Vor ein paar Tagen habe ich über den Gag-Order berichtet, in dem England Apple angeordnet hat, die starke Ende-zu-Ende-Verschlüsselung, die Apple für iCloud anbietet, auszuhebeln. Apple reagiert nun darauf.
Apple is taking the unprecedented step of removing its highest level data security tool from customers in the UK, after the government demanded access to user data. […] But earlier this month the UK government asked for the right to see the data, which currently not even Apple can access. […] Now the tech giant has decided it will no longer be possible to activate [Advanced Data Protection] in the UK. It means eventually not all UK customer data stored on iCloud – Apple’s cloud storage service – will be fully encrypted. Data with standard encryption is accessible by Apple and shareable with law enforcement, if they have a warrant. […] From 1500GMT on Friday, any Apple user in the UK attempting to turn it on has been met with an error message. Existing users‘ access will be disabled at a later date.
BBC
Die Sache finde ich deshalb spannend, da es anscheinend möglich ist – und das relativ einfach – die von einem User oder einer Userin aktivierte „Erweiterter Datenschutz“-Funktion abzuschalten oder so zu modifizieren, dass Userinnen und User dazu bewogen werden, es selbst zu tun.
Apple is going to completely disable end-to-end encryption for iCloud accounts in the UK. […] While this may be the best course of action the company can take to effectively demonstrate the UK government’s resolute willingness to build a backdoor into some of the world’s largest user bases, it is also setting up a major precedent. Apple is now effectively putting in place a process that can be re-applied in the future whenever a government requires it by law.
Niléane
Das und noch ein zweiter Aspekt, der Teil des Gag-Orders der britischen Regierung war. Die wollte nämlich nicht nur auf die Daten ihrer eigenen Bürger zugreifen, sondern auf die Daten aller Menschen weltweit, die ihre Daten in Apples iCloud gespeichert haben. Bei einem gleichzeitig bestehenden Verbot, über die Möglichkeit des Zugriffs zu berichten1.
Though Apple also says ADP will continue to be available for users elsewhere in the world, one fact it did not specifically address is that the UK government was supposedly seeking the ability to access this end-to-end encrypted data worldwide—a matter, perhaps, to play out on a larger political stage. Apple’s move on Friday seems to suggest it considers its removal of ADP sufficient to meet the demands of the UK government.
Six Colors
Und John Gruber, wie immer, ohne Handschuhe:
Compliance with this order from the UK would, in broad strokes, require Apple to abandon end-to-end encryption — not just for users in the UK but all users in all countries globally. More insidiously and outrageously, they are apparently forbidden by UK law, under severe penalty (imprisonment), from even informing the public about this demand, or, if they were to comply, from telling the public what they’ve done. The UK expects Apple to give them secret access to all iCloud data without Apple telling anyone — including, I believe, even the US government — that they’ve granted the UK government this breathtaking access. […] The breathtaking scope of their order — being able to secretly snoop, without notice that they even have the capability, not only on their own citizens but every Apple user in the entire world — suggests a delusional belief that the British Empire still stands. […] Apple is, rightly and righteously, telling them to fuck off.
John Gruber
Es ist sicherlich kein Zufall, dass mir vor ein paar Tagen das Zitat von Steve Troughton-Smith, Sicherheit sei ein temporär gewährter Luxus, untergekommen ist. Und ich kann nur noch einmal darauf hinweisen, dass es nicht ausreichend ist, sich auf die die Sicherheit betreffenden Versprechungen eines Unternehmens zu verlassen, denn diese Versprechen sind nur Marketing. Am Ende muss man sich selbst um seine eigene Sicherheit kümmern, niemand sonst wird es für einen tun.
Es gibt genügend Möglichkeiten, seine Daten zu sichern, aber es wird immer offensichtlicher, dass ein entscheidendes Merkmal von Sicherheit die auf die Verschlüsselungslösung bezogene Trennung aller möglicherweise problematischen Prozesse voneinander ist. Im Erweiterten Datenschutz-Programm ist es Apple, das den Cloudspeicher, die Software, die Verschlüsselung und das System, auf dem das alles abläuft, zur Verfügung stellt. Wird Apple unter einen Gag-Order wie oben beschrieben gestellt, sind alle Komponenten auf einmal davon betroffen. Hat man allerdings vorgesorgt und den Cloudspeicher beim Unternehmen A gemietet, die Software zur Verschlüsselung vom Unternehmen B erworben, und das System, auf dem das alles läuft, vom Unternehmen C, dann müssten diejenigen, die an diese Daten gelangen wollen, alle drei Unternehmen in die Pflicht nehmen, weshalb mindestens eine Komponente wiederum nicht eine Software- oder Servicelösung eines Unternehmens, sondern Open Source sein sollte, und idealerweise die Kombination der genutzten Software und Services auf mehrere Rechtsprechungen verteilt.
So zumindest die Vorstellung bzw. die realistische Möglichkeit, die massenweise Überwachung bzw. Spionage so gut als möglich zu umgehen. Chancenlos ist man allerdings, natürlich, wenn es um einen gezielte auf die eigenen Daten geht. Hier greift einerseits Mickens Mossad-Regel, andererseits, je nach Staat, in dem man sich befindet, die Rubber-Hose Kryptanalyse.
Und natürlich gibt es noch einen Punkt, der in dem England vs. Apple-Drama nicht explizit angesprochen wird, von dem wir aber ausgehen müssen: Ohne journalistische Arbeit würde wir von dem durch die britische Regierung verursachten Verschlüsselungs- und Sicherheitsdrama nichts wissen. Wer weiß, wie viele andere Unternehmen noch die dementsprechenden Aufforderungen von den Briten oder sonst irgendeinem Staat erhalten haben und sich, weil zum Schweigen verpflichtet, an die Anordnung halten und uns im Glauben lassen, alles wäre gut?
- Ich bin erstaunt darüber, wie sehr sich in letzter Zeit Regierungen in die Datenschutz- und Datenverarbeitungspraxis privater Unternehmen einmischen. Das gilt nicht nur für die Engländer, sondern, und man braucht sich ja nur die Nachrichten aus Übersee ansehen, auch für die Dinge, die im Land der Freiheit passieren. ↩︎