| Open
Source und IT-Sicherheit
Hubertus Soquat (Referent IT-Sicherheit, BMWi) Berlin, 15. Juli 1999
Alle Anwendungen in der Informationstechnologie bedürfen als zentrales Element der Sicherheit, die aus dem Vertrauen in die Entwicklung und Herstellung des Produktes entsteht. Die Bundesregierung hat dies mit dem Beschluß vom 02. Juni 1999 in ihren „Krypto-Eckwerten" anerkannt und sich für die Förderung der Verwendung von effizienten Verschlüsselungsprodukten ausgesprochen. In diesem Zusammenhang wird zu prüfen sein, wie am Markt entwickelte offene Standards gefördert werden können. Die häufig gegen Open Source eingebrachten Argumente der wirtschaftlichen Verwertbarkeit von Software-Entwicklungen sind bei Verschlüsselungsprodukten insoweit gesondert zu bewerten, weil einerseits für den Nutzer die Sicherheitsfaktoren des Produktes im Vordergrund stehen und andererseits die hochspezialisierte Herstellerindustrie auch auf offenen Basisstandards weitergehende, vermarktbare Produkte in den Markt stellen kann, deren Einsatz ohne das Vertrauen der Anwender nicht in gleichem Maße nachgefragt würden. Um eine vertrauliche Kommunikation über das Internet zu betreiben, stehen den Internet-Anwendern derzeit nur eingeschränkte Möglichkeiten zur Verfügung. Die hierfür bereitstehenden Werkzeuge unterliegen entweder den amerikanischen Exportregulierungen (Einschränkung der möglichen Schlüssellänge, Hintertüren und Nachschlüssel für undefinierte Stellen) oder sind für Benutzer aufgrund komplexer Installation und komplizierter Handhabe nicht wirklich praktikabel. Mit PGP steht zwar ein de-Facto-Standard
für die Kommunikation in offenen Netzen zur Verfügung, der sowohl
bezüglich der Praktikabilität und Sicherheit den Anforderungen
vieler Anwender genügt. Allerdings ist PGP mittlerweile ein kommerzielles
Produkt unter amerikanischer Federführung, und ist insoweit den Entwicklungen
am US-Markt, nicht zuletzt hinsichtlich der Regelungen über Exportbeschränkungen,
unterworfen.
Um das Vertrauen in die Kommunikation über das Internet auch für breite Benutzerschichten nachhaltig zu stärken, wird ein für jedermann benutzbares Werkzeug benötigt, dessen Sicherheit uneingeschränkt auch durch den Benutzer, möglichst auf der Basis von klaren, akzeptierten Kriterien, nachvollzogen werden kann. Mit dem Konzept von GPG könnte ein Werkzeug geschaffen werden, das als "public domain"-Software ohne Einschränkungen für alle Benutzerschichten frei und unentgeltlich verfügbar ist (inkl. Behörden, kommerzielle Nutzer, Privatbenutzer etc.). Da GPG auf dem GNU-Lizenz-Prinzip basiert, muß der Quellcode offen liegen. Wird das Programm später modifiziert oder ergänzt, müssen der Quellcode der Modifikationen bzw. Ergänzungen ebenfalls offen liegen. Damit ist sichergestellt, daß die Transparenz von GPG nicht unterlaufen werden kann und der Quellcode von GPG jederzeit überprüfbar bleibt. Zudem muß GPG und auf alle auf ihm basierenden Weiterentwicklungen den Nutzern frei und unentgeltlich zur Verfügung stehen. Durch diesen Open-Source-Ansatz ist eine dezentrale Evaluierung durch zahlreiche Stellen und Nutzer auch für gehobene Ansprüche realisierbar. GPG setzt auf dem bereits entwickelten "GNU-Privacy Guard" (GNUPG) auf, dessen Nachrichten sich PGP-Standard-kompatibel verhalten (Interoperabilität). GNUPG basiert auf dem offenen Standard OpenPGP, der aus den Protokollen entwickelt wurde, die auch PGP benutzt. Inwieweit aus diesem Ursprung für die Weiterentwicklung sicherheitsrelevante Probleme auftreten könnten, müßte untersucht werden. Es müssen noch komfortable
Benutzerschnittstellen geschaffen werden, die eine intuitive Nutzung ermöglichen.
Diese Benutzerschnittstellen müssen zudem für die verschiedenen
Betriebssysteme sowie Mailclients etc. angepaßt werden.
Anregungen Kommentare Kontakte Hubertus Soquat
|