PGP-Server der FSFE

Robert Kehl rk23 at fsfe.org
Mi Mai 25 21:35:49 UTC 2011


Hallo!

Den kürzlich vorgebrachten Missbrauchs-/Zensur-/Völkermord-Aspekten kann
ich mich nur ungern öffnen, die Ebene erscheint mir unpassend in dieser
Sache.

Daher versuche ich, die Diskussion in realistischere Bahnen zu lenken,
oder wenigstens auf den Boden der Tatsachen zurückzuholen. Ich hoffe uns
fehlen keine Fakten. Falls doch, fände ich Erhellung auf allen Seiten
toll - wlkikiv.

Es wäre schön, könnten wir das umstrittene Public-Key-Verfahren mit den
bestehenden Datenschutzgesetzen in Einklang bringen, die u. a. die
Möglichkeit der Löschung eigener Daten vorschreiben. Über Sinn und
Unsinn der Datenschutzgesetze zu debattieren ist vollkommen legitim,
schießt aber über die momentane Diskussion hinaus.

Jetzt steht zur Debatte, ob die FSFE einen eigenen, ohne Zweifel die
Reputation fördernden Key-Server betreiben soll, und was das für
negative Auswirkungen haben kann.

Ich stimme denjenigen zu, die sagen, dass wir damit quasi eine
Angriffsfläche ob des vermeintlichen Nicht-Befolgens der
Datenschutzgesetze bieten, sollte jemand eine Löschung seines/ihres
Schlüssels verlangen. Dieser Löschung können wir technologisch
vordergründig nicht nachkommen, denn beim nächsten Sync wäre der
Schlüssel wieder da, aber s. u..

An dieser Stelle eine eigene Blacklist zu führen, die bestimmte
Schlüssel von vornherein ausschließt, wäre fatal: Wir würden schnell in
Verruf geraten können, selektiv Schlüssel zu führen, was der Wahrheit
entspräche: Auf welcher Grundlage täten wir das denn?

Eine Blacklist in das GnuPG-System einzuführen, und ergo über die Zeit
von allen Key-Server via einer replizierten Blacklist bestimmte
Schlüssel abzugewöhnen, macht es nicht besser, wie das letztens zitierte
Fiktiv-Beispiel des documenta-Schlüssel eindrucksvoll zeigt. Die Frage
nach der Grundlage bliebe.

Das GNUnet-P2P-Verfahren ist gewöhnungsbedürftig für die meisten Nutzer.
Ich verstehe, dass die Normalo-Nutzer-Familie nicht unbedingt Bandbreite
zur Verfügung stellen möchte, um GNUnet zu unterstützen (cmiiw), oder
dass eben jene P2P (noch) nicht verstehen.

Ich finde, Bernhard hat in der Diskussion am 19. 5. Wertvolles gesagt:
> ich weiss ja eben nicht sicher, wem ein Schlüssel gehört, 
> entsprechend ist es auch nicht so einfach eine Löschung zu
> beantragen, ich müsste dabei ja nachweisen, dass es sich um _meine_
> Daten handelt.

Insofern wäre der Nachweis dessen nur durch ein Zurückziehen des
Schlüssels möglich - dadurch weise ich nach, dass ich im Besitz des
privaten Schlüssels bin. Bin ich damit aber auch Eigentümer der Daten?
Oder bin ich Mallory? Darüber hinaus verbleibt der Schlüssel ja
weiterhin in den Servern, nur eben als zurückgezogener.

Sicherlich ist also der Hinweis, dass ein DoS der FSFE durch
fortgesetzte Unterlassungsklagen, Vorladungen, etc. pp. möglich ist,
nicht von der Hand zu weisen, wenn in Deutschland betriebene
Schlüssel-Server den Datenschutzgesetzen nicht in vollem Umfang
entsprechen können (wzbw).

Ein Dilemma, dem wir aber entgegensetzen können: "Ja, wir haben ihren
Schlüssel von unserem Server gelöscht, das bestätigen wir hiermit" -
dass derselbe Schlüssel wieder auf dem Server auftaucht, ist ja nicht
das Problem des Serverbetreibers, sondern eher das Problem dessen, der
"seinen/ihren" Schlüssel über einen Server in ein dezentrales Netzwerk
hinaufgeladen hat, oder? Wird eine erneute Löschung beauftragt, löschen
wir halt noch mal, und sei es bis an's Ende aller Tage. Might be simple,
could work?

Damit der Fakten und einer Idee genug, komme ich jetzt zum Handfesten:

Wir bräuchten einen Server oder wenigstens 10GB Speicher und wenig
Traffic. Das ist für max. 20 € pro Monat im Netz zu bekommen, oder für
(viel) weniger bei Sponsoren, die vielleicht gerne die Ressource bereit
stellen würden, aber ungern die rechtliche Verantwortung übernähmen -
die läge bei der FSFE.

Bliebe die Frage der Administration und des gleichnamigen Aufwands. Da
haben wir in der Diskussion gehört, dass 15 Minuten pro Tag ohne Fakten
*scnr* kalkuliert waren, aber natürlich fiele administrativer Aufwand
an. Ich wette viel, dass sich vier bis fünf Leute finden ließen, die
diese Administration übernähmen. Ich wäre dabei. s/wäre/bin/

Mit fröhlichem Gruß

Robert Kehl




Mehr Informationen über die Mailingliste FSFE-de