Kann man seinem Rechner vertrauen?
von Richard StallmanVon wem sollte Ihr Rechner Befehle entgegen nehmen? Die meisten denken, dass ihre Rechner ihren Befehlen gehorchen sollten, nicht denen anderer. Mit einem Vorhaben namens Trusted Computing (TC) beabsichtigen große Medienkonzerne (einschließlich Filmgesellschaften und Plattenfirmen), zusammen mit Firmen wie Microsoft und Intel, Rechner dazu zu bringen, ihnen, statt dem Nutzer, zu gehorchen (Microsofts Version dieses Schemas nennt sich Palladium[*]). Proprietäre Programme enthielten bereits böswillige Funktionen ‑ aber dieses Vorhaben würde es allgemeingültig machen.
Proprietäre Software bedeutet im Wesentlichen, dass man nicht kontrollieren kann, was sie macht: man kann weder den Quelltext untersuchen noch ändern. Es überrascht nicht, dass geschickte Geschäftsleute Wege finden, diese Kontrolle zum Nachteil der Nutzer auszunutzen. Microsoft hat dies mehrmals getan: eine Version von Windows wurde so konzipiert, die gesamte auf der Festplatte befindliche Software an Microsoft zu berichten und eine aktuelle „Sicherheits“verbesserung des Windows Media Player forderte Nutzer auf, neuen Restriktionen zuzustimmen. Aber Microsoft ist nicht allein: die Software der Musiktauschbörse KaZaA ist so konzipiert, dass KaZaAs Geschäftspartner die Nutzung jedes [teilnehmenden] Rechners an eigene Kunden vermieten können. Diese böswilligen Funktionen sind oftmals geheim, aber selbst wenn man davon wüsste ist es schwierig, diese zu entfernen, da der Quelltext nicht zugänglich ist.
In der Vergangenheit waren dies Einzelfälle. Vertrauenswürdige Datenverarbeitung ‚Trusted Computing‘ würde diese Praktiken allgegenwärtig machen. Verräterische Datenverarbeitung ‚Treacherous Computing‘ wäre ein passenderer Name, denn der Plan soll sicherstellen, dass Ihr Rechner Ihnen systematisch den Gehorsam verweigert. Tatsächlich soll die Funktionsweise Ihres Rechners als Universalrechner verhindert werden. Jeder Vorgang erfordert möglicherweise eine ausdrückliche Berechtigung.
Die technische Idee, die der verräterischen Datenverarbeitung zugrunde liegt, ist, dass der Rechner eine digitale Verschlüsselungs- und Signaturschnittstelle enthält, deren Schlüssel vor Ihnen geheim gehalten werden. Proprietäre Programme werden diese Schnittstelle verwenden, um kontrollieren zu können, welche weiteren Programme ausgeführt, auf welche Dokumente oder Daten zugegriffen und an welche Programme diese Daten weitergeleitet werden dürfen. Diese Programme werden fortwährend neue Autorisationsregeln über das Internet abrufen und Ihnen automatisch aufzwingen. Sofern Sie Ihrem Rechner nicht erlauben, in regelmäßigen Abständen neue Regeln aus dem Internet abzurufen, werden einige Funktionen automatisch aufhören zu funktionieren.
Selbstverständlich planen Hollywood und Plattenfirmen die verräterische Datenverarbeitung für Digitale Beschränkungsverwaltung (DRM)[**] zu nutzen, damit heruntergeladene Filme und Musik nur auf einem bestimmten Rechner wiedergegeben werden können. Ein gemeinsamer Austausch wird gänzlich unmöglich sein, zumindest mit den von diesen Firmen erhaltenen autorisierten Dateien. Sie, die Öffentlichkeit, sollten sowohl die Freiheit als auch die Möglichkeit haben, diese Dinge zu teilen (ich gehe davon aus, dass jemand einen Weg finden wird, unverschlüsselte Versionen zu erzeugen, hochzuladen und zu teilen, damit DRM nicht gänzlich erfolgreich sein wird ‑ aber das ist keine Entschuldigung für das System).
Teilen zu unterbinden ist schon schlimm genug, aber es kommt noch schlimmer. Es gibt Pläne, dieselbe Möglichkeit für E-Mails und Dokumente zu nutzen ‑ im Ergebnis E-Mails, die nach zwei Wochen verschwinden oder Dokumente, die nur auf Rechnern in einer Firma gelesen werden können.
Stellen Sie sich vor, Sie erhalten von Ihrem Vorgesetzten eine E-Mail mit einer Anweisung, die Ihnen „riskant“ erscheint. Einen Monat später, nachdem die Sache nach hinten losgegangen ist, können Sie die E-Mail nicht mehr nutzen, um beweisen zu können, dass das nicht auf Ihrer Entscheidung beruht. Es in Schriftform zu haben schützt nicht, wenn die Anweisung mit verschwindender Tinte geschrieben ist.
Stellen Sie sich vor, Sie würden eine E-Mail von Ihrem Vorgesetzen mit illegalen oder moralisch fragwürdigen Inhalt erhalten, wie bspw. die Vernichtung der Bilanzbücher der Firma oder eine ernsthafte Bedrohung für die Sicherheit Ihres Landes ungeprüft zu ermöglichen. Heute können Sie diese E-Mail an einen Journalisten weiterleiten und das geschäftigte Treiben offenlegen. Mit verräterischer Datenverarbeitung wird der Journalist das Dokument nicht lesen können; der Rechner wird den Befehl verweigern. Verräterische Datenverarbeitung wird zu einem Paradies für Korruption.
Textverarbeitungen wie Microsoft Word könnten verräterische Datenverarbeitung bei der Speicherung nutzen, um sicherzustellen, dass keine konkurrierenden Textverarbeitungen die Dokumente lesen können. Heutzutage müssen wir die Geheimnisse des Word-Formats durch mühsame Experimente lüften, damit freie Textverarbeitungen Word-Dokumente lesen können. Sollte Word Dokumente mithilfe verräterischer Datenverarbeitung verschlüsselt speichern, wird die Freie-Software-Gemeinschaft keine Chance haben Software zu entwickeln, um sie lesen zu können ‑ und wenn wir könnten, würden solche Programme möglicherweise sogar durch das Digital Millennium Copyright Act (DMCA) verboten werden.
Programme, die verräterische Datenverarbeitung nutzen, laden fortwährend neue Autorisationsregeln über das Internet herunter und zwingen Ihnen diese automatisch auf. Wenn Microsoft oder der US-Regierung nicht gefällt, was Sie in einem Dokument geschrieben haben, könnten sie an alle Rechner [weltweit] neue Anweisungen senden, jedem das Lesen dieses Dokuments zu verweigern. Jeder Rechner würde dem Folge leisten, sobald er neue Anweisungen abruft. Ihr Schreiben würde im 1984-Stil der rückwirkenden Löschung unterliegen. Möglicherweise können selbst Sie es nicht mehr lesen.
Man könnte meinen, man könne herausfinden, welche böse Sachen eine verräterische EDV-Anwendung anrichtet, untersuchen wie unangenehm diese sind und entscheiden, ob man sie akzeptiert. Selbst wenn man es herausfindet, wäre es töricht den Handel zu akzeptieren, aber man kann vom Handel nicht erwarten stillzustehen. Sobald Nutzer auf die Programmnutzung angewiesen und von ihr abhängig sind, wissen sie [die Entwickler, A. d. Ü.] es, dann können sie den Handel ändern. Einige Anwendungen werden automatisch Verbesserungen ‚Upgrades‘ herunterladen, die die Funktionsweise verändern ‑ und werden keine Wahl lassen ob verbessert wird oder nicht.
Heute können Sie durch nicht verwenden proprietärer Software vermeiden, eingeschränkt zu sein. Wenn Sie GNU/Linux oder ein anderes freies Betriebssystem ausführen und die Installation proprietärer Anwendungen vermeiden, dann sind Sie dafür verantwortlich was Ihr Rechner macht. Enthält ein freies Programm eine bösartige Funktion, können andere Entwickler in der Gemeinschaft die Funktion herausnehmen und Sie die korrigierte Version nutzen. Sie können auch freie Anwendungsprogramme und Extras auf unfreien Betriebssystemen nutzen; dies verfehlt zwar den Weg der völligen Freiheit, aber viele Nutzer wählen diesen Weg.
Verräterische Datenverarbeitung gefährdet die Existenz freier Betriebssysteme und Anwendungen, weil Nutzer möglicherweise nicht in der Lage sind, diese überhaupt auszuführen. Bei einigen Versionen verräterischer Datenverarbeitung würde das Betriebssystem eine spezielle Autorisierung einer bestimmten Firma verlangen. Freie Betriebssysteme können nicht installiert werden. Einige Versionen verräterischer Datenverarbeitung würden von jedem Programm eine spezielle Autorisierung vom Betriebssystementwickler verlangen. Nutzer können auf solch einem System keine freie Anwendungen ausführen. Sollten Nutzer es doch herausfinden und dieses Wissen weitergeben, kann das ein Verbrechen sein.
Es gibt bereits Vorschläge für US-Gesetze, die von allen Rechnern verlangen würden, verräterische Datenverarbeitung zu unterstützen und verbieten, ältere Rechner mit dem Internet zu verbinden. Das CBDTPA (wir nennen es das Consume But Don't Try Programming Act ‚Konsumieren-aber-keine-Programmierung-versuchen-Gesetz‘) ist eins davon. Doch selbst wenn Nutzer nicht rechtlich gezwungen werden können, auf eine verräterische Datenverarbeitung umzusteigen, könnte der Druck, es dennoch zu akzeptieren, enorm sein. Heutzutage nutzen viele, trotz verschiedener Probleme die es bereitet, das Word-Format zur Kommunikation (siehe auch Wir können Word-Anhängen ein Ende setzen). Für den Fall, dass nur ein verräterischer EDV-Rechner das neueste Word-Dokument lesen kann, werden viele Menschen umsteigen, da sie die Situation nur als einzelne Handlung auffassen („Take it or Leave it – Nimm es oder lass es“). Um sich verräterischer Datenverarbeitung zu widersetzen, müssen wir uns zusammenschließen und der Situation gemeinsam als kollektive Entscheidung gegenübertreten.
Weitere Informationen zu verräterischer Datenverarbeitung unter Trusted Computing: Häufig gestellte Fragen[***].
Um eine verräterische EDV zu durchkreuzen, wird eine große Anzahl an Bürgerinnen und Bürger benötigt. Wir brauchen Ihre Hilfe! Bitte unterstützen Sie Defective-by-Design, der FSF-Kampagne gegen digitale Beschränkungsverwaltung.
Nachträge
Der IT-Sicherheitsbereich gebraucht den Begriff Trusted Computing auf eine andere Weise ‑ hüten Sie sich vor Verwechslungen zwischen den beiden Bedeutungen.
Das GNU-Projekt verbreitet den GNU Privacy Guard (GPG) ‚Privatsphärenschutz‘, ein Programm, das Public-Key-Verschlüsselungsverfahren und digitale Signaturen implementiert, mit denen sichere und private E-Mails versendet werden können. Es ist sinnvoll herauszufinden, inwieweit GPG sich von verräterischer Datenverarbeitung unterscheidet und was das eine so hilfreich und das andere so gefährlich macht.
Wird Ihnen ein mit GPG verschlüsseltes Dokument gesendet und entschlüsseln es mit GPG, so ist das Ergebnis ein unverschlüsseltes Dokument, das gelesen, weitergeleitet, kopiert und sogar erneut sicher an jemand anderen verschlüsselt gesendet werden kann. Eine verräterische EDV-Anwendung würde zwar die Worte auf dem Bildschirm zu lesen erlauben, aber nicht zulassen ein unverschlüsseltes Dokument zu erstellen, das in anderer Weise genutzt werden könnte. GPG, ein freies Softwarepaket, stellt den Benutzern Sicherheitsfunktionen zur Verfügung: Nutzer benutzen sie. Verräterische EDV soll Nutzern Beschränkungen auferlegen: es benutzt die Nutzer.
Anhänger verräterischer Datenverarbeitung konzentrieren ihren Diskurs auf sinnvolle Nutzungsmöglichkeiten. Was sie sagen ist häufig richtig ‑ nur nicht so wichtig.
Wie die meiste Hardware kann verräterische EDV-Hardware für Zwecke verwendet werden, die nicht schädlich sind. Aber diese Funktionen können auch auf andere Weise realisiert werden, ohne verräterische EDV-Hardware. Der wichtigste Unterschied, für den verräterische Datenverarbeitung für Nutzer sorgt, ist die böse Folge: Ihren Rechner auszurüsten, um gegen Sie zu arbeiten.
Was sie und ich sagen ist beides zutreffend. Wenn beides zusammengefügt wird, was erhält man? Eine verräterische Datenverarbeitung ist ein Plan, um den Nutzern Freiheit wegzunehmen und bietet geringfügige Vorteile, die davon ablenken sollen, was wir verlieren würden.
Microsoft präsentiert Palladium als Sicherheitsmaßnahme und behauptet, es würde vor Viren schützen, aber diese Behauptung ist offensichtlich falsch. Eine Präsentation von Microsoft Research im Oktober 2002 erklärte, es sei eine der Spezifikationen von Palladium, dass vorhandene Betriebssysteme und Anwendungen weiterhin ausgeführt werden; Viren werden daher weiterhin in der Lage sein alle Dinge zu tun, zu denen sie heute schon in der Lage sind.
Wenn Microsoft-Mitarbeiter im Zusammenhang mit Palladium von „Sicherheit“ sprechen, meinen sie nicht, was wir normalerweise mit diesem Wort verbinden: Schutz Ihres Rechners vor Dingen, die Sie nicht wollen. Sie meinen damit die Datenkopien der Nutzer auf deren Rechner vor dem Zugriff durch Nutzer auf eine Weise zu schützen, die andere nicht wünschen. Eine Folie der Präsentation führte verschiedene Geheimnisse auf, wie Palladium genutzt werden könnte, um sie zu wahren, einschließlich Geheimnisse der Drittanbieter und Geheimnisse der Benutzer ‑ allerdings wurde Geheimnisse der Benutzer in Anführungszeichen gesetzt, erkennend, dass dieses ein wenig einer Absurdität im Zusammenhang mit Palladium ist.
Die Präsentation macht häufigen Gebrauch von anderen Begriffen, die häufig im Zusammenhang mit Sicherheit in Verbindung gebracht werden, wie „Angriff“ („Attack“], „bösartiger Quellcode“ („Malicious Code“), „Verschleierung“ („Spoofing“) sowie „Vertrauenswürdig“ („Trusted“). Keiner davon bedeutet, was er normalerweise bedeutet. „Angriff“ bedeutet nicht, dass jemand versucht einen zu verletzen, sondern man versucht Musik zu kopieren. „Bösartiger Quellcode“ bedeutet von einem selbst installierter Quellcode, um etwas auszuführen, was von jemand anderem nicht gewollt ist, dass es der eigene Rechner ausführt. „Verschleierung“ bedeutet nicht, dass man von jemand getäuscht wird, sondern dass man Palladium täuscht. Und so weiter.
Eine frühere Erklärung des Palladium-Entwicklers gab die grundlegende Prämisse an, wer auch immer Informationen entwickelt oder sammelt, auch die totale Kontrolle über deren Nutzung erhalten sollte. Dies würde einen revolutionären Umsturz bisheriger Ansichten von Ethik und vom Rechtssystem darstellen und würde ein beispielloses Kontrollsystem erschaffen. Die spezifischen Probleme dieses Systems sind kein Zufall; sie ergeben sich aus dem grundlegenden Ziel. Ein Ziel, das abzulehnen ist.
Seit 2015 ist die verräterische Datenverarbeitung für Rechner in Form des Trusted Platform Module (TPM) umgesetzt worden. Aus praktischen Gründen hat sich TPM jedoch als ein totaler Misserfolg erwiesen, eine Plattform für ein Testat mittels Fernzugriff zur Überprüfung Digitaler Rechte-Minderung (DRM) bereitzustellen. Daher setzen Unternehmen DRM für andere Verfahren um. Zum gegenwärtigen Zeitpunkt werden „vertrauenswürdige Plattformmodule“ überhaupt nicht für DRM verwendet, und es gibt Gründe anzunehmen, dass es überhaupt nicht machbar sein wird, sie für DRM zu verwenden. Ironischerweise bedeutet das, dass der einzig aktuelle Nutzen der „vertrauenswürdigen Plattform-Module“ der unschuldig sekundäre Nutzen ist ‑ beispielsweise um sicherzustellen, dass niemand das Rechnersystem heimlich geändert hat.
Daraus schließen wir, dass die für Rechner verfügbaren „vertrauenswürdigen Plattform-Module“ keine Gefahr darstellen und es keinen Grund gibt, keins in einen Rechner vorzusehen oder durch Systemsoftware zu unterstützen.
Das bedeutet nicht, dass alles rosig ist. Andere Hardware-Systeme, den Eigentümer eines Rechners davon abhaltend die Software darin zu ändern, sind in einigen ARM-Rechnern als auch Prozessoren in Mobiltelefonen, Autos, Fernseh- und anderen Geräten im Einsatz, und diese sind voll und ganz so schlimm, wie wir erwartet hatten.
Das bedeutet auch nicht, dass rechnerferne Testierung harmlos ist. Wenn es jemals einem Gerät gelingt das durchzuführen, wird es eine ernste Bedrohung für die Freiheit der Benutzer sein. Das gegenwärtige „vertrauenswürdige Plattform-Modul“ ist harmlos, nur weil man mit dem Versuch scheiterte, rechnerferne Testierung möglich zu machen. Wir dürfen nicht davon ausgehen, dass alle zukünftigen Versuche auch scheitern.
Dieser Aufsatz wurde englischsprachig in Free Software, Free Society: The Selected Essays of Richard M. Stallman veröffentlicht.