Ansichten eines Informatikers

„Gesetze zur Bekämpfung der Verwendung von Verschlüsselungsgeräten …“

Hadmut
5.6.2024 15:55

Von der Kryptofront.

Die Kryptokriege, das Sabotieren von Kryptoforschung durch den BND, das Abhören durch BND, CIA und NSA sind, waren ja geradezu konstituierend für dieses Blog, das war ja jahrelang Kernthema für Hunderte Artikel.

Heise schreibt gerade: Verschlüsselung: Polizei will in Echtzeit an Datenströme von WhatsApp & Co.

Seit fast einem Jahr arbeitet die sogenannte Hochrangige Expertengruppe der EU zum Datenzugang für eine wirksame Strafverfolgung (HLEG) im Rahmen der Crypto Wars hinter verschlossenen Türen an Lösungen für das von Innenpolitikern und Ermittlern ausgemachte “böse Problem” der Verschlüsselung (“Going Dark”). Auf eine Informationsfreiheitsanfrage des EU-Abgeordneten Patrick Breyer (Piratenpartei) hin, hat die EU-Kommission nun – teils geschwärzt – einige Präsentationen herausgegeben, die etwas Licht in das Dunkel der Besprechungen bringen. Der Fokus von Praktikern und Standardisierungsgremien liegt demnach vor allem darauf, auch bei durchgängig verschlüsselten Diensten wie WhatsApp, Signal und Threema einen Zugriff auf Meta- und Kommunikationsdaten möglichst in Echtzeit zu bekommen.

Der Brüller ist dieser Absatz:

Die NTSU propagiert dabei ein Verfahren über den “Vordereingang”, das keine Hintertüren in verschlüsselten Produkten erfordere. Eine Strafverfolgungsbehörde stelle dabei – gegebenenfalls unterfüttert von einer Richtergenehmigung – eine standardisierte Anfrage direkt an die datenverarbeitende Stelle des OTT-Dienstleisters. Dieser müsse in genauso standardisierter Form auf sichere Weise und in “verständlichem” Format (nahezu) in Echtzeit eine Antwort mit den begehrten Daten schicken. Das sei “unsichtbar, diskret und geheim für das Ziel” der Ermittlungen und technologisch neutral. “Wir lieben Verschlüsselung”, erklärt die NTSU. “Sogar, wenn es sich um Ende-zu-Ende-Verschlüsselung handelt” (E2E). Solche Schutzmechanismen änderten aber nichts daran, dass der Betreiber oder ein von ihm beauftragter Drittanbieter verpflichtet sei, die Daten im Klartext herauszurücken.

Hehehe. Entweder sind sie selbst blöd, oder sie halten uns für blöd. Denn wenn der Betreiber Auskunft über den Inhalt geben kann, dann ist es ja keine Ende-zu-Ende-Verschlüsselung.

Für zurückliegende Kommunikation gelte dies nicht, sondern nur für künftige ab dem Zeitpunkt der Anordnung, stellt die Polizeieinheit klar.

Aha.

Über eine Lösung dafür macht sich das Technische Komitee Cyber der EU-Telekommunikationsnormungsbehörde ETSI Gedanken. In einem Schaubild stellt sie dabei auf eine “vertrauenswürdige authentifizierte Stelle” (Trusted authenticated party) ab, die einen Zugangsschlüssel erhalten und verwalten soll. Der Einbezug derartiger Drittparteien gilt IT-Sicherheitsexperten aber seit Jahren als indiskutable Sollbruchstelle. Das ETSI-Team zeigt zudem Interesse an einem Standardisierungsauftrag für “Lawful Access by Design”. Auch die EU-Kommission bringt eine intensivere Standardisierung ins Spiel. Ferner drängt sie darauf, “die Zusammenarbeit zwischen kommerziellen Unternehmen und Strafverfolgungsbehörden zu verstärken und zu kodifizieren, sodass technische Produktdokumentationen und Quellcodes freiwillig weitergegeben werden.”

Ja. Da sind wir wieder in so einem typischen Schweinezyklus, denn dieses Thema wurde schon mal in den 90ern diskutiert – und damals kam man zu dem Ergebnis, dass es nichts taugt. Damals nannte man das noch „Key Escrow“ (Schlüsselhinterlegung), und war nicht nur Murks, sondern erweislich auch auszuhebeln. Damals hatten die mich ja abgesägt, weil ich in der Dissertation stehen hatte, wie man das aushebelt und dass man es auch beweisbar aushebeln kann, dass es eben nicht funktioniert. Man kann Kryptographie nicht verbieten und verhindern. Sehr vereinfacht gesagt: Es werden Nullen und Einsen übertragen. Man kann aber weder einer Null, noch einer Eins ansehen, ob sie Klartext oder Chiffretext sind, weil Klartext und Chiffretext dasselbe Alphabet verwenden. Verbote führen immmer nur zu einer Reduktion der Kanalkapazität. (Sehr vereinfacht: Betrachte alle möglichen Speicherzustände einer Festplatte und ziehe alle die ab, für die man Ärger mit der Staatsanwaltschaft bekommt. Was dann übrig bleibt, ist die effektiv nutzbare Speicherkapazität der Festplatte.)

Es geht also wieder los. Und ich bin gerade rückwirkend froh, dass ich den Promotionscrash damals nicht einfach ad acta gelegt, sondern jahrelang darüber geschrieben habe.

Die Brüsseler Regierungsinstitution empfiehlt zudem “Gesetze zur Bekämpfung der Verwendung von Verschlüsselungsgeräten, die nachweislich ausschließlich für die Kommunikation zwischen Kriminellen verwendet werden”. Technologieanbieter sollen verpflichtet werden, “den Zugriff auf die auf den Geräten der Nutzer gespeicherten Daten auf Anfrage der Justizbehörden zu ermöglichen”. In weiteren Präsentationen geht es etwa um die Vorratsdatenspeicherung und potenzielle Kooperationen mit Microsoft-Datenzentren in den Niederlanden.

Herrje.

„Verschlüsselungsgeräte, die nachweislich ausschließlich für die Kommunikation zwischen Kriminellen verwendet werden.“ – Was soll’n das sein? Und wie doof muss man sein zu glauben, dass es sowas gibt? Denn in dem Moment, in dem das so wäre, würden sofort Leute aus Prinzip oder als Abwehrmittel das Gerät zu legalen Mitteln verwenden, um genau dieses Kriterium auszuhebeln.

Das stinkt gewaltig nach der Kinderpornosperre von der Leyens von 2009.

Nach EU-Wahl vollständige Überwachung?

Nun schreibt mir ein Leser

Hallo Herr Danisch

wenn dieser Artikel stimmt und die EU nach der Wahl das so durchsetzt, dann ist es vorbei mit der persönlichen Freiheit und China lässt grüßen.

https://tarnkappe.info/artikel/netzpolitik/42-punkte-plan-eu-verlangt-vollstaendige-ueberwachung-296976.html

Gruß aus …

Und da steht

Nach der Europawahl will die EU laut dem geleaktem 42-Punkte-Plan die vollumfängliche Überwachung aller EU-Bürgerinnen und Bürger einführen. […]

Patrick Breyer verbreitet den vertraulichen 42-Punkte-Plan, den eine von EU-Regierungen und der EU-Kommission eingesetzten „Expertengruppe“ ausgearbeitet hat. Demnach soll nach der Europawahl die EU entgegen der Rechtslage in Deutschland eine verdachtslose Vorratsdatenspeicherung wieder einführen. Zudem will man Hersteller dazu zwingen, digitale Geräte wie Smartphones oder Pkws für sie überwachbar zu machen. Laut dem Ratsdokument 9984/24 unterbreitete die EU-Kommission bereits Vorschläge, wie sie bisher sichere Geräte überwachbar machen will.

Selbe Angelegenheit. Aber sogar PKW wollen sie überwachen.

Schließlich will sie mithilfe der Regierungschefs an der Macht bleiben. Dieser extreme 42-Punkte-Überwachungsplan darf schon deshalb nicht Wirklichkeit werden, weil er von einer völlig einseitig besetzten, ohne echte Transparenz und demokratische Legitimation arbeitenden Geheimgruppe von Überwachungsfanatikern ausgekocht worden ist.

Wir Piraten sagen diesem Geheimplan den Kampf an und fordern von der Leyen auf, sich von ihm und auch den jetzt bekannt gewordenen Vorschlägen ihrer eigenen Innenkommissarin zu distanzieren!

Und das wird so richtig DDR-oid:

Die vom EuGH gekippte Vorratsdatenspeicherung soll zurück kommen. Man will die VDS auf Internetdienste wie Messenger ausweiten. „Allermindestens“ fordert der 42-Punkte-Plan eine IP-Vorratsdatenspeicherung zur Nachverfolgung aller Internetaktivitäten der EU-Bürger. Die sichere Verschlüsselung von Meta- und Bestandsdaten soll verboten werden.

Auf Verlangen sollen Behörden mit einem so genannten „Bewegungsprofilschalter“ die Bewegungen von Zielpersonen per GPS tracken. Unkooperative Anbieter will man mit Freiheitsstrafen bedrohen. Die von Gerichten teils verworfenen Ergebnisse des Encrochat-Hackings will man hingegen per EU-Recht verwertbar machen.

Sagen wir es so: Mein Fachwissen darüber ist teils 30 Jahre alt. Und gerade deshalb kommt es mir gerade besonders wichtig vor. Und von der Leyen habe ich ja 2009 schon mal die Show verdorben.