Phil Zimmermann: "Die PGP-Community sollte zahlen" (Update)

Golem.de: Obwohl Tools wie PGP inzwischen weitläufig verfügbar sind, verschlüsseln die meisten Nutzer noch immer nicht. Warum?

Zimmermann: Ich denke, das hängt von der Einfachheit der Benutzung ab. Die Leute müssen zu viel von Vertrauensmodellen und Schlüssel-Zertifizierungen verstehen, um PGP zu benutzen. Das gilt aber auch für alle anderen Public-Key-Produkte für die E-Mail-Verschlüsselung. Das kann durch die Implementierung einiger Ideen gelöst werden, die vielen Entwicklern schon vor ein paar Jahren gekommen sind. Aber es gab eben nie genügend Finanzmittel, sie zu verwirklichen. Nun sind sie [mit der PGP Corporation] da und wir werden sehr bald Verbesserungen in der Usability sehen, die die Marktdurchdringung bestimmt stärken werden.

Golem.de: PGP und das Konzept dahinter sind inzwischen sehr alt - über zehn Jahre. Wird es nicht Zeit für einen neuen Ansatz, das Internet sicherer zu machen?

Zimmermann: Ja, schon. Und die PGP Corporation arbeitet daran. Da stehen derartige Durchbrüche in Sachen Benutzbarkeit bereits auf der Produkt-Roadmap.

Golem.de: Wie geht es OpenPGP, ihrem Open-Source-Ansatz?

Zimmermann: Der wurde dadurch verlangsamt, dass NAI bei PGP im Februar 2002 den Stecker gezogen hat. Dank der Rettung PGPs durch die neue PGP Corporation wird das Projekt neue Energie erhalten. Wir freuen uns alle sehr darüber. Das bedeutet, dass der Standard sich noch weiter von anderen Konkurrenten im E-Mail-Sicherheitsbereich absetzen kann. Dank der PGP Corporation werden es auch andere OpenPGP-Teilnehmer einfacher finden, die Unterstützung der Technik in ihren Produkten zu verkaufen.

Golem.de: Nach den Anschlägen des 11. September haben Sie selbst unter großem Druck gestanden. Was sagen Sie den Leuten, die starke Verschlüsselung verbieten wollen, um den Terrorismus zu bekämpfen?

Zimmermann: Die Frage, ob starke Kryptographie von der Regierung verboten werden sollte, wurde in den USA die gesamten Neunzigerjahren über debattiert. An der Diskussion nahmen das Weiße Haus, die NSA, das FBI, die Gerichte, der Kongress, die IT-Industrie, die zivile Forschung und die Presse teil. Die Debatte hat damals voll die Frage mit einbezogen, in wie fern Terroristen starke Verschlüsselung benutzen konnten. In der Tat war das sogar einer der Kernpunkte der Debatte.
Trotzdem hat sich die Gesellschaft damals kollektiv dafür entschieden, dass es insgesamt besser wäre, "Strong Crypto" ohne Regierungshintertüren zuzulassen, auch wenn das FBI dagegen war. Also wurden die Exportkontrollen gelichtet und keine Inlandskontrollen eingeführt. Das war meiner Meinung nach eine gute Entscheidung, weil wir uns dafür die Zeit genommen hatten und viele Experten an ihr beteiligt waren. Wenn wir nun unter dem emotionalen Druck des 11. September hastig diese vorsichtig getroffene Entscheidung wieder umkehren, kann das nur zu schrecklichen Fehlern führen. Und auch unsere Demokratie empfindlich treffen. Außerdem würde es dazu führen, dass wir unsere nationale IT-Infrastruktur noch weiter gefährden.

Golem.de: Ist PGP noch immer sicher? Wurden die Fehler, die man ab und zu fand, alle behoben?

Zimmermann: Ja, das wurden sie. Die Zeit, die inzwischen vergangen ist und der Eifer der Leute, die sich den Code ansahen und die paar Bugs gefunden haben, stützen mein gutes Gefühl, dass PGP noch immer sicher ist. Die Fehler, die PGP hatte, eröffneten zumeist keine wirklichen Möglichkeiten, die Software in einer "Real-World"-Situation anzugreifen. PGP bleibt das am stärksten überprüfte Kryptographie-Produkt aller Zeiten.

Golem.de: Sehen Sie ein sichereres Internet in den nächsten Jahren? Wenn ja, wieso wird es sicherer sein?

Zimmermann: Wir sehen ja, dass die Sicherheitslücken des Netzes immer wieder geschlossen werden. Dementsprechend sollte es auch sicherer werden.

Das Interview führte Ben Schwan.