Der Autor von GnuPG im Gespräch
Über die Fernsehbildschirme der Nation flimmern seit ein paar Monaten landauf landab Beiträge zu Themen wie Online-Durchsuchung, Bundestrojaner, Vorratsdatenspeicherung oder Hackerparagrafen. Selbst Laien begreifen, die Rechtslage von uns allen befindet sich in einem drastischen Umbruch. Sichtbar ist ein Trend, der eindeutig in Richtung mehr Kontrolle von oben und weniger Schutz für die Normalsterblichen hier unten geht. Wie unser Leben konkret in fünf oder zehn Jahren aussehen wird, ist schwer absehbar. Der Rheinländer Werner Koch kämpft seit vielen Jahren als Programmierer der Verschlüsselungssoftware GnuPG (PG = Privacy Guard) an vorderster Front wenn es darum geht die uneingeschränkte Privatsphäre der Menschen sicherzustellen. Er ist darüber hinaus eines der Gründungsmitglieder der Free Software Foundation Europe (FSFE) und beruflich wie privat aktiv im Bereich der Freien Software tätig. Wir wollten von ihm wissen, wie es aktuell um unseren Datenschutz bestellt ist. Interessant erschien uns auch seine Argumentation warum bis heute die meisten PC-Anwender Windows einem Freien wie auch kostenlosen Betriebssystem vorziehen.
Anmerkung von euro-police: Vollständiger Artikel mit Bildern bei gulli.com
Lars Sobiraj: Hallo Werner! Am besten du stellst dich den Lesern unseres Portals erst mal mit allen wissenswerten Details vor. Was treibst du zum Beispiel in deiner Freizeit, was auch im entferntesten nichts mit Strom oder Computern gemein hat?
Werner Koch: Ich bin momentan 46, Programmierer und Geschäftsführer meiner kleinen Firma mit 3 Angestellten in Düsseldorf (bzw. um genau zu sein jetzt in Erkrath-Hochdahl). Vor langer langer Zeit habe ich bei Calor-Emag in Ratingen eine Ausbildung als Elektroanlageninstallateur gemacht um danach ein Physikstudium in Wuppertal beginnen zu können. Aus irgendwelchen Gründen wurde ich in dieser Firma zum Jugendvertreter gewählt und musste mich mit dem teilweise sehr merkwürdig agierenden Betriebsrat rumschlagen (à la "Geht’s dem Chef gut, geht’s dem BR gut").
Da ich nach dieser Ausbildung einen Sommerjob als Programmierer angenommen hatte, wurde mir recht schnell klar das die akademische Laufbahn doch nichts für mich ist. Ich habe dann allerdings doch noch ein paar Jahre in Dortmund Informatik studiert. Um mein Geld zu verdienen, hämmere ich jetzt also seit mehr als 20 Jahren kryptische Zeichenketten in meine Tastatur und wundere mich, warum die Maschine immer penibel das macht, was ihr falsch beigebracht habe.
Ich bin seit bald 10 Jahre verheiratet. Seit wir ein Haus gekauft haben, beschäftige ich mich gerne mit Arbeiten, die man da so zu machen hat. Neben Maurerkelle schwingen und Wasserleitungen flicken auch gelegentlich hacken, aber dann halt das Holz für den Ofen. Da bleibt nicht mehr viel Zeit für andere Hobbys. Mein Teleskop hole ich allerdings gelegentlich doch nochmal raus; wohingegen ich Fotografieren und Dunkelkammer ganz aufgegeben habe. So einen kleine Digitalkamera erfüllt ja auch ihren Zweck. Von Zeit zu Zeit schaffe ich es auch mal in unser Eifelhaus.
Programmieren hatte ich in der Schule noch mit Schablone und Flussdiagrammen gelernt. Gelegentlich durften wir dann auf einer /29 Lochkarten fabrizieren und sie einer Univac füttern, aber ansonsten halt alles mit Papier und Bleistift. Der TI-58 Taschenrechner gab dem dann mal einen praktischen Anstrich und bald darauf hatte ich eine TRS-80 zur Verfügung. Ich war als mit Z-80 CPU auf du und du; Lötkolben sowie Wrapstift waren mir als Funkamateur auch bestens vertraut.
Lars Sobiraj: Warum setzt du dich seit so vielen Jahren so intensiv im Rahmen deines Projektes GnuPG und dem Verein FSFE für Freie Software ein? Was genau ist Freie Software und was reizt dich persönlich daran? Manche Leser mögen vielleicht denken, frei bedeutet lediglich kostenlos.
Werner Koch: Ich habe Freie Software im Grunde erst entdeckt, als ich echte Mails verschicken konnte. Anfangs noch über Compuserve und später dann richtig, mit der teueren Variante über EUnet inklusive Ferngespräch nach Dortmund. Das muss so um 1990 gewesen sein.
Während meiner früheren Arbeit habe ich immer wieder vor dem Problem gestanden, dass Software nicht funktionierte (vor allem frühe C Compiler auf dem PC hatten so ihre Macken). Oft war mir klar, wie ich den Fehler beheben könnte, sofern ich nur die Quelltexte hatte, die hatte ich aber nicht. Also bedeutete das immer wieder viele Tage Hilfslösungen zu finden und sich über die Hersteller der Software zu ärgern.
Mit der Freien Software ist das anders: Wenn ich ein Problem habe, so kann ich dem sofort auf den Grund gehen und meistens sehr schnell eine Lösung finden, die mir und auch anderen hilft. Ich arbeitete damals hauptsächlich mit OS/2 und benötigte einen vernünftigen und preiswerten Fileserver. Ich hatte dazu auf einem 386SX-16 ein GNU/Linux System aufgebaut und mir die damals noch unbekannte Samba Software installiert. Nach einigen Wochen hatte ich Samba dann so weit verbessert, das es mit dem verkrüppelten OS/2 TCP Stack zusammenarbeiten konnte. Es wäre zwar deutlich einfacher gewesen, einen proprietären Fileserver zu kaufen aber so konnte ich auch anderen helfen und bei Problemen wusste ich immer, wer Schuld war (ich).
Ach ja, was ist Freie Software: Das ist ganz einfach: Man hat die Möglichkeit, die Software zu benutzen, sie zu verändern, sie nach eigenem Gusto weiterzugeben und auch modifizierte Versionen weiterzugeben. Genaueres findet man z. B. unter http://fsfeurope.org.
Freie Software hat nichts mit "kostenlos" zu tun, auch wenn sie dazu tendiert, kostenlos verfügbar zu sein. Ich schreibe z. B. Software für Kunden als Freie Software (meist unter der GNU General Public Lizenz) und lasse mir das bezahlen. Ob die Kunden diese Software dann weitergeben, oder was immer sie damit machen ist dann deren Sache. Es gibt eben keine Veröffentlichungspflicht, wie es oftmals immer noch geglaubt wird. Wer die Software erhalten hat, sollte auch die volle Verfügungsgewalt darüber haben.
Da mir dieses Prinzip sehr wichtig ist und man Software heutzutage, als eine grundlegende Kulturtechnik begreifen sollte, engagiere ich mich dafür. Vor 8 Jahren habe ich mit einigen Freunden die Free Software Foundation Europe gegründet, die die Prinzipien der Freien Software unter einem europäischen Blickwinkel fördert.
Lars Sobiraj: Als Entwickler von GnuPG setzt du dich für mehr Anonymität beim Austausch von E-Mails ein. Hast du deswegen jemals rechtliche oder polizeiliche Schwierigkeiten bekommen? So manchem Geheimdienst ist es sicher nicht sonderlich recht, wenn die Menschen in ihrem Land verschlüsselt miteinander kommunizieren können.
Werner Koch: Nun ja, GnuPG dient nicht direkt der Anonymität sondern der Vertraulichkeit. Es werden Daten, z. B. Emails, verschlüsselt so das Dritte sie nicht lesen können. Anonymität hingegen bedeutet, dass man nicht weiß von wem oder an wen eine E-Mail gerichtet ist; eine anonyme E-Mail könnte auch nicht verschlüsselt sein (z. B. eine anonymer Leserbrief). Aber richtig, beides ist eng miteinander verwandt. Meine Firma betreibt z.B einen großen TOR Exit Node der ganz allgemein der Anonymität im Netz dient.
Ich habe noch keinen wirklichen Ärger wegen GnuPG gehabt. Verschlüsselung dient ja auch als Schutz vor Wirtschaftsspionage und deswegen ist sie in Deutschland ohne Einschränkungen erlaubt und wird seit Jahren von den Datenschutzbeauftragten und Bundesregierung propagiert. Als das Wirtschaftsministerium 1999 die Portierung von GnuPG auf Windows förderte, gab es darauf zwischen den USA und der BRD einige Verstimmung. Die USA hatten zu der Zeit noch jeden Export von Verschlüsselungstechnik als hochgradig kriminell angesehen und wollten natürlich nicht, das dies durch die Entwicklung von Software in Europa unterlaufen werden konnte. Auch aus diesem Anlass besuche ich die USA seit Jahren nicht mehr und verzichte deswegen auf den Besuch von interessanten Konferenzen.
Lars Sobiraj: Kann man die verwendeten Algorithmen knacken? Wenn ja – ist das mehr eine Zeitfrage oder eine Frage des Könnens der Person, die die Verschlüsselung überwinden will? Oder hältst du das für völlig ausgeschlossen?
Werner Koch: Die Frage, so wie sie gestellt ist, kann ich mit einem klaren nein beantworten. Nach allen Erkenntnissen ist es nicht möglich, die verwendeten Algorithmen (DSA, Elgamal und AES) bei hinreichender Schlüssellänge zu knacken. Der technische Fortschritt wird dies wahrscheinlich irgendwann ermöglichen aber wir können dies durch Vergrößern der Schlüssellänge einfach verhindern. Auch ist der Aufwand, der dann für einen Schlüssel getrieben werden müsste, immens hoch und deswegen niemals kosteneffektiv (Selbst Geheimdienste und Großkonzerne haben begrenzte Ressourcen).
Andererseits ist das Ziel ja nicht einen Algorithmus, bzw. den Schlüssel, zu knacken, sondern an die Informationen zu gelangen. Da gibt es nun wesentlich kostengünstigere Methoden. Will man heimlich an die Inhalte kommen, so verwanzt man einfach den Rechner des Senders oder Empfängers (Stichwort: Bundestrojaner) und protokolliert z. B. einfach den noch nicht verschlüsselten oder bereits wieder entschlüsselten Text. Muss es nicht heimlich geschehen, so wird in vielen Ländern und auch bei Wirtschaftsspionage zur altbewährten Rubber-Hose Kryptoanalyse (Folter) gegriffen. Jeder Gangsterfilm gibt hinreichend Einblick, wie man mit körperlicher Gewalt an Informationen kommen kann. Gegen Abhören auf der Leitung oder des Funkverkehrs ist die heutige Verschlüsselungstechnik schon sehr sehr sicher – sofern es sich um ein anerkanntes Verfahren wie OpenPGP oder S/MIME handelt.
Lars Sobiraj: Vielleicht täuscht der Eindruck aber der Zugang zu alternativen Betriebssystemen wie z. B. Debian oder ubuntu wird einem als Anfänger nicht wirklich leicht gemacht. Im Fall von Debian muss man sich durch drei Seiten wühlen, um im Anschluss auszuwählen, für welche Hardware man das Betriebssystem installieren möchte. Viele Anfänger ohne Vorkenntnisse werden schon mit der Auswahl ihres Systems ins Schwanken kommen. Einsteiger werden sich fragen, "Ist mein PC kompatibel zu einem amd64, i386 oder ist es gar ein PowerPC?" Bei ubuntu wird man bei den Downloads mit zahllosen Varianten konfrontiert, die über verschiedene Wege herunter geladen werden können. Anfänger müssen zunächst große Hürden überwinden. Wirklich einfach klingt das trotz aller Wahlmöglichkeiten nicht, oder?
Werner Koch: Nun ja, dazu möchte ich mal entgegnen, dass die meisten Menschen auch Schwierigkeiten haben werden auf einem nackten Rechner Windows zu installieren. Wenn auf dem Rechner dann vorher noch ein anderes Betriebssystem installiert war, wird es sogar noch komplizierter. Das ist also nicht wirklich anders als mit einer modernen GNU/Linux Distribution.
Es ist ja so, das praktisch jeder neue Desktop Rechner mit Windows vorinstalliert ausgeliefert wird. Dann gibt es nichts zu installieren und das Ding läuft einfach (meistens). Vereinzelt gibt es heute auch Anbieter, die GNU/Linux installiert ausliefern – wenn man so einen Rechner kauft, hat man genauso wenig Probleme wie mit Windows.
Der Support ist allerdings bei GNU/Linux noch nicht so ausentwickelt wie bei Windows oder Apple; das ist halt eine Erfahrungssache und hat auch viel damit zu tun, das die meisten GNU/Linux Distributionen kostenlos erhältlich sind und es sich nur für wenige Firmen lohnt ein dann kostenpflichtiges Supportangebot aufzubauen. Einzelne Distribution haben dies allerdings, man hat dann dafür einen Club Beitrag o. ä. zu zahlen.
Bei Windows kann man sich auch immer im Bekanntenkreis über Probleme austauschen, bei GNU/Linux ist dies eher selten möglich. Aber wenn man wirklich danach sucht, so findet man immer Leute, die sich auskennen – und dann aber auch wirklich kompetent. Als noch alle VW Käfer fuhren, war es für NSU Prinz Fahrer eben auch schwierig bei Problemen jemanden im Bekanntenkreis zu fragen.
Lars Sobiraj: Kann man den Leuten ihren Zugang zu einem alternativen OS nicht einfacher machen? Oder will man das vielleicht gar nicht? Provokant gesagt könnte sich dahinter die Einstellung verbergen, man möchte den Menschen nicht das Denken abnehmen. Oder, was noch extremer wäre: Man will nur solche Anwender fördern, die auch bereit sind, sich eingehend in die Materie einzulesen. Was sagst du dazu?
Werner Koch: Um es einfacher zu machen, muss Hardware mit vorinstalliertem GNU/Linux verfügbar sein. Einige Firmen haben anscheinend die Zeichen der Zeit erkannt und bieten solche Hardware zunehmend an. Für diese Firmen ist das natürlich ein Wettbewerbsvorteil, da sie die Lizenzkosten für Windows sparen und deswegen die Rechner günstiger anbieten können.
Lars Sobiraj: Firmen, deren Portale für Windows-Software werben, haben oft zum Wohle aller lesefaulen Surfer irgendwo auf der Seite gut sichtbar ein dickes Download-Symbol untergebracht. Danach heißt es lediglich: Anklicken, Software herunter laden, der Installer macht dann alles automatisch. Wieso wirkt die Welt von GNU/Linux im Vergleich oftmals so kompliziert? Oder ist es vielmehr so, dass die Otto-Normaluser so sehr von den Installern verwöhnt wurden, die uns einerseits die ganze Arbeit, leider aber auch viele Konfigurationsmöglichkeiten abnehmen?
Werner Koch: Wir haben ja schon alle Software in den Distributionen; wozu also noch Downloadportale? Updates von Distributionen gibt es teilweise ja jedes halbe Jahr und dann sind dort auch neue Programme zu finden. Übrigens weiß man bei Windows nie wirklich was die Software macht und ob sie nicht auch noch als Spyware dient.
Gut, Gimp hat vielleicht nicht ganz so viele Möglichkeiten Bilder zu manipulieren wie Photoshop aber wer benutzt denn schon diese speziellen Features. Bei Gimp weiß ich, das ich meine Bilder immer bearbeiten kann und nicht vom Wohlwollen eines Herstellers abhänge.
GQView ist eine erstklassige Bildverwaltungssoftware und das Format und die Arbeitsweise ist dokumentiert. Man wird auch in 20 oder 30 Jahre noch damit arbeiten können. Von welcher Windows Software kann man schon sagen, das Format (der Bildbeschreibungen) ist dokumentiert.
Lars Sobiraj: Es scheint, den heutigen PC-Anwendern wird immer mehr ihre Kontrolle genommen. Wer sich in 2007 einen neuen Computer kaufen will, hat enorme Probleme ein Gerät ohne Vista erwerben zu können. Wie kommt es, dass so selten vorinstallierte PCs mit freien Betriebssystemen oder zumindest mit Freier Software ausgestattet werden? Warum nicht z. B. mehr PCs wie Notebooks mit OpenOffice.org ausstatten? Wessen Interessen spielen hier die ausschlaggebende Rolle?
Werner Koch: Ich bin überzeugt das die Wettbewerbsvorteile Freier Software die Hersteller mehr und mehr zwingen wird, Hardware mit Freier Software anzubieten. Es ist alles eine Frage, wann eine kritische Masse erreicht wird, so das sich diese Angebote auch lohnen wenn diese erst mal überschritten ist, wird es nicht mehr aufzuhalten sein. Es geht den Hardwareherstellern zwar nicht um Freiheit, aber sie schenken den Käufern diese damit und können auch noch daran besser verdienen. Das ist doch eine echte win-win Situation. (Nein, nicht Windows, Windows :-)
Lars Sobiraj: Viele Benutzer werden ihre Angst vor einem Umstieg auf freie Software bzw. auf ein Freies Betriebssystem nur überwinden wollen, wenn ihnen der Umstieg erhebliche Vorteile verspricht. Von der Kostenersparnis im Vergleich abgesehen: Warum sollte jemand vom Microsoft Office XP zum Beispiel auf OpenOffice.org umsatteln? Was hat der Otto-Normaluser unterm Strich davon, dass die Software und die entsprechenden Sourcecodes frei sind, die er gerade benutzt?
Werner Koch: Anschaffungskosten sollten kein Grund für eine solche Entscheidung sein. Es mag zwar sein das GNU/Linux in der Anschaffung billiger ist aber im Laufe der Lebenszeit der Software ist das eher marginal. Viel wichtiger ist, dass man nicht auf Gedeih und Verderb von dem Hersteller abhängig ist. Microsoft hat oft genug das Format der Word Dateien geändert und man kann es sich immer nur mit Word vernünftig ansehen. Das Format von OpenOffice ist dagegen offengelegt und ein internationaler Standard der ISO. Damit ist es genauso genormt wie z. B. alle Schrauben. Man kann passende Schrauben von jedem Hersteller kaufen und genauso kann man das Format von OpenOffice mit Software von vielen Herstellern bearbeiten. Bei Microsoft Word kann man die Schrauben nur bei Microsoft kaufen. Bei Apple ist es übrigens nicht anders als bei Microsoft; auch dort sind die Formate geheim und sie versuchen alles Mögliche um die Benutzer an Apple-Software zu binden.
Lars Sobiraj: Vorratsdatenspeicherung, Online-Durchsuchung, Bundestrojaner, Hackerparagrafen – solche Begriffe tauchen in den Massenmedien immer häufiger auf. Glaubst du, dass sich alleine durch diese starke Medienpräsenz etwas in den Köpfen der Leute verändern kann? Die Organisatoren der Demonstration "Freiheit statt Angst" konnten in Berlin am 22. September immerhin 15.000 Teilnehmer zusammentrommeln. Rechnest du im Fall der dezentralen Demos am 6. November mit ähnlich vielen Teilnehmern?
Werner Koch: Wie wir inzwischen wissen, war das Interesse am 6. November immer noch sehr groß. Der immer mehr an Fahrt gewinnende Abbau unserer Demokratie hin zu einem durchtechnisierten Überwachungsstaat ist zurzeit in aller Munde und ich habe die Hoffnung, das sich daraus eine Bewegung ergibt wie wir sie gegen die NATO "Nachrüstung" und die Volkszählung in den 80er Jahren hatten. Der Herr Schäuble soll nur so weitermachen; unsere Jugend ist nicht wirklich so von den neuen Medien und dem technischen Spielzeug korrumpiert, das sie nicht doch gegen diese irregelenkten Politiker aufbegehren könnte.
Lars Sobiraj: Du hast in deinem Interview vor zwei Jahren auf Stop1984 die Frage gestellt: "Soll die Gesellschaft für das Kapital existieren oder für die Menschen?" Wie sieht deine Antwort dazu aus? Vielmehr – wie wird unsere Gesellschaft denn deiner Meinung nach in zehn Jahren aussehen? Gibt es in 2017 noch individuelle Computer oder nur noch zentral gesteuerte Computer-Terminals ohne eigene Speichermedien und ohne jegliche Privatsphäre? Wie sieht deine ganz persönliche Fiktion der theoretisch möglichen "Brave New World" aus?
Werner Koch: Meine Antwort sollte ja klar sein. Das Kapital ist lediglich ein Mittel um das Leben für alle einfacher und menschenwürdiger zu machen. Die Menschen sollen halt aufpassen, dass es sich nicht verselbstständigt und sie knechtet.
Wir arbeiten ja alle mit unseren Möglichkeiten daran eine Gesellschaft, wie bei Orwell oder Huxley beschrieben, nicht wahrwerden zu lassen. Allerdings befürchte ich schon, dass die kleinen persönlichen digitalen Begleiter (Handy, Smartphones etc.) immer wichtiger werden und diese werden logischerweise ziemlich stark vernetzt sein. Man sollte sich in seinen Annahmen nicht von der Vorherrschaft von Microsoft blenden lassen und dadurch die großen Gefährder wie Google ignorieren oder denen gar noch Vertrauen schenken.
Lars Sobiraj: Werner, herzlichen Dank für deine ausführliche Beantwortung meiner Fragen. Und dir weiterhin viel Erfolg in allen beruflichen wie privaten Aspekten!
Text und Fotos: Lars Sobiraj. Grafiken: Mit Einverständnis der Website gpg4win.de entnommen, die GNU-Lizenz für freie Dokumentation findet dabei Anwendung.
Eine ausführliche Anleitung, die Schritt für Schritt in Theorie und Praxis rund ums Thema "Verschlüsseltes E-Mailen mit GnuPG" einführt findet sich hier.
Quelle: http://www.gulli.com/news/der-autor-von-gnupg-im-gespr-2007-11-23/