Original-URL des Artikels: https://www.golem.de/news/fraunhofer-sit-volksverschluesselung-startet-ohne-quellcode-1606-121825.html    Veröffentlicht: 29.06.2016 14:18    Kurz-URL: https://glm.io/121825

Fraunhofer SIT

Volksverschlüsselung startet ohne Quellcode

Mit der Volksverschlüsselung soll jeder verschlüsseln können - also zumindest jeder, der einen E-Perso, einen Telekom-Festnetz-Account oder einen Registrierungscode besitzt. Zum offiziellen Start des Projektes gibt es aber weder Quellcode noch ein Written Offer im Sinne der GPL.

Das Fraunhofer Institut für Sichere Informationstechnologie hat heute den Start der Volksverschlüsselungssoftware bekanntgegeben. Nutzer können sich die entsprechende Software ab sofort kostenfrei herunterladen und sich einen eigenen Schlüssel erstellen. Eigentlich sollte auch der Quellcode zur Inspektion verfügbar sein, bislang ist das aber nicht der Fall. Auch sonst gibt es nur wenige Details.

Erklärtes Ziel der Entwickler ist es, Ende-zu-Ende-Verschlüsselung massentauglich machen. Die Handhabung soll deutlich einfacher sein als zum Beispiel beim Einsatz von PGP oder S/MIME. Anders als beim von der Bundesregierung vorangetriebene De-Mail-Projekt bietet die Volksverschlüsselung tatsächlich eine durchgehende Verschlüsselung der Inhalte.

Doch im Gegenzug lassen sich mit dem neuen Projekt keine rechtsverbindlichen Unterschriften für offizielle Dokumente erstellen. Für den Versand von Mails fallen dafür keine Kosten an. Trotzdem darf bezweifelt werden, ob das Projekt erfolgreicher wird als die ungeliebte De-Mail.

Derzeit eine deutsche Insellösung

Denn wer selbst ein Zertifikat erstellen will, muss sich authentifizieren. Dazu kann entweder der kaum verbreitete neue Personalausweis genutzt werden, wenn der Chip aktiviert ist. Alternativ kann ein Telekom-Festnetz-Account oder eine persönliche Registrierung, etwa bei Messen, genutzt werden. Als nächstmöglichen Termin gibt Fraunhofer die IT-Security Messe ITSA in Nürnberg an - die vom 18. bis zum 20. Oktober stattfindet. Andere Verfahren wie Postident seien in Planung. Langfristig sollen auch Registrierungen außerhalb Deutschlands möglich sein.

Die Volksverschlüsselung ist nicht mit dem etablierten Verfahren Pretty Good Privacy (PGP) kompatibel. Fraunhofer schreibt dazu: "Die beiden Verfahren S/MIME und OpenPGP zum Signieren und Verschlüsseln von E-Mails sind vom Prinzip her zwar ähnlich, aber leider nicht kompatibel, da sie unterschiedliche Formate für Schlüssel, Zertifikate und verschlüsselte Daten verwenden. Das heißt, Sender und Empfänger müssen das gleiche Verfahren nutzen, wenn sie signierte oder verschlüsselte Nachrichten austauschen wollen."

Es müssen also immer beide Kommunikationspartner die Volksverschlüsselungssoftware installieren. Nach Angaben von Fraunhofer wird das erstellte Zertifikat nicht zentral gespeichert. Geht es verloren, müssen Nutzer demnach ein neues beantragen. Die Software gibt es bislang nur für Windows. MacOS, Linux und mobile Betriebssysteme sollen folgen.

Ein bisschen Open Source und wenig technische Details

Dem Projekt gingen Auseinandersetzungen über den von Fraunhofer verwendeten Open-Source-Begriff voraus. Denn die von Fraunhofer verwendete Lizenz ist nicht mit der Definition der Open-Source-Initiative kompatibel.

Auf der Webseite schreibt Fraunhofer daher nach vorheriger Berichterstattung auf Golem.de auf die Frage "Ist die Volksverschlüsselung Open Source": "Das ist eine schwierige Frage, weil "Open Source" vielfältig verwendet wird. Die Software ist "Open Source" in einem umgangssprachlichen Sinn, weil der Quelltext offengelegt wird. Sie ist nicht "Open Source" im Sinne der Open-Source-Initiative."

Lizenztechnisch könnte Fraunhofer Probleme bekommen. "Denn nach Durchsicht der Lizenzvereinbarungen [PDF] enthalten diese den Lizenztext der General Public License 3.0 (GPL)". Offenbar wird also GPL-lizenzierter Code verwendet. Doch ein "Written Offer" finden wir nicht. Mit dem "Written Offer" muss der Anbieter von Software, die GPL-Code enthält, dem Nutzer mitteilen, wo und auf welche Weise der Quellcode zu bekommen ist.

Kaum technische Hintergründe

Zu den technischen Hintergründen der Volksverschlüsselung gibt es auf der Webseite nur wenige Informationen. Installiert man die Software, wird Mozillas Network Security Services installiert, außerdem ist die Cryptobibliothek Bouncycastle mit im Paket. Außerdem importiert die Software ohne Zutun der Nutzer ein von Fraunhofer selbst signiertes Root-Zertifikat.

Das Fraunhofer SIT hatte in den FAQ angekündigt, den Quellcode auf Github zu veröffentlichen. Bislang können wir dort aber kein Repository finden. Es soll geprüft werden, ob und wie Beiträge von außen berücksichtigt werden können. In der Readme-Datei, die der Anwendung beiliegt, finden sich zwei Links auf Quellcode-Pakete. Diese sind jedoch nicht aktiv und leiten auf die Startseite des Projektes um. Auch die Quellcode-Lizenz und das Contributor-License-Agreement sind noch leer.

Auch die Lizenzfrage ist noch nicht geklärt. In den FAQ heißt es: "Wir sind dabei die Lizenz zu definieren. Das ist ein schwieriges Unterfangen, wir bitten daher noch um etwas Geduld. Die Lizenz wird auch festlegen, ob und wie andere sich beteiligen können und wie wir mit Hinweisen auf Sicherheitslücken umgehen, sollten solche gemeldet werden."

Wir haben das Fraunhofer SIT um eine Stellungnahme zur Verfügbarkeit des Quelltextes und zu den Lizenzfragen gebeten, bislang aber keine Antwort erhalten.  (hg)


Verwandte Artikel:
Sicherheitslücke: Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon   
(12.05.2017, https://glm.io/127777 )
ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte   
(09.03.2018, https://glm.io/133258 )
Fluggastdaten: Regierung dementiert Hackerangriff auf deutsches PNR-System   
(10.03.2018, https://glm.io/133261 )
LLVM 6.0: Clang bekommt Maßnahme gegen Spectre-Angriff   
(09.03.2018, https://glm.io/133241 )
Ghostscript: Vertragsverletzung in GPL-Klage wird nicht entschieden   
(12.12.2017, https://glm.io/131623 )

© 1997–2019 Golem.de, https://www.golem.de/