicherheitsrelevante Dinge aus der Hand“. Ob man das nun tut, indem man andere für sich verschlüsseln lässt (ohne kontrollieren zu können was sie tun) oder indem man Software verwendet, bei der nur der Hersteller wirklich weiß, was sie tut- im Prinzip gibt man immer anderen Macht über sich und geht das zusätzliche Risiko ein, sich auf Dritte zu verlassen. Und das ist im IT-Business nunmal nie so ganz ohne, wenn man noch nicht einmal genau weiß, um wen es sich handelt.

    Was den Rest angeht… ja, das funktioniert wohl leider auch. Die Chance, dass es doch jemandem auffällt, dürfte aber bei Open Source wesentlich höher sein.

  3. Man of the World permalink
    22. November 2007 12:17 pm

    Hi, ich verwende Hushmail. Aber es verschlüsselt sowieso kaum einer, also für mich hätte das bisher keine Auswirkungen.

    Hushmail hat immerhin den Vorteil, dass man nicht Namen, Anschrift, etc. eingeben muss.

    Privatsphäre gibt es sowieso fast nicht, aber man muss es zumindest versuchen. Ich habe auch Enigmail, GnuPG mit einer anderen E-mail-Adresse. Aber es wird fast nie verschlüsselt, leider.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: