20. August 2001
Der niederländische Kryptologe Niels Ferguson hat nach
eigenem Bekunden drastische Fehler in Intels 
High-bandwidth
Digital Content Protection System (HDCP) gefunden, das
Videosignale zum Schutz vor unerlaubtem Kopieren
verschlüsselt. Aus Angst vor straf- und zivilrechtlichen
Folgen aus dem US-amerikanischen Digital Millennium Copyright Act
(DMCA) hat sich Ferguson allerdings entschieden, seine Ergebnisse
nicht zu veröffentlichen. Statt dessen hat er ein Essay
verfasst, in dem er die erzwungene Selbstzensur und
Beschränkung der Forschungsfreiheit durch ein fremdes
Rechtssystem kritisiert.
Fergusons Befürchtungen, im Zweifel auch während eines
kurzen Aufenthalts in den USA verhaftet zu werden, sind dabei nicht
grundlos: Erst letzten Monat war der Russe Dmitry Sklyarov im
Anschluss an die DefCon-Hacker-Konferenz in Las Vegas wegen
vermeintlichen Verstoßes gegen den DMCA von den
US-Behörden festgesetzt worden - Sklyarov wurde mittlerweile
gegen Kaution freigelassen. Und in einem SecurityFocus-Interview
äußerte EFF-Anwalt Robin Gross, dass Ferguson
vermutlich auch belangt werden könnte, wenn er seine
Ergebnisse weder in "Hacker-Tools" einfließen
ließe noch in den USA entsprechende Vorträge hielte -
die Publikation im Ausland genüge wahrscheinlich für ein
Verfahren. Dabei müsste noch nicht einmal Intel selbst klagen:
Jede Organisation, die sich durch Fergusons Ergebnisse
geschädigt fühlt, könnte in den USA gerichtliche
Schritte gegen ihn einleiten.
Ferguson vermutet, dass in Kürze jemand anderes, der weniger häufig in die USA reist oder schlichtweg weniger zu verlieren hat, seine Ergebnisse nachvollziehen und publizieren könnte. Die Fehler in HDCP seien nicht schwierig zu finden: Ein erfahrener Informationstechniker könne binnen zwei Wochen mit vier Computern und 50 HDCP-Displays den kryptographischen HDCP-Master-Key berechnen. Damit sei es anschließend möglich, jegliche HDCP-"geschützten" Filme zu entschlüsseln und die digitale Identität einer beliebigen HDCP-Einheit zu übernehmen.
Normalerweise würde man erwarten, dass Firmen fehlerhafte Produkte korrigieren, die ihnen und ihren Kunden Schaden zufügen können. Beim Urheberrechtsschutz sieht der DMCA jedoch vor, dass fehlerhafte Produkte und ihre Hersteller vor der Veröffentlichung der Fehler geschützt werden - was naturgemäß niemanden davon abhalten wird, existierende Schwachstellen in krimineller Absicht auszuschöpfen. In aller Regel kann man davon ausgehen, dass nicht nur rechtschaffene Forscher, sondern auch kriminelle Angreifer vorhandene Sicherheitslücken finden.
Laut SecurityFocus ist Intel zuversichtlich, was die krytographische Stärke seines Verfahrens angeht. Es wären bereits mehfach Berichte eingegangen, deren Urheber HDCP gebrochen haben wollten, keiner davon hätte jedoch Bestand gehabt. Wenn der Beweis unter Strafe steht, dürfte es allerdings auch schwer werden, ihn zu führen ...