Interview mit Werner Koch

Bild: be-him CC BY NC ND

 

 

Interview mit Werner Koch 

Jürgen Asbeck:

Werner, zu der Zeit, als wir beide gemeinsam auf der Schule waren, gab es zwar bereits Informatikunterricht an unserem Schulzentrum, die Computer, mit denen wir zu tun hatten, standen allerdings in externen, klimatisierten Rechenzentren. Der Personal-Computer war noch ein paar Jahre entfernt.

Würdest Du sagen, dass dieser – meist recht theoretische – Informatikunterricht Dir etwas gebracht hat und hältst Du einen solchen Unterricht auch heute noch für sinnvoll?

WERNER KOCH - WIKIPEDIA - FOTO: Werner Koch - CC BY-SA 4.0

WERNER KOCH – WIKIPEDIA – FOTO: Werner Koch – CC BY-SA 4.0

 

Werner Koch:

Ja sicher. Programmieren ist ja im Wesentlichen eine logische Tätigkeit und kein Handwerk. Insofern ist das Vorhandensein eines Rechners nicht unbedingt notwendig. Die vor 200 Jahren geborene Ada Lovelace, die als erste Programmiererin bezeichnet wird, hatte nicht einmal im entferntesten eine Möglichkeit, ihre Programme auf einem Gerät (Computer) zu testen. Die praktischen Grundlagen der Informatik sind alle in den 1950- und 1960-iger Jahren entwickelt worden. Damals sah die Computerwelt in der BRD noch genauso aus wie unser Informatikunterricht.

Seitdem Rechner allgegenwärtig sind, hat der Unterricht sich auch daran orientiert. Allerdings sehe ich immer wieder mit Schrecken, wie Informatikunterricht heute abläuft. Es handelt sich dabei oftmals nur um Bedienungskurse für Rechner und bestimmte Software. Bessere Schulen lehren allerdings doch Grundlagen auf einer hohen Abstraktionsebene (Java oder Python). Wie die Programme wirklich auf der Hardwareebene ablaufen, ist oftmals unbekannt. Ich glaube deswegen schon, dass ein Informatikunterricht Bottom-Up angelegt sein sollte:

Grundlagen der Hardware, Programmierung der CPU in Assembler und C, Konzepte von Hochsprachen und dann Programmierung in Sprachen, die die Konzepte klar abbilden, z. B. Lisp. Schulungen an Programmen sollten nicht Inhalt des Unterrichts sein – oder waren Schreibmaschinenkurse Teil unseres Unterrichts?

 

Jürgen Asbeck:

Wie bist Du dann zum Programmieren von Software gekommen?

 

Werner Koch:

Wie schon gesagt, durch den Informatikunterricht bei Herrn Stroh:

Alles auf Papier sowie selten Testläufe inklusive Stanzen von Lochkarten. Danach programmierbarer Taschenrechner (Ti-58), TRS-80 16k RAM bei der lokalen Sternwarte, erste Selbstbaurechner und andere Heimcomputer; 1985 saß ich dann zum ersten Mal vor einem PC, oder besser gesagt, direkt vor drei miteinander vernetzten IBM XTs. Seitdem verdiene ich meinen Lebensunterhalt mit programmieren.

 

Jürgen Asbeck:

Wann hast Du Dich entschieden, dass Du Dich im Bereich „Open Source“ – Software engagieren willst?

 

Werner Koch:

So etwa 1990 hatte ich einen Compuserve-Account und konnte damit auch Mails senden. Ich hatte vom GNU-Projekt gehört, schrieb ihnen und erhielt einige Informationen von ihnen. Ich war da noch etwas skeptisch, aber bald danach stellte sich mir die Frage, wie ich zu einem akzeptablen Preis an ein benutzbares Unix-System komme. Zur Auswahl standen 1993 der Unix Clone Coherent oder das brandneue, aber noch etwas unvollständige Linux. Da ich mich schon seit TRS-80 Zeiten darüber geärgert hatte, dass es nicht möglich war, die Software zu ändern, war die Wahl dann einfach und seither benutzte ich Linux oder verschiedene BSD-Varianten.

 

Jürgen Asbeck:

Werner, Du bist Mitglied bei der „Free Software Foundation Europe“ (FSFE), kannst Du unseren Lesern bitte kurz erklären, wofür die FSFE steht und wie sie organisiert ist?

 

Werner Koch:

Die FSFE ist eine unabhängige Schwesterorganisation der FSF in den USA. Wir haben dieselben Ziele, verfolgen sie aber auf eine Art und Weise, wie man es in Europa versteht.

Die Ziele der FSFE sind Aufklärung und Förderung von Freier Software (aka Open Source), um es der Gesellschaft zu ermöglichen, die Kontrolle über eine der wichtigsten Kulturtechniken – Software und Computer sind Kernbestandteile unseres Lebens – wiederzuerlangen. Freie Software zeichnet sich dadurch aus, dass man die Software selbst ändern kann und diese Änderungen auch weitergeben darf. Das „Frei“ kommt also von Freiheit und nicht von Freibier.

 

Jürgen Asbeck:

Werner, Du hast Dir vor Jahren die Programmierung von Verschlüsselungssoftware für Mailprogramme als Aufgabe gewählt. Warum ist das wichtig?

 

Werner Koch:

Seit den Snowden-Enthüllungen dürfte das eigentlich klar sein. Leider werden heute immer noch alle Mails (also Email) im Klartext versendet.
Man kann also sehr einfach alles mitschneiden, was geschrieben wird.

Hierzu benötigt man lediglich Zugang zu einem Rechner oder einer Leitung, über die die Daten laufen. Das ist trivial für staatliche Organisationen, aber auch für Firmen, die ihre Mitarbeiter überwachen wollen oder deren Geschäftsmodell auf dem Einblenden von Werbung, basierend auf dem Inhalt der Mails, basiert. Sobald Mails verschlüsselt sind, ist es nicht mehr möglich, unberechtigt an den Inhalt der Mails zu kommen.

Ich halte es für enorm wichtig, ungehemmt von Befürchtungen des Abhörens frei kommunizieren zu können. Die technische Möglichkeit muss vorhanden sein, um so nicht mit der Zensurschere im Kopf Mails schreiben zu müssen. Der ursprüngliche Name von GnuPG war „g10“ als Anlehnung an Artikel 10 unseres Grundgesetzes. Um dieses Briefgeheimnis auch im Internet zu ermöglichen, arbeite ich an GnuPG.

 

Jürgen Asbeck:

Sollte sich jeder User mit Verschlüsselung beschäftigen, oder ist das nur etwas für Spezialisten?

 

Werner Koch:

Jeder sollte seine Mails und auch seine Daten in der „Cloud“, also Rechnern anderer Leute, verschlüsseln. Dazu sollte man schon einige allgemeine Kenntnisse haben, aber letztendlich kann Verschlüsselung größtenteils unsichtbar für den technisch nicht interessierten Benutzter ablaufen.
Leider bedarf es hierzu der Mithilfe der Mailprovider, um gesichert den passenden Schlüssel zu einer Mailadresse finden zu können.

 

Jürgen Asbeck:

Glaubst Du, dass die von Dir programmierte Software GNUPG uns vor der Ausspähung durch die NSA schützen kann?

 

Werner Koch:

Die allgemeine Massenüberwachung wird effektiv durch GnuPG behindert.

Niemand kann die Daten außerhalb der Computer des Senders und des Empfängers mitlesen. Wer mit wem kommuniziert, wird dadurch aber nicht verschleiert. GnuPG stellt sich dies auch nicht als Aufgabe, sondern delegiert dies an Systeme, die Mails und alle anderen Internetdienste anonymisieren können. Hierbei erscheint GNUNET als der vielversprechendste Ansatz, da damit das Problem an der Wurzel gepackt wird.

Gezielte Angriffe auf einen bestimmten Benutzer sind nur mit großem Aufwand (Air-Gap, gehärteter Rechner) und Schulung (OPSEC) zu verhindern. Das Problem ist hier nicht die Verschlüsselungssoftware, sondern jede andere Software, die auf einem Rechner eingesetzt wird.

Ein einzelner Fehler in irgendeiner Software oder eine falsche Verwendung können benutzt werden, um Schnüffelsoftware auf dem Rechner zu installieren, um so direkt auf den Klartext oder den geheimen Schlüssel zuzugreifen.

 

Jürgen Asbeck:

Kannst Du uns bitte schildern, was GNUPG denn von anderen Mailverschlüsselungsprogrammen unterscheidet?

 

Werner Koch:

Im Gegensatz zu der Verschlüsselung beim Zugriff auf Webseiten (https) oder zwischen Mailservern (STARTTLS) implementiert GnuPG Ende-zu-Ende- Verschlüsselung zwischen Sender und Empfänger.

GnuPG benutzt den OpenPGP-Standard, auf dem praktisch schon PGP-2 anno 1992 beruhte. Dieser Standard wurde mit dem Ziel entworfen, die Privatsphäre in der elektronischen Kommunikation zu schützen.

Konkurrierende Standards wie S/MIME haben im Wesentlichen das Ziel, finanzielle Risiken abzusichern (crypto-for-security). Deswegen gibt es dort auch mehr Angriffspunkte für finanziell gut ausgestattete oder staatliche Angreifer (Root-CA Problem).

 

Jürgen Asbeck:

Wenn ich das so sagen darf, ist Deine Software vor allem für LINUX-Systeme programmiert. Können Nutzer GNUPG auch in einer Apple-oder Microsoft-Betriebssystem-Umgebung verwenden?

 

Werner Koch:

Auf allen Linux-Systemen gehört GnuPG zur Basisausstattung und wird dort auch benutzt, um Updates der Software abzusichern. Linux gehört zur Klasse der Unix-Betriebssysteme, und da Apples OS X auch auf Unix basiert, läuft GnuPG dort ebenfalls. Für Windows kann GnuPG auch gebaut werden. Wir bringen in der Regel mit jeder neuen GnuPG-Version auch eine passende Version für Windows mit heraus. Auf Linux oder BSD-Systemen ist die Benutzung von GnuPG naturgemäß einfacher, da GnuPG dort bereits installiert ist.

 

Jürgen Asbeck:

Warum gibt es GNUPG nur als Add-on und nicht zum Beispiel in Mailprogrammen wie Thunderbird integriert?

 

Werner Koch:

Die Mozilla Foundation, die die Entwicklung von Thunderbird steuert, hat kein Interesse an OpenPGP. Es hat schon mehrere Versuche gegeben, OpenPGP-Verschlüsselung direkt in Mozilla oder später Thunderbird einzubauen, dies wird aber seit 15 Jahren blockiert. Momentan scheint es allerdings etwas Bewegung hier zu geben, allerdings wohl nur, da die Mozilla Foundation die Entwicklung von Thunderbird komplett einstellen möchte.

 

Jürgen Asbeck:

Mit welchen Mailaccounts funktioniert GNUPG?

 

Werner Koch:

GnuPG selbst ist eine Software, die vielfältig eingesetzt wird. Wenn sie zur Mailverschlüsselung eingesetzt werden soll, so benötigt man ein Mailprogramm, welches GnuPG unterstützt. Unter Linux unterstützen sämtliche Mailprogramme GnuPG. Für Windows gibt es eine Reihe Mailprogramme, die GnuPG unterstützen; allerdings ist dann oftmals ein Plugin zu installieren. Das Plugin für Outlook ist dabei Teil der GnuPG-Distribution für Windows, Gpg4win. Mit Thunderbird und dem Enigmail-Plugin  kann man die gleiche Software auf Linux, OS X und Windows benutzen. Alle Mailaccounts, die IMAP oder POP-3 unterstützen, können benutzt werden. Bei der direkten Benutzung von Exchange gibt es noch kleinere Probleme.

 

Jürgen Asbeck:

Ist „Crypto“ mit einer PGP-Verschlüsselung noch zeitgemäß?

 

Werner Koch:

Ja. Obgleich heute vielfach Chat-Programme benutzt werden, ist und bleibt Email das vorherrschende Kommunikationsinstrument, auf dem die gesamte elektronische Bürokommunikation beruht. Mail hat zudem den Vorteil, dass es ein Offline-Protokoll ist und man so auch Mails per USB-Stick transportieren kann. Backups und andere gespeicherte Daten (Akten) werden zudem auch durch OpenPGP-Verschlüsselung abgesichert.

 

Jürgen Asbeck:

Ich erinnere mich an eine intensive Diskussion über Kurven bei einem Deiner Vorträge. Gibt es auch alternative Möglichkeiten zu den jetzt verwendeten?

 

Werner Koch:

Du sprichst von Kryptografie, basierend auf elliptische Kurven (ECC): Dies ist sozusagen die moderne Variante des Standardalgorithmus RSA. ECC ist wesentlich leistungsfähiger als RSA und benötigt dabei weniger Rechenleistung bei gleichzeitig erhöhter Sicherheit. Anstatt von einer Schlüssellänge wie z. B. 2048 bit bei RSA spricht man bei ECC von bestimmten Kurven, um so viele Parameter der Verschlüsslung zusammenzufassen.

Es gibt einige Kurven aus den 1990-iger Jahren, die etwas suspekt sind, da es nicht bekannt ist, nach welchen Kriterien deren Parameter festgelegt wurden. Wir bevorzugen deswegen moderne Kurven, deren Herkunft genau dokumentiert ist. Bekannt ist hier z. B. die Curve25519. Allerdings ist die Verwendung von ECC in OpenPGP noch sehr neu und wird erst in wenigen Jahren generell zum Einsatz kommen.

 

Jürgen Asbeck:

Du hast vor einiger Zeit über ein spektakuläres Crowdfunding Geld für Deine Arbeit erhalten.

Wie steht es um die Zukunft von GNUPG?
Ist die Finanzierung des Projektes sichergestellt?

 

Werner Koch:

Mit unseren neuen Vollzeitentwicklern kommt die Entwicklung wieder schneller voran und wir hoffen, im Januar oder Februar Version 2.2 veröffentlichen zu können.

Obgleich wir knapp 20.000 Euro monatliche Kosten haben, ist die Finanzierung für 2016 sichergestellt. Es ist allerdings bedauerlich, dass ein Großspender von seiner Ankündigung einer jährlichen Spende abgerückt ist und es bei einer einmaligen Spende belassen hat. Wir hoffen, durch weitere private Spenden diesen Ausfall wieder ausgleichen zu können.

 

Jürgen Asbeck:

Wir haben bei einer Veranstaltung mal über den berühmten „Bus“ gesprochen. Ist sichergestellt, dass jemand Deine Arbeit in der Tiefe kennt und versteht und diese weiterführen könnte?

 

Werner Koch:

Neben mir arbeiten inzwischen zwei weitere Entwickler Vollzeit an GnuPG, des Weiteren ein Freiberufler in Japan. So ich wollte, könnte ich mich schon bald ohne Probleme für das Projekt aus der Entwicklung zurückziehen.

 

Jürgen Asbeck:

Werner, gibt es eine Chance, Verschlüsselung in Zukunft massentauglich zu machen?

 

Werner Koch:

Ich hoffe immer noch darauf, dass Bequemlichkeit – also unverschlüsselte Mails via Webbrowser bei z. B. Gmail – die Ausnahme wird und der Schutz der Privatsphäre (Verschlüsselung als Voreinstellung) die Regel wird.

Die Mailprovider sind hier dringend gefordert, einen Teil der Infrastruktur bereitzustellen – die Kosten für sie wären minimal, der Imagegewinn erheblich.

 

Jürgen Asbeck:

Was hältst Du von den Bemühungen einiger Webmailanbieter, verschlüsselte Mailkommunikation anzubieten? Ist das sicher? Taugt das was?

 

Werner Koch:

Obgleich jede Art von Webmailer-basierter Verschlüsselung nie den Schutzgrad erreichen kann wie eine dedizierte Anwendung (klassisches Mailprogramm), begrüße ich derartige Verfahren, da sie die Akzeptanz von Verschlüsselung steigert. Es wäre jedoch wünschenswert, wenn die Webmailprovider es ermöglichen würden, einfacher den Schlüssel zu einer beliebigen Mailadresse zu finden und nicht nur für die Benutzer dieses einen Providers. Technisch wäre dies sehr einfach, aber sie scheinen mehr Interesse zu haben, dass nur ihre Benutzer untereinander einfach verschlüsseln können.

 

Jürgen Asbeck:

Wenn Du in die Zukunft schaust:

Wann werden die Quantencomputer kommen und wird es – Deiner Ansicht nach – auch für diese Rechner eine sichere Verschlüsselungstechnologie geben?

 

Werner Koch:

Quantencomputer könnten theoretisch in der Lage sein, alle aktuell verwendeten Public-Key-Algorithmen wie RSA und ECC zu knacken. Ich möchte hier aber nicht spekulieren, ob und wann das Realität werden kann. Wir hören ja auch schon seit 40 Jahren, dass der Durchbruch der friedlichen Nutzung der Kernverschmelzung kurz bevorstehe. Das ist glücklicherweise immer noch nicht passiert.

Es gibt Algorithmen, die nach heutiger Kenntnis nicht durch Quantencomputer gebrochen werden können. Dies ist ein heißes Forschungsgebiet und ich bin mir sicher, dass wir rechtzeitig auf solche Algorithmen umsteigen können, sobald es realistisch erscheint, dass Quantencomputer in der Lage sein werden, die klassischen Algorithmen zu brechen.

Juergen Asbeck aka Timecodex, Textchef der Bundespresse

 

Jürgen Asbeck:

Werner, vielen Dank für das Gespräch.

 

 

Flattr this!


Für Kommentare gelten die hier einsehbaren Regeln.

Kommentare

3 Kommentare zu Interview mit Werner Koch

  1. Chico schrieb am

    „Wir hören ja auch schon seit 40 Jahren, dass der Durchbruch der friedlichen Nutzung der Kernverschmelzung kurz bevorstehe. Das ist glücklicherweise immer noch nicht passiert.“

    Hö? Oder Schreibfehler?

    • juergenasbeck schrieb am

      Nein, warum? Das wäre Kernfusion, die hat bisher noch nicht stattgefunden.

Es können keine neuen Kommentare mehr abgegeben werden.

Weitere Beiträge: