Das Fraunhofer Institut für Sichere Informationstechnologie (SIT) und die Deutsche Telekom haben am heutigen Mittwoch den Start der Volksverschlüsselungssoftware bekannt gegeben. Nutzer können sich die entsprechende Software ab sofort kostenfrei herunterladen und sich einen eigenen Schlüssel erstellen. Eigentlich sollte auch der Quellcode zur Inspektion verfügbar sein, bislang ist das aber nicht der Fall. Auch sonst gibt es bisher nur wenige Details.

Erklärtes Ziel der Entwickler ist es, Ende-zu-Ende-Verschlüsselung massentauglich machen. Die Handhabung soll deutlich einfacher sein als zum Beispiel beim Einsatz von PGP oder S/MIME. Anders als beim von der Bundesregierung vorangetriebenen De-Mail-Projekt bietet die Volksverschlüsselung tatsächlich eine durchgehende Verschlüsselung der Inhalte.

Dafür lassen sich mit dem neuen Projekt keine rechtsverbindlichen Unterschriften für offizielle Dokumente erstellen. Für den Versand von Mails fallen allerdings auch keine Kosten an. Trotzdem darf bezweifelt werden, ob das Projekt erfolgreicher wird als die ungeliebte De-Mail.

Derzeit eine deutsche Insellösung

Denn wer selbst ein Zertifikat erstellen will, muss sich authentifizieren. Dazu kann entweder der kaum verbreitete neue Personalausweis genutzt werden, wenn dessen Chip aktiviert ist. Alternativ kann ein Telekom-Festnetz-Account oder eine persönliche Registrierung, etwa bei Messen, genutzt werden. Als nächstmöglichen Termin gibt Fraunhofer die IT-Security Messe ITSA in Nürnberg an, die vom 18. bis zum 20. Oktober stattfindet. Andere Verfahren wie Postident seien in Planung. Langfristig sollen auch Registrierungen außerhalb Deutschlands möglich sein.

Die Volksverschlüsselung ist nicht mit PGP kompatibel und mit externen S/MIME-Infrastrukturen nur bedingt. Weil Fraunhofer auf ein selbst signiertes Zertifikat setzt, würden Nutzer im Mailclient jedes Mal eine Zertifikatswarnung sehen.

Das Fraunhofer SIT schreibt: "Die beiden Verfahren S/MIME und OpenPGP zum Signieren und Verschlüsseln von E-Mails sind vom Prinzip her zwar ähnlich, aber leider nicht kompatibel, da sie unterschiedliche Formate für Schlüssel, Zertifikate und verschlüsselte Daten verwenden. Das heißt, Sender und Empfänger müssen das gleiche Verfahren nutzen, wenn sie signierte oder verschlüsselte Nachrichten austauschen wollen."

Es müssen also immer beide Kommunikationspartner die Volksverschlüsselungssoftware installieren. Nach Angaben von Fraunhofer wird das erstellte Zertifikat nicht zentral gespeichert. Geht es verloren, müssen Nutzer demnach ein neues beantragen. Die Software gibt es bislang nur für Windows. MacOS, Linux und mobile Betriebssysteme sollen folgen.

Irgendwie Open Source

Dem Projekt gingen Auseinandersetzungen über den vom Fraunhofer SIT verwendeten Open-Source-Begriff voraus. Denn die von Fraunhofer verwendete Lizenz ist nicht mit der Definition der Open-Source-Initiative kompatibel.

Auf der Website schreibt das Institut daher auf die Frage "Ist die Volksverschlüsselung Open Source?": "Das ist eine schwierige Frage, weil "Open Source" vielfältig verwendet wird. Die Software ist "Open Source" in einem umgangssprachlichen Sinn, weil der Quelltext offengelegt wird. Sie ist nicht "Open Source" im Sinne der Open-Source-Initiative."

Lizenztechnisch könnte Fraunhofer Probleme bekommen. "Denn nach Durchsicht der Lizenzvereinbarungen enthalten diese den Lizenztext der General Public License 3.0 (GPL)". Offenbar wird also GPL-lizenzierter Code verwendet. Doch ein Written Offer finden wir nicht. Mit dem Written Offer muss der Anbieter von Software, die GPL-Code enthält, dem Nutzer mitteilen, wo und auf welche Weise der Quellcode zu bekommen ist.

Kaum technische Hintergründe

Zu den technischen Hintergründen der Volksverschlüsselung gibt es auf der Website nur wenige Informationen. Installiert man die Software, werden Mozillas Network Security Services installiert, außerdem ist die Cryptobibliothek Bouncycastle mit im Paket. Außerdem importiert die Software ohne Zutun der Nutzer ein vom Fraunhofer SIT selbst signiertes Root-Zertifikat.

Das Fraunhofer SIT hatte in den FAQ angekündigt, den Quellcode auf Github zu veröffentlichen. Bislang können wir dort aber kein Repository finden. Es soll geprüft werden, ob und wie Beiträge von außen berücksichtigt werden können. In der Readme-Datei, die der Anwendung beiliegt, finden sich zwei Links auf Quellcode-Pakete. Diese sind jedoch nicht aktiv und leiten auf die Startseite des Projektes um. Auch die Quellcode-Lizenz und das Contributor-License-Agreement sind noch leer.

Auch die Lizenzfrage ist noch nicht geklärt. In den FAQ heißt es: "Wir sind dabei, die Lizenz zu definieren. Das ist ein schwieriges Unterfangen, wir bitten daher noch um etwas Geduld. Die Lizenz wird auch festlegen, ob und wie andere sich beteiligen können und wie wir mit Hinweisen auf Sicherheitslücken umgehen, sollten solche gemeldet werden."

Golem.de hat das Fraunhofer SIT um eine Stellungnahme zur Verfügbarkeit des Quelltextes und zu den Lizenzfragen gebeten, bislang aber keine Antwort erhalten.