Phil Zimmermann: "Die PGP-Community sollte zahlen" (Update)
Phil Zimmermann: Im August 2002 hat Network Associates (NAI) das Produkt an ein neues Start-up verkauft - die PGP Corporation. Die dunklen Zeiten sind also vorbei, PGP ist wieder da!
Golem.de: Wie kam es, dass NAI mit der Arbeit an dem Produkt aufgehört hat? War es ein solch kommerzieller Flop?
Zimmermann: Nein, die wussten nur nie, wie man PGP verkaufen konnte. Die haben das Produkt niemals verstanden.
Golem.de: Was haben Sie getan, nachdem Sie NAI verlassen hatten?
Zimmermann: Seitdem habe ich Consulting-Arbeit gemacht, einer meiner besten Kunden ist jetzt die PGP Corporation. Außerdem bin ich ein "Fellow" am Center for Internet and Society an der Stanford Law School.
Golem.de: Hat NAI die Wichtigkeit von PGP nicht verstanden?
Zimmermann: Nein, die haben das nie kapiert. Nicht am Anfang, nicht am Ende.
Golem.de: Wie kam es denn dann, dass Sie verkauft haben?
Zimmermann: Uns ging das Geld aus.
Golem.de: War es schwer für die PGP Corporation, ihre Risikokapitalfinanzierung einzusammeln? Was tun Sie bei der Firma konkret?
Zimmermann: Ich denke, dass der PGP-Name, das Management-Team und die Ideen dahinter letztlich dafür sorgten, dass es Geld gab. Ich selbst bin im Advisory-Board, vertraglich gebunden und besitze einige Aktien, die man mir gegeben hat.
Golem.de: Aber die Rechte an PGP besitzen Sie nicht mehr?
Zimmermann: Nein. Die verlor ich vor Jahren, als ich an NAI verkauft habe.
Golem.de: Gefallen Ihnen die 8.0-Versionen von PGP?
Zimmermann: Ja, ich freue mich über die Rettung von PGP durch die PGP Corporation.
Golem.de: Ist die Lizenz, die von der Firma eingesetzt wird, Ihrer Meinung nach die richtige? Sollte PGP nicht unter der GPL stehen, wie so viele andere wichtige Internet-Software-Produkte auch?
Zimmermann: Es gibt eine Freeware-Version, von der ja auch der Quellcode veröffentlicht wird. Ich denke, dass die PGP Corporation kein Geld verdienen würde, wenn PGP unter der GPL stünde. Nun hat die Software eine neue Lebenschance erhalten. Wenn wir nicht wollen, dass sich die selben Dinge wiederholen, die PGP schon einmal zugestoßen sind [Kauf und Verkauf, Anm. d. Red.], müssen wir uns darauf einstellen, dass uns das Produkt etwas Geld wert ist. Es wird Zeit, dass das die PGP-Community begreift - und ihren Beitrag leistet. Der "Dot-Com"-Boom ist vorbei. Der Darwin-Award ging an all die Geschäftsmodelle, bei denen alles umsonst weggegeben wurde.
Golem.de: Obwohl Tools wie PGP inzwischen weitläufig verfügbar sind, verschlüsseln die meisten Nutzer noch immer nicht. Warum?
Zimmermann: Ich denke, das hängt von der Einfachheit der Benutzung ab. Die Leute müssen zu viel von Vertrauensmodellen und Schlüssel-Zertifizierungen verstehen, um PGP zu benutzen. Das gilt aber auch für alle anderen Public-Key-Produkte für die E-Mail-Verschlüsselung. Das kann durch die Implementierung einiger Ideen gelöst werden, die vielen Entwicklern schon vor ein paar Jahren gekommen sind. Aber es gab eben nie genügend Finanzmittel, sie zu verwirklichen. Nun sind sie [mit der PGP Corporation] da und wir werden sehr bald Verbesserungen in der Usability sehen, die die Marktdurchdringung bestimmt stärken werden.
Golem.de: PGP und das Konzept dahinter sind inzwischen sehr alt - über zehn Jahre. Wird es nicht Zeit für einen neuen Ansatz, das Internet sicherer zu machen?
Zimmermann: Ja, schon. Und die PGP Corporation arbeitet daran. Da stehen derartige Durchbrüche in Sachen Benutzbarkeit bereits auf der Produkt-Roadmap.
Golem.de: Wie geht es OpenPGP, ihrem Open-Source-Ansatz?
Zimmermann: Der wurde dadurch verlangsamt, dass NAI bei PGP im Februar 2002 den Stecker gezogen hat. Dank der Rettung PGPs durch die neue PGP Corporation wird das Projekt neue Energie erhalten. Wir freuen uns alle sehr darüber. Das bedeutet, dass der Standard sich noch weiter von anderen Konkurrenten im E-Mail-Sicherheitsbereich absetzen kann. Dank der PGP Corporation werden es auch andere OpenPGP-Teilnehmer einfacher finden, die Unterstützung der Technik in ihren Produkten zu verkaufen.
Golem.de: Nach den Anschlägen des 11. September haben Sie selbst unter großem Druck gestanden. Was sagen Sie den Leuten, die starke Verschlüsselung verbieten wollen, um den Terrorismus zu bekämpfen?
Zimmermann: Die Frage, ob starke Kryptographie von der Regierung verboten werden sollte, wurde in den USA die gesamten Neunzigerjahren über debattiert. An der Diskussion nahmen das Weiße Haus, die NSA, das FBI, die Gerichte, der Kongress, die IT-Industrie, die zivile Forschung und die Presse teil. Die Debatte hat damals voll die Frage mit einbezogen, in wie fern Terroristen starke Verschlüsselung benutzen konnten. In der Tat war das sogar einer der Kernpunkte der Debatte.
Trotzdem hat sich die Gesellschaft damals kollektiv dafür entschieden, dass es insgesamt besser wäre, "Strong Crypto" ohne Regierungshintertüren zuzulassen, auch wenn das FBI dagegen war. Also wurden die Exportkontrollen gelichtet und keine Inlandskontrollen eingeführt. Das war meiner Meinung nach eine gute Entscheidung, weil wir uns dafür die Zeit genommen hatten und viele Experten an ihr beteiligt waren. Wenn wir nun unter dem emotionalen Druck des 11. September hastig diese vorsichtig getroffene Entscheidung wieder umkehren, kann das nur zu schrecklichen Fehlern führen. Und auch unsere Demokratie empfindlich treffen. Außerdem würde es dazu führen, dass wir unsere nationale IT-Infrastruktur noch weiter gefährden.
Golem.de: Ist PGP noch immer sicher? Wurden die Fehler, die man ab und zu fand, alle behoben?
Zimmermann: Ja, das wurden sie. Die Zeit, die inzwischen vergangen ist und der Eifer der Leute, die sich den Code ansahen und die paar Bugs gefunden haben, stützen mein gutes Gefühl, dass PGP noch immer sicher ist. Die Fehler, die PGP hatte, eröffneten zumeist keine wirklichen Möglichkeiten, die Software in einer "Real-World"-Situation anzugreifen. PGP bleibt das am stärksten überprüfte Kryptographie-Produkt aller Zeiten.
Golem.de: Sehen Sie ein sichereres Internet in den nächsten Jahren? Wenn ja, wieso wird es sicherer sein?
Zimmermann: Wir sehen ja, dass die Sicherheitslücken des Netzes immer wieder geschlossen werden. Dementsprechend sollte es auch sicherer werden.
Das Interview führte Ben Schwan.