Wie funktioniert eigentlich diese "doppelte Verschlüsselung" bei der Luca App?

Kryptographie ist ein kompliziertes Thema. So kompliziert, dass nicht einmal Patrick Henning (neXenio, culture4life) sein eigenes Produkt zu verstehen scheint und deshalb Eigenschaften bewirbt, die dieses nicht erfüllt und auch nicht erfüllen kann.

Zeit also, mal den Nerd Tempel zu verlassen und Luca’s “doppelte Verschlüsselung” mit Alltagsanalogien zu erklären.

TLDR; Luca’s doppelte Verschlüsselung bietet genau so viel Sicherheit, als würde man zwei Schlösser in seine Haustüre einbauen und nach dem Abschließen beide Schlüssel unter die Fußmatte legen.

Luca, mit Analogtechnik nachgespielt

Die Ausgangslage: Ihr wollt ins Restaurant. Dürft aber nur rein, wenn ihr eine Visitenkarte hinterlegt, damit man euch anrufen kann, falls die Gefahr besteht, dass ihr euch während des Essens mit COVID-19 angesteckt haben könntet. Klingt erstmal vernünftig, es gibt aber auch vernünftige Gründe, das nicht tun zu wollen:

• Der Kellner, Marke Don Juan im Westentaschenformat, flirtet alles an, was nicht bei drei auf den Bäumen ist.

  

• Das Essen ist nicht so gut, dass ihr “eingeladen” werden wollt, wenn das Restaurant wieder Aktionstage hat.
• Überall da, wo Daten im industriellem Maßstab anfallen, sind Adresshändler und Auftragsverarbeiter mit parasitären Geschäftsmodellen (z.B. culture4life) nicht weit. Ihr bezahlt euer Essen mit Geld, nicht zusätzlich auch noch mit Daten.
• Vor der Tür steht ein Benz mit frisch zerkratztem Lack. Ihr habt keine Lust, später von der Polizei zwecks “Zeugenbefragung” kontaktiert zu werden.
• Ihr habt echt überhaupt keinen Bock darauf, einen Prozess zur Pandemiebekämpfung zu etablieren, den man danach nicht mehr los wird, weil irgendein frei drehender Geheimdienst/Sicherheitsapparat/Auftragsdatenverarbeiter der Meinung ist, das könne man nochmal gebrauchen (um Terroristen, Kinderschänder und Falschparker zu jagen), bzw. es muss aus wirtschaftlichen Interessen beibehalten werden.

Kurz gesagt, wenn ihr schon davon überzeugt seid, dass Gästelisten einen entscheidenden Beitrag zur Pandemiebekämpfung liefern (Spoiler: tun sie nicht), dann wollt ihr wenigstens eine enge Zweckbindung der Daten, bei der nur das Gesundheitsamt die Visitenkarte lesen können soll und das auch nur dann, wenn es wirklich einen COVID-19 Fall im Restaurant gegeben hat. Wie stellt man das in der Praxis sicher? Luca schlägt dazu folgende Vorgehensweise vor:

1. Wer sich bei Luca als Nutzer registriert, kriegt ein personalisiertes Visitenkartenstempelset nach Hause geliefert und ein Schließfach im Luca Sammellager reserviert.
2. Will ein Gast ein Restaurant betreten, lässt er sich zunächst eine kleine, offene Geldkassette vom Gesundheitsamt und eine große, offene Geldkassette vom Wirt geben (die Schlüssel werden nicht ausgehändigt, sondern verbleiben jeweils bei Wirt und Amt). Schlüssel und Kassette können sich dabei gegenseitig anhand der eingestanzten Seriennummer zugeordnet werden.

   

3. Der Gast stempelt, vor den Augen des Wirtes, eine neue Visitenkarte legt diese (verdeckt) in die kleine Geldkassette und lässt den Deckel einrasten.
4. Die kleine Kassette wird in der Großen eingeschlossen und auf deren Etikett werden Datum und Uhrzeit, sowie Adresse des Restaurants vermerkt.
5. Der Gast erhält eine Kopie des Etiketts, welche er zu seinen Akten legt. Der “Aktenordner” ist in diesem Fall das Schließfach im Luca Sammellager, zu dem nur der Gast den Schlüssel besitzt.
6. Die große Kassette wird dann, vom Gast, per Post an das zentrale Luca Sammellager geschickt, dort für 2 Wochen eingelagert und anschließend ungeöffnet vernichtet.

Meldet sich nun ein Luca Nutzer krank beim Gesundheitsamt, muss folgender Prozess durchlaufen werden, um die Visitenkarten potentieller Kontaktpersonen zu erhalten:

1. Der Nutzer übergibt dem Gesundheitsamt seinen Schließfachschlüssel.
2. Ein Mitarbeiter des Gesundheitsamtes holt den Inhalt des Schließfaches ab und sortiert irrelevante Etiketten aus.
3. Der Mitarbeiter kontaktiert die Inhaber relevanter Gaststätten und fragt alle Kassetten an, die sich zeitlich mit der des infizierten Gastes überschneiden.
4. Die kontaktierten Gaststättenbetreiber lassen sich die entsprechenden großen Geldkassetten aus dem Luca Sammellager kommen, schließen diese auf und entnehmen die kleinen Kassetten.
5. Die kleinen Kassetten werden an das Gesundheitsamt geliefert, welches sie ebenfalls aufschließt und somit die Visitenkarten erhält.

Es darf vereinfachend angenommen werden, dass sich die Kassetten wirklich nur mit dem zugehörigem Schlüssel (zerstörungsfrei) öffnen lassen, nichts wiegen, in der Produktion nichts kosten und mittels transdimensionaler Durchreiche ohne Zeitverzögerung transportiert werden können.

Damit ist die Visitenkarte (anscheinend) sicher. Luca hat sie zwar im Lager, wird aber durch zwei Lagen Stahlblech daran gehindert, sie zu lesen. Gastwirte bekommen sie niemals in die Hand und selbst das Gesundheitsamt erhält nur nach dem 4 Augen Prinzip Zugriff (vorherige Freigabe durch den Gastwirt erforderlich). Andere staatliche Stellen mit “berechtigtem” Interesse (Polizei, Geheimdienste, Finanzamt, Zollfahndung) haben keinen Schlüssel und kommen somit auch bei Beschlagnahmung einer Geldkassette nicht in deren Inhalt.

Was so nicht im Werbeprospekt steht

Luca ist ein schlechtes Produkt, welches zugesicherte und grundlegende Eigenschaften nicht erfüllt, diesen Fakt allerdings geschickt hinter einer Wand aus Blendgranaten und Bühnenfeuerwerk mit komplexer Choreographie versteckt. Luca löst kein einziges von den bekannten Problemen mit Papiergästelisten. Im Gegenteil, das System schafft sogar zahlreiche neue Probleme, die schlimmstenfalls geeignet sind, eine neue Pandemiewelle auszulösen, wenn wir Smudos Werbebotschaft folgen und Großveranstaltungen wieder zulassen, weil man mit Luca ja Kontakte im großem Stil nachverfolgen kann (Heilen ist nicht besser als Vorbeugen).

Wir haben keinen Nachschlüssel, großes Indianerehrenwort

Ein kleines Detail, welches neXenio großzügig verschweigt ist, dass das Luca Sammellager nur Geldkassetten aus eigener Herstellung akzeptiert. Diese sind an sich zwar baugleich mit handelsüblichen Kassetten aus dem Bürofachhandel und von daher nicht unsicherer als diese, aber wer Schlüssel und Schloss herstellt kann halt auch Zweitschüssel anfertigen.

neXenio verspricht zwar keinen Nachschlüssel zurück zu behalten, könnte diese Funktion aber jederzeit mit geringem Aufwand nach implementieren. Für die Nutzer ist das nicht überprüfbar.

Die gesamte Verschlüsselung bei Luca ist von vorne bis hinten eine Harry Houdini Nummer, bei der sich der Zuschauer mit viel TamTam davon überzeugen kann, dass alle Fesseln und Handschellen korrekt angelegt wurden und sogar den Schlüssel zur sicheren Aufbewahrung einsteckt darf, aber vor lauter Ablenkungsmanövern gar nicht mehr auf die Idee kommt, die Taschen des Entfesselungskünstlers auf Nachschlüssel zu untersuchen.

Im Grunde genommen ist bei Luca genau gar nichts verschlüsselt, da neXenio alle Schlüssel im System entweder selbst generiert, sich in deren Besitz bringen oder dem Anwender anderweitig unterschieben kann. Das ist ein Taschenspielertrick, bei dem es die Firma allen ernstes schafft, gleichzeitig zu sagen: “Du musst uns nicht vertrauen, denn deine Daten sind vor uns weg geschlossen”, sowie “Vertrau uns, dass wir deinen Schlüsselbund verwalten”.

4 Augen Prinzip, aber beide Augen(paare) zugedrückt

Die innere Kassette ist natürlich eine Nebelkerze. Was hier als 4 Augen Prinzip verkauft wird ist in der Realität eine Lachnummer. Ein Wirt wird keinesfalls prüfen (können), ob ein anfragendes Gesundheitsamt wirklich einem echten Verdachtsfall nachgeht. Insbesondere wird er nicht prüfen (können), ob hier nicht eventuell die Polizei oder ein Geheimdienst über Bande spielt. Und warum sollte er sich auch widersetzen? Der Grund Luca zu verwenden ist das er öffnen kann und gleichzeitig von jeder Haftung für die Gästelisten befreit ist. Hier stehen wirtschaftliche Interessen über Gesundheits- und erst recht über Datenschutz.

Gestatten, Vader, Darth Vader

Der Wirt sieht nur, dass der Gast eine Visitenkarte stempelt und in die Kassette des Gesundheitsamtes einschließt, aber nicht wessen das ist. Das ganze Konzept baut auf der Idee auf, dass der Gast gegenüber dem Wirt niemals seinen Namen preis geben muss und damit kann dieser natürlich auch nicht (anhand eines Lichtbildausweises) feststellen, ob die Angaben auf der Visitenkarte stimmen. Ob der Gast die Stempelplatte ersetzt hat, einen Originalstempel verwendet oder überhaupt die Kassette ins Luca Sammellager schickt kann (und will!) ein Wirt nicht überprüfen.

Die Erfahrungen im Sommer 2020 haben gezeigt, dass sich Menschen mit Phantasienamen auf Gästelisten eintragen, dementsprechend muss davon ausgegangen werden, dass sie 2021 Fake Luca Apps verwenden. Damit haben wir durch die Digitalisierung sogar eine Verschlechterung gegenüber Papierlisten, denn jetzt kann vor Ort, durch Polizeikontrollen, gar nicht mehr überprüft werden, ob Angaben stimmen.

Briefbombe 2.0

Wenn Luca nicht in die innere Kassette schauen kann, dann kann Luca auch nicht sicherstellen, dass da nichts gefährliches, z.B. ein Sprengsatz drin ist, der dann dem Gesundheitsamt beim Öffnen um die Ohren fliegt. Das ist natürlich genauso irrsinnig und kontraproduktiv wie Steine von Autobahnbrücken zu werfen oder Menschen auf Bahngleise zu schubsen, aber die Erfahrung lehrt nun mal, dass Dinge die möglich sind auch gemacht werden.

Die Möglichkeit, das digitale Äquivalent zu einem Sprengsatz in Luca abzulegen wurde letzte Woche demonstriert, nachdem neXenio bereits drei(!) Wochen zuvor auf die theoretische Möglichkeit hingewiesen wurde, aber nicht reagiert hat.