SIUG (Swiss Internet User Group)

 siug.ch
 bigbrotherawards.ch
 WWW

Positionspapier zum Thema Kryptographie

8. September 1999

Kontakt: siug@siug.ch

Dieser Text legt die Position der SIUG zum Thema Kryptographie dar.

0. Inhalt

1. Was ist Kryptographie
2. Positionen der SIUG
   1. Keine Beschränkungen
      • Keine Exportbeschränkungen
      • Keine Schlüssellängenbeschränkungen
      • Kein Key Escrow
      • Keine Zwangsverschlüsselung an Drittschlüssel
   2. Förderung der Kryptographie
      • Sensibilisierung der Internetbenutzer
      • Einsatz von PGP
      • Signaturen
3. Links

1. Was ist Kryptographie

Kryptographie ist die mathematische Wissenschaft, die sich u.a. mit der sicheren Datenübertragung beschäftigt. Für die, die mehr über dieses spannende Thema erfahren wollen, stellt die SIUG eine kurze Einführung in das grosse Gebiet der Kryptographie bereit.

2. Positionen der SIUG

2.1 Keine Beschränkungen

Keine Exportbeschränkungen

In vielen Ländern unterliegen Hard- und Softwareimplementationen von kryptographischen Algorithmen einem Exportverbot. So gilt starke Kryptographie in den USA als Waffe und darf somit nicht ohne Erlaubnis ausser Lande geschafft werden. Dieses Problem wird von Programmierern oft so gelöst, dass die Programme im Ausland entwickelt und anschliessend zurückimportiert werden.

International werden diese Exportverbote im Wassenaar-Abkommen geregelt, das von 33 Ländern unterzeichnet wurde, darunter ist auch die Schweiz.

Exportverbote stellen ein grosses Problem für die Softwareindustrie dar. Darum ist die SIUG gegen jegliche Exportbeschränkungen von Kryptographie.

Keine Schlüssellängenbeschränkungen

Die Schlüssellänge eines Kryptoverfahrens ist ein wichtiger Faktor für seine Sicherheit. Zu kurze Schlüssel sind eine ernsthafte Gefahr, weil sie eine Sicherheit vorgaukeln, die gar keine ist. Verschlüsselungsverfahren mit einer Schlüssellänge von nur 56 bit sind leicht zu knacken und ermöglichen eine Überwachung der Bürger durch den Staat und Wirtschaftsspionage.

Aus diesen Gründen ist die SIUG gegen jegliche Beschränkung von Schlüssellängen und empfiehlt Schlüssel mindestens der Länge 128 bit bei symmetrischen, bzw. 1024 bit bei asymmetrischen Verfahren zu verwenden.

Kein Key Escrow

Unter Key Escrow versteht man die obligatorische Hinterlegung seines geheimen Schlüssels bei einer Drittperson oder Organisation. Dadurch kann diese sämtliche mit diesem Schlüssel geschützten Daten ungefragt mitlesen.

Manche Staaten fordern Key Escrow (GAK = Government Access to Keys) unter dem Vorwand der Kriminalitätsbekämpfung. Dazu gäbe es aber andere, besser geeignete Methoden, welche die Freiheitsrechte der unbescholtenen Bürger nicht einschränken. Diese Staaten wollen Zugriff auf die Schlüssel, weil sie ihre Bürger überwachen und durch Wirtschaftsspionage profitieren wollen.

Key Escrow bringt noch eine andere Gefahr: Manche Kryptoverfahren erlauben es, mit seinem Schlüssel auch Dokumente zu unterschreiben. Somit könnte die Organisation, bei der die Schlüssel hinterlegt werde, auch problemlos Unterschriften fälschen.

Weiter ist die Hinterlegungsstelle ein wunderschöner zentraler Punkt für Angriffe verschiedenster Art. Die geheimen Schlüssel sind ein sehr wertvolles Gut in der Kommunikationsgesellschaft. Die Hinterlegungstelle müsste besser als Fort Knox geschützt sein, um einen lohnenden Schlüsseldiebstahl auch nur halbwegs zu verhindern. Und was macht man gegen korrupte Angestellte, die bei dieser Stelle arbeiten? Die Schlüsselsicherheit lässt sich schlicht nicht garantieren.

Die SIUG lehnt Key Escrow strikte ab.

(Unter Umständen kann Key Escrow in Firmen Sinn machen, z.B. für Archivierungsschlüssel, nicht jedoch für Kommunikationsschlüssel!)

Keine Zwangsverschlüsselung an Drittschlüssel

Mit "Zwangsverschlüsselung an Drittschlüssel" ist gemeint, dass man sämtliche Daten so verschlüsseln muss, dass sie zusätzlich auch von einer Drittperson oder Organisation gelesen werden können. Damit gilt im Wesentlichen dasselbe wie im Abschnitt Key Escrow (ausser der Punkt "Unterschriftenfälschung").

Daher ist die SIUG auch gegen eine Zwangsverschlüsselung an Drittschlüssel.

2.2 Förderung der Kryptographie

Das Internet ist unsicher! Jegliche ungeschützte Kommunikation kann abgehört und die daraus gewonnenen Informationen missbraucht werden. Davor kann man sich mit Kryptographie zuverlässig schützen.

Sensibilisierung der Internetbenutzer

Die meisten Benutzer des Internet sind sich der Risiken und Gefahren des "neuen" Mediums nicht bewusst. Sie wissen nicht, was mit den durchs Netz transportierten Daten passiert. Mails, Passworte, Kreditkartennummern und andere sensible Daten werden abgehört, archiviert und ausgewertet. Andere Gefahren sind Viren und Einbrüche in den ungeschützten Computer über das Internet.

Die SIUG möchte die Internetbenutzer sensibilisieren, auf die Gefahren des Internet aufmerksam machen und aufzeigen, wie man verantwortungsvoll, korrekt und sicher mit Verschlüsselungstechniken umgeht.

Einsatz von PGP

Pretty Good Privacy oder kurz PGP ist ein Programm zur Mailverschlüsselung. Es ist gratis erhältlich, leicht zu bedienen und ermöglicht somit die sichere Kommunikation für die breite Masse.

Sichere Kommunikation ist ein Menschenrecht, das wir uns nicht nehmen lassen (siehe Artikel 12 und 19 der Allgemeinen Erklärung der Menschenrechte, Universal Declaration of Human Rights).

Die SIUG ruft die Internetbenutzer dazu auf, möglichst den gesamten Mailverkehr zu verschlüsseln.

Signaturen

Elektronische Dokumente, Kommunikationsdaten, usw. lassen sich sehr leicht kopieren, abändern und verfälschen. Um dies zu verhindern, kann man diese Daten mit kryptographischen Verfahren elektronisch unterschreiben (signieren).

Die SIUG unterstützt Massnahmen zur weiteren Verbreitung (rechtsgültiger) elektronischer Unterschriften.

3. Links

1. http://n.ethz.ch/student/mgeiser/siug/SIUG-kryptographieeinfuehrung.html
   Kurze und allgemein verständliche Einführung ins Gebiet der Kryptographie, vor allem im Zusammenhang mit dem Internet.
2. http://www.pgpi.org
   Die Seite der PGP International. Hier können Sie die frei erhältlichen internationalen Versionen von PGP herunterladen
3. http://home.kamp.net/home/kai.raven/pgpanltg.htm
   Deutsche Anleitung zu PGP 5/6 von Kai Raven
4. http://www.gnupg.org
   Gnu Privacy Guard ist ein PGP-Clone aus Deutschland nach dem OpenPGP-Standard für die, welche den neuesten Entwicklungen des original PGP skeptisch gegenüberstehen. GPG unterliegt der Gnu Public Licence und benutzt keine patentierten Algorithmen.
5. http://sunsite.cnlab-switch.ch/ftp/doc/standard/rfc/24xx/2440
   RFC 2440 (OpenPGP)ist der Standard für zukünftige PGP-artige Verschlüsselungsprogramme.
6. http://home.kamp.net/home/kai.raven/bigbroth.html
   No Big Brother Page von Kai Raven
7. http://home.kamp.net/home/kai.raven/ministry.html
   Ministerium für Wahrheit von Kai Raven