 Insbesondere Programmierer und Hardware-Entwickler haben immer mehr Druck von der Gesetzgebung, um Hindertüren in ihre Produkte einzuarbeiten. Und er wird uns mehr über dieses Problem mit einer Überraschung von heute. Vielen Dank. Vielen Dank. Guten Morgen. Willkommen zu CCC. Ich bin glücklich, zu sehen so viele Leute hier heute. Was wir heute über reden, ist die Fights for Encryption in 2016. So, we're gonna get the slides up here. There we go. So yeah, my name is Kurt Opps. Ich bin ein bisschen technische Probleme. Ich bin von der EFF, der Elektronischen Electronics Frontier Foundation. Fangen wir an mit einer Übersicht an, was in den letzten Jahren passiert ist. Es gibt ein paar gute Nachrichten, dass zunächst einmal, dass es starke End-to-End-Zür-Fischlösungen gibt und kräte Fischlösungen gibt. Und die sind in meisten Gesetzgebungen immer noch legal. Und es gibt immer mehr Implementationen davon. Davon gibt es später mehr. Die schlechten Nachrichten sind, dass Regierungen immer noch Wege zu finden versuchen, um plaintext Zugang zu verschlüsseln Texten zu bekommen. Und das machen sie indem sie Druck auf Firmen ausüben und ihre entsprechenden Gesetze erlassen. Und der schlimmste Aspekt ist, um das ganze Technologien zu blockieren und damit die Leute das überhaupt gar nicht erst benutzen können, eben auf dem Netzwerkleveln und eben malware Angriffe durchzuführen oder eben sogar Angestellte zu verhaften. Die damit die Meterentwicklung von Fischlösungstechnik angestellt sind. Bevor wir dazu kommen, fangen wir mit den grundlegenden Sachen an, mit einer Übersicht der Fischlösungsdebatte und was alles passiert ist. Warum mögen wir Fischlösungen? Das sind vielleicht wahrscheinlich viele hier schon sehr überzeugt davon. Die Fischlösung schützt unsere Daten und unsere Infrastruktur. Sie hilft sowohl Privatsphäre und Sicherheit zu garantieren. Aber wir haben unsere Regierung, die beängstigt ist, dass alles dunkel wird. Sie haben keinen Zugang mehr zu die Gesetze bezwingen. Letzten Jahr hatten wir ein paar gute Bewegungen in der ganzen Debatte. Ich möchte ein paar davon hervorheben. Es geht nicht mehr so um Datenschutzversicherheit, sondern um Sicherheitversicherheit. Das sind ganz besonders gute Neuigkeiten, weil die Debatte meistens so geführt wird, dass es um Sicherheit und Daten gegen Datenschutz geht. Das war eine rhetorische Figur von Menschen, die die Verschlüsselung schwächen wollten, die mehr Zugriff auf verschlüsselte Kommunikation haben wollten und die so über diese Geschichten gesprochen haben. Indem mit den Leuten gesprochen wurden, konnte man das Verständnis dahin drehen, dass es für die Sicherheit eigentlich besser ist, wenn wir starke Verschlüsselungen haben. Es gab auch ein gesteigetes Verständnis bei den Entscheidungsträgern dafür, dass das Ganze nicht ohne einen Preis kommt. Und auch einiges Verständnis dafür, z.B. von meiner Organisation, dass Code sowas wie Sprache freie Rede ist. Und dass von der Regulation Anschränkungen auch die freie Rede kommen, auch wenn wir über Code sprechen. Verschlüsselung ist ganz, ganz wesentlich, damit wir überhaupt so was wie freie Rede haben. Lassen Sie mal jetzt ein bisschen Perspektive über das ganze Geschichte bekommen. Dieses Going Dark, diese starke Verschlüsselung, dass das noch nicht in der Geschichte da gewesen ist, dass die Regierung nicht in Kommunikation reinschauen konnte. Wir gehen ein bisschen zurück in der Zeit und schauen uns mal im 18. Jahrhundert an, als der Schlosser Joseph Brahma ein nicht knackbares Schloss entwickelt hat. Und er hat eines der zeitigsten Backhandlingprogramme darauf losgelassen. Er hat eine Belohnung ausgelobt, um dieses Schloss zu knacken, hat das an seine Tür gehängt und die Leute eingeladen ist zu knacken. Und es hat 67 Jahre gedauert, und selbst dann hat es den Knacker noch 51 Stunden gekostet, um dieses Schloss zu knacken. In dieser Zeit hat dieses Schloss ziemlich, ziemlich gute Sicherheit geboten. Dieses auch für die Regierung schwierig macht, durch dieses Schloss in durchzukommen. Wenn man jetzt ein Safe baut mit diesem Schloss dran, dann kann der immer noch dünne Wände haben oder schlecht gebaut sein, aber das Schloss hält es. Und die Gesellschaft hat diese 67 Jahre, wo das Schloss nicht knackbar war, tatsächlich trotzdem überlebt. Gut, dann schauen wir mal, dass die große Sache des letzten Jahres an, ein sehr, sehr großer öffentlicher Showdown zwischen Apple Computers und dem FBI. Seit vielen, vielen Jahren hat das FBI versucht, in Smartphones reinzukommen. Es ist ihnen klar geworden, mit einem Smartphone ist ein hervorragendes Fenster in das Leben von Menschen. Sie wollen also Zugriff darauf haben und gucken, was Leute damit machen. Sie haben es zuerst über den legalen Weg versucht, also über Gerichtsbeschlüsse. Und es gibt zwei Schlüsselfälle, die diese Debatte kennzeichnen. Der eine ist aus Brooklyn in New York und der andere in San Bernardino, Kalifornien ein bisschen später. Im ersten Fall war es ein ziemlich Routinefall. Es ging darum, wenn das Telefon eines verdächtigen Methamphetamine-Dealers, die hatten das Telefon, sie wollten dort rein und brauchten einfach Beweise, um ihn zu überführen und vielleicht noch ein kleines bisschen mehr. Und so schrieben sie das Gericht an, eine Anweisung, um Apple zum Knacken dieses Telefon zu bekommen und verließen sich doch den All Rits Act, ein spezielles Gesetz dafür. Das war nicht ungewöhnlich. Das war recht normal, dass sie zum Gericht gehen und nach diesem Zugriff gefragt haben. Es war ungewöhnlich, dass sie eine dritte Partei angegangen sind, um Zugriff auf dieses Telefon zu kommen. Und das Gericht hat etwas sehr merkwürdiges getan. Sie waren recht unsicher und sagten, wir sind nicht sicher, ob diese Argumentation so tatsächlich funktioniert. Wir brauchen noch ein bisschen mehr Information darüber. Also haben sowohl Apple als auch die EFF und die ACLU Stellung dazu genommen. Und dieser sogenannte All Rits Act ist ein Gesetz, das ist ein Gesetz, das eigentlich ganz viele Phänomene einschließen kann. Eines der ältesten gesetzte USA 1789 erlassen worden. Es klingt ein bisschen verschränkt, sagt aber, es sind alle Maßnahmen, die nötig oder notwendig sind, um in dieser Juristition mit gesetzlichen Prinzip Zugriff zu erlauben. Es war ein ganz einfaches Werkzeug. Im Grunde ein Fallback-Gesetz. Wenn kein anderes Gesetz greift, dann kann man immer noch sich auf den All Rits Act berufen und versuchen damit eine Order zu bekommen. Im Februar 2016 gab es dann den California iPhone Case nach den schrecklichen Terrorangriffen in Kalifornien, wo zwei Angestellte des San Bernardino Health System Feuer eröffnet haben und eine Menge Leute getötet haben, geflohen sind und dann schließlich getötet wurden in einer Schießerei mit der Polizei. Es war ein ziemlich schrecklicher Angriff, der über den sehr breit berichtet wurde und mehrere Monate nach diesen Angriffen wollte der FBI Zugriff auf ein iPhone bekommen. Also das Telefon war eine Benutzung von einem der Angreifer und hat das in einem schwarzen Auto zurückgelassen. Und nach ein paar Monaten nach den Angriffen wollten sie dann in dieses Telefon hineinkommen. Also haben sie diese Bewerbung an das Gericht und das Gericht hat das dann an Apple weitergeleitet und an den selben Tag war das dann. Also es ist nicht viel Gedanken da reingegangen und das überhaupt möglich war. Es gab sich als Mechanismen, dass wenn man das Passwort auch zu oft eingibt, dass es dann alles gelöscht wird und sie wollten keine Verzögerung in diesen Zeit zwischen Passwort eingaben haben. Das war die Anfrage, dass diese Sicherheitsmechanismen aus Kraft gesetzt werden, damit sie eben eine Produktfaustattacke gegen das Telefon fahren können. So Apple ist damit beauftragt worden, ein neues Betriebssystem zu entwickeln, dass der Regierung dann einen Zugang gibt. Aber das Gericht ließ eine Sache offen. Apple, wenn du das beanstalten willst, dass es zu aufwendig ist, dann kann Apple das tun und das Apple auch getan hat. Und umgewöhnlich hat der CEO Tim Cook von Apple einen großen öffentlichen Brief geschrieben und hat das betrachtet als, dass sie zum einen nicht die Möglichkeit haben und zum anderen, dass die Möglichkeit auch zu gefährlich ist, so haupt umzusetzen. Es gab viele Briefs, ungefähr 40 davon und von vielen verschiedenen Gruppen, viele die sich auf die Seite von Apple geschlagen haben. Es gab auch viele, die auch für die Regierung standen. Und eine davon möchte ich jetzt hervorheben. Das ist von, da ist sein Beninio. Das ist District Attorney. Das ist der Chef von der Lokanarie. Man sollte aufpassen, dass es gefährlich ist, denn es könnte auf dem Telefon ein schlafender Cybervirus liegen. Vielleicht sollen wir dann vielleicht gerade deswegen doch keinen Zugang darauf kriegen. Der FBI-Direktor Comey fing an zu sagen, dass es nicht nur um überhaupt einen Telefon zu kommen, sondern um einen Vorfall zu legen und damit dann eben Zugriff auf mehrere Telefone überhaupt zu bekommen. Und hat die Frage gestellt, gibt es überhaupt Räume, an die man nicht rankommen kann? So wie bei dem Schlossfond, gab es auch damals schon sichere Orte, die nicht crackbar sind. Und das ist... Das ist ein Fenster in deiner Seele. Es war eine große Kontroverse. Es gab in nationalen Nachrichten, es gab eine Umfrage. Und es war ungefähr 50-50, ob Apple jetzt Zugang geben sollte oder ob es den Zugang verwehren sollte. Okay, die Leute waren geteilte Meinungen. Aber was war besonders beeindruckend darüber? Was? Okay, wenn wir die Information für einen Terroristenangriff nehmen, brauchen. Und ja, das ist eben speziell der Fall. Aber selbst dann war es nicht möglich, eine Mehrheit auf ihre Seite zu bekommen. Und sowohl die Zivilgesellschaft als auch die Industrie kamen zusammen, um Apple in dem Fall zu unterstützen. Sie meinten, das ist ein Präsidentsfall, nicht nur dadurch, dass man sich ein Telefon, sondern darum wäre, dass die Regierung jemanden zwingt, eine neue Software zu schreiben, die tatsächlich Sicherheitslücken hat. So, es gab dann eine Anhörung, angesetzt für den März 2016. Und dann hörten wir von dem Richter aus Brooklyn. Das ist schon ein Weiler in der Arbeit gewesen. Und dann haben wir uns auch in den letzten Jahren schon ein Weiler in der Arbeit gewesen. Und die Richter sagen, das wird eine ganze Menge dauern. Wir müssen uns das sehr genau anschauen. Aber nicht sehr lange nachdem diese News rauskam über den Kalifornienfall, veröffentlichtete Richter seine ziemlich detaillierte Meinung und sagte, Apple muss dieses Gerät tatsächlich nicht öffnen. Es muss es nicht knacken. Genau, das ist nicht zu unterstützen, was das FBI da in dem Fall getan hat. Es ging weiter mit der Anhörung. Und plötzlich kamen neue Nachrichten einen Tag vor der Anhörung, sagte das FBI, ja, wir versuchen eine neue Art und Weise in das Telefon reinzukommen. Können wir die Anhörung ein bisschen verzögern? Wir wollen das ausprobieren. Das ist tatsächlich am Tag vor der Anhörung passiert. Und viele Leute sind bereits aufgebrochen, um zu dieser Anhörung rechtzeitig da zu sein. Ich selber war unterwegs zum Flughafen. Und so konnte ich mir die Reise zumindest sparen. Und das war recht überraschend, eine sehr, sehr überraschende Entwicklung in der letzten Minute. Und eine Woche später veröffentlichte das FBI, ja, wir sind drinnen in dem Telefon. Die Anhörung ist nicht mehr notwendig. Es wurde tatsächlich abgebrochen. Die Details darüber wurden auch bekannt. Es gab einen Ex-Fleut, der sehr deutlich über eine Million Dollar gekostet hat. Und es war mehr als der FBI-Direktor im Jahr oder in einem gewissen Zeitraum verdient. Und es war ein Heck, der anscheinend iPhone 5C und älteren Geräten funktioniert. Und der Schlüsselfaktor ist, es gibt nicht das Touch ID-Feature auf diesem Telefon. Kein Secure Enclave. Und anscheinend war es tatsächlich etwas, worüber sehr wehreweh, nämlich Details haben. Das FBI hat also den Fall tatsächlich zurückgezogen, weil der Ex-Fleut für sie funktioniert hat. Und deswegen gab es tatsächlich keinen Urteil des Richters, ob das entsprechende Gesetz sich auf diesen Fall beziehen könne. Eine kurze Zeit später gab es eine Berufung, wo die wurde dann aber tatsächlich wieder zurückgezogen. Und weil der Passcode für dieses Telefon dann tatsächlich erhalten werden konnte. Das bedeutet insgesamt, dass jetzt in dem Fall wir keine Präzidenzfälle dafür haben, ob die Regierung tatsächlich Firmen zwingen kann, den Zugang zu Geräten auf diese Art offen zu legen. Es gab eine Entscheidung, die aber tatsächlich auf den niedrigsten Ebenen der Juristikation getroffen wurde. Da ist noch sehr, sehr viel Berufungsmöglichkeiten offen, sodass es noch nicht so binden ist wie höhere Urteile. Wir warten immer noch über den nächsten Fall, wo diese Argumente wieder angebracht werden. Weiterhin gab es seitens der Regierung keine Veröffentlichung, wie sie tatsächlich an diese Schwachstellen rangekommen sind. Der Fall hat es weiterentwickelt und man überlegt, ob dieser Fall quasi als Werkzeug benutzt wurde, um diese Information zu bekommen. Was ist mit dem Vulnerability-Equities-Process? Das ist ein Prozess, der durch den Freedom of Information Act herausgekommen ist. Und das ist ein Prozess, wo die Exekutive, den sie durchführen muss, um, es geht um die Frage, wie müssen die Verwundbarkeiten offengelegt werden seitens der Regierung, wenn sie erkannt werden. Es geht darum, welche Schaden richtet dieser Schaden für die Allgemeinheit und dieser Zugang für die Allgemeinheit an, versus den Benefit, den die Regierung dadurch bekommt, dass sie diesen Zugriff erhalten kann. Es stellte sich raus, dass das FBI diese Verwundbarkeit nicht aufgekauft hat, sondern einfach einen Black Box exploit. Das heißt, sie hatten überhaupt nichts aus ihrer Sicht, was sie veröffentlichen mussten. Sie mussten durch diesen gesetzlichen Prozess nicht durch und etwas veröffentlichen. Was hat Apple getan, um darauf zu antworten? Nun, das sind ein paar der Ziele, die Apple veröffentlicht hat, die sie sich selbst gesetzt haben. Sie versuchen, weiter die Secure Enclave zu nutzen. Sie versuchen, die Anzahl der Passwörter, die man eingeben kann, einzuengen und versuchen es schwieriger zu machen, Offline Text durchzuführen. In der Secure Enclave befindet sich ein Hardware-Zufallscenerator so, dass nicht mal Apple weiß, welche Zufallsnummer auf dem Gerät erzeugt wird. Das Ganze wird noch vermischt mit der UserID und dem Passcode, sodass Apple selber sehr, sehr wenig Informationen hat, die sie überhaupt herausgeben können, um so ein Gerät zu knacken. Sie versuchen außerdem ein Backbound-Programm zu etablieren. Sie bezahlen sehr viel weniger als auf dem Markt möglicherweise bezahlt wird, aber es ist immer noch ein wichtiger Schritt nach vorne. Apple war tatsächlich eine der letzten Firmen, die so ein Backbound-Programm aufgesetzt haben. So, was wird die Regierung jetzt als Nächstes tun? Was sie nicht machen wollen ist, sie wollen sich nicht darauf verlassen, Hex einfach zu kaufen. Das heißt nicht, dass sie das überhaupt nicht tun würden. Tatsächlich gibt es mehrere Fälle, wo sie exploits erschaffen haben oder zumindest gekauft haben. Es gibt die NSO Group, die über andere Arten versucht hat, Zugriff auf ein Telefon eines Oppositionellen zu bekommen. Es gibt eine Regel namens Rule 41, eine neue Regel in der Vereinigten Staaten für den Verfolgung von Strafordächtigen. Die macht es tatsächlich einfacher für Richter, festzulegen, dass die exekutive Network Instruction Tools verwenden darf, um in die Endgeräte der Nutzer reinzukommen. Die Regierung ist auf jeden Fall willens zu tun, aber sie würden es vorziehen, dass die Firmen in einfachen direkten Zugriff geben. So was wird den goldenen Schlüssel für Security. Was kann daran überhaupt schiefgehen? Wenn man Zugang zu diesen bronzenden Schlüssel hat, dann kann man, selbst mit diesem Foto und einem 3D-Drucker, wahrscheinlich diese Schlüsse selber machen. Das ist das Problem, dass es falsch schiefgehen kann. Wenn man Zugang zu einer speziellen Methode hat, dann muss man sicherstellen, dass diese Methode nicht in die falschen Hände fällt. Um ein bisschen an die Politik zu wenden, fangen wir an. Knapp einem Jahr gab es einen Anliegen, um Präsident Obama dahin so bewegen, um eine stärkere Einstellung zur Schlüsselung zu bekommen. Es gab 100.000 Unterschriften auf der Seite savecrypto.org. Und die Antwort war, ja, jetzt werden wir erst mal keine Gesetzgebung machen. Das ist keine sehr starke Antwort, das ist wenigstens nicht das Gegenteil. Und dann später, in 2016, sagte Obama, wir sollten keine absolute Sicht auf diese Dinge haben. Und das, damit man da ja, also entweder muss man Sicherheit haben, oder wenn man mit einem Backdoor hat, man hat eine Schwachssicherheit, also man kann nicht zur Verschlüsselung und Hintertüren haben. Das ist gerade sehr symptomatisch von Politikern, die sich damit befassen. Es geht genau darum, Kompromisse zu finden. Und die Technologie lässt das nicht zu. Und das ist eben eine politische Frage und keine mathematische oder technologische Frage. Und wir müssen da eben, und das ist gefährlich, ist eine gefährliche Denkweise. Das ist... Und dann, November, 8. November, haben wir einen neuen Präsidenten auf dem Feld. Und wie wird das gehen? Wir wissen, Trump ist jetzt noch nicht offiziell Präsident, aber hier sind ein paar Sachen von Trump auf die Sache. Trump hat ein paar Äußerungen zum Apple-Fall. Am Anfang hat er gesagt, was denken die eigentlich, wer sie sind? Wir müssen dieses Telefon öffnen. Und als die Diskussion dann weiter ging, meinte er dann, er benutzt sowohl iPhone und ist als auch Samsung. Und wenn Apple die Information nicht überhandelt, müssen wir eben Apple boykortieren. Und dennoch, wie ernsthaft war das, er tweetet immer noch von einem iPhone und das ist ein Bild von ihm, als er ein Reddit-AMA auf seinem MacBook tut. Wir können nicht wirklich sagen, wie ernsthaft diese Aussagen waren. Es gibt auch noch ein paar weitere Hinweise von den Nominierungen, die Trump für seine Ministerien und für seine Regierungen vorgeschlagen hat. Der neue Attorney General Jeff Sessions hat geäußert, er war schon lange dafür, dass das Gesetzgehüter an Zugriff auf die Telefone haben sollten. Und dass sich der Themen guckt, dass eben nicht die Ernstheit dieses Problems verstand hat. Und der CIA-Chef Mike Pompeo möchte Hürden abbauen für die Überwachung. Und es ist sehr verdächtig, wenn jemand steige Verschließungen benutzt. Das ist ein sehr gefährlicher Gedanke. Dann gibt es die Burr-Feinstein-Bild von Senator Feinstein. Das heißt auch, dass wir besuchen, eben, das geht darum, Leute zu fragen. Es geht darum, Leute zu fragen, dass sie sich an Gerichtsbeschlüsse halten. Das klang ja gar nicht so vernünftig, ob es wahr und vernünftig. Es würde darum gehen, Leute dazu zu zwingen, Kombinationen offen zu legen, gespeicherte Daten offen zu legen. Es würde sich auf den App Store beziehen. Wenn diese Firmen einen App Store unterhalten, dann müssten alle Apps, die in diesen App Stores sind, schwache Kryptografie oder eine Backdoor beinhalten. Das müsste auch tatsächlich durchgesetzt werden durch den Hersteller. Das würde Computer so will, wie wir sie heute kennen, quasi unrecht, zu unrecht erklären. Zum Glück ist es nicht sehr weit gekommen, dieses Gesetz. Der Kongress hat sich das ein bisschen angeschaut. Es gab ein paar Kommittees, die sich das angeguckt haben. Es gab ein paar Berichte darüber. Sie haben einen großen Schritt vorwärts gemacht, in dem es tatsächlich gesagt haben, es geht um Security versus Security. Sie haben ein paar Änderungen am Gesetz vorgenommen. Da ging es um das Gesetz, über das wir gerade gesprochen haben. Sie haben auch anerkannt, dass die Schwächung von Kryptografie schwere Nachteile mit sich bringen würde. Ein bisschen gefährlicher, sie sagten, eine Lösung dafür wäre doch, dass man das direkt beim End-User ansetzt, dass man quasi den Endnutzer befiehlt, seine Daten zu entschlüsseln, unter Androhung von Strafen. Wenn Sie sich angucken, worum es in der Technologie ohne Backdoors geht, dann muss man sagen, dass das zumindest die richtige Richtung geht. Das ist wie der Status zur Zeit gerade ist. Da schauen wir uns jetzt das Vereinigte Königreich an. Dort gibt es den Investigatory Powers Act. Der ist bereits erlassen worden, ist bereits in Gesetzeskraft und wird ganz oft den Snoopers Charter genannt, weil es hier eine sehr große Ermächtigung zu Überwachung zu tun hat. Es geht darum, dass sämtliche Kommunikation sowohl vom Verteidigungsministerium als auch die Polizei auf Metadaten auf tatsächliche Kommunikation auf die Webseiten-Historie zugreifen darf, inklusive Metadaten wie Zeitstempel und das Ganze bis hin zu 12 Monate in die Vergangenheit. Als Europäische Gerichtshof sagte, nein, das machen wir allerdings nicht mit. Der Europäische Gerichtshof sagte, das geht tatsächlich zu weit, denn ohne Unterscheidung des Einzelfalles, E-Mails, Screens zum Beispiel, das ist tatsächlich nur für gezielte Eingriffe gerechtfertigt, dort wo es wirklich, wirklich notwendig ist, schwere Verbrechen zu verfolgen. Das war dann der Herberrückschlag für das Snoopers Charter. Dieses Urteil berührt allerdings nicht die Teile des Gesetzes, die mit Backdoors zu tun hatten. Ein weiteres Problem ist, dass das Vereinigte König Reicher bald EU verlässt und dann natürlich auch die Jurisdiktion und damit dieses Gerichtsurteil nicht so mächtig ist, wie es hätte sein könnte. Aber hoffentlich entfaltet es abseits davon noch eine gewisse Wirkung. Was sagt dieses Gesetz nun über Verschlüsselung? Es sacht ein paar sehr komplizierte Sachen, die jetzt nicht wirklich direkt über Verschlüsselung sprechen. Sie sprechen über Code of Practice. Es redet über technische Kapazitäten und die Mitteilungen darüber, sodass ein Provider die technische Kapazität bereitstellen muss. Das ist ein Problem, dass ein Provider die technische Kapazität bereitstellen muss, um vor der Veröffentlichung neue Produkte und neue Services der Regierung ansagen muss, seitens der Industrie, um quasi eine Erlaubnis dafür zu bekommen. Das schließt auch neue Verschlüsselungstechniken ein. Worum geht es da jetzt genau? Es wird etwas genauer definiert. Darum geht es, dass der Secretary of State diese Order ausgibt. Der Home Secretary im UK schaut sich das dann nochmal an, ob es tatsächlich praktikabel ist, ob es verhältnismäßig ist. Das klingt eigentlich erstmal ganz gut, aber ich bin überhaupt nicht sicher, ob der Home Secretary die richtige Person ist, um das tatsächlich abzuwägen. Das könnte sehr, sehr schnell dazu führen, dass Backdoors oder solche technische Orders sehr, sehr schnell ausgegeben werden. Dazu gibt es eine automatische, so genannte, Gag-Order, dass die Industrie also nicht über diese Anweisung sprechen darf, sodass es sehr schwierig ist, gegen sie zu kämpfen. Man darf tatsächlich diese Anweisungen auch an Einheiten außerhalb, also Firmen z.B. außerhalb des Vereinigten Königreiches ausgeben. So, es geht, im Grunde geht es um Backdoors. Es geht darum, dass die elektronischen Sicherungen entfernt werden, den der Hersteller dort möglicherweise eingelegt hat. Im Grunde ist es ein bisschen verschleiert, aber es ist ein sehr, sehr gefährliches Ansinnen. Es ist Herausforderung für Leute, die tatsächlich ihren Geschäften im Vereinigten Königreich nachgehen wollen und die sich tatsächlich fragen müssen, auf der rechtlichen Seite hinterlege ich diese Juristik. Das ist eine sehr gefährliche Sache. Was die EU angeht, bewegt sich die Verschlüsselungsdiskussion ein kleines bisschen langsam in letzter Zeit in den verschiedenen Räten. Es gibt den Justice and Home Affairs Council, der sich das sehr genau angeschaut hat und tatsächlich über eine Balance gesprochen hat zwischen Strafverfolgung und Datenschutz. Das Ganze ist immer noch in der Diskussion. Es gab diesen sehr guten Report, von der Europäischen Cyber Security Agency. Die haben in diesem Monat etwas Zeitiger einen Bericht geschrieben. Wir haben gesagt, Backdoor sind schlecht. Die Schaden, denen sie anrichten, ist sehr viel größer als das, was wir Positives daraus bekommen könnten. Sogar wenn wir die allerbeste Gesetzgebung haben, und es die Technologie, die es gibt, verschlechtern, ist eine sehr, sehr schwierige Lösung, um damit zu arbeiten. Woanders in der Welt, im April des Jahres in Australien, gab es eine Defense and Strategic Goods List, wo es um die Versorgung mit Verschlüsselungstechnologen gehen. Das hat an ganz vielen Leuten echte Sorgen gemacht, weil es dabei nicht nur um tatsächliche Militärtechnologie geht, sondern es könnte auch so etwas Einfaches sein, wie einen Vortrag auf einer Computerkonferenz zu halten. Sie hatten eine grauenhafte Regelung zur Verschlüsselung. Sie hatten die Notwendigkeit, dass die Industrie-Cleartexte klaren, die unterschiedliche Daten aufbewahren müsste. Sie baden die verschiedenen Telefonhersteller ein biometrisches Identifizierungssystem hinzuzuführen. Wir sprechen über Indien, im Übrigen, Australien, und das sollte dort also in Telefone eingebaut werden, was natürlich ein Sicherheitslücke öffnen würde, um zum Beispiel Code von der Regierung in dieses Telefon einzuspielen. Es gab ein paar Treffen mit der indischen Regierung, aber Apple hat dort zumindest nicht mitgemacht. In Ägypten wurde der Zugang zum Signal-Message geblockt, und das wird auch noch weiterhin interessant sein. Nachdem Ägypten diesen Zugang geblockt hat, hat Signal mit einem Update geantwortet, dass Domain-Fronting benutzt, um den Signal-Verkehr zu verschleiern. Es sieht aus, als ob man zu Google geht, und das ist eben ziemlich schwer zu blockieren. Man kann es zwar immer noch blockieren, und das erhöht schon mal den Einsatz für die Zensur. Das heißt, man kann nicht nur ein System, sondern muss natürlich auch andere Sachen blockieren, und das macht es sehr schwierig für die Regierung, die Technologie zu blockieren. Auch noch ein paar gute Nachrichten in den Niederlanden. Haben sie sich sehr für die Verschlüsselung ausgesprochen, sehr stark dafür, um das eben ein bisschen entgegenzuwirken, um gegen Verschlüsselung anzukämpfen. Und die Vereinigten Nationen haben auch anerkannt, dass Verschlüsselung und Anonymität notwendig sind für die Meinungsfreiheit und auch Leben schützt. Wir haben auch sehr viel neu in Verschlüsselungstechnologie gesehen. WhatsApp hat Ende-zu-Ende-Verschlüsselung eingeführt bei Standardweise. Es hat über eine Milliarde Benutzer, und die mussten gar nichts tun. Facebook hat Ende-zu-Ende-Verschlüsselung eingeführt in ihrem Messenger, aber nicht standardmäßig. Also so ein halber Schritt, das muss noch weitergehen. So ein encryption als Standard ist wirklich das Ziel. Google's Allo gibt's bestimmt nur im Incognito-Modus. Das muss man aber selber manuell auswählen. Auch wieder noch ein halber Schritt. Signal hat einen Zuwachs von 400% zuwachs an Download verschrieben können. Und zwar seit dem 8. November, an dem Trump gewählt wurde. Es gibt auch Fortschritt auch im Web. Das Letz Encrypts-Projekt gibt ZDGade zu mehr als 21 Millionen Webseiten. Das ist kostenlos. Mehr als die Hälfte der Seiten, die in Firefox und Chrome geladen werden, benutzen HTTPS. Hier sehen wir ein Diagramm für Firefox. Wir sehen, dass wir die 50%-Mark geknacht haben. Android ist ein bisschen hinterher. Aber dennoch, das ist ein sehr positive Trend. Und die Zeit, die die Leute auf sicheren Webseiten verbringen, ist ungefähr zwei Drittel. Was sehen wir, wenn wir nach vorne sehen, nach 2017, weil wir wahrscheinlich mehr Gesetze sehen? Eine Sache, die die Politiker gelernt haben von den ersten Crypto Wars, ist, dass es gefährlich ist, eine spezielle Lösung vorzuschlagen. So wie in den 90er-Jahren wurde die von den Firmen geliefert werden und dass es dann Sache der Firmen, wie das gemacht wird. Und es gibt viel mehr öffentlichen Druck auf die großen Provider. Also wenn wir keine Gesetze haben, die die Verschlüsselung schwächer machen. Immer wenn es eine große Auseinandersetzung der Öffentlichkeit gibt, wo es also drum geht, dass Verschlüsselung im Mittlerung späht, dann wird öffentlicher Druck tatsächlich weiter bestehen. Und es gibt ein paar Länder, wo es da tatsächlich Aufregungen darüber gab, dass Leute diese Technologien benutzen wollen und das aber weiter blockiert wurde. Zum Beispiel in Brasilien, wo sie WhatsApp dreimal pro Jahr jetzt blockiert haben, ein paar der Führungsebene dort eingesperrt haben. Und die haben dann glaubhaft versicherten können, dass es für sie unmöglich ist, dort weitere Informationen rauszugeben, aber solchen Druck wird es weiter geben. Und gleichzeitig wird es das Problem geben, um an den Endpunkt der Verschlüsselung zu kommen. Es wird sehr viel mehr Morbär geben und gleichzeitig werden die Leute versuchen, darauf zu achten, dass sie verschlüsselte Endpunkte verwenden, um nicht ausspioniert zu werden. Eine weitere wichtige Vorhersage, freie und open source Software Kryptografie ist hier to stay. Sie wird hier auf jeden Fall bleiben. Es gibt eine ganze Menge open source Projects. Es gibt eine ganze Menge Industriefirmen, die tatsächlich dahinter stehen, versuchen dort eine Backtoe einzubauen. Das ist etwas, was tatsächlich nicht gut funktioniert. Es ist ziemlich, ziemlich ineffektiv, das in open source zu machen, weil man die betreffenden Teile einfach auskommentieren und das ohne das Ganze kompilieren könnte. Die Herausforderung ist, dass diese Software tatsächlich zum Teil vom Alltagsleben von Menschen zu machen. Eine weitere wichtige Sache, wie wir weitergehen müssen, ist, die Entscheidungsträger können wir tatsächlich erreichen. Es ist möglich. Wir führen Anhörungen durch und wir müssen versuchen, klart zu machen. Es geht um Security versus Security. Schlechte Verschlüsselung, schwache Verschlüsselung ist auf lange Sicht tatsächlich etwas Erschlechtes. Die Lobby gegen die man da steht, nämlich gegen die Exekutive ist natürlich sehr stark, aber die Technologienutzer können tatsächlich einen Unterschied machen. Was kann man also selbst tun? Wenn man Programmierer ist, einfach gleich von Anfang an Ende zu Ende Verschlüsselung einbauen. Dort muss es tatsächlich sein. Wichtig ist auch an der Usability zu arbeiten. Das Ganze muss für Milliarden von Menschen tatsächlich benutzbar sein. Für Websites einfach alles verschlüsseln. Certbot benutzen, das ist ein Bord, der mit der Initiative Let's Encrypt zusammenarbeitet und Zertifikate davon benutzbar macht. Es gibt eigentlich keine Entschuldigung mehr, keinen HTTPS auf Website zu verwenden. Und für Einzelpersonen achtet einfach darauf, tatsächlich Entschlüsselung zu verwenden. Es gab da diese rote Flacke eines Verantwortlichen aus der Regierung, der sagte, dass es die rote Linie über dies nicht gehen darf, wenn plötzlich alle Menschen starke Verschlüsselung benutzen. Genau das sollten wir tun. Es geht darum, dass so viele Menschen wie möglich starke Verschlüsselung verwenden. Bleibt aktiv, achtet darauf, was losgeht, worum es geht. Seid dabei, pusht in der Verschlüsselung weiter. Vielen Dank. So, ihr könnt euch jetzt gerne an den Mikrofonen aufstellen, wenn es eine Frage gibt. Wir haben jemand an den Mikrofonen eins. Funktioniert das hier? Ja, vielen Dank für diese großartigen Vortrag. Es war sehr, sehr interessant. War sehr schön zu sehen, wie die EFF und die Kollegen versuchen gegen schlechte Ideen vorzugehen. Ich habe eine Frage, bei der es um dieses Argument geht, dass wenn Verschlüsselung illegal ist, dann benutzen ja nur die bösen Verschlüsselung. Heißt das, dass es überhaupt nicht sinnvoll ist, Gesetze gegen Verschlüsselung zu etablieren, weil die Leute dann es tatsächlich nicht verwenden werden? Ist das etwas, was in Washington so angekommen ist? Oder gibt es tatsächlich Schlüsselgegenargumente? Was ich gesehen habe ist, dass zunächst mal, wenn Verschlüsselung illegal ist, dann wird es jeder benutzen. Dann wäre man eben kriminell bei, indem man Verschlüsselung benutzt. Aber etwas, das Politiker versuchen zu machen ist, um an die weitesten Verbreiter der Verschlüsselung zu kommen. Sie werden sehen, dass es eben Open Source Projekte gibt, die es eben auch außerhalb ihrer Gesetzgebung gibt, die sie nicht stoppen können. Und die bösen Buben sind eben die Möglichkeit, da trotzdem dran zu kommen. Und was man davon ableiten kann, ist, dass es nicht darum geht, einfach gezielte Verschlüsselung zu einem einzelnen Person zu gehen, aber sie möchten Zugang zur Massenkommunikation haben, also um vorher sagen zu können, wer etwas kriminelles machen kann, bevor es... Gut, Mikrofon 4 hat eine Frage. Hallo. Die Annahme, die Sie da treffen, dass wir in der Demokratie leben, sodass der Kampf zwischen euch und der Regierung ein gesunder Kampf ist, aber der Übergang von der Demokratie zu etwas wie einem autoritären Regime, wie in der Türkei zum Beispiel, scheint sehr schnell gehen zu können. Haben Sie einen Plan B? Haben Sie etwas in der Hinterhand für den Falt so etwas passiert, außer dass man natürlich sich auf die Verfassung berufen kann? Haben Sie irgendwelche Pläne für Fälle, wo eine gruppereaktionäre Politiker einfach plötzlich die Rechte einer demokratischen Gesellschaft beschneiden? Das ist einer der Gründe, warum man Verschlüsselung verfügbar hat, damit, wenn es später dann in eine Autorität autoritären Staat gibt, damit das es dann eben weit verfügbar ist. Für die, die in einem autoritären Regime leben, kann sehr direkt... Verschlüsselung kann da sehr direkt helfen, indem sie eben die Informationen schützt und Überwachung entgegen wirkt. Die Herausforderung hier ist, dass es eben die Benutzung von Verschlüsselung gerade ein Indikator ist, dass man etwas Kriminelles macht. Also selbst mit der besten Verschlüsselung, wenn sie dich verprügeln, dass du das Passwort herausrückst, dann hilft das natürlich nicht. Also es ist eine große Herausforderung, aber das Beste, was man machen kann, ist eben im Voraus schon als Möglichkeit, möglich machen, dass jeder so viel Verschlüsselung benutzen kann, möglich, damit das eben weniger verdächtig ist, wenn man es benutzt. Und es ist eben unpopulär, wenn man eben für beliebte Messenger sperrt, wie Signal or WhatsApp. Und nachdem man ein Land dann schon ein autoritäremes Regime ist, dann muss es eben außerhalb des Landes, die die Technologien zur Verfügung gestellt werden. Wir haben eine Frage aus der IRC. Was macht ihr von den sogenannten Warrant-Proof-Devices? Ich bin nicht wirklich sicher, was das mit solchen Warrant-Proof-Devices ist, Warrant und ob sie legal bleiben werden in der Zukunft. Also das war, was Komei beurteilt hat. Er wollte nicht eine Welt haben, sondern etwas, das Warrant-Proof war. Und ich denke, das ist ein Favorit von vollen Diskinkriptionen auf Phones, wo die Regierung, Sie können es unter ihrer eigenen Kraft versuchen, das zu bekommen. Das ist was, was passiert, aber sie sollten nicht ablehren, um die Provider zu verändern. Und es geht um, ob etwas Warrant-Proof ist, ein rhetorisches Device, das die Regierung benutzt, um eine Diskussion über die Wahl oder ob Warrant effektiv sein sollte. Aber es sind die größeren Policy-Issionen, und ich denke, wenn sie sagen, dass etwas Warrant-Proof ist, dann ist es vielleicht ein Side-Effekt, was passiert, wenn wir eine wachliche Inkription haben, aber es geht nicht gerade ins Herz dieser Politik-Debatte. Hi. Auf dem Subjekt von Retrik, es scheint, dass in den vergangenen Jahren oder so, ein bisschen mehr über zwei Jahre, wir haben viel zu hören, um eine wachliche Inkription gegen eine wachliche Inkription zu machen. Und es scheint, dass es mehr und mehr ein Tool von ihnen verwendet wird, um uns zu sagen, dass die schlechten Leute, die eine wachliche Inkription brauchen, die gewöhnliche Leute, die gute Leute, nur die normalen Inkription brauchen. Warum gehen Sie für eine wachliche Inkription? Ich denke, Sie haben das auf dem Subjekt gehalten, aber vielleicht könnt ihr uns ein bisschen mehr über das sagen. Ja, ich denke, eine wachliche Inkription ist wirklich was, was wir brauchen. Und wir sehen eigentlich, dass es die schlimmen Effekte gibt, wenn es eine missgegnete Attempte gibt, um eine wachliche Inkription zu haben, in den 90er-Jahren, wo es eine exportgröße Inkription war, eine dimestische Größe Inkription aus der USA, und so hat der Netscape-Navigator eine wachliche internationalen Version, nur mit 56 kW, nur mit 65 Kilo Beitkees, aber das hat sich herausgestellt, dass es eine sehr, sehr ungeschickt war politikweise. Und ich denke, es gibt ein paar Sachen, die wir gesehen haben in einer Kompel. Wir haben das gesehen, dass es viel geschlagen ist, aber die zweite Punkt ist, dass, wenn man sich schützen will heutzutage, dann müssen wir sich gegen eine große Varietät von Bedrohungen schützen. Das kann ein autoritäres Regime sein, es kann ein krimineller Computerhacker sein, aber der Wert von starker Verschlüsselung ist gegen alle Bedrohungen da, und immer wenn schwache Inkriptungen herauskommen, das war es immer ein größeres Desaster. Hallo? Wir haben also gesehen, dass die Regierungen versuchen, wieder und wieder Gesetze gegen Verschlüssel zu erlassen. Was muss eigentlich passieren, sodass solche Gesetze nicht immer wieder und immer wieder anlassen werden? Also es gibt wenig, mit dem man sie davon abhalten kann. Außer den Druck abzubauen, der von der Gesetzeswidern kommt, aber ich glaube, der Schlüssel ist, die Politiker zu überzeugen, anstatt überhaupt nichts zu erlassen, einfach etwas zu erlassen, dass die Verschlüsselung stärkt. Und ich bin sehr erleichtert über die Entscheidung der niederländischen Gerichte und natürlich auch die europäischen cybersecurete Gruppe sprechen sich auch sehr für Verschlüsselung aus und sagen, dass es eben etwas ist, das vorteilhaft ist zu haben. Ich würde mir leiden, dass ich ihre Blase jetzt kaputt machen muss, aber Niederlieder da haben letzte Woche an der Gesetz erlassen, dass es ihnen erlaubt, sich jedes hackbare Device auch tatsächlich rein zu hacken und es der Regierung erlaubt, Backdoors zu kaufen. Okay. Ich habe das versucht, es so aktuell möglich zu haben, aber vielen Dank für die Information. Ja, ich glaube, dass das etwas das zusammenstellt mit dem Punkt, dass man gegen die Endpunkte geht. Angriffe gegen die Endpunkte sind eine normale Lösung, um die Verschlüsselung zu umzugehen. Ich habe noch eine Frage aus ASC, die folgende sagt, was können wir tun, um Politiker aufzuhalten, damit sie nicht nur Falte nicht machen, sondern auch gar keine erste Symbolpolitik durchführen? Wie zum Beispiel nach den Attacken in Berlin, wo es um mehr Videoüberwachung geht, die gefordert wurde? Was können wir tun, dass Politiker versuchen, Gesetze zu lassen, die gegen das Problem nicht helfen? Das allgemeine Ding, immer wenn es ein Inzident gibt, wie den Terrorangriff, haben die Gesetzgeber immer einen großen Wunsch, etwas zu tun, und dieses Etwas mag nun eben nicht direkt mit dem Problem in Bezug zu stehen. Sie müssen, sie wollen halt einfach zu ihren Wählern gehen und sehen, hier, ich habe das getan. Und Teil davon ist eben, dass man die Wähler zu informieren, damit sie nicht so leicht davon getäuscht werden, und eben und ihre Präsidenten anzurufen, um ihnen zu sagen, dass man eine starke Versorgung will, und dass man nicht diese Methoden will. Die andere Sache, die effektiv sein kann, ist, dass Gesetzgeber nicht gerne dumm dastehen möchten. Und wenn sie etwas tun, dass eine technologische schlechte Antwort ist, und man kann zeigen kann, wie ineffektiv es ist, dann kann das manchmal helfen, den Politiker zu sagen, dass das eine schlechte Entscheidung war. Dieses Argument wird oft dargestellt, als zwischen Bürgern und Regierung. Und ich möchte aber vorschlagen, ein anderes Argument vorschlagen, nämlich dass fremde Staaten eigentlich Verschlüsselung sehr, sehr viel mehr brauchen, als noch Privatpersonen, weil sie sich gegen Verbrechen wehren müssen. Ja, absolut. Manchmal ist das auch ein Argument, das Mettern-Gesetzgebern wirkt, wenn sie nicht so besorgt sind über die Bürger direkt, aber eher um die Balance, aber im Gleichgewicht der Mächte zwischen Regierung und Regierung. Wenn man eine Hintertür einer Regierung gibt, zum Beispiel ein großartiges demokratisches Regierung, die ihre Macht nur sehr weise einsetzt, was tut man dann, wenn die anderen Regierungen dann Zugriff darauf verlassen fragen? Und viele Gesetzgeber verstehen, dass das eine große nationale Sicherheitskomponente ist, die eine gut verfügbare, starke Verschlüsselung hat. Ein Beispiel, es gab ganz viele E-Mails, die veröffentlichten würden von der Democratic National Committee. Und vielleicht jetzt, wenn Sie darüber nachdenken, vielleicht hätten wir das verschlossen sollen, vielleicht hätten wir bessere, stärkere Verschlüsselung benutzen können. Und das ist eben schwierig, gegen die angreifenden Staaten zu kämpfen. Und das muss man schwierig machen. Es war ziemlich aufregend zu hören, dass es tatsächlich in den US ein Gesetz gibt, der die Verwundbarkeiten zum Einsatz gibt, das haben wir auf der ganzen Welt auch in anderen Staaten. Also, man muss klar machen, der Vulnerable Equity Process ist kein gesetzgebender Akt, das ist etwas, das von der Exekutiven kam. Es war nicht von den Gesetzgebern in Auftrag gegeben worden, sondern von der eigenen Autorität, dass die Exekutiven gemacht werden, um... Es ist also, dass man machen könnte, in einem gesetzgebenden Prozess zu machen, um Regierungen dazu zu zwingen, das Gleichgewicht herzustellen. Aber ich weiß nicht, dass das schon mal vorgeschlagen wurde. Das war es soweit. Vielen Dank an alle nochmal, dass Sie hier waren.