Das Internet begann seine Existenz als ein kleines Netzwerk zwischen vertrauenswürdigen Institutionen. Das 1969 gegründete Arpanet, Vorläufer unseres Internets, bestand anfangs aus vier Systemen an verschiedenen Universitäten (University of California in Los Angeles, Stanford Research Institute, University of California in Santa Barbara und der University of Utah). Die beteiligten Entwickler kannten sich und vertrauten darauf, dass sich alle an die vereinbarten Spielregeln hielten. Dieses Vertrauen ist bis heute ein Fluch des Internets. Selbst so wichtige Anwendungen wie Emailübertragung (smtp) oder Webseitenaufrufe (http) werden noch immer weitgehend unverschlüsselt durchgeführt. Man könnte von einem Anfangsfehler sprechen. Aber natürlich war in der frühen Phase des Internets für niemanden vorherzusehen, welche Bedeutung das Netz eines Tages haben würde.
„Statement on Cryptographic Technology and the Internet“
Erst 1996 reagierte das Internet Architecture Board (IAB) und gab ein „Statement on Cryptographic Technology and the Internet“ heraus. Diese Erklärung mit der passenden Abkürzung RfC 1984 stellte die Bedeutung des Nutzervertrauens für das weitere Wachstum des Internets heraus und kommt zu dem Ergebnis, dass Kryptografie eines der mächtigsten Werkzeuge sei, um das Vertrauen der Anwender zu sichern. Die Erklärung wandte sich zugleich gegen staatliche Bestrebungen die Kryptografie zu regulieren und zu schwächen. Da das IAB für die strategische Ausrichtung in der Weiterentwicklung des Internets verantwortlich ist, war dieses Statement natürlich richtungsweisend. Zugleich überwacht das IAB den Standardisierungsprozess im Internet und damit auch die Arbeit der Internet Engineering Task Force.
Die Internet Engineering Task Force (IETF), die für die Weiter- und Neuentwicklung der eigentlichen Internetstandards verantwortlich ist, bemühte sich in der Folge um eine stärkere Nutzung von Verschlüsselung im Internet. Verschiedene, bis heute genutzte Standards, entstanden danach. So wurde das bis heute genutzte TLS Protokoll im Januar 1999 im RfC 2246 spezifiziert.
Nach wie vor ist vieles unverschlüsselt
Trotz dieser langjährigen Bemühungen ist das Internet in weiten Teilen noch immer unverschlüsselt. Dies liegt nicht zuletzt daran, dass die Nutzung von Verschlüsselung immer nur eine Option ist und in der Regel mit einem höheren Verwaltungsaufwand einhergeht. Auch ist grade für Anwender die Einstiegshürde, um z. B. Mailverschlüsselung zu nutzen, sehr hoch. Daran haben auch die verschiedenen Bestrebungen für Cryptopartys nichts geändert.
Hinzu kommt, dass selbst in den seit langem genutzten Verschlüsselungsverfahren immer wieder Schwachstellen (z. B. Poodle oder BEAST) auftauchen, die dem vermeintlichen Sicherheitsgewinn entgegen wirken.
Crypto by Design
Dies hat nun dazu geführt, dass das IAB am 14. November 2014 ein neues Statement veröffentlicht hat. Im „IAB Statement on Internet Confidentiality“ wird die besondere Bedeutung der Kryptografie nochmal betont. Weiterhin werden alle Protokolldesigner, Entwickler und Administratoren aufgefordert den verschlüsselten Datenverkehr zum Normalzustand im Internet zu machen. Neue Protokolle sollen als Standard eine verschlüsselte Datenübertragung durchführen. Neue Programme sollen automatisch eine Verschlüsselung vornehmen. Administratoren werden aufgefordert Kryptografie überall dort einzuführen, wo sie bisher noch fehlt.
Neben der schon bestehenden Forderung nach „Privacy by Design“ gilt nur also auch „Crypto by Design“.