Niels Ferguson (www.macfergus.com/niels, niels@ferguson.net), 15.8.2001, Übersetzung des Orginals von Wolfgang Wiese
Vorwort von Wolfgang Wiese (xwolf)
Auf dem neunten amerikanischen Kongress des Def Con Nine wurde Dmitry Sklyarov, ein Entwickler der russischen Firma ElcomSoft, nach seinem Vortrag festgenommen. (Das Online-Magazin Heise berichtete hierzu in mehreren Artikeln.) Auch wenn in der öffentlichen Berichterstattung der oberflächliche Eindruck entstehen konnte, es handele sich nur um eine strafrechtliche Aktion gegen einen Hacker, hat dies Geschehen weitere Fragen und Konsequenzen aufgeworfen.
Nicht zuletzt unter den Hintergrund diverser Rechtsstreitereien, wie der zwischen der Fa. iPIX und dem dt. Mathematik-Professor Helmut Dersch, machen auch deutlich, daß die Auswirkungen dieser Probleme überall auftreten können.
Niels Ferguson, ein international bekannter Experte für Verschlüsselung, publizierte am 15. August ein Essay in der er offenlegt, daß hinter den Geschenissen nicht reiner Zufall, sondern Strategie steht.
Der folgende Artikel ist eine Übersetzung seines englischsprachigen Essays.
Zusammenfassung
Ich hab eine umfassende Arbeit über das HDCP („High-bandwidth Digital Content Protection“) System geschrieben, in dem detailliert auf vorhandenen Sicherheitslöcher eingegangen wird. Ich entschied mich aber dafür, die Arbeit nicht zu veröffentlichen, weil ich befürchte wegen dem DMCA („Digital Millennium Copyright Act“) in den USA strafrechtlich verfolgt zu werden.
Einführung
Mein Name ist Niels Ferguson. Ich bin ein Experte für Kryptographie. Meine Aufgabe ist es, Sicherheitssysteme zu erstellen, zu analysieren und auf Sicherheitslöcher zu testen. Man kann meine Arbeit vergleichen mit der eines virtuellen Schlossers. Kurz gesagt: Meine Arbeit ist es, Computersysteme und das Internet sicherer zu machen. Sie würden sicher auch denken, daß andere Leute dies gut finden, oder?
Die Beschäftigung mit Themen um Computer-Sicherheit und Kryptographie ist nicht einfach. Es ist sehr einfach, Fehler zu machen; Ein einziger Fehler allein reicht jedoch aus, um Systeme unsicher zu machen. Man lernt daher aus den eigenen Fehlern. Es gibt aber viel mehr Fehlerquellen, als man selbst machen kann. Aus diesem Grund publizieren wir Artikel; Wir teilen unsere Erfahrungen mit anderen, so daß diese nicht dieselben Fehler machen müssen. Schauen Sie mal auf die Liste meiner Publikationen. Sie finden dort eine Mixtur aus Lösungsvorschlägen, Analysen und Beschreibungen für die Attacken auf Sicherheitslöcher. So lernen wir und verbessern gleichzeitig den aktuellen Stand der Computersicherheit.
HDCP
Vor kurzer Zeit fand ich die Beschreibung des „High-bandwidth Digital Content Protection (HDCP)“ Systems im Internet. HDCP ist ein Verschlüsselungssystem von Intel, welches Videos auf dem DVI-Bus verschlüsselt. Der DVI-Bus wird dazu benutzt, digitale Videokameras und DVD-Player mit digitalen Fernsehern und anderen digitalen Geräten zu verbinden. Das Ziel des HDCP Systems liegt darin, illegale Kopien von Videos zu verhindern.
HDCP ist jedoch fehlerhaft. Meine Ergebnisse zeigen, daß jemand, der auf diesem Thema erfahren ist, den HDCP Master Key innerhalb von nur 2 Wochen ermitteln kann, indem dieser 4 Computer und 50 HDCP-Geräte in geeigneter Weise benutzt. Hat man einmal den Master Key, ist man in der Lage, jeden Videofilm zu entschlüsseln, jedes HDCP-Gerät zu modifizieren und sogar selbst neue „HDCP-Geräte“ zu verbreiten, die mit den echten Geräten zusammenarbeiten. Dies ist eine wirklich schlechte Nachricht für ein Sicherheitssystem, welches eben dies verhindern sollte. Ist der Master Key einmal veröffentlicht haben HDCP-Geräte keinen weiteren Schutzmechanismus. Die Fehler in HDCP sind nicht schwer zu finden. Wie ich gern sage: „I was just reading it and it broke“.
Was tun Sie, wenn Sie zu solch einem Ergebnis kommen? Zuerst einmal müssen Sie es aufschreiben und erklären. Dann publizieren Sie ihre Arbeit, so daß etwaige Fehler gefunden werden und andere Leute daraus lernen können. So funktioniert jede Wissenschaft! Ich schrieb eine Arbeit über HDCP, aber ich kann sie nicht publizieren.
DMCA
Es gibt ein Gesetz in der USA mit Namen „Digital Millennium Copyright Act“ (DMCA), nach dem es illegal ist Entschlüsselungs-Technologie („circumvention technology“) zu verbreiten; So zum Beispiele Systeme, welche ein Kopierschutz brechen. HDCP wird dazu benutzt, Urheberrechte zu schützen. Es gibt Anwälte, die behaupten, daß eine wissenschaftliche Arbeit, welche die Schwachstellen eines Sicherheitssystemes offenlegt, eine Entschlüsselungs-Technologie im Sinne des DMCA sei. Mir wurde von einem US-Anwalt, welcher sich mit dieser Thematik beschäftigt, der Hinweis gegeben, daß ich, sollte ich meine Arbeit veröffentlichen, sehr wohl nach amerikanische Recht strafrechtlich verfolgt und angeklagt werden könnte.
Das ist empörend!
Mein Risiko
Ich reise regelmäßig in die USA, sowohl aus dienstlichen, als auch aus privaten Gründen. Ich kann es mir einfach nicht leisten in den USA angeklagt oder strafrechtlich verfolgt zu werden. Ich würde pleite gehen nur um meine Anwälte zu bezahlen.
Ich möchte hier ganz deutlich machen, daß die Firma Intel, welche das HDCP System entwickelten, mir in keinerler Hinsicht drohten. Aber die Bedrohung kann auch nicht nur von Intel kommen. Das Justizministerium der USA könnte mich von sich aus anklagen. Auch kann jeder andere Beteiligte, wie zum Beispiel ein Filmstudio, dessen Filme über HDCP geschützt werden, mich des Bruchs der DMCA anklagen. Ich kann es mir nicht leisten, solch ein Risiko zu tragen.
Die einfachste Alternative würde es sein, nie mehr in die USA zu reisen. Dies würde mir merkbar schaden, sowohl in meiner Arbeit, als auch privat. Es würde mich ausschließen von vielen Konferenzen auf meinem Arbeitsgebiet und es würde mich von Familie und Freunde trennen.
Dies hört sich alles etwas übertrieben an, nicht wahr? Wer würde schon wegen der Publikation einer Arbeit eine Klage anstrengen? Nun, es gibt einige gute Gründe zu glauben, daß ich einen Rechtsstreit riskiere, wenn ich meine Arbeit veröffentliche: Ein Team von Wissenschaftlern unter Leitung von Professor Edward Felten wurde vor Kurzem mit einer Klage bedroht die sich auf den DMCA beruft, für den Fall, daß diese ihre eigene wissenschaftliche Arbeit veröffentlichen. Der daraus folgende Gerichtsfall ist immer noch anhängig.
Recht auf freie Meinungsäußerung
Wir haben dieses kleine Prinzip, genannt „Recht auf freie Meinungsäußerung“. Es ist niedergeschrieben in der Allgemeinen Erklärung der Menschenrechte, der Verfassung der USA und dem niederländischen Recht. Der Grundsatz des Rechts auf freie Meinungsäußerung ist es, daß jeder in der Lage sein soll, Ideen frei weiter zu verbreiten und wahre Aussagen zu machen. Es gibt keinen Zweifel daran, daß meine Arbeit durch das Recht auf freie Meinungsäußerung geschützt ist.
Das DMCA jedoch legt dem Recht auf freie Meinungsäußerung eine schwerwiegende Beschränkung auf: Das DMCA macht es illegal über bestimmte Sicherheitssysteme zu reden. Übertragen auf das anzuwendende Gesetz für nicht-elektronische Sicherheitssysteme würde dies bedeuten, daß es illegal ist, Leute davor zu warnen, billige und sehr anfällige Schlösser in ihre Haustüren einzubauen, mit der Begründung, daß Kriminelle diese Information ausnutzen könnten.
In dem westlichen Kulturraum wird das Recht auf freie Meinungsäußerung nur aus sehr ernsten Gründen und auch dort nur nach sorgfältiger Überlegung beschnitten. So ist es zum Beispiel nicht erlaubt „Feuer!“ in einem überfüllten Theater zu rufen oder es ist illegal jemand zu bitten einen Mord zu begehen. Das DMCA beschneidet das Recht auf freie Meinungsäußerung weil die Filmindustrie sich davor fürchtet Geld zu verlieren. Weiter unten werde ich darüber reden, daß das DMCA nichtmal in der Lage ist, dies zu erreichen. Aber davon unabhängig: Wollen wir wirklich das Recht auf freie Meinungsäußerung für Geld verkaufen?
Das DMCA ist eine furchterregende Entwicklung. Das nächste mal, wenn kommerzielle Interessen mit dem Recht auf freie Meinungsäußerung kollidieren, wird die Industrie mit Hinweis, daß es bereits das DMCA gibt, weitere Schutzmöglichkeiten verlangen. Sie könnten einen Bericht, der detalliert die Sicherheitssysteme eines Autos beschreibt als illegal brandmarken, wie auch Meldungen über Schwachstellen in einer bestimmten Marke von Autoreifen. Solche Artikel schaden der Industrie. Wo wird dies also enden?
Zuständigkeit der Gerichte
Das DMCA ist ein amerikanisches Gesetz. Ich bin ein Bürger der Niederlande, und ich lebe und arbeite in Amsterdam in den Niederlanden. Warum mach ich mir überhaupt Sorgen wegen dem DMCA?
Die USA wenden ihre eigenen Gesetze auch weit über ihre eigenen Grenzen hinaus an. Dmitry Sklyarov, ein russischer Programmierer, wurde letzten Monat in der USA verhaftet. Er wurde angeklagt, das DMCA zu verletzen, während er seiner Arbeit als Angesteller einer einer russischen Firma in Russland nachging. Soweit wir wissen, war das, was er tat, vollkommen legal in Russland, als auch in den meisten anderen Ländern der Welt. Er wurde inzwischen auf Kaution freigelassen, jedoch darf er Kalifornien (USA) bis weiteres nicht verlassen.
Wohin führt uns dies? Was, wenn nun jedes Land damit anfängt, die eigenen Gesetze auf Leute in anderen anzuwenden? Werden möglicherweise nicht auch Sie das nächste mal, wo Sie ins Ausland reisen, verhaftet? Wollen Sie wirklich eine Urlaubsreise nach China unternehmen, wenn Sie mehr als ein Kind haben? Sind Sie sicher, daß Deutschland all die Links zu politischen Artikeln, welche Sie auf Ihrer Homepage haben, erlaubt? Diese Art der außerterritorialen Anwendung von nationalen Gesetzen verletzt ein grundsätzliches Menschenrecht, da Sie nicht wissen, welche Gesetze möglicherweise auf Sie angewendet werden können. Stellen Sie sich vor, Sie leben in einem Land wo alle Gesetze geheim gehalten werden und Sie deswegen nie wissen, ob Sie nicht gerade ein Gesetz brechen.
Angenommen ein amerikanischer Bürger arbeitet für einen Waffenhersteller aus den US und baut Gewehre zusammen. Einer dieser Gewehre taucht hier in Amsterdam auf und wird bei einem Verbrechen genutzt. Dieser Mensch macht nun Urlaub in Europa. Er wird daraufhin verhaftet für die Verletzung des Niederländischen Gesetz für Feuerwaffen, da er dabei mithilft, eines dieser Gewehre herzustellen. Dies ist das, was Dmitry passierte. Ist dies fair? Wollen wir wirklich, daß es so auf der Welt zugeht?
Das Prinzip, nationales Recht auf jeden anzuwenden, der irgendwo auf der Welt irgendwas publiziert, ist erschreckend. Wenn wir es zulassen, daß dieses Prinzip genutzt wird, werden wir nie mehr frei sein. Sie haben dann nur eine Wahl. Sie können entscheiden, daß Sie nie mehr ihr Heimatland verlassen, egal weswegen. Dies bedeutet, Sie können noch nichtmal an einer Heirat oder einem Begräbnis eines Freundes im Ausland teilnehmen. Eine andere Alternative wäre die, daß Sie all das, was Sie sagen auf das kürzen, was in den Ländern erlaubt ist, in denen Sie zu reisen gedenken. Sie können natürlich auch nichts sagen. Dies wäre einfacher, ist es doch sehr schwierig herauszufinden was in jeder Rechtssprechung erlaubt ist. Wir verlieren also entweder unser Recht zu reisen oder unser Recht auf freie Meiungsäußerung. Welches Menschenrecht wollen Sie denn heute aufgeben?
DMCA funktioniert nicht
Das DMCA ist ein grundlegend fehlerhaftes Gesetz. Es ist ineffektiv und es ist schädlich gegenüber den Interessen, die es eigentlich schützen sollte. Es hindert mich nun daran meine Arbeit zu veröffentlichen. Aber irgendwann wird irgendwer zu den selben Ergebnissen kommen wie ich. Diese Person wird möglicherweise entscheiden, den HDCP Master Key im Internet zu veröffentlichen. Anstelle daß HDCP nun korrigiert wird, bevor es massenhaft eingesetzt wird, wird die Industrie dann damit konfrontiert, daß alle geleisteten Ausgaben in HDCP-Geräte sinnlos werden. Somit folgt hieraus, daß das DMCA am Ende der Industrie Geld kostet. Man darf raten, wer dann all dies zu bezahlen hat.
Auf langer Sicht macht es das DMCA viel einfacher illegale Kopien herzustellen. Warum? Wenn wir keine Forschung auf diesem Gebiet betreiben dürfen, werden wir niemals in der Lage sein, gute Methoden für Sicherheitslösungen herzustellen. Wir werden an fehlerhaften Systemen wie HDCP hängenbleiben, zum entzücken der Kriminellen.
Das DMCA wurde „Snake Oil Protection Act“ genannt. Wenn ein Hersteller ein mangelhaftes Produkt macht, können Sie erwarten, daß diese es reparieren. Doch nicht in diesem Fall. Das DMCA schützt den Hersteller eines mangelhaften Produkts dadurch, indem es illegal wird zu zeigen, daß das Produkt mangelhaft ist. Wer kam bloß auf eine solche Idee?
Das Copyright
Das Copyright ist eine vorsichtige Balance zwischen den Rechten des Autors und dem öffentlichen Interesse. Der Autor bekommt für eine gewissen zeitlang das exklusive Recht, seine Arbeit zu nutzen und zu verbreiten. Die Öffentlichkeit bekommt freien Zugang zur Arbeit, sobald das Copyright ausgelaufen ist. Mehr sogar, die Öffentlichkeit erhält das Recht, im Rahmen der „fair use“, Teile der Arbeit noch während der Schutzphase selbst zu nutzen. Dies bedeutet, man erhält das Recht, Teile der Arbeit zu zitieren und sie zu parodieren. Wenn Sie eine Kopie einer geschützen Arbeit kaufen, haben Sie außerdem das Recht dazu, eigene Kopien für persönliche Zwecke herzustellen. Ein Student kann so eine Seite aus einem Buch kopieren um mit dem Textmarker darauf zu schreiben.
Auf eine hinterhältige Art beseitigt das DMCA all diese Rechte für die Öffentlichkeit. Sobald die Arbeit durch Kopierschutzmechanismen geschützt ist, kann keine der obigen Rechte genutzt werden, da es illegal ist, Verfahren herzustellen oder zu nutzen, die den Kopierschutz aufheben. Selbst wenn das Copyright ausläuft ist es wegen dem DMCA nicht möglich, daß die geschützten Inhalte publiziert werden. Das höchste amerikanische Gericht vermerkte, daß die Rechte des sogenannten „fair use“ das Ventil sind zwischen den berechtigten Recht auf Copyright der Autoren und dem Recht auf freie Meinungsäußerung. Dies könnte ein anderer Grund dafür sein, daß das DMCA verfassungswidrig ist.
Bei Dmitry’s Fall handelt es sich um eine Software, die er schrieb um mit dessen Hilfe verschlüsselte e-Books lesbar zu machen. Seine Software hat viele Anwendungen. Viele e-Books erlauben es nur Texte über den Bildschirm zu lesen. Wenn Sie jedoch blind sind und das Buch auf Ihrem Braille-Gerät lesen wollen, benötigen Sie sowas wie Dmitry’s Software. Dies ist vollkommen legal gegenüber der Gesetze des Copyrights. Das DMCA jedoch verbietet dies und erlaubt es somit Blinden nicht, entsprechende e-Books zu lesen.
Warum dieses Durcheinander?
Warum machte die Filmindustrie eine Kampagne für das DMCA, wenn dieses nicht funktioniert? Die Film- und Musikindustrie haben eine ganze Geschichte an Behauptungen, nach denen neue Technologie sie in den Bankrott treiben würde. Als die ersten Videorekorder aufkamen, schworen Sie, daß sie Bankrott gehen würden, wenn Leute selbst Filme aufnehmen könnten. Nun jedoch machen sie ein Haufen Geld damit, Videokasetten zu verkaufen. Jetzt prophezeien sie, sie würden pleite gehen, wenn wir nicht das Recht auf freie Meinungsäußerung beschränken und die Möglichkeiten des „fair use“. Warum sollten wir Ihnen diesmal glauben?
Das DMCA existiert, weil die Film- und Musikindustrie dafür starke Lobbyarbeit betrieben. Es ist ein sehr einseitiges Gesetz, welches nicht sehr durchdacht ist. Die Industrie hat es mit ihm geschafft, die Ausgewogenheit des Copyrights zu beseitigen und durch ein Gesetz zu ersetzen, welches ihnen ein unbegrenztes Monopol auf schützenswerte Arbeiten gibt. Könnte es sein, daß genau dies die realen Motiven hinter ihrer Lobbyarbeit waren?
Können wir das DMCA reparieren?
Ja, sicher. Es würde noch nichtmal sehr schwer sein. Das Erstellen und der Verkauf von unautorisierten Kopien von geschützten Arbeiten ist bereits illegal in den meisten Gesetzgebungen. Wir könnten die Gesetze um Copyrights und Urheberrechte so ändern, daß die Strafen für einen Bruch der Copyrights strenger werden, wenn dies verbunden ist mit dem Bruch eines vorhandenen Kopierschutzes. Ein bisschen, wie der Unterschied zwischen dem Hausfriedensbruch auf der einen Seite und dem Einbruch auf der anderen. Ein Gesetz wie dieses ist genau das, was wir brauchen: Es würde illegale Kopien verbieten. Es würde aber nicht das Recht auf freie Meinungsäußerung beschränken oder uns das Recht nehmen, Arbeiten im Sinne des „fair use“ zu nutzen, sprich diese zu zitieren oder legal zu kopieren.
Weitere Informationen
Sie können viel mehr Informationen über das DMCA, sowie den aktuellen Fällen von Professor Felten und Dmitry Sklyarov, auf der Site der EFF finden.