25 Jahre prächtig gute Privatsphäre

Sicheres Sperrgut

Detlef Borchers

Die erste Version des Pretty Good Privacy genannten Verschlüsselungsprogramms entsprach noch nicht den Regeln professioneller Kryptografie. Doch heute ist PGP nahezu ein Synonym für vertrauliche Kommunikation.

Als einen „sonderbaren Glauben“ bezeichnete Franz Kafka die Vorstellung, dass es genüge, den Briefumschlag zuzukleben, um einen Brief gesichert zum Adressaten zu versenden. Denn seine Erfahrungen mit den „Gespenstern“ der Kriegszensur legten einen ganz anderen Schluss nahe.

100 Jahre später ist der Glaube, dass nur der Adressat die E-Mail-Botschaft liest, so weitverbreitet wie sonderbar. Und „elektronische Umschläge“, sprich Verschlüsselung, sind ein Fall für die Sicherheitsbehörden – auch ganz ohne Kriegszustand. Denn wer verschlüsselt, könnte etwas zu verbergen haben.

Grenzen der Küchentischprogrammierung

Der 1954 in Camden, New Jersey, geborene Informatiker Philip R. Zimmermann war einer der Ersten, der sich mit Bürgerrechtsproblemen im Umfeld digitaler Kommunikation beschäftigte. Als aktiver Teilnehmer der Friedensbewegung tourte er in den Achtzigerjahren durch die Staaten. Seit er bei einer Sitzblockade vor dem Atomwaffenzentrum Los Alamos verhaftet worden war, ahnte Zimmermann, wer sich alles für seine privaten Daten interessierte, und begann zu programmieren. Sein selbst geschriebenes Verschlüsselungsprogramm für DOS-Computer nannte er „Pretty Good Privacy“, in Anlehnung an den Hauptsponsor einer lokalen Radiosendung namens „Ralph’s Pretty Good Grocery“.

Doch PGP Version 1.0 war noch das typische Ergebnis einer Küchentischprogrammierung. Als Zimmermann den Code im August 1991 auf einer Kryptologenkonferenz vorstellte, fand der israelische Forscher Eli Biham derart viele Fehler im selbst entwickelten Verschlüsselungsalgorithmus, dass Zimmermann gezwungen war, sein Programm weitgehend umzubauen. Im Herbst 1991 entwickelte ein über die ganze Welt verstreutes Team von Programmierern und Kryptologen Version 2.0, und mit anerkannten Algorithmen war PGP nachweislich sicher und konnte Aktivisten empfohlen werden.

Zunächst kümmerten sich die Mitglieder der Cypherpunk-Mailingliste um die PGP-Verbreitung. Sie kopierten Binaries und Sourcecode als Freeware weltweit auf FTP-Server. Wichtig waren außerdem die alternativen Mailboxen, in Deutschland etwa die Bionic-Mailbox des FoeBuD (heute: Digitalcourage).

Ende 1992 begann ein langer juristischer Streit, in dem zuerst der US-Zoll, später eine geheime „Grand Jury“ mithilfe von National Security Letters untersuchte, ob Zimmermann Exportkontrollen unterlaufen hatte. Das Verfahren wurde erst 1997 endgültig eingestellt, nachdem Hacker in Europa aus dem ausgedruckten Sourcecode eine nicht exportierte PGP-„Doublette“ veröffentlichten. Zimmermann gründete die Firma PGP für die kommerzielle Verwertung, was nicht funktionierte. Software und Zimmermann gingen daraufhin zu Network Associates, später kaufte eine neu gegründete Firma PGP die Reste. Sie gehört nun zu Symantec.

Der 11. September 2001 war auch für Zimmermann ein einschneidendes Erlebnis, denn die Washington Post veröffentlichte einen Artikel zur Frage, ob die Terroristen mit PGP kommunizierten (was nicht stimmte). Zimmermann sei als Erfinder von PGP von seiner Schuld überwältig und weine. In seiner Antwort („No regrets“) auf diese Unterstellung erwähnte Zimmermann die Möglichkeit, dass Terroristen verschlüsseln können. Viel schlimmer aber sei es, wenn in einer Demokratie Bürger ihre Privatsphäre nicht schützen könnten. In diesem Sinne arbeitete er weiter, etwa an Silent Circle, einer Software für die Verschlüsselung von Sprach- und Videotelefonie, oder einem sicheren Smartphone.

Als in den USA der zusätzliche Verschlüsselungen anbietende Mailprovider Lavabit schließen musste – er hatte den Whistleblower Edward Snowden als Kunden und wurde zur Herausgabe der SSL-Schlüssel seiner Kunden verurteilt –, verlagerte Zimmermann 2015 seine Firma in die Schweiz.

Keine nahtlose Integration

Unterdessen wurde PGP als Freeware weiterentwickelt. Bereits 1998 entstand mit OpenPGP ein Standard, der sich als Alternative zu der kommerziellen Version von Network Associates verstand, und mit GnuPG die wichtigste OpenPGP-Software. Es gibt Plug-ins wie Enigmail für Mailsysteme und browserbasiertes Verschlüsseln mithilfe von Mailvelope, das das „offizielle“ deutsche Mailsystem De-Mail einsetzt.

Dennoch ist PGP nach wie vor sperrig zu benutzen. Wer mit mehreren Rechnern arbeitet, von denen einige Smartphones und Tablets sind, kommt immer wieder in Situationen, in denen man auf einem Gerät eine Mail nicht ver- oder entschlüsseln kann. Ein verbindendes Ökosystem gibt es nicht. Dies will ein auf OpenPGP fußendes Projekt erreichen, das sich Pretty easy Privacy (pEp bzw. p≡p geschrieben) nennt und von einer Stiftung getragen wird, die in der Schweiz und Luxemburg angesiedelt ist. In diesem Sommer sollen Versionen für Outlook, K-9, Enigmail und Kontact an den Start gehen, gefolgt von einer iOS-Variante. (js)