„Die Menschen da abholen, wo sie stehen“ – wie man in Zukunft einfach verschlüsseln könnte
Wer sich als unbedarfter Nutzer mit Verschlüsselung auseinandersetzt, kommt irgendwann zu dem Punkt, an dem man mehr machen muss, als bloß „senden“ oder „okay“ zu klicken. Man muss die Sache mit den Schlüsseln verstehen. p≡p will das ändern und Verschlüsselung automatisieren.
„Wieso brauch ich da jetzt zwei Schlüssel?“ Am Schlüsselmanagement scheitern manchmal auch die willigsten und interessiertesten Nutzer. Unzählige Vergleiche geistern zur Veranschaulichung durchs Internet. Und doch hat das Schlüsselmanagement noch niemand automatisiert. Bis jetzt.
Hinter p≡p steht unter anderem Volker Birk, der das Projekt auf den Datenspuren vorstellte. p≡p verfolgt einen eigenen, interessanten Ansatz. Verschlüsselung unter der Haube. Damit ist das Projekt nicht der nächste Cryptomessenger im ohnehin schon unübersichtlichem Messengerdschungel, sondern ein Programm, das sich einfach verbreiten kann und eine Einklick-Lösung zur Verschlüsselung sein könnte. Und das sogar für Programme, die man bisher eher weniger mit Verschlüsselung und sicheren Daten in Verbindung gebracht hat: Outlook und WhatsApp – so zumindest der Anspruch.
Denn ist p≡p einmal installiert, sucht es automatisch nach vorhanden PGP-Schlüsseln oder anderen Cryptostandards, um diese zu benutzen. Ist kein PGP installiert, erstellt es automatisch selbst Schlüssel zur Verwendung – sollte absolut keine Verschlüsselung möglich sein, etwa weil der Gesprächspartner keine Möglichkeit bietet, wird die Nachricht unverschlüsselt verschickt.
p≡p steht unter einer GPL-Lizenz und wird über Crowdfunding finanziert. Bis Ende Oktober sollen 50.000 Euro zusammenkommen, um die Entwicklung sicherzustellen. Über die Hälfte ist schon geschafft. Hier können Sie mithelfen.
Im Interview mit Digitalcourage erläutert Volker Birk die Ideen hinter p≡p ausführlicher und warum p≡p die Menschen zur Verschlüsselung da abholt, wo sie stehen, und warum p≡p die Kosten für die Überwachung der Geheimdienste in die Höhe treiben könnte.
Wer genau steht hinter p≡p?
Gegründet von Leon Schumacher und mir. Leon war als CIO bei Novartis
zuständig, PGP einzuführen, und sie haben das Projekt aufgegeben, weil
die Benutzer nicht damit zurecht gekommen sind. Inzwischen sind auch
dabei Sandro Köchli, der uns als erfahrener Consultant im
Open-Source-Umfeld unterstützt, und Berna Alp, ebenfalls eine erfahrene IT-Beraterin. Robert Goldmann hilft uns als Finanzer, er ist Dozent für Internationales Rechungswesen.
Schliesslich gibt es noch meinen Freund Edouard Tisserant, wie ich ein
Softwarearchitekt mit mehr als einer Dekade Erfahrung.
Was hat euch dazu bewegt, p≡p zu entwickeln?
Nun, der Grund ist eher offensichtlich: Wir brauchen dringend Lösungen,
dass die vielen Menschen, für die das Internet nicht Technik bedeutet,
sondern Kommunikation in ihrem Leben, und die sonst wenig mit Technik zu
tun haben, dass diese Menschen auch ihre Privatheit zurück bekommen. Die
ist nämlich ein Menschenrecht. Ausschlag gab, dass wir beobachten, dass viele Crypto-Apps und Plattformen hochpoppen – was gut ist, schliesslich sind wir in
allerhöchster Not – dass jedoch die Leute bei WhatsApp und Facebook, bei
SMS und (beruflich) E-Mail bleiben, weil dort ihre Gesprächspartner
sind.
Das ergab die Idee, dann die Leute dort abzuholen, und ihnen dafür eine
Lösung zu bieten. Die muss dann jedoch so einfach sein, dass sie jeder
nutzen kann, ohne behindert zu werden oder komplizierte Technik bedienen
zu müssen – sondern man klickt auf “Senden”, den Rest macht p≡p.
Welches Konzept steht dahinter, im Unterschied zu anderen Kryptolösungen, etwa Threema?
p≡p ist etwas ganz anderes: p≡p verschlüsselt Whatsapp und
Facebooknachrichten, wenn es sein muss mit Outlook. Nein, wirklich:
wir machen eben zunächst keinen eigenen Message-Dienst, sondern
verschlüsseln stattdessen das, was bereits da ist, was die Leute heute
benutzen. Dabei versuchen wir so kompatibel wie möglich zu sein, und in
der Not geht eine Nachricht auch mal unverschlüsselt raus, wenn man das
Gegenüber sonst nicht erreicht.
Der Standard ist jetzt jedoch verschlüsselt. Und es kommt noch besser:
Als Cypherpunk-Projekt genügt es für p≡p natürlich nicht, Inhalte zu
verschlüsseln. Haben beide Seiten p≡p, so wird jede Nachricht statt auf
normalem Wege stattdessen über GnuNet geleitet und damit anonymisiert –
die berüchtigten Metadaten sind dann auch geschützt. Je mehr Leute p≡p
einsetzen, desto mehr Traffic verschwindet vom Radar der Überwacher,
desto mehr Leute bekommen in der Kommunikation ihre Privatheit zurück.
Wie stellt ihr die Weiterentwicklung sicher?
Ich hab mir einfach mal drei Jahre Zeit genommen, und werde das einfach
machen. Finden wir mit dem Crowdfunding oder von Investoren Geld, so
können wir die Entwicklung beschleunigen. Falls nicht, werde ich's
weiterpflegen. Ich bin allerdings schon nicht mehr alleine, weil Edouard
ebenfalls daran entwickelt.
Ich darf wohl sagen: p≡p wird es auf jeden Fall wie angekündigt geben.
Bekommen wir mehr Finanzierung, kann das schnell gehen.
Wie sichert ihr die Qualität von p≡p?
Jeder kann in Freie-Software-Anwendungen die p≡p-Engine mit einem Adapter
integrieren. Dazu muss ich wissen, um welche Anwendung (irgend etwas, was
mailt oder Nachrichten verschickt) es geht, um genau zu sein: welche
Programmiersprache auf welcher Plattform. Dann liefert p≡p einen Adapter
für genau die Plattform, so dass man dort die Engine einbauen kann. Diese
Entwicklung findet mit Unterstützung von p≡p statt, aber der Code bleibt
im Eigentum derer, die ihn entwickeln. Die p≡p-Adapter stehen unter GNU
General Public License v3. Auch andere Sprachversionen sind angestrebt.
p≡p-Engine und p≡p-Adapter schreibt ein kleines Core-Team. Wenn man da
Mitglied werden will, sollte man mindestens zehn Jahre Erfahrung mit dem
Schreiben von sicherem Code in der Programmiersprache C haben. Darüber
hinaus muss das Eigentum des Urheberrechts (nach schweizer Recht) auf
die p≡p Stiftung übertragen werden. Der Grund ist die Abwehrstrategie,
die p≡p hat, damit aller Code immer frei verfügbar bleiben kann. Die p≡p
Stiftung (in Gründung) wird immer allen Code unter GNU General Public
License veröffentlichen. Sie wird aber auch kommerzielle Lizenzen erteilen
(dual license), und zwar insofern, wie das der Verbreitung von p≡p dient.
Wie schafft ihr es mit p≡p, auch Outlook oder andere Windows oder Apple-Programm-Inhalte zu verschlüsseln, also etwas, das PGP unter Umständen gar nicht kennt?
Na, PGP gibt es auch für Outlook. Entsprechend ist das nicht so ungewöhnlich.
p≡p basiert auf GnuPG, und auf Windows auf GPG4Win. p≡p ist ja streng
genommen keine Verschlüsselungssoftware – diesen Part übernimmt GnuPG
(oder auf iOS NetPGP). p≡p ist folgende Idee: Leute wie wir in der
Community wissen, wie man mit PGP sicher umgeht. Also schreibe ich das
mal für alle Fälle sauber auf. Dieser Aufschrieb ist nun ein Protokoll.
Und das kann man in Software implementieren, als Computerprogramm
schreiben. Das ist die p≡p engine. Die ist also so etwas wie eine
GnuPG-Bedien-Engine. Und natürlich auch eine GnuNet-Bedien-Engine. Sie
automatisiert das Handling, das Keymanagement etc., der Benutzer muss
nur noch auf “Senden” klicken.
Seht ihr da ein Sicherheitsproblem auf solchen „unsicheren“ Plattformen?
Ich kann's gerne mal deutlich formulieren: Ich benutze hier ein
US-Betriebssystem auf einem chinesischen Laptop. Wenn das kein
Sicherheitsproblem ist, dann weiss ich auch nicht. Es ist allerdings
nicht im Scope von p≡p – p≡p ist ein Kostenoptimierungssystem für die
Massenüberwachung. Diese wird optimal teuer. Wenn p≡p dieses Ziel
erreicht, ist es ein Erfolg.
Worauf sollten Nutzer/innen achten, wenn sie Outlook Nachrichten verschlüsseln?
Dass wenn der p≡p Button gelb anzeigt, sie sich auch die Mühe machen,
die angezeigten Safewords z.B. per Telefon mit dem Gegenüber einmal im
Leben zu prüfen. Wenn's dann grün ist, kann man sich drauf verlassen.
Man muss das zwar nicht tun, aber es ist eine sehr gute Idee, sperrt es
doch den “Man-in-the-Middle”-Überwacher endlich aus.
Wie war die Resonanz bisher?
Aus der Community: großartig. Das Crowdfunding läuft an, aber wir
können wohl noch etwas mehr Bekanntheit brauchen, damit das schneller
geht. Alles in allem möchte ich mich aber nicht beklagen. Wir stehen ja
sowieso noch ganz am Anfang, es ist ja erst ein halbes Jahr.