Analoges Vertrauen durch digitales Verständnis

Wenn Harald Welzer sagt, Vertrauen bleibe analog, auch und gerade in der digitalen Gesellschaft, können wir ihm zustimmen. Man kann nicht auf viel Sicherheit in der digitalen Kommunikation setzen, wenn man sich nicht wenigstens ein Mal tatsächlich von Angesicht zu Angesicht getroffen habe, sagt der mit der Materie vertraute Denis Ahrens. Seit Jahren führen sicherheitsbewusste Menschen daher neben Bargeld auch ihren PGP-Fingerprint mit sich, um ihn auf Papier weiterzugeben.

Das ist aber nur das eine. Auf der anderen Seite wurde über Jahrzehnte „Open Source“ mit digitalem Vertrauen assoziiert. Und trotz Heartbleed wurde dieses Zusammenspiel aus menschlichem und technischen Unvermögen in den vergangenen Tagen auch positiv bestätigt. 46.420 Dollar wurden zusammengetragen, um die seit Jahren beliebte Open-Source-Verschlüsselungssoftware Truecrypt auf heimliche Hintertüren von Kriminellen und Geheimdiensten zu überprüfen.

Es wurde ein paar Fehler, aber nichts Verdächtiges entdeckt. Tatsächlich fand allerdings nur eine Stichprobe statt. Der Bootloader des Programms und der Windows-Kerneltreiber wurden unter die Lupe genommen. Darüber hinaus gilt zusätzlich: So richtig Open Source ist Truecrypt nicht, auch wenn bereits im vergangenen Jahr ein kanadischer Student nachweisen konnte, dass die installierbare Software identisch mit der Quelltextdatei ist, die es auf der Webseite des Programms zu laden gibt.

Wie viel analoges Vertrauen steckt überhaupt noch in diesem Gebilde? Wir kennen den Namen des kanadischen Studenten, er heißt Xavier de Carné de Carnavalet, mehr wissen wir von ihm nicht. Und wer nutzt tatsächlich die von ihm überprüfte Möglichkeit, nach dem Download der Truectypt-Software dessen PGP Signatur zu überprüfen? Wer kennt die Personen, die Truecrypt schrieben und vertreiben? Niemand.

Es bleibt also zwangsläufig, wenn auch nur rudimentär, beim analogen Vertrauen: Weil Steve Gibson sagt, „selbst Bruce Schneier nutzt Truecrypt“ gilt die Software als ebenso sicher wie praktikabel. Trotz allem gilt aber auch, was die Autoren der Truecrypt-Sicherheitsüberprüfung in ihr Fazit schrieben: „TrueCrypt source is difficult to review and maintain. This will make future bugs harder to find and correct. It also makes the learning curve steeper for those who wish to join the TrueCrypt project.”

Was das bedeutet, lässt sich hier sehen:

Vier junge Menschen versuchen, dem Open-Source-Prinzip gerecht zu werden. Sie schnappen sich den Quellcode von OpenSLL, sie kennen den Fehler, sie wissen, wo sie ihn suchen müssen – und verbringen doch mehr als anderthalb Stunden damit, grundlegend zu verstehen, was sie da vor sich haben. Es ist zum Teil jahrzehntealter Code, der selbst auf den Maschinen noch läuft, die längst ausgemustert und vergessen wurden.

Wenn stichprobenhafte Begutachtungen zigtausende Dollar kosten, verschlingt die Entwicklung der Software Millionen und Milliarden. Kein Wunder, dass man lieber mit dem Spatz auf der Hand als der Taube auf dem Dach die Infrastruktur des halben Internets zusammenhält.

Es lohnt sich, das Video einmal vollständig zu sehen. Während Lukas Hartmann den Code entschlüsselt und dies mit einem Erlebnisreferat untermalt, füllt Gabriel Yoran die Zeit mit Ideen. Dabei geht es unter anderem darum, Code wie Literatur zu behandeln, ihn also nicht nur maschinenlesbar zu machen, sondern ihn schon im Moment des Entstehens für die Nachwelt aufzubereiten. „Man kann das Leben überstehen, ohne Hamlet gelesen zu haben. Um SSL kommt aber keiner herum. Vielleicht erleben wir es noch, dass Code eine literarische Qualität erhält, durch die man ihn sogar gerne ließt.“

Eine Aufgabenstellung für die bestehende Literaturwissenschaft ist das nicht, aber eine für eine neue, in der Algorithmiker sich mit dem Text befassen, der sie und alle anderen Menschen unausweichlich etwas angeht. Erst einmal geht es bei all dem aber nicht darum, Vertrauen aufzubauen, sondern ein Verständnis für die Maschinen zu bekommen.

(Bild: avlxyz)