Grossbritannien tritt aus der EU aus. Dafür braucht es natürlich auch ein Handelsabkommen. Dieses ist beinahe so umfangreich wie die ersten vier «Harry Potter»-Romane, auch wenn es für viele weitaus weniger spannend sein dürfte. Dennoch enthält der Vertrag ein amüsantes Detail, das kein gutes Licht auf die Digitalkompetenz der Verfasser*innen als auch deren Arbeitsweise zulässt.
Die betreffende Stelle ist auf Seite 921 zu finden, wo der Datenaustausch der Länder definiert wird. Durch den Brexit scheidet Grossbritannien nämlich auch aus der Datenschutzgrundverordnung (DSGVO) aus. Neue Regelungen müssen also her. Und so steht dann im Abschnitt, der den Datenaustausch von Fahrzeugregistern und Fingerabdrücken regelt:
Auffällig an dieser Passage ist, dass Mozilla Mail und Netscape Communicator 4.x als moderne E-Mail-Programme bezeichnet werden. Falls du dich jetzt wunderst, weil du noch nie etwas von diesen beiden Programmen gehört hast: Keine Angst, das ist schon richtig so – beide werden schon seit über einem Jahrzehnt nicht mehr angeboten. Das letzte Update von Mozilla Mail stammt aus dem Jahr 2006. Netscape Communicator wurde zuletzt 2002 aktualisiert.
Aufgefallen ist die Passage dem Briten Bill Buchanan, der Professor für angewandte Kryptografie ist. Er wurde unter anderem mit dem Order of the British Empire ausgezeichnet. Seine Entdeckung postete er auf Twitter mit dem zynischen Kommentar «Eines Tages werden wir eine digitale Welt erschaffen, die bereit für das 21. Jahrhundert ist».
Netscape Communicator is mentioned in Brexit document ... Almost feels like it is 40 years old ...1K RSA and SHA-1 ... one day we will build a digital world fit for the 21st Century ... pic.twitter.com/1cg6uX3clw
— Prof B Buchanan OBE (@billatnapier) December 26, 2020
Doch es sind nicht nur die genannten E-Mail-Programme, die veraltet sind. So wird für die symmetrische und asymmetrische Verschlüsselung unter anderem RSA mit einer Schlüssellänge von 1024 Bits aufgeführt. Das Deutsche Bundesamt für Sicherheit und Informationstechnik empfiehlt in einem Leitfaden zum Thema Internetsicherheit für RSA-Verfahren mindestens 2000 Bits.
Auch um die Integrität von digitalen Daten sicherzustellen, empfiehlt das Handelsabkommen veraltete Sicherheitsmassnahmen. So soll die Hashfunktion SHA-1 eingesetzt werden. SHA kommt beispielsweise für Signaturverfahren zum Einsatz. SHA-1 wurde erstmals 1995 eingesetzt und wird heute von Sicherheitsexperten ausdrücklich nicht mehr empfohlen. So schreibt security-insider.de:
Natürlich bedeutet diese Passage im Vertrag nicht, dass die entsprechenden Stellen tatsächlich auf solch veraltete Software und Sicherheitsmassnamen setzen. Vielmehr dürfte es wohl einen ganz banalen Grund geben, weshalb diese Textpassage existiert. Wie die Website Hackaday vermutet, hat man für die Passage wohl einfach aus einem alten Sicherheitsdokument der späten 1990er-Jahre abgeschrieben.
(pls)