Volksverschlüsselung und "Open Source"

Max Mehl max.mehl at fsfe.org
Mi Jun 29 10:25:23 UTC 2016 

Hallo zusammen,

habe gerade auf heise gelesen, dass nun die Volksverschlüsselung dank
Telekom und Fraunhofer SIT verfügbar ist (erst für Windows, andere OS
sind geplant).

  http://heise.de/-3250728

Mehrfach ist in diesem Zusammenhang von "Open Source" Software die Rede,
denn ja, der Quelltext soll verfügbar sein (habe ihn aber nicht auf der
Webseite [1] gefunden). Aber von Freier Software, welche wir als Synonym
für Open Source Software betrachten, kann keineswegs die Rede sein. Ein
paar Auszüge aus der EULA [2]:

  Fraunhofer räumt dem LIZENZNEHMER unentgeltlich ein zeitlich und
  räumlich unbegrenztes, nicht - ausschließliches, nicht übertragbares,
  nicht unterlizenzierbares Recht ein, die SOFTWARE für private Zwecke
  kostenlos [...] zu gebrauchen.

  Es ist dem LIZENZNEHMER nicht gestattet, die SOFTWARE selbst oder
  Teile davon zu vervielfältigen, außer es wird ausdrücklich durch
  diese Bedingungen gestattet.

  Es ist dem LIZENZNEHMER nicht gestattet, die SOFTWARE selbst oder
  Teile derselben zu modifizieren, anzupassen, in andere
  Programmiersprachen zu übersetzen oder sie in ein anderes Programm zu
  integrieren.

  Mit dieser SOFTWARE werden personenbezogene Daten des LIZENZNEHMERS
  im Sinne des § 3 Absatz 1 des Bundesdatenschutzgesetzes (BDSG) zum
  Zwecke der Verarbeitung erhoben.

Was sagt denn eigentlich die FAQ [3] zu diesem Thema?

  *Ist die Volksverschlüsselungs-Software Open Source?*

  Das ist eine schwierige Frage, weil "Open Source" vielfältig
  verwendet wird. Die Software ist "Open Source", in einem
  umgangssprachlichen Sinn, weil der Quelltext offen gelegt wird. Sie
  ist nicht "Open Source" im Sinne der Open Source Initiative. Dort
  wird u.a. verlangt:

  "Die Lizenz darf niemanden in seinem Recht einschränken, die Software
  als Teil eines Software-Paketes, das Programme unterschiedlichen
  Ursprungs enthält, zu verschenken oder zu verkaufen. Die Lizenz darf
  für den Fall eines solchen Verkaufs keine Lizenz- oder sonstigen
  Gebühren festschreiben."

  Mit dieser Lizenz würden wir es nicht schaffen, die
  Volksverschlüsselung dauerhaft für die private Nutzung kostenlos zur
  Verfügung zu stellen.

  PGP ist ein Beispiel für ein "Open Source" - Produkt, das nicht die
  OSI-Definition erfüllt. Diese Definition kam erst 1998 auf, lange
  nachdem der Begriff schon im Gebrauch war.

  Aus unserer Sicht sind die Worte "Open Source" für die
  Volksverschlüsselung nicht entscheidend. Uns kommt es darauf an, dass
  sich wirklich jeder von der Vertrauenswürdigkeit der
  Volksverschlüsselungs-Software überzeugen kann. Und das erreichen wir
  durch die Offenlegung des Quelltextes.

...und...

  *Unter welcher Lizenz wird die Volksverschüsselungs-Software
  veröffentlicht?*

  Wir sind dabei die Lizenz zu definieren. Das ist ein schwieriges
  Unterfangen, wir bitten daher noch um etwas Geduld. Die Lizenz wird
  auch festlegen, ob und wie andere sich beteiligen können und wie wir
  mit Hinweisen auf Sicherheitslücken umgehen, sollten solche gemeldet
  werden.

Interessant ist, dass Teile der Software auf Programmen u.a. unter den
Lizenzen GNU GPL (Open eCard), Apache 2.0 oder MIT (Bouncy Castle),
aufbauen, also Freie Software.

Schade, dass der Vertrauensvorsprung durch Freie Software von
renommierten Instituten nicht genutzt wird und aus eher fadenscheinigen
Gründen selbst laxe FLOSS-Lizenzen nicht den Ansprüchen genügen.


Viele Grüße
Max


[1] https://www.volksverschluesselung.de
[2] https://volksverschluesselung.de/doc/VV-Private-EULA.pdf
[3] https://www.volksverschluesselung.de/faq.php

-- 
Max Mehl – FSFE Germany Coordinator – https://fsfe.org
Further contact information on www.fsfe.org/about/mehl
Private blog: blog.mehl.mx | Private homepage: mehl.mx
Your donation enables our work: http://fsfe.org/donate

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20160629/52939657/attachment.sig>

Mehr Informationen über die Mailingliste FSFE-de