- Erklärung: PGP und der Anschlag auf das World Trade Center, das Außenministerium und das Pentagon vom 12.09.2001
- Mitteilung des Kryptologen Bruce Schneier zum 11. September in seinem Newsletter Crypto-Gram vom 15.09.2001
- Aufruf von FITUG zur Verteidigung der Grundrechte vom 18.09.2001
- Offener Brief von sieben Organisationen an den Europäischen Rat zur Verabschiedung der Cybercrime-Konvention vom 21.09.2001
- Phil Zimmermann: No Regrets About Developing PGP vom 24.09.01
- Incognito Innominatus: Cryptography and the Present Crisis auf der cypherpunks Mailingliste vom 26.10.2001
- Links
Erklärung:
PGP und der Anschlag auf das World Trade Center, das Außenministerium
und das Pentagon
Angesichts des Terroranschlags auf die USA mehren sich
die Vermutungen,
die Terroristen hätten zur Koordinierung und Planung ihrer
Aktion PGP, bzw. Verchlüsselungstechniken eingesetzt und Internetdienste
zur Kommunikation benutzt.
Dass es so ist, kann nicht ausgeschlossen werden. Die Frage, ob
es PGP war oder ein anderes Kryptografieprogramm ist unerheblich.
Im Zuge der Vermutungen und Untersuchungen werden auch die Forderungen
nach einer Einschränkung oder eines Verbotes der Anwendung
kryptografischer Programme wie PGP wieder laut werden, einhergehend
mit Forderungen nach einer verstärkten Überwachung der
Internetdienste und seiner Anwender.
Dies ist angesichts der Ereignisse in den USA verständlich.
Auf die Spitze getrieben formuliert es die britische Zeitung The
Daily Telegraph in ihrem Artikel Shoulder
to Shoulder jedoch so:
Uncompliant providers on foreign territory should expect their buildings to be destroyed by cruise missiles. Once the internet is implicated in the killing of Americans, its high-rolling days may be reckoned to be over."
Deshalb bitte ich trotzdem, folgende Punkte zu bedenken:
Neben PGP gibt es eine große Reihe anderer Möglichkeiten,
verschlüsselte Kommunikation und Datentransfer durchzuführen,
wir kennen steganografische Techniken und Programme, kryptografische
Chat- und Instant Messenger Programme, verschlüsselnde SSL-
und VPN-Verbindungen etc.
Ein Verbot, sebst eine Überwachung dieser Möglichkeiten
mit dem Ziel den internationalen Terrorismus (oder auch die "Organsierte
Kriminalität") zu bekämpfen, würde das Verbot,
bzw. Neutralisierung aller oben angeführten, *bekannten* Techniken
bedeuten.
Damit würden *alle* Menschen und nicht nur Kriminelle und Terroristen
der Möglichkeit beraubt, ihre Privatsphäre zu schützen,
ihr Recht auf freie Meinungsäußerung auszuüben und
das Ausmass freizugebender, persönlicher Daten selbst zu bestimmen.
Eine Terrororganisation oder eine kriminelle Organisation wird über
die nötigen finanziellen Mittel, das nötige programmiertechnische
Know-How und die Human Ressources verfügen, um *immer* eine
den Strafverfolgungsbehörden *unbekannte* und ohne die totale
Kontrolle des Netzverkehrs nicht aufspürbare Verschlüsselungstechnik
einzusetzen, so dass sich der alte Satz von P. Zimmermann ""If
privacy is outlawed, only outlaws will have privacy" bewahrheiten
würde.
Das FBI hat einen Tag nach dem Anschlag zahlreiche US-Provider
aufgesucht und sie darum ersucht oder per Anordnung dazu verpflichtet,
das geheime FBI-Carnivore System zu installieren.
Nähere Informationen zu Carnivore finden Sie im MINI.WAHR Bereich.
Als Mittel der nachträglichen Aufklärung einer Straftat
kann auch ein System wie Carnivore legitim sein, wenn dies unter
strengen Auflagen und einer effizienten Gegenkontrolle der Kontrolleure
geschieht und das Programm schon von seiner Struktur so angelegt
wäre, das nur eine spezielle Person zeitlich begrenzt überwacht
werden würde.
Die illegale Installation von Keyloggern im Scarfo-Fall
durch das FBI, deren Technik ebenfalls als geheim eingestuft wurde
und die unkontrollierbare "Breitband-Wirkung" des Carnivore
Systems stehen dem entgegen.
Der Eindruck entsteht, dass die Geheimdienste in den USA und hierzulande
die Gunst der Stunde nutzen, um Überwachungsspielraum und -befugnisse
noch einmal auf Kosten aller Bürger auszuweiten, obwohl gewiss
zum Teil das Gelingen des Terroranschlags auch auf das Ermittlungsversagen
der Dienste zurückzuführen ist, da der Schwerpunkt zu
stark auf technische SIGINT Komponenten gelegt wurde.
Die kritische Öffentlichkeit darf nicht zulassen, dass Geheimdienste
unter dem Eindruck der Ereignisse versuchen, ihren Überwachungsradius
noch mehr zu vergössern, obwohl zum einen dessen Effektivität
zweifelhaft ist und zum anderen nicht nur der eine Verdächtige
in den Sog der Überwachungsmassnahmen gerät sondern alle,
deren Daten Überwachungsschnittstellen passieren.
Der Preis für 100% Sicherheit, für 100% Kriminalitätsbekämpfung
liegt in der Konstitution eines Staates und einer Gesellschaft orwellschen
Charakters - darüber müssen sich alle, vom sogenannten
"einfachen Bürger" auf der Straße bis zum Staatsoberhaupt,
klar sein, denn 100% Sicherheit und 100% Kriminalitätsbekämfung
erfordern 100% Überwachung und 100% Datenoffenlegung.
Es mag angesichts der fürchterlichen Ereignisse in den USA
zynisch klingen, aber eine demokratische und auf die Wahrung der
bürgerlichen Freiheitsrechte beruhende Gesellschaft, deren
Ursachen für Gewalt, Kriminalität und Terrorismus nicht
*radikal*, sprich ursächlich bekämpft werden, muss mit
ihren Unsicherheiten und Verbrechen leben.
Die Inhalte des CDU-Leitantrages
"Sicherheit 21 - Was zur Bekämpfung des Internationalen
Terrorismus jetzt zu tun ist" und des Anti-Terrorpaketes
II von Innenminister Otto
Schily stellen das genaue Gegenteil dieser und unten stehender
Erklärungen dar und gehen weit über ein Verbot kryptografischer
Programme hinaus (siehe auch: Schily
schießt weit übers Ziel hinaus).
Die Inhalte sind dazu geeignet, das Recht auf informationelle Selbstbestimmung
vollständig zu beseitigen und alle Grundrechte, die sich auf
das Persönlichkeitsrecht und die freie Meinungsäusserung
beziehen, zu erodieren.
Deshalb ist m. M. nach überlegenswert, ob Artikel
20 GG (4) zur Anwendung kommt, wenn die Beseitigung dieser Gefahr
für die freiheitlich-demokratische Grundordnung nicht noch
abgewendet werden kann.
Ein Verbot von Techniken und Programmen, die dem
Schutz der Freiheitsrechte und des Datenschutzes dienen und die
ausbordende Überwachung können nur mit Widerstand und der
fortgesetzten Nutzung und Propagierung eben dieser Techniken und Programme beantwortet werden.
Ich rufe alle Leute, die der gleichen Auffassung sind, dazu auf,
ähnliche Informationswebsites zu gründen, in die Newsgroups
zu posten, sich an Mailinglisten zu beteiligen, Freunde, Bekannte
und Verwandte aufzuklären, Druck auf unsere parlamentarischen
Vertreter auszuüben oder geeigneten außerparlamentarischen
Organisationen beizutreten oder diese zu gründen.
Kai Raven, 12.09.2001/18.10.2001
Note des Kryptographen und Sicherheitsexperten Bruce Schneier
An dieser Stelle möchte ich das Editorial des Crypto-Gram vom 15.09.2001 des amerikanischen Kryptographen und Sicherheitsexperten Bruce Schneier wiedergeben, der passende Worte zur gesamten Problematik, gerade auch aus amerikanischer Sicht, dazu gefunden hat.
Bruce Schneier schreibt:
11 September 2001
Both sides of the calendar debate were wrong; the new century began on 11 September 2001.
All day I fielded phone calls from reporters looking for the "computer security angle" to the story. I couldn't find one, although I expect several to come out of the aftermath.
Calls for increased security began immediately. Unfortunately, the quickest and easy way to satisfy those demands is by decreasing liberties. This is always short sighted; real security solutions exist that preserve the free society that we all hold dear, but they're harder to find and require reasoned debate. Strong police forces without Constitutional limitations might appeal to those wanting immediate safety, but the reality is the opposite. Laws that limit police power can increase security, by enforcing honesty, integrity, and fairness. It is our very liberties that make our society as safe as it is.
In times of crisis it's easy to disregard these liberties or, worse, to actively attack them and stigmatize those who support them. We've already seen government proposals for increased wiretapping capabilities and renewed rhetoric about encryption limitations. I fully expect more automatic surveillance of ordinary citizens, limits on information flow and digital-security technologies, and general xenophobia. I do not expect much debate about their actual effectiveness, or their effects on freedom and liberty. It's easier just to react. In 1996, TWA Flight 800 exploded and crashed in the Atlantic. Originally people thought it was a missile attack. The FBI demanded, and Congress passed, a law giving law enforcement greater abilities to expel aliens from the country. Eventually we learned the crash was caused by a mechanical malfunction, but the law still stands.
We live in a world where nation states are not the only institutions which wield power. International bodies, corporations, non-governmental organizations, pan-national ethnicities, and disparate political groups all have the ability to affect the world in an unprecedented manner. As we adjust to this new reality, it is important that we don't become the very forces we abhor. I consider the terrorist attacks on September 11th to be an attack against America's ideals. If our freedoms erode because of those attacks, then the terrorists have won.
The ideals we uphold during a crisis define who we are. Freedom and liberty have a price, and that price is constant vigilance so it not be taken from us in the name of security. Ben Franklin said something that was often repeated during the American Revolutionary War: "They that can give up essential liberty to obtain a little temporary safety deserve neither liberty nor safety." It is no less true today.
by Bruce Schneier
Founder and CTO
Counterpane Internet Security, Inc.
schneier@counterpane.com
<http://www.counterpane.com>
FITUG ruft Politik zur Verteidigung
der Grundrechte auf
18.09.2001
Die terroristischen Angriffe des 11. September zielten nicht nur auf die Vernichtung von Menschenleben: Sie galten auch den Grundwerte unserer offenen Gesellschaften. In diesen dunklen Stunden voller Zorn und Trauer ist die Politik aufgerufen, beides zu schützen - Leben und Freiheit der Bürger.
Dieser Anschlag auf die Grundwerte unserer Gesellschaften kann nur dann erfolgreich sein, wenn wir selbst ihn vollenden. Dies darf nicht geschehen.
In der laufenden Debatte über eine Verbesserung der inneren Sicherheit wird immer wieder vorgeschlagen, daß die Abhörfähigkeiten der Behörden verbessert werden sollten. Aus einigen Kreisen heißt es, daß die bisherigen Fähigkeiten der Strafverfolgungsbehörden und Nachrichtendienste ungenügend seien, um die Kommunikation moderner Terroristen aufzudecken und zu überwachen.
Die offene Verfügbarkeit praktisch unbrechbarer Verschlüsselungsprodukte wird in diesem Zusammenhang als schwerwiegendes Hindernis im Kampf gegen den Terrorismus dargestellt.
Diese Darstellung ist irreführend. Gesetzgebung, die auf ihr fußt, würde ihr selbstgestecktes Ziel verfehlen; stattdessen würde sie Grundwerte freier und offener Gesellschaften untergraben, wie das Recht der Bürger auf freie und unüberwachte Kommunikation und auf die Wahrung ihrer Privatsphäre.
Derartige Gesetzgebung würde die vielen Belege ignorieren, die mittlerweile darauf hindeuten, daß die Nachrichtendienste eben nicht an einem Mangel an Überwachungsmöglichkeiten kranken, sondern an mangelhafter und vernachlässigter "human intelligence" - sowie an einer unzureichenden Auswertung des bereits gesammelten Materials.
Selbst die ausgefeilteste Technologie zum Abhören von Telekommunikation, die den Diensten zur Verfügung steht oder stehen könnte, wäre nicht in der Lage, steinzeitliche Sicherheitsmaßnahmen zu brechen, die Terroristen selbstverständlich immer zur Verfügung stehen werden - zum Beispiel menschliche Kuriere, zum Beispiel Treffen unter vier Augen.
Starke Kryptographie ist andererseits eine Schlüsseltechnologie für eine sichere und verläßliche Informationsgesellschaft. Ihre Nutzung zur Sicherung elektronischer Kommunikation zu verhindern, würde die Verwundbarkeit unserer modernen, informationsbasierten Gesellschaften und Ökonomien gegenüber Cyber-Terroristen und -Kriminellen nur noch weiter steigern.
Gesetze, die die weitere Nutzung von starker Kryptographie behindern, würden den ohnehin schon schwachen Schutzschild der zivilisierten Welt gegen digitale Desaster durchlöchern.
Wir fordern die Politik daher auf, die Rechte der Bürger und der Wirtschaft auf unüberwachte Kommunikation nicht einzuschränken. Es muß auch in Zukunft möglich sein, Telekommunikation mit der besten verfügbaren Technologie gegen Angriffe abzuschirmen.
Unsere Gesellschaften und unsere Wirtschaft brauchen diese Technologien und ihre weitverbreitete Nutzung, um sich gegen die digitalen Angriffe von morgen zu verteidigen.
Über FITUG
Der Förderverein Informationstechnik und Gesellschaft FITUG e. V. (FITUG) schafft Verbindungen zur virtuellen Welt der Neuen Medien und der Datennetze. In unserer Satzung heißt es dazu: "Zwecke des Vereins sind die Förderung der Integration der neuen Medien in die Gesellschaft, die Aufklärung über Techniken, Risiken und Gefahren dieser Medien, sowie die Wahrung der Menschenrechte und der Verbraucherschutz in Computernetzen." Der FITUG e.V. ist Mitglied im weltweiten Dachverband "Global Internet Liberty Campaign" (GILC).Links
Ausführliches FITUG-Statement zur Kryptokontrolle (Englisch)
Global Internet Liberty Campaign
Offener Brief an den Europäischen Rat zur Verabschiedung der Cybercrime-Konvention
21 September 2001
Open letter to the European Council
European privacy and civil liberties organisations urge European leaders to defend citizens' freedoms
The terrorist attacks on the U.S. did not only target human lives and property but also the essential values of freedom in open societies. Political leaders in Europe will now wish to enhance the security of their countries and protect the public from further wrongdoing. We urge them to take this opportunity to defend the freedom and the rights of Europe's citizens.
European privacy and civil liberties organisations urge Europe's leaders to refrain from new and extended communications interception and lawful access powers for police forces and intelligences services. We question the effectiveness and proportionality of such capabilities and warn against the grave loss of privacy that those measures would lead to.
We support the recommendations of the European Parliament regarding Echelon. The existence of the Echelon system did not provide intelligence services with information about the attacks in the U.S., and as a result we are concerned that Echelon and similar systems threaten the rights of all European citizens without achieving their stated goals. It is not likely that more legal possibilities and funding for signals intelligence would change the current situation.
We urge Europe's leaders to defend and promote the right of private and secure communications through the use of encryption. To restrict the use of cryptography will negatively affect the security of our communications infrastructure, further damage trust in our economy, and will restrict the rights of individuals, without affecting the capabilities of terrorists. We urge Europe's leaders to carefully take the recommendations of the European parliament regarding the Echelon report into account and stimulate the use of open-source encryption technology.
Also we urge European leaders not to implement legislation that mandates internet and telecommunication service providers to retain traffic data for law enforcement purposes. Retention of traffic data will in effect transform our communications infrastructure into a surveillance system that records intimate details of the personal life of all citizens.
We, the undersigned European NGOs concerned with privacy and civil liberties, look forward to working with Europe's leaders on these issues. As we all deliberate on how to proceed and the lessons we may have learned from the sad events in the U.S., we must resist the political temptation to act hastily.
Signed by,
Bits of Freedom
Netherlands
+31204686451
info@bof.nlChaos Computer Club
Germany
+493030871715
presse@ccc.deDigital Rights
Denmark
+4526227133
phs@digitalrights.dkquintessenz
Austria
+43 699 110 463 26
h@quintessenz.at
Fitug
Germany
+498999637991
info@fitug.deFoundation for
Information Policy Research
UK
+442073542333
cb@fipr.orgPrivacy International
UK
+447958466552
pi@privacy.org
Final Draft Convention on Cyber-Crime
P. Zimmermann: No Regrets About Developing
PGP
24.09.01
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 No Regrets About Developing PGP The Friday September 21st Washington Post carried an article by Ariana Cha that I feel misrepresents my views on the role of PGP encryption software in the September 11th terrorist attacks. She interviewed me on Monday September 17th, and we talked about how I felt about the possibility that the terrorists might have used PGP in planning their attack. The article states that as the inventor of PGP, I was "overwhelmed with feelings of guilt". I never implied that in the interview, and specifically went out of my way to emphasize to her that that was not the case, and made her repeat back to me this point so that she would not get it wrong in the article. This misrepresentation is serious, because it implies that under the duress of terrorism I have changed my principles on the importance of cryptography for protecting privacy and civil liberties in the information age. Because of the political sensitivity of how my views were to be expressed, Ms. Cha read to me most of the article by phone before she submitted it to her editors, and the article had no such statement or implication when she read it to me. The article that appeared in the Post was significantly shorter than the original, and had the abovementioned crucial change in wording. I can only speculate that her editors must have taken some inappropriate liberties in abbreviating my feelings to such an inaccurate soundbite. In the interview six days after the attack, we talked about the fact that I had cried over the heartbreaking tragedy, as everyone else did. But the tears were not because of guilt over the fact that I developed PGP, they were over the human tragedy of it all. I also told her about some hate mail I received that blamed me for developing a technology that could be used by terrorists. I told her that I felt bad about the possibility of terrorists using PGP, but that I also felt that this was outweighed by the fact that PGP was a tool for human rights around the world, which was my original intent in developing it ten years ago. It appears that this nuance of reasoning was lost on someone at the Washington Post. I imagine this may be caused by this newspaper's staff being stretched to their limits last week. In these emotional times, we in the crypto community find ourselves having to defend our technology from well-intentioned but misguided efforts by politicians to impose new regulations on the use of strong cryptography. I do not want to give ammunition to these efforts by appearing to cave in on my principles. I think the article correctly showed that I'm not an ideologue when faced with a tragedy of this magnitude. Did I re-examine my principles in the wake of this tragedy? Of course I did. But the outcome of this re-examination was the same as it was during the years of public debate, that strong cryptography does more good for a democratic society than harm, even if it can be used by terrorists. Read my lips: I have no regrets about developing PGP. The question of whether strong cryptography should be restricted by the government was debated all through the 1990's. This debate had the participation of the White House, the NSA, the FBI, the courts, the Congress, the computer industry, civilian academia, and the press. This debate fully took into account the question of terrorists using strong crypto, and in fact, that was one of the core issues of the debate. Nonetheless, society's collective decision (over the FBI's objections) was that on the whole, we would be better off with strong crypto, unencumbered with government back doors. The export controls were lifted and no domestic controls were imposed. I feel this was a good decision, because we took the time and had such broad expert participation. Under the present emotional pressure, if we make a rash decision to reverse such a careful decision, it will only lead to terrible mistakes that will not only hurt our democracy, but will also increase the vulnerability of our national information infrastructure. PGP users should rest assured that I would still not acquiesce to any back doors in PGP. It is noteworthy that I had only received a single piece of hate mail on this subject. Because of all the press interviews I was dealing with, I did not have time to quietly compose a carefully worded reply to the hate mail, so I did not send a reply at all. After the article appeared, I received hundreds of supportive emails, flooding in at two or three per minute on the day of the article. I have always enjoyed good relations with the press over the past decade, especially with the Washington Post. I'm sure they will get it right next time. The article in question appears at http://www.washingtonpost.com/wp-dyn/articles/A1234-2001Sep20.html -Philip Zimmermann 24 September 2001 (This letter may be widely circulated) -----BEGIN PGP SIGNATURE----- Version: PGP 7.0.3 iQA/AwUBO69F2sdGNjmy13leEQIn+QCg2DjDeyibtRe61tUSplSAobdzAqEAoOMF ir3lRc4c1D/0Mmmv/JtP/E73 =3DHmRO -----END PGP SIGNATURE-----
Incognito Innominatus: Cryptography
and the Present Crisis
26.10.2001
Cypherpunks are forgetting everything they are supposed to know. Does anyone remember why this list was formed? Does the "cypher" in cypherpunk mean anything? Has anyone considered whether there is a role for crypto technology in the face of the current threats to civil rights?
These new laws are a perfect opportunity to promote the message of cryptography for privacy. Virtually all of the provisions which have cypherpunks wailing in despair can be easily circumvented by the use of crypto technology. And every trial balloon floated to limit or ban crypto has been shot down instantly, so full of holes that it will never fly.
Carnivore will be deployed to snoop on email? Simple, use PGP/GPG.
Carnivore used for "trap and trace" address gathering? Simple, use remailers to disguise the patterns of who you are communicating with.
Legitimate criticism of U.S. government potentially interpreted as supporting terrorism? Simple, make your points anonymously or pseudonymously and be free from the fear of prosecution.
Every one of these policies is an opportunity, not a threat. To the extent that these crackdowns engender concern about privacy violations from a growing segment of the population, this is a chance for cypherpunks to spread their knowledge and their technology. You don't have to be a paranoid any more to be afraid that the government is spying on you. John Ashcroft himself boasts that Big Government will be watching.
Cypherpunks should be taking advantage of this opportunity to promote their message of privacy through technology. For the first time since the group was formed, they can make a legitimate case that the threat of government surveillance is increasing. With the Bill of Rights being tossed out the window and the AG openly admitting to bending the rules to achieve his goals, a wide community is going to be receptive to this message.
Of course there are presently substantial numbers who are caught up in the collectivist urge and who might view attempts to protect privacy as unpatriotic. But this is a temporary phenomenon, already fading. The flags which flew from every car and building in sight a few weeks ago are disappearing. Yet the Draconian new regulations will not go away. Inevitably there will be a growing segment of the population which sees the government as a fearsome threat.
It is time for cypherpunks to go back to their roots. Let us put the cypher back in cypherpunk. There are other places where people can whine about how evil congress is or fantasize about secession from the U.S. Focus on crypto and what role it can play in the current crisis. Believe it or not, no one else is doing that. No one in the world is speaking out to say, here are tools which can circumvent the government's efforts to take away our privacy. If the cypherpunks don't do it, no one will.
Quelle
cypherpunks ist eine alte Mailingliste, deren Mitglieder sich mit den technischen und praktischen Aspekten der Kryptografie und dem Schutz der Privatsphäre beschäftigen.
Siehe auch:
- Telepolis: Am Tag danach
- Telepolis: Ist Verschlüsselung schuld?
- MSNBC: Did Encryption Empower These Terrorists?
- WIRED: Congress Mulls Stiff Crypto Laws
- SPIEGEL ONLINE: Daten- oder Bürgerschutz / Künftig mehr Kontrolle?
- Yahoo News: US-Experten warnen vor mehr Internetüberwachung nach Anschlägen
- ZDNet News: US-Politiker fordern Verbot von Verschlüsselungstechnik
- Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein:
Pressemitteilung: Terroranschlag in den USA legitimiert nicht den Überwachungsstaat
[Link zur Pressemitteilung und weiteren relevanten Texten] - Netzzeitung.de: Krypto-Experte: «Sonst haben die Terroristen gewonnen»
- Telepolis: Mobilisierung in Frankreich