Techjourno-Perlen und Anderes, Teil 10

Weil auf der ganzen Netzwelt so viel passiert, und wir nicht alles gleichzeitig verarbeiten, verarzten und verkommentieren können, empfehlen wir hin und wieder ein paar Artikel aus der Netzwelt, mit Lob, mit Kritik und auch Ergänzungen. Einfach und simpel Meta. Ausserdem nutzen wir das Format für Kurzeinordnungen und -erklärungen zu brandaktuellen Tech-News.

Interoperabilität als Regulierungsinstrument für Social-Media-Plattformen

Wer sich schon mit dem von der EU (auch vom EU Parlament) beschlossenen Digital Market Act beschäftigte, kennt dieses Thema: die populäre Forderung nach einer Interoperabilität zwischen Social Media und Messenger-Plattformen. Kurz: Die Forderung nach “Email-Experience” für Whatsapp, Threema & Facebook. Denn damit würden closed wallets endlich aufgebrochen werden. Von Datenschützerinnen wurden berechtigte Kritik dagegen vorgebracht. Weil ein gemeinsames Kommunikationsprotokoll und gemeinsame APIs ein “race to the bottom” bedeuten würde (und die USPs von Verschlüsselungsstandards wie Signal aushebeln würde). Nicht unbedingt, meint Dominik Piétron, in diesem sehr lesenwerten und differenzierenden Heise-Beitrag.

“Dass dieses Vorgehen technisch machbar und verhältnismäßig ist, belegt das interoperable Social-Media-Netzwerk ‘Fediverse’ mit mehreren Millionen aktiven Nutzer:innen, das auf dem eigens für soziale Netzwerke entwickelten Standard ‘Activity-Pub’ basiert. Auch die Möglichkeit einer staatlich verordneten Interoperabilitätspflicht wurde bereits mit der PSD2-Richtlinie der EU von 2015 bewiesen, die Bankkund:innen dazu befähigt, ihre Konten über Finanzplattformen von Drittanbietern zu verwalten.”

Dominik Pétron auf heise.de

Ausserdem wird der Verschlüsselungsschutz innerhalb der Plattformen damit nicht ausgehebelt. Der Autor betont auch noch dass mit dieser Regelung auch die Autonomie der User gestärkt werden würde. Entscheidend sind am Schluss die Gestaltungsprinzipien. So sollen Nutzerinnen selber darüber verfügen welche Daten sie nach aussen zu anderen Plattformen verschicken und diese Einstellungen immer justieren können.

Diese Interpretation ist durchaus interessant, doch sie greift etwas zu kurz. Denn hierbei soll einfach nochmals erwähnt dass – ähnlich wie bereits schon bei der Dateneigentumsproblematik- Daten NICHT NUR die Daten der Userin selbst betreffen. Daten sind sehr oft Interaktionsdaten. Oder anders: Mehrere Personengesichter auf einem geposteten Facebook-Foto, die dieser Datenfreigabe nicht zugestimmt haben bzw gar nicht davon wissen, würden somit kreuz und quer in die Instagram-, TikTok- und Twitter-Universen herumgeschickt werden. Das hat sich wohl sonst sehr auf Privacy bedachte EU wohl nicht so vorgestellt.

Dennoch ist die Debatte rund um die Interoperabilität wichtig und relevant. Denn es handelt sich wie so oft um eine politische Gestaltungsfrage:

“So verbleibt die Interoperabilitätspflicht am Ende nicht nur als letzte politische Handlungsoption, sondern auch als staatliche Pflicht zur Gewährleistung digitaler Grundrechte. Die Datenschutzgrundverordnung setzt eine Wahlfreiheit der Nutzer:innen zwischen Plattformen voraus, die de facto vielfach nicht mehr existiert. Damit das Recht auf informationelle Selbstbestimmung und auf Datenportabilität wirksam umgesetzt werden können, müssen Staaten ihren Gestaltungsauftrag erweitern und – frei nach dem Leitsatz “Code is Law” – zunehmend technische Protokolle in ihre Gesetzgebung integrieren. Wie dies funktionieren kann, hat die digitale Zivilgesellschaft mit dem Activity-Pub-Standard vorgemacht. Jetzt ist die Politik am Zug.”

Dominik Pétron auf heise.de

Breaking 256-bit Elliptic Curve Encryption with a Quantum Computer

Seit Quanten-Computer nicht mehr nur theoretische Ideen sondern Realität sind, kommt immer wieder die Frage ob ob diese in absehbarer Zukunft in der Lage sein werden, aktuell verwendete Verschlüsselungsalgorithmen zu knacken. Die generelle Antwort darauf ist “it depends”: Neben der Leistungsfähigkeit des Quanten-Computers an sich kommt es auch darauf an, ob der spezifische Algorithmus überhaupt anfällig dazu ist, von einem Quanten-Computer geknackt zu werden.

Für die Entwicklung neuer, quanten-sicherer Algorithmen setzt sich unter anderem die Open Quantum Safe-Initiative ein, und es gibt eine ganze Reihe von Vorschlägen für quanten-sichere Algorithmen im Rahmen des Post-Quantum-Cryptography-Projekts des NIST. Wie sieht es aber bei heutigen Algorithmen aus, können derart verschlüsselte Daten allenfalls durch Quantencomputer entschlüsselt werden?

Zumindest für 256-bit Elliptic Curve Encryption, einem Algorithmus der unter anderem für Bitcoins verwendet wird, liegt die Antwort jetzt vor. Um eine Bitcoin-Transaktion innert einer Stunde zu knacken, braucht es 317 Millionen qubits (quasi das Bit-Aequivalent in der Quanten-Welt). Zum Vergleich: IBMs grösster Quantencomputer schafft gerade mal 127 Qubits, der Weg ist also noch sehr sehr weit.

Version 100 in Chrome and Firefox

Es ist zwar schon ein Weilchen her, aber der eine oder andere erinnert sich sicher noch ans Jahr 2000-Problem, dem der Umstand zugrunde lag, dass Programmierer zu Zeiten als Speicherplatz noch knapp und teuer war die Jahreszahl nur zweistellig vorsahen, in der Annahme dass ihre Programme sicher nicht bis zur Jahrtausendwende im Einsatz bleiben würden. Es kam anders, aber auch der befürchtete globale IT-Crash bliebt dann aus (sei es weil das Problem an sich übertrieben dargestellt worden war, sei es weil es durch intensive Tests und Bugfixes rechtzeitig entschärft wurde).

Das heisst leider nicht, dass damit die Zeit der “unerwartet” grösser werdenden Zahlen vorbei ist:

• Unix-Systeme verwenden traditionell einen vorzeichenbehafteten 32bit-Integer um die Sekunden seit 1.1.1970 zu zählen, am 19.1.2038 wird dieser Zähler seinen positiven Maximalwert erreichen und dann negativ werden. Bleibt zu hoffen, dass bis dann alle Systeme auf einen 64 bit langen Zähler umgestellt haben (und sämtliche linux-basierten IoT-Systeme ebenfalls)
• GPS arbeitet mit einem Wochenzähler welcher alle 1024 Wochen wieder bei Null anfängt. Der zweite solche Rollover fand in 2019 statt, verbunden mit Ausfällen von Wetterstationen, älteren GPS-Receivern und alten iOS-Versionen. Auch Probleme mit der Uhr in Honda-Autos lassen sich auf den GPS-Rollover zurückführen.

Neben dem Datum sind auch Versionsnummern von Software betroffen. Aktuellstes Beispiel sind die Browser Firefox und Chrome, welche beide in den nächsten Monaten Version 100 erreichen werden. Und da die Versionsnummer im Header jedes HTTP-Requests drin steht (“Firefox: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:96.0) Gecko/20100101 Firefox/96.0“) und von Webapplikationen aktiv ausgelesen wird um versionsabhängige Funktionen zu nutzen (oder eben nicht), ist damit zu rechnen, dass die eine odere andere unsauber programmierte Webapplikation ins Stolpern kommen wird. Firefox hat bei einem Test jedenfalls eine Reihe von durchaus prominenten Websites gefunden (Juhu Yahoo :-)) gefunden welche nicht mit einer dreistelligen Versionsnummer gerechnet haben. Und drum extra einen Kompatibiltätsmodus eingebaut, mit dem man Webseiten eine zweistellige Versionsnummer vorgaukeln kann selbst wenn am 3. Mai 2022 der Zähler auf 100 springt.

Und auch wenn es für die Browser-Versionen vordergründig einfach lösbar scheint: der nächste Fall ist dann vielleicht wieder weniger simpel umgehbar.

Facial recognition firm Clearview AI tells investors it’s seeking massive expansion beyond law enforcement

Eine alte Bekannte und Totgeglaubte meldet sich zurück. Der Washington Post sind Dokumente der Firma Clearview AI zugespielt worden, die an potenzielle Investoren gerichtet sind. Darin versprechen sie jede Person auf der Welt identifizierbar machen und ihren Datenfundus auf 100 Milliarden Bilder aufstocken. Ausserdem arbeitet Clearview noch an einer Reihe weiterer “Erkennungstechniken”: Gebäude sollen erkannt werden im Hintergrund, Bewegungsmuster von Personen identifziert werden (deren Gesicht vielleicht hinter Masken versteckt sind) etc.

Technisch möglich ist das wahrscheinlich schon. Aber von der Ethik von Clearviews Modell reden wir erst gar nicht. Gegen die Firma laufen verschiedene Verfahren in amerikanischen Bundesstaaten und in Kanada, die EU ist gerade daran die biometrische Gesichtserkennung zu verbieten. Aber ja offenbar ist die Nachfrage der Strafverfolgungsbehörden weltweit gross genug (ach ja: in Zürich und St.Gallen haben ja auch vereinzelte Polizeibeamte “privat” getestet). Wer noch nicht hat: Man kann sein digitaler Gesichtabdruck bei Clearview direkt bestellen und erhält ein File mit allen gesammelten Bildern. Löschen hingegen wird schwieriger. Dafür möchte die Firma die Kopie eines einen amtlichen Ausweis sehen. Logik? Keine. Ausser dass es Internetnutzerinnen sehr schwierig gemacht werden soll, sich von dieser Datenbank entfernen zu lassen. Dass gegen dieses unverschämte Opt Out Prozedere noch nicht geklagt wurde, ist eigentlich ein Wunder.