In den letzten Monaten ist die Debatte um Verschlüsselung neu entflammt. Eine neue Studie verdeutlicht nun den Unsinn von Verschlüsselungs-Verboten und dem Einbau von Hintertüren anhand greifbarer Zahlen. Wissenschaftler*innen haben eine beeindruckende Liste von über 800 verschiedenen Verschlüsselungs-Produkten aus 55 Ländern erstellt. Sie zeigt, dass es immer Alternativen geben wird, welche außerhalb der Reichweite von Ermittlungsbehörden liegen.
Crypto-Produkte aus 55 Ländern
Das Team von Forscher*innen, unter ihnen der Kryptograph Bruce Schneier, hat für die Studie insgesamt 865 verschiedene Hardware- und Software-Produkte gesammelt, die zum Verschlüsseln von Dateien, E‑Mails, Nachrichten und Netzwerkverkehr genutzt werden können. Die Hersteller sitzen in 55 Ländern weltweit, wobei rund ein Drittel aller Produkte in den USA hergestellt werden. Auf dem zweiten Platz folgt Deutschland mit 112 Produkten, darunter GnuPG und KeePass.
Cryptography is very much a worldwide academic discipline, as evidenced by the quantity and quality of research papers and academic conferences from countries other than the US. […] Additionally, the seemingly endless stream of bugs and vulnerabilities in US encryption products demonstrates that American engineers are not better their foreign counterparts at writing secure encryption software
Schon einmal hatten Wissenschaftler*innen eine weltweite Umfrage zu Verschlüsselungstechnologien durchgeführt. Im Jahr 1999 wurden von einem Team der George-Washington-Universität insgesamt 805 Produkte aus 36 Ländern gezählt. Nur einige wenige Produkte von damals sind 17 Jahre später in der neuen Liste zu finden. Beide Studien erheben aber keinen Anspruch auf Vollständigkeit, es sind also wahrscheinlich mehr Produkte verfügbar. Die Liste der erhobenen Produkte ist auf dem Blog von Bruce Schneier einsehbar.
Crypto-Wars 3.0?
Die Studie kommt dabei zu einem guten Zeitpunkt: Seit den Anschlägen von Paris im Herbst 2015 ist die Debatte um Verschlüsselungssoftware neu entflammt: Weltweit überbieten sich die Direktor*innen von Geheimdiensten und Polizeien gegenseitig mit ihren Rufen nach wahlweise Hintertüren (Backdoors) oder einem Komplettverbot von Verschlüsselungsstechnologien. Auch in der Europäischen Union gibt es Stimmen, welche den Zugriff von Strafverfolgungsbehörden auf verschlüsselte Kommunikation und Dateien fordern. So erst in der letzten Woche der neue thüringische Verfassungsschutzpräsident Stephan J. Kramer gegenüber heise online.
Die Studie belegt nun ein oft genanntes Argument in der Verschlüsselungs-Debatte: Verschlüsselung lässt sich nicht verbieten! Es gibt schlicht zu viele verschiedene Produkte, die zum Verschlüsseln genutzt werden können. Sogar wenn es der US-Regierung gelingen könnte, beispielsweise Apple zum Einbau einer Hintertür in deren iPhone-Verschlüsselung zu verpflichten, gäbe es noch genügend alternative Verschlüsselungsprodukte. Die meisten von ihnen aus anderen Ländern und damit unerreichbar für jegliche Regulierungsbehörde.
It is easy to purchase products, especially software products, that are sold anywhere in the world from everywhere in the world. Encryption products come from all over the world. Any national law mandating encryption backdoors will overwhelmingly affect the innocent users of those products. Smart criminals and terrorists will easily be able to switch to more-secure alternatives