Volksverschlüsselung und "Open Source"
Max Mehl
max.mehl at fsfe.org
Mi Jun 29 10:25:23 UTC 2016
Hallo zusammen,
habe gerade auf heise gelesen, dass nun die Volksverschlüsselung dank
Telekom und Fraunhofer SIT verfügbar ist (erst für Windows, andere OS
sind geplant).
http://heise.de/-3250728
Mehrfach ist in diesem Zusammenhang von "Open Source" Software die Rede,
denn ja, der Quelltext soll verfügbar sein (habe ihn aber nicht auf der
Webseite [1] gefunden). Aber von Freier Software, welche wir als Synonym
für Open Source Software betrachten, kann keineswegs die Rede sein. Ein
paar Auszüge aus der EULA [2]:
Fraunhofer räumt dem LIZENZNEHMER unentgeltlich ein zeitlich und
räumlich unbegrenztes, nicht - ausschließliches, nicht übertragbares,
nicht unterlizenzierbares Recht ein, die SOFTWARE für private Zwecke
kostenlos [...] zu gebrauchen.
Es ist dem LIZENZNEHMER nicht gestattet, die SOFTWARE selbst oder
Teile davon zu vervielfältigen, außer es wird ausdrücklich durch
diese Bedingungen gestattet.
Es ist dem LIZENZNEHMER nicht gestattet, die SOFTWARE selbst oder
Teile derselben zu modifizieren, anzupassen, in andere
Programmiersprachen zu übersetzen oder sie in ein anderes Programm zu
integrieren.
Mit dieser SOFTWARE werden personenbezogene Daten des LIZENZNEHMERS
im Sinne des § 3 Absatz 1 des Bundesdatenschutzgesetzes (BDSG) zum
Zwecke der Verarbeitung erhoben.
Was sagt denn eigentlich die FAQ [3] zu diesem Thema?
*Ist die Volksverschlüsselungs-Software Open Source?*
Das ist eine schwierige Frage, weil "Open Source" vielfältig
verwendet wird. Die Software ist "Open Source", in einem
umgangssprachlichen Sinn, weil der Quelltext offen gelegt wird. Sie
ist nicht "Open Source" im Sinne der Open Source Initiative. Dort
wird u.a. verlangt:
"Die Lizenz darf niemanden in seinem Recht einschränken, die Software
als Teil eines Software-Paketes, das Programme unterschiedlichen
Ursprungs enthält, zu verschenken oder zu verkaufen. Die Lizenz darf
für den Fall eines solchen Verkaufs keine Lizenz- oder sonstigen
Gebühren festschreiben."
Mit dieser Lizenz würden wir es nicht schaffen, die
Volksverschlüsselung dauerhaft für die private Nutzung kostenlos zur
Verfügung zu stellen.
PGP ist ein Beispiel für ein "Open Source" - Produkt, das nicht die
OSI-Definition erfüllt. Diese Definition kam erst 1998 auf, lange
nachdem der Begriff schon im Gebrauch war.
Aus unserer Sicht sind die Worte "Open Source" für die
Volksverschlüsselung nicht entscheidend. Uns kommt es darauf an, dass
sich wirklich jeder von der Vertrauenswürdigkeit der
Volksverschlüsselungs-Software überzeugen kann. Und das erreichen wir
durch die Offenlegung des Quelltextes.
...und...
*Unter welcher Lizenz wird die Volksverschüsselungs-Software
veröffentlicht?*
Wir sind dabei die Lizenz zu definieren. Das ist ein schwieriges
Unterfangen, wir bitten daher noch um etwas Geduld. Die Lizenz wird
auch festlegen, ob und wie andere sich beteiligen können und wie wir
mit Hinweisen auf Sicherheitslücken umgehen, sollten solche gemeldet
werden.
Interessant ist, dass Teile der Software auf Programmen u.a. unter den
Lizenzen GNU GPL (Open eCard), Apache 2.0 oder MIT (Bouncy Castle),
aufbauen, also Freie Software.
Schade, dass der Vertrauensvorsprung durch Freie Software von
renommierten Instituten nicht genutzt wird und aus eher fadenscheinigen
Gründen selbst laxe FLOSS-Lizenzen nicht den Ansprüchen genügen.
Viele Grüße
Max
[1] https://www.volksverschluesselung.de
[2] https://volksverschluesselung.de/doc/VV-Private-EULA.pdf
[3] https://www.volksverschluesselung.de/faq.php
--
Max Mehl – FSFE Germany Coordinator – https://fsfe.org
Further contact information on www.fsfe.org/about/mehl
Private blog: blog.mehl.mx | Private homepage: mehl.mx
Your donation enables our work: http://fsfe.org/donate
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 819 bytes
Beschreibung: OpenPGP digital signature
URL : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20160629/52939657/attachment.sig>
Mehr Informationen über die Mailingliste FSFE-de