Verschlüsselung mit GnuPG: Der bescheidene Herr Koch

Er hätte viel Geld verdienen können: GnuPG heißt Werner Kochs Programm zur Datenverschlüsselung, das niemand geknackt hat. Nicht mal die NSA.

Werner Koch in seinem Arbeitszimmer. Er will, dass seine Software allen frei zugänglich ist Bild: Jörn Neumann

ERKRATH-HOCHDAHL taz | Die Gefahr für die Vereinigten Staaten von Amerika und Großbritannien geht von einem Keller in Erkrath-Hochdahl aus, 12 Minuten mit der S-Bahn von Düsseldorf. Werner Koch, 53 Jahre alt, sitzt hier oft in einem Raum, der keine zehn Quadratmeter misst. Ein Schreibtisch mit Computer steht da, Kabel hängen an den Wänden, auch die Platine eines Terminals von British Airways. Nebenan rauscht der Brenner der Heizanlage des Einfamilienhauses.

Was Werner Koch hier anstellt, muss so heikel sei, dass sich der US-Präsident, Großbritanniens Premier und der deutsche Innenminister der Sache annehmen. Sie wollen verbieten, dass Menschen Nachrichten verschlüsseln dürfen. Terrorgefahr. Was sonst. Aber dazu müssen sie Werner Koch stoppen.

Wie wurden Sie zu einer derartigen Bedrohung für die Welt, Herr Koch? „Ich wollte eigentlich Physik studieren, und dann bin ich im Ferienjob hängen geblieben als Programmierer. Ich mache das jetzt seit 1978.“

Das klingt harmlos, denn tatsächlich wurde Werner Koch so gut, dass er half, der NSA die größte Niederlage ihrer Geschichte beizubringen. Aber so würde Werner Koch, weil er bescheiden ist, das nie formulieren.

Das derzeit sicherste Verfahren zur Verschlüsselung beruht auf der Idee des Public-Key-Verfahrens und ihrer Umsetzung mithilfe eines Algorithmus.

Das Public-Key-Verfahren: Diese Theorie entwickelten 1975 Whitfield Diffie und Martin E. Hellman, Elektrotechniker der Uni Stanford. Anstatt nur eines Schlüssels, der zur Entschlüsselung nötig ist, wird hier immer ein Schlüsselpaar benötigt. Der geheime private Schlüssel dient der Entschlüsselung, der öffentliche Schlüssel des Empfängers der Verschlüsselung. Nur mit beiden Schlüsseln lässt sich die Information dekodieren. Das Geheimnis ist also nur vom Absender und Empfänger zu entschlüsseln. Dieses System verringert die Gefahr, dass Schlüssel abgefangen werden können und neue erzeugt werden müssen.

Der Algorithmus: 1977 entwickelten die Mathematiker Rivest, Shamir und Adleman den nach ihnen benannten RSA-Algorithmus. Die Methode beruht auf der simplen Multiplikation zweier nach bestimmten Regeln zu bestimmender Primzahlen. Auf diese Weise wird eine sehr große Zahl - hunderte Ziffern - erzeugt. Die Entschlüsselung, also das Verfahren, aus der riesigen Zahl die beiden Primzahlen herauszufinden, ist dagegen fast unmöglich. Je nach Schlüssellänge würde die Entschlüsselung mit den schnellsten Maschinen der Welt länger dauern, als das Universum alt ist. Nur ein leistungsfähiger Quantencomputer könnte den Code knacken. Der US-Geheimdienst NSA arbeitet daran. (kas)

Er hat das ruhige Gemüt eines Mannes, der aussieht, wie ein deutscher Familienvater aussieht: kleiner Bauchansatz, Jeans, Hemd, kein bisschen modisch. Das Anarchistischste scheint das Poster mit der Banane von Velvet Underground. Doch Werner Koch ist ein Nerd und sehr begabt. Das zeigt sich spätestens, als er bei einer Veranstaltung dem Programmier-Guru Richard Stallman begegnet, dem Vater der Freien-Software-Bewegung. 1997 muss das gewesen sein. Ohne diese Begegnung wäre er dem mächtigsten Geheimdienst der Erde, der NSA, nie aufgefallen.

Stallman gründete die Free Software Foundation, Werner Koch später ihren europäischen Ableger. Stallman hat das für jeden frei zugängliche Betriebssystem GNU entwickelt, was für „G is Not Unix“ steht und meint, dass es zwar auf Linux-Rechnern funktioniert, aber nicht mit diesen identisch ist. Eine Anspielung und ein Hinweis auf den speziellen Humor von Hackern.

Weil Stallman sagte, jemand müsse jenseits des Atlantiks eine frei zugängliche Verschlüsselungssoftware programmieren, damit jeder Mensch auf der Welt seine Privatsphäre schützen könne, geht Koch in seinen Keller und fängt damit an. Am 20. Dezember 1997 kommt Gnu Privacy Guard heraus: GnuPG, die freie Software zur Verschlüsselung. Ausgestattet mit einem Algorithmus, hart wie die sicherste militärische Panzerung. Mit GnuPG verschlüsselte Daten kann bis heute niemand knacken.

Greenwald beherrschte das Programm nicht

Wäre das anders, dann hätte ein junger Mann mit dem Decknamen „Cincinnatus“ dem Journalisten Glenn Greenwald am 1. Dezember 2012 keine Mail geschickt und ihn gebeten, weiter verschlüsselt zu kommunizieren. Weil Greenwald das nicht beherrschte, wäre ihm fast die größte Enthüllung aller Zeiten entgangen. Edward Snowden wandte sich an Laura Poitras. Beide benutzten dann GnuPG.

Vor Werner Koch hatte der US-Amerikaner Phil Zimmermann 1991 das Verschlüsselungsprogramm PGP entwickelt. PGP steht für „Pretty Good Privacy“. Zimmermann wollte der US-amerikanischen Antiatomkraftbewegung helfen, sich vor den Behörden zu schützen. Doch die US-Regierung erlaubte keine Verschlüsselung. Der Export solcher Software fiel unter das Rüstungskontrollgesetz. PGP definierten sie per Erlass als Munition.

Bill Clinton veranlasste, dass bei jeder Verschlüsselung der Schlüssel bei der NSA hinterlegt werden müsse. Hacker und Bürgerrechtsorganisationen mobilisierten Zehntausende. Die Auseinandersetzung ging als die Crypto Wars in die Geschichte ein. Zimmermann umging die Exportbeschränkung, indem er den Code als Buch abdruckte. Im Gegensatz zu Kochs GnuPG gibt es bei PGP jedoch Patentbeschränkungen. Zudem trennte sich Zimmermann von seiner Firma.

Freie Zirkulation

„Phil will mit Software Geld verdienen. Das Prinzip von freier Software versteht er nicht“, sagt Koch. Die Free Software Foundation definiert freie Software so: „Die Freiheit, das Programm für jeden Zweck auszuführen. Die Freiheit, die Funktionsweise eines Programms zu untersuchen und es an seine Bedürfnisse anzupassen. Die Freiheit, Kopien weiterzugeben und damit seinen Mitmenschen zu helfen. Die Freiheit, ein Programm zu verbessern, und die Verbesserungen an die Öffentlichkeit weiterzugeben, sodass die gesamte Gesellschaft profitiert.“

Dazu muss der Code im Gegensatz zu kommerzieller Software öffentlich sein. Der Vorteil: Änderungen – etwa eingebaute Hintertüren von Geheimdiensten – fallen auf. Werner Koch drückt auf eine Taste seiner wuchtigen Tastatur. Der Monitor springt an. Ziffern und Zeichen, verteilt auf zwei Fenster: der Quellcode von GnuPG. Mittlerweile besteht das Programm aus 300.000 Zeilen, einzelne Abschnitte sind mit Kommentaren versehen, die ihre Funktion erläutern.

Werner Koch beschreibt, was die Schönheit von Software ausmacht: „Sie sollte elegant programmiert sein, schlank, aber gut lesbar. Die Kommentare in Englisch, damit das auch andere nachvollziehen können.“ Ohne Schnörkel, aber verständlich. Er bevorzugt die Programmiersprache C. Die sei am nächsten an der Maschinensprache, also der direkten Kommunikation mit dem Rechenprozessor. Wenn Koch in C programmiert, weiß er sofort, wie diese Übersetzung in der Maschinensprache ankommt.

Eigene Firma für Wartungsdienste

Während sich viele seiner Bekannten von Google kaufen ließen, gründet Werner Koch mit seinem Bruder „g10Code“. Eine Firma, die für andere Firmen, die GnuPG benutzen, Wartungsdienste anbietet. Denn auch Software altert: „Bitrot sagen Hacker dazu.“ Doch GnuPG hat zu wenig Fehler und deswegen kommen kaum Aufträge rein. Werner Koch winkt ab. Dann erzählt er, wie er immer wieder als „Coder“ für Firmen arbeitet, um GnuPG zu finanzieren. Doch 2012 ist er kurz davor, alles hinzuwerfen.

Die Ironie der Geschichte ist, dass die Snowden-Enthüllungen Werner Koch dazu bringen, weiterzumachen. Ein Hacker sagt, für Werner Koch gelte, was in der Szene gemeinhin mit der „Bus-Theorie“ umschrieben werde: Würde er von einem Bus überrollt, wäre es vorbei mit der frei verfügbaren Verschlüsselung. Der Bus rollte schon an: Erst seit Anfang 2015 ist die Finanzierung von GnuPG dank Crowdfunding gesichert.

Werner Koch widerlegt mit seiner chronischen Unterfinanzierung die vermeintlichen Naturgesetze der Marktwirtschaft. Denn GnuPG verbreitet sich unaufhaltsam. Bei der Mehrheit der Linux-Betriebssysteme ist die Software heute Bestandteil der Sicherheitsarchitektur. Und wie viele Linux-Rechner gibt es weltweit, Herr Koch? „Das kann ich nicht genau sagen, aber es werden wohl ein paar hundert Millionen sein.“

Der deutsche Herbst prägte ihn

Werner Koch hätte mit seinem Programm wohl exorbitant reich werden können, doch er werkelt lieber an einer besseren Welt. Was sagt Ihre Frau dazu? „Die ist genauso.“ Werner Kochs Idealismus geht auf die 1970er Jahre zurück. „Da blickte ich in den Lauf einer Maschinenpistole. Das war kein Spaß.“ Der Deutsche Herbst, Rasterfahndung. Bürgerrechte sind für ihn kein Hindernis im Kampf gegen den Terror. Der Name seiner Firma g10code bezieht sich auf den 10. Artikel im Grundgesetz, der das Post- und Fernmeldegeheimnis regelt. Dieses sei „unverletzlich“, heißt es im ersten Absatz.

Das stimmt so nicht, die Privatsphäre ist zum staatlichen Angriffsziel geworden. Nach eigenen Angaben sammelt und speichert die NSA, deren Hauptquartier „Crypto-City“ genannt wird, 29.000.000.000.000.000 Bytes pro Tag. Ein Hacker sagt, dass das neue und gigantische Utah Data Center der NSA dazu diene, die Daten zu speichern, die noch nicht geknackt werden konnten. Dank Werner Koch gibt es noch Geheimnisse.

Vor wenigen Tagen bekam der Mann in Erkrath-Hochdahl Post aus den Arabischen Emiraten. Man bietet ihm an, dorthin zu ziehen und ein Sicherheitssystem aufzubauen. Sie schreiben, er würde viel Geld verdienen.

Werner Koch aber wird in Erkrath-Hochdahl wohnen bleiben, gegenüber dem Wohnhaus seiner Eltern.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.