WEBVTT NOTE Podcast: Chaosradio Episode: Dicke Bretter, diesmal über Ende-zu-Ende-Verschlüsselung und das Protokoll Messaging Layer Security Publishing Date: 2023-10-31T12:13:05+01:00 Podcast URL: https://chaosradio.de Episode URL: https://chaosradio.de/cr284-dicke-bretter-diesmal-ueber-ende-zu-ende-verschluesselung-und-das-protokoll-messaging-layer-security 00:00:00.000 --> 00:00:23.280 Music. 00:00:23.621 --> 00:00:31.534 Willkommen liebe Hörerinnen und Hörer zum Podcast Dicke Bretter. Wir haben heute einen Gast, auf den wir uns schon sehr freuen. 00:00:31.669 --> 00:00:36.372 Aber bevor wir den vorstellen, werden wir ein paar Sätze sagen zu dem Konzept von Dicke Bretter, 00:00:36.531 --> 00:00:41.052 falls jemand von euch diesen Podcast noch nie gehört hat, was wir nicht hoffen. 00:00:41.052 --> 00:00:52.732 Wir wollen ein bisschen erklären, wie Gesetzgebung, Regeln, Standards zustande kommen, wie auch die Diskussionen darum verlaufen, 00:00:52.861 --> 00:01:09.821 Welche Institutionen daran mitwirken und dafür haben wir immer so einzelne Beispiele und dieses Mal war es glaube ich ein bisschen überraschender als bei den letzten Podcasts, weil wir uns über Protokolle und Standards unterhalten wollen, aber dazu gleich mehr. 00:01:10.361 --> 00:01:20.768 Zunächst sagen wir mal, dass wir im August 2023 sind. Falls ihr das hört, irgendwann 2090 oder so, dann wisst ihr, wann wir sind. 00:01:21.012 --> 00:01:24.774 Und wir sagen, wer wir sind, bevor wir unseren Gast vorstellen, nämlich... 00:01:26.340 --> 00:01:31.400 Ich bin Elisa Lindinger, hallo. Hallo und ich bin Constanze Kurz. 00:01:31.607 --> 00:01:36.009 Heute fehlt jemand von unserem Dreierteam, aber dafür haben wir einen tollen Gast. 00:01:36.531 --> 00:01:41.617 Das ist nämlich Raphael Robert, von dem wir schon gehört haben, dass er französische Wurzeln hat. 00:01:42.481 --> 00:01:47.292 Und jetzt sagt mal erstmal was, damit wir wissen, ob das Mikrofon funktioniert. Ich hoffe doch. 00:01:47.460 --> 00:01:54.292 Gut. Einwandfrei. Ja, wir freuen uns besonders, dass du da bist, weil du sozusagen uns etwas vorstellen wirst, 00:01:54.292 --> 00:01:59.099 nämlich eigentlich zweierlei eine Institution und aber auch einen bestimmten technischen Standard. 00:01:59.316 --> 00:02:04.292 Und wir in diesem Prozess möglichst lernen wollen, wie entsteht der eigentlich, 00:02:04.292 --> 00:02:13.107 Warum engagiert man sich da? Wie kommt man zu einem Ergebnis? Und vielleicht auch, wie gerät man da rein? Das ist so ungefähr, worüber wir so sprechen wollen. 00:02:13.350 --> 00:02:28.292 Und wir freuen uns natürlich auch deswegen, weil du an einem Standard mitwirkst, der potenziell Milliarden Menschen betreffen wird und auch eine gewisse politische Relevanz hat. 00:02:28.292 --> 00:02:31.130 Also im Prinzip die Essenz von dem, was wir hier gerne machen. 00:02:31.292 --> 00:02:32.219 Absolut. 00:02:32.624 --> 00:02:38.292 Genau. Und am Anfang, klar, wollen wir ein paar Sachen wissen über dich. Sag doch mal, was machst du eigentlich so? 00:02:39.646 --> 00:02:52.096 Ja, ich bin auch beruflich eigentlich genau da beheimatet, also sicheres Messaging, Wahrung der Privatsphäre in dem Bereich. Ich war früher viele Jahre 00:02:52.096 --> 00:02:55.296 lang für die Sicherheit zuständig bei dem Messenger Wire, den vielleicht einige 00:02:55.296 --> 00:03:01.216 kennen. Seit etwas über zwei Jahren bin ich jetzt bei Phoenix R&D. Das ist eine 00:03:01.216 --> 00:03:06.536 kleine Firma, die ich leite und wir haben uns eigentlich der Forschung und der 00:03:06.536 --> 00:03:11.523 Entwicklungen verschrieben, genau in dem Bereich. Also Ende-zu-Ende-Verschlüsselung. 00:03:12.180 --> 00:03:16.069 Minimierung von Metadaten, alles im Bereich Messaging. 00:03:16.609 --> 00:03:21.456 Und da wir ja heute niemanden überfordert wollen, wir versuchen Fachbegriffe zu vermeiden. 00:03:21.456 --> 00:03:24.999 Metadaten sind typischerweise die Verkehrsdaten der Kommunikation. 00:03:25.107 --> 00:03:29.005 Wer mit wem und wann in der Regel, die sehr gut auswertbar sind. 00:03:29.095 --> 00:03:33.812 Und vielleicht noch ein Satz zu Wire. Wire ist ein Messenger und der ist sehr beliebt im 00:03:33.976 --> 00:03:39.331 im US-amerikanischen Raum, habe ich auch zahlenmäßig mal gesehen in Europa, aber nicht so verbreitet. 00:03:39.456 --> 00:03:41.140 Stimmt nicht? Korrigiert mich. 00:03:41.725 --> 00:03:48.656 Das müssen wir nochmal recherchieren, glaube ich. Wir fordern einfach mal unsere Hörerinnen und Hörer auf, das nochmal uns in den Comments als Infopunkt darzulassen. 00:03:48.656 --> 00:03:55.256 Genau, gute Idee. Ich weiß jetzt so ein bisschen von der Hacker-Community, aber das ist vielleicht auch ein bisschen outdated, denn Messenger-Konzepten... 00:03:55.256 --> 00:03:57.893 Genau, ich meine, da kann man vielleicht einen kurzen Abriss machen. 00:03:58.256 --> 00:04:05.878 Das ist ein Messenger, der durch viele Phasen gegangen ist, der anfangs so ein allgemein tauglicher Messenger war, sich dann umorientiert hat 00:04:05.968 --> 00:04:09.335 hin zu einem sicheren Messenger, insbesondere eben für Verbraucher, und 00:04:09.576 --> 00:04:14.025 dann noch mal einen Schwank gemacht hat und sich eigentlich mehr auf Firmen konzentriert. 00:04:14.359 --> 00:04:25.098 Okay, und was bist du von deiner Ausbildung her? Studiert habe ich Physik, aber in dem Bereich habe ich nie gearbeitet und bin dann relativ schnell... 00:04:25.863 --> 00:04:29.713 Eigentlich zu meiner Leidenschaft gekommen. Okay, aber wir haben ja schon... 00:04:29.713 --> 00:04:32.984 Versendling oder Verschlüsselung? Das war weder noch damals. 00:04:33.713 --> 00:04:37.713 Wir haben das ja schon häufiger mal gehört. Physiker haben eine sehr mathematik-lastige Ausbildung 00:04:37.713 --> 00:04:41.713 und in der Regel kommen sie früh mit Programmieren in Kontakt. 00:04:41.713 --> 00:04:45.677 Und insofern ist man ja vielleicht zu dieser Technik-Community immer relativ nah, oder? 00:04:46.029 --> 00:04:49.710 Genau, ja. Also das war in meinem Fall das Programmieren tatsächlich damals. 00:04:49.773 --> 00:04:54.713 Da bin ich ja auch wieder hin und zurück gekommen und bereue es auch nicht. 00:04:55.724 --> 00:05:09.513 Das ist schön zu hören. Nun ist es so, du hast es schon erwähnt. Unser eigentliches Thema inhaltlich ist das Messaging, ich weiß gar nicht, gibt es ein ordentliches deutsches Wort dafür? Messaging klingt ja nun auch nicht gerade so geil. 00:05:09.513 --> 00:05:11.713 Nachrichtendienst ist auch nicht das richtige Wort. 00:05:11.713 --> 00:05:19.436 Die Übermittlung von Nachrichten in ansehnlichen Apps, die man in der Regel auf Smartphones hat, aber nicht nur. 00:05:19.868 --> 00:05:29.073 Und darüber wollen wir heute inhaltlich reden, aber auch über die Institution, die diese sogenannten RFCs, also Request for Comments, hervorbringt. 00:05:29.073 --> 00:05:32.759 Also ein großes Thema, aber eigentlich gar nicht so schlimm, haben wir im Vorgespräch schon gelernt. 00:05:33.389 --> 00:05:34.083 Genau. 00:05:34.953 --> 00:05:43.593 Soll ich nochmal weiter? Ich frag mal weiter. Wie bist du dazu gekommen, dich irgendwie mit Standards und wie sie zustande kommen zu beschäftigen 00:05:43.593 --> 00:05:48.936 und dann auch noch so reingeraten, dass du jetzt einer der Autoren eines solchen Standards bist? 00:05:50.422 --> 00:05:56.953 Ja, in Teilen war es sicherlich auch Zufall. Also das war jetzt nicht etwas, was minutiös geplant war. 00:05:56.953 --> 00:06:02.953 Manchmal landet man halt irgendwo und in dem Fall war das halt deswegen so, weil sich die Frage stellte 00:06:02.953 --> 00:06:08.786 im Messaging-Bereich brauchen wir nicht überhaupt einen Standard, um Ende-zu-Ende-Verschlüsselung zu ermöglichen. 00:06:09.444 --> 00:06:12.657 Aber es gibt ja bereits Messenger, die Ende-zu-Ende-Verschlüsseln. Genau. 00:06:12.833 --> 00:06:18.273 Die Messenger gab es und die Technologie gab es eben auch, in Teilen zumindest. 00:06:18.273 --> 00:06:19.953 Es gab aber diesen Standard nicht. 00:06:20.165 --> 00:06:27.106 Und das haben einige Leute so gesehen, die dann so circa 2016, 17 angefangen haben, darüber, 00:06:27.713 --> 00:06:31.513 darüber zu sprechen und überhaupt nach Lösungen zu schauen, 00:06:32.237 --> 00:06:36.993 und auch ein bisschen zu verstehen, was sind eigentlich noch die Probleme, die wir da lösen wollen. 00:06:37.113 --> 00:06:41.833 Ist das, was wir jetzt haben, schon gut genug? Oder brauchen wir da noch andere Dinge? 00:06:41.953 --> 00:06:46.433 Zu dem Zeitpunkt gab es verschiedene Protokolle. Sicherlich das Signalprotokoll, 00:06:46.553 --> 00:06:49.233 oder das, was man heute als Signalprotokoll kennt. 00:06:49.353 --> 00:06:51.753 Damals hieß das Axolotl oder Double Ratchet. 00:06:51.873 --> 00:06:53.073 Es gab andere noch. 00:06:53.834 --> 00:07:01.108 Davor gab es das Off-the-Record-Protokoll, OTR. Es war sogar ziemlich breit benutzt, zumindest erinnere ich mich daran. 00:07:01.333 --> 00:07:07.526 Genau, in manchen Kreisen wurde das sehr stark benutzt. Das ist die Jabber-XMPP-Fraktion. 00:07:08.291 --> 00:07:15.001 Genau, es hat aber nie so wirklich diese Massentauglichkeit erreicht damals und der Grund dafür war eigentlich 00:07:15.001 --> 00:07:21.381 ganz einfach. Das war ein exzellentes Protokoll, in vielen Hinsichten hatte sehr viele moderne Sicherheitseigenschaften. 00:07:21.705 --> 00:07:27.581 Das klingt jetzt ein bisschen speziell, aber was ich damit meine, ist, es war ein relativ 00:07:27.581 --> 00:07:34.861 modernes Protokoll, hatte aber einen gravierenden Nachteil und das war für eine Art der Kommunikation 00:07:34.861 --> 00:07:40.961 gebaut, wie man sie von Skype kannte damals, wenn ihr euch erinnert, da mussten beide Seiten 00:07:40.961 --> 00:07:44.101 gleichzeitig online sein, damit eine Nachricht überhaupt durchging. 00:07:44.101 --> 00:07:48.061 Da ging es also nicht, dass eine Seite, die dann verschickt hat, offline gegangen ist 00:07:48.061 --> 00:07:50.301 und dann sehr viel später die andere Seite online gegangen ist. 00:07:50.377 --> 00:07:56.237 Also das ist, was man heute unter dem Begriff asynchrones Messaging kennt. 00:07:57.021 --> 00:08:05.141 Warte mal, ich will nochmal zu dem Anfang zurück. sagst, das war so 2015, 2016 rum, das war aber auch genau die Zeit, wo Messaging ziemlich 00:08:05.411 --> 00:08:09.858 explodiert ist, einfach von Nutzerzahlen und den verschiedenen Anbietern, die es so gab, korrekt? 00:08:10.181 --> 00:08:17.781 Ja, genau. In den Jahren davor gab es so eine Art Transition zwischen dem Messaging, was eigentlich zwischen 00:08:17.781 --> 00:08:23.381 Desktop-Computern stattfand, und auf einmal aber auf Smartphones stattfand, weil das vorher 00:08:23.381 --> 00:08:26.821 halt technisch nicht wirklich ging, also das Internet auf Smartphones war halt nicht besonders 00:08:26.944 --> 00:08:27.821 gut. 00:08:27.821 --> 00:08:33.588 Es gab keine Apps auf den Smartphones, die durchgängig verfügbar waren. 00:08:34.992 --> 00:08:39.808 Und deswegen hat sich eigentlich eine völlig neue Art von asynchronen Messaging etabliert, 00:08:40.394 --> 00:08:43.742 als Ersatz für das, was man von SMS eigentlich kannte. 00:08:45.009 --> 00:08:49.809 Es war deswegen auch so erfolgreich, weil es halt meistens kostenlos war oder deutlich günstiger als SMS. 00:08:50.782 --> 00:08:55.289 Jetzt hast du so ein paar Defizite angesprochen, die du bei Off the Record war ein Beispiel 00:08:55.289 --> 00:09:00.609 oder auch bei dem Signal-Protokoll, weil damals so anders hieß, genannt hast, diese Defizite 00:09:00.609 --> 00:09:06.209 oder kannst du sie erklären, ohne dass man großartig technisches Vorwissen haben muss? 00:09:06.209 --> 00:09:09.300 Vor allen Dingen, was die Komplexität angeht. Könntest du drunter brechen? 00:09:09.759 --> 00:09:16.089 Genau, bei dem Off-the-Record-Protokoll war das Defizit eigentlich im Wesentlichen die Tatsache, 00:09:16.089 --> 00:09:20.489 dass man dieses asynchrone Messaging auf Smartphones damit nicht machen konnte. 00:09:21.345 --> 00:09:25.209 Das war es eigentlich. Und das ist das, was das Single-Protokoll dann aufgegriffen hat, 00:09:25.738 --> 00:09:32.209 und hat daraus eine asynchrone Version gemacht, die dann eben deutlich geeigneter war für Smartphones. 00:09:32.209 --> 00:09:36.208 Und das ist eigentlich schon das Ende der Geschichte an der Stelle. 00:09:36.307 --> 00:09:39.209 Das ist, was das Signal-Protokoll eben so populär gemacht hat, 00:09:39.845 --> 00:09:45.957 weil das auf einmal überall eingesetzt werden konnte. Also in Signal selbst, aber es wurde eben auch von anderen Ländern nachher verwendet. 00:09:46.209 --> 00:09:55.809 Es gab noch andere, die halt nie so populär geworden sind, Wie z.B. Wicca, erinnert ihr euch vielleicht an den Messnetter, den gibt es, glaube ich, theoretisch gerade immer noch, 00:09:55.809 --> 00:09:58.254 aber die wollen den nicht weiter betreiben für Verbraucher. 00:09:58.812 --> 00:10:03.124 Ohne E schreibt sich das. Ohne E, genau. 00:10:03.286 --> 00:10:09.579 Ist US-amerikanisch, wurde aufgekauft von Amazon, ich glaube, vor zwei Jahren ungefähr. 00:10:10.236 --> 00:10:17.209 Und, naja, die hatten ein eigenes Protokoll, was auch sehr gut war, aber was nie sehr weite Verbreitung gefunden hat eigentlich. 00:10:18.554 --> 00:10:26.648 Die eigentliche Frage war aber, wie bist du dahin geraten? Genau, ich war ja nun mal im Messing Space unterwegs, weil ich bei WIRE war damals. 00:10:26.648 --> 00:10:31.928 Und da hat man sich eben auch mit der Frage beschäftigt, was will man da machen. 00:10:31.928 --> 00:10:35.208 Und da kamen halt mehrere Leute zusammen, eben auch aus der Forschung. 00:10:35.208 --> 00:10:42.568 Da gab es ein prominentes Paper, das nannte sich End-to-End-Encryption, also plural. 00:10:42.568 --> 00:10:48.888 Und da wurde ein Konzept vorgestellt, das sich ART nannte, Asynchronous Ratcheting Trees. 00:10:48.888 --> 00:10:55.128 Das ist jetzt sehr technisch, aber das war ein Vorschlag, wie man in größeren Gruppen 00:10:55.128 --> 00:10:57.328 sehr viel effizienter Ende-zu-Ende Verschlüsselung machen kann. 00:10:57.328 --> 00:11:02.008 Das war technisch neu in dem Sinne, weil Ende-zu-Ende Verschlüsselung immer mit gewissen Kosten 00:11:02.008 --> 00:11:07.808 einhergeht, gerade was Gruppenkommunikation angeht, wo man dann typischerweise für jeden 00:11:07.808 --> 00:11:11.488 Teilnehmer in der Gruppe dann individuell nochmal die Nachrichten verschlüsseln musste. 00:11:12.055 --> 00:11:15.488 Das war dann da auf einmal nicht mehr der Fall und trotzdem war die Sicherheit gut. 00:11:15.488 --> 00:11:20.031 Und das war so ein bisschen der Auslöser. Das ist letztlich nicht das, was in der MLS gelandet ist, 00:11:20.544 --> 00:11:25.315 aber das hat die Debatte aus akademischer Sicht so ein bisschen losgetreten. 00:11:25.549 --> 00:11:31.488 Kannst du noch sagen, was dann bei euch so ein bisschen die Entscheidung real hat werden lassen 00:11:31.488 --> 00:11:35.227 oder dazu geführt hat, das wirklich jetzt auch in der Standardisierung einzubringen? 00:11:35.488 --> 00:11:38.488 Gab's das, ihr seid alle zusammen und habt gedacht, so jetzt sitzen wir hier beim BIO 00:11:38.488 --> 00:11:40.488 und machen das einfach mal? Oder wie war das? 00:11:40.853 --> 00:11:49.909 Genau, also das ist so ein bisschen am Rande von verschiedenen ITFs besprochen worden. 00:11:50.488 --> 00:11:59.488 Und naja, ich glaube, der Auslöser war letztlich, dass was so der technologische de facto Standard war, 00:11:59.488 --> 00:12:03.488 also das Signalprotokoll damals, dass es einfach nicht wirklich verfügbar war. 00:12:04.097 --> 00:12:06.671 Also es gab keine vollständige Spezifizierung davon. 00:12:07.488 --> 00:12:11.281 Das heißt, man konnte jetzt nicht irgendein Dokument lesen und das selber nachimplementieren. 00:12:11.704 --> 00:12:15.575 Und ferner gab es eben auch keine Implementierung unter einer permissiven Lizenz. 00:12:16.061 --> 00:12:22.488 Das heißt, wer das verwenden wollte, musste das sehr kommerziell von Signal lizenzieren. 00:12:22.488 --> 00:12:23.812 Das haben Firmen auch gemacht. 00:12:24.451 --> 00:12:26.848 Die Großen haben das eben gemacht. Facebook hat das gemacht. 00:12:26.848 --> 00:12:29.051 Skype hat das gemacht. Google hat das gemacht. 00:12:29.915 --> 00:12:34.088 Aber das war halt erst mal eine Hürde für die Verbreitung von Ende zu Ende. 00:12:34.088 --> 00:12:36.488 Du hast den Begriff jetzt erst einmal genannt, wir müssen ihn erklären. 00:12:36.488 --> 00:12:41.848 Die IETF erwähnen. Wir haben noch nicht gesagt, wo der Standard entstehen sollte. 00:12:41.848 --> 00:12:45.048 Das ist nämlich durchaus nicht die einzige Standardisierungsorganisation. 00:12:45.048 --> 00:12:47.398 Aber sag doch mal dazu, warum dort. 00:12:47.533 --> 00:12:51.448 Und was ist die eigentlich? Genau, was macht ihr da eigentlich? 00:12:51.448 --> 00:12:58.948 Also offenkundig bist du kein Ingenieur im engeren Sinne, aber man kann sich da einbringen, auch wenn man kein Ingenieur im Wortsinn ist. 00:12:59.146 --> 00:13:05.448 Also um es vielleicht einmal kurz auszusprechen. IETF steht, das ist die englische Abkürzung, für die Internet Engineering Task Force. 00:13:05.448 --> 00:13:07.383 Deswegen auch die Frage nach dem Ingenieur gerade. 00:13:09.003 --> 00:13:16.925 Genau, im weiteren Sinne betreiben wir ja Engineering, also so nennt man ja die Entwicklung und das Programmieren mittlerweile auch. Ja, das stimmt. 00:13:17.609 --> 00:13:23.331 Genau, also das ist eine Organisation, das ist eben eine Standardisierungsorganisation, die gibt es schon seit einer ganzen Weile. 00:13:23.331 --> 00:13:35.331 Und ich glaube seit den 80er Jahren hat das angefangen. Es ging damals um das Internet, also darum, dass wenn man auf einmal mehr Netzwerke zusammenschließt, 00:13:35.331 --> 00:13:40.851 muss man sich eben auf Standards einigen und da kann man halt nicht jeder so sein Süppchen 00:13:40.851 --> 00:13:43.371 kochen und darauf hoffen, dass das nachher funktioniert. 00:13:43.371 --> 00:13:48.802 Also da muss man sich wirklich zusammenschließen und einen gewissen Konsens erreichen, was das angeht. 00:13:48.901 --> 00:13:52.451 Und das hat natürlich in den Jahrzehnten danach Fahrt aufgenommen, genau wie das Internet 00:13:52.451 --> 00:13:54.011 eben Fahrt aufgenommen hat. 00:13:54.528 --> 00:14:04.251 Und das ist eine Organisation, die in gewissen Bereichen Standards setzen will, nämlich 00:14:04.251 --> 00:14:08.331 dem offenen Internet sozusagen. Es gibt andere, das hast du ja schon angesprochen, die sind aber 00:14:08.331 --> 00:14:12.651 meistens deutlich restriktiver, was auch die Teilnahme angeht. 00:14:12.651 --> 00:14:20.731 Welche willst du nennen? Also genau, die ITF hat den großen Vorteil, dass das zumindest theoretisch eine sehr offene 00:14:20.731 --> 00:14:25.371 Organisation ist, wo man als Individuum eigentlich mitmacht und nicht als Firma zum Beispiel. 00:14:25.594 --> 00:14:30.611 Und du bist natürlich auch nicht angestellt, sondern das ist eine Form von Engagement, 00:14:30.611 --> 00:14:34.171 würde ich es mal nennen. Mhm, das ist eine gute Wortwahl. 00:14:34.291 --> 00:14:40.851 Da wird sehr viel aus einer inneren Überzeugung auch gemacht. 00:14:40.971 --> 00:14:45.183 Die Leute, die da mitmachen, machen viel davon in ihrer Freizeit tatsächlich. 00:14:45.895 --> 00:14:51.296 Das sind oftmals Leute, aber eben nicht nur, die bei großen Firmen arbeiten. 00:14:51.971 --> 00:14:57.411 Die das zu einem gewissen Grad eben auch sponsoren, indem die ihren Mitarbeitern ermöglichen, 00:14:57.531 --> 00:15:00.931 da hinreisen zu können, Reisekosten tragen und so weiter. 00:15:01.108 --> 00:15:04.691 Das in ihrer Arbeitszeit machen lassen, aber selbst bei den sehr großen Firmen, 00:15:04.691 --> 00:15:08.491 die sich das sehr locker leisten können, ist es trotzdem so, dass die Leute in ihrer 00:15:08.491 --> 00:15:11.713 Freizeit das auch mitmachen, weil die das mehr aus diesem Engagement raus machen, 00:15:12.334 --> 00:15:16.520 und das weniger als Job sehen insgesamt. 00:15:17.043 --> 00:15:21.292 Also bist du da eher die Ausnahme? Du gehörst jetzt nicht zu einem riesen Konzern, 00:15:21.841 --> 00:15:26.811 aber von den am Ende sechs Autoren, zu dem Standard kommen wir ja nochmal genau, 00:15:26.811 --> 00:15:31.005 da sind wir noch nicht ganz so genau drauf gekommen, aber da sind ja nun die Mehrzahl 00:15:31.251 --> 00:15:32.491 ist von großen... 00:15:33.220 --> 00:15:36.350 Konzerten kann man schon sagen bezahlt. Du bist ja eher die Ausnahme. 00:15:36.350 --> 00:15:41.910 Genau, zumindest mittlerweile. Als es anfing, waren noch einige bei Forschungseinrichtungen 00:15:41.910 --> 00:15:46.750 und Universitäten und sind dann später zu den Konzernen gewechselt. Zwei davon konkret. 00:15:46.750 --> 00:15:52.270 Das heißt, in dem Rahmen war ich vielleicht ein bisschen die Ausnahme. Aber es gibt auch 00:15:52.270 --> 00:15:57.950 andere Arbeitsgruppen, wo auch Studierende mitmachen können. Also es ist überhaupt nicht 00:15:57.950 --> 00:16:04.295 so, dass man eine sogenannte Affiliation haben muss, also eine Zugehörigkeit zu einer Firma. 00:16:04.962 --> 00:16:11.590 Man kann da also auch wirklich ganz persönlich hingehen und da mitmachen, insofern man halt 00:16:11.590 --> 00:16:14.950 irgendeine Kompetenz vorzuweisen hat, die dazu passt natürlich. 00:16:15.107 --> 00:16:19.830 Oder auch ohne, würde ich mal sagen. Ich war da nämlich auch schon und meine Kompetenz kann man vielleicht in Frage stellen. 00:16:19.830 --> 00:16:25.550 Aber tatsächlich, das ist, wenn die Reisemittel und die Kosten für die Teilnahme vorhanden 00:16:25.550 --> 00:16:30.310 ist das erstmal allen offen. Und auch eine Online-Teilnahme war schon vor der 00:16:30.310 --> 00:16:35.510 Pandemie quasi immer vorgesehen. Da war das tatsächlich total früh dabei und hat 00:16:35.510 --> 00:16:38.710 sich, soweit ich das gesehen habe, in der Pandemie auch noch mal verstetigt und 00:16:38.710 --> 00:16:42.249 ausgebaut, was natürlich die Zugangshürden auch echt noch mal abbaut. 00:16:42.550 --> 00:16:45.150 Also insofern ist das schon ein sehr besonderes Umfeld, finde ich. 00:16:45.150 --> 00:16:48.150 Auch für jetzt Leute, die vielleicht nicht aus dem Westen sind, sondern aus anderen, 00:16:48.659 --> 00:16:52.990 Kontinenten, die lange Reisewege hätten. Oder Visa-Probleme, all diese Geschichten. 00:16:52.990 --> 00:16:57.058 Genau, also das ist natürlich eine ständige Diskussion, die auch gerade jetzt nochmal geführt wird. 00:16:57.679 --> 00:17:02.030 Für die Konferenzen, die abgehalten werden, wo werden die abgehalten und so weiter. 00:17:02.030 --> 00:17:04.106 Wer kann dann kommen, für wen ist das ein Problem? 00:17:04.151 --> 00:17:09.230 Kannst du noch was zu der Struktur sagen? Also ihr gehört zu SEC, was Security ist. 00:17:09.310 --> 00:17:13.901 Gibt's, oder kannst du sagen, wie viel verschiedene Abteilungen es da so gibt? 00:17:15.206 --> 00:17:18.056 Ich weiß tatsächlich die Zahlen nicht. Aber eine Menge, oder? 00:17:18.056 --> 00:17:21.056 Es gibt mehrere, ja, und die haben auch unterschiedliche Größen. 00:17:21.175 --> 00:17:26.056 Also das sind Areas, um das mal im englischen Jargon zu sagen, 00:17:26.056 --> 00:17:31.056 und die haben da so einen Area Director, der dann dafür zuständig ist. 00:17:31.056 --> 00:17:36.605 Und die einzelnen Areas unterteilen sich dann wiederum in Arbeitsgruppen, also Working Groups. 00:17:37.217 --> 00:17:42.879 Und Working Groups, die haben sogenannte Chairs, die die Working Groups dann eben anführen. 00:17:43.437 --> 00:17:47.822 Und im Wesentlichen aufpassen, dass die Regeln eingehalten werden. 00:17:48.335 --> 00:17:52.256 Zusehen, dass ein gewisser Fortschritt gemacht wird. 00:17:52.256 --> 00:17:59.056 Sich aber typischerweise nicht beteiligen an der tatsächlichen Arbeit in den Arbeitsgruppen. 00:17:59.056 --> 00:18:01.056 Könnten Sie wahrscheinlich auch nicht, ne? 00:18:01.056 --> 00:18:07.056 Also einfach von der Menge her, oder? Hin und wieder kommt es mal vor, aber dann müssen die ganz klar ihre Rollen auch trennen. 00:18:07.056 --> 00:18:14.351 Ich spreche jetzt nicht als Chair, sondern ich spreche jetzt als Autor von einem Dokumenten zum Beispiel. 00:18:15.056 --> 00:18:17.115 Ihr habt einen relativ bekannten Chair, ne? 00:18:18.240 --> 00:18:28.800 Wir haben bei MLS zwei Chairs. Nick Sullivan, der bei Cloudflare, ich glaube sein Titel war Head of Crypto, 00:18:29.056 --> 00:18:38.495 mich recht erinnert war. Der ist da glaube ich auch nicht mehr. Und Sean Turner, der, 00:18:38.936 --> 00:18:46.291 der zweite Chair war und der im Alltag deutlich aktiver auch war und die Meetings mitgestaltet hat. 00:18:47.489 --> 00:18:54.376 Na dann sag doch mal den Alltag, obwohl du schon den Alltag ansprichst. Wie leistet der nun im Alltag? 00:18:53.430 --> 00:18:57.480 Genau, also es gibt eben verschiedene Formen, wie man sich da einbringen kann. 00:18:57.480 --> 00:18:59.880 Aber vielleicht nochmal ganz kurz zurück zu den Arbeitsgruppen. 00:19:00.434 --> 00:19:06.720 Also die müssen natürlich erst mal zustande kommen. Es gibt halt diese Areas, die sind relativ fix und innerhalb der Areas gibt es halt Arbeitsgruppen 00:19:06.720 --> 00:19:13.440 und da müssen sich erst mal genügend Leute zusammenfinden und ein Thema ganz klar benennen 00:19:13.440 --> 00:19:18.280 und das auch umreißen können und dafür gibt es auch einen Prozess, also es gibt für alles 00:19:18.280 --> 00:19:20.400 einen Prozess bei der IETF. 00:19:20.400 --> 00:19:24.880 Prozess, der nennt sich BOF, das ist die Abkürzung und das steht auf Englisch für 00:19:24.880 --> 00:19:30.069 Birds of a Feather und das kommt aus dem Satz Birds of a Feather flock together. 00:19:30.159 --> 00:19:35.040 Das heißt Leute, die sich ähnlich sind oder die ähnliche Gedanken haben, 00:19:35.040 --> 00:19:39.422 die finden dann zueinander. In einem Schwarm. In einem Schwarm, ja. 00:19:39.760 --> 00:19:45.520 Genau und naja, also transponiert die Idee dahinter ist halt bei der RTF, dass 00:19:45.520 --> 00:19:49.200 dass Gleichgesinnte sich da zusammenfinden und dann diskutieren, 00:19:49.320 --> 00:19:53.970 welches Problem die eigentlich bewältigen wollen und wie. 00:19:54.546 --> 00:20:02.320 Und dann gibt es ein wichtiges Dokument, bevor eine Arbeitsgruppe entsteht, das nennt sich Charter, 00:20:02.440 --> 00:20:06.800 also eine Charter, in der dann drinsteht, worum es eigentlich geht, 00:20:07.123 --> 00:20:13.360 was dazugehört, also welches Problem man bearbeiten will, aber auch ganz konkret, was man nicht bearbeiten will, 00:20:13.360 --> 00:20:15.882 dann reingehören soll, dass man das abgrenzen kann. 00:20:16.386 --> 00:20:20.400 Problemauffriss, würde ich das mal so beschreiben. Das ist auch öffentlich, das ist im Prinzip 00:20:20.400 --> 00:20:21.400 komplett transparent. 00:20:21.400 --> 00:20:25.880 Sehr guter Punkt. Alles ist komplett öffentlich. Also diese Dokumente sind öffentlich, die 00:20:25.880 --> 00:20:33.274 Meetings werden in aller Öffentlichkeit abgehalten, Mailinglisten sind immer öffentlich, von 00:20:33.520 --> 00:20:38.600 Natur aus schon. Und das ist das Schöne daran, man kann das halt immer nachlesen, immer nachvollziehen, 00:20:38.600 --> 00:20:45.600 diskutiert wurde, wie Entscheidungen dann auch getroffen wurden und kann auch jederzeit Einwände 00:20:45.600 --> 00:20:56.120 äußern. Also zurück zu dem Entstehungsprozess. Da wird halt erstmal so eine Charta definiert, 00:20:56.120 --> 00:21:01.680 dann wird eben geguckt, in welche Area würde das überhaupt passen und da wird einem dann so ein 00:21:01.680 --> 00:21:04.680 bisschen geholfen von den Veteranen, die das halt schon öfters gemacht haben. 00:21:04.680 --> 00:21:10.571 Das sind schöne Worte, die sind teilweise 20 oder 25 Jahre alt. 00:21:11.003 --> 00:21:16.680 Ja, genau, es gibt da so Urgesteine. Haudegen ist das Wort, glaube ich. 00:21:17.196 --> 00:21:24.680 Und irgendwann, so ein Boff kann mehrfach stattfinden. 00:21:26.361 --> 00:21:31.390 Ist am Anfang vielleicht auch gar nicht so offiziell, aber irgendwann gibt es einen Working Group Forming Buff und das ist dann der, 00:21:32.095 --> 00:21:35.130 idealerweise der letzte in der Reihe und da wird halt eine Charter vorgestellt. 00:21:36.011 --> 00:21:41.770 Und dann braucht man halt Konsens von allen Leuten, die dann im Raum sind, also das muss auch vorher angekündigt werden, dass jeder eine Chance hat, da hinzukommen. 00:21:42.457 --> 00:21:48.570 So und wenn dann Konsens besteht, dass die Charter in Ordnung ist und dass das Problem relevant ist, dass das auch in die Area passt und so 00:21:48.570 --> 00:21:56.671 weiter, also es gibt so ein bisschen Kriterien, Dann entsteht formal so eine Arbeitsgruppe und dann wird geschaut, wer da das Chairing machen will. 00:21:57.256 --> 00:22:06.050 Und ab dem Moment hat die dann Chairs und dann muss auch vorgelegt werden, welche Arbeitsdokumente diese Arbeitsgruppe erstellen soll. 00:22:06.050 --> 00:22:09.382 Also das kann sich natürlich noch ändern, aber man muss mit einem konkreten Vorschlag da reingehen. 00:22:09.690 --> 00:22:18.130 Und man muss sich ab dann an diese Charter halten. Also Chair, wir wollen ja keine Fachbegriffe, der Chairs sozusagen, der, würde man sagen, Vorsitzende. 00:22:18.130 --> 00:22:21.923 Das sind die Vorsitzenden, genau. Du hast ja schon vorhin die Aufgabe umrissen. Wir wollen ja nur... 00:22:22.589 --> 00:22:29.475 Guter Punkt. Genau, und ab dann kann man im Rahmen dieser Charter aktiv werden, bei den Dokumenten. 00:22:29.570 --> 00:22:35.570 Und dann gibt es, das haben wir ja schon erwähnt, dreimal im Jahr trifft man sich in Person im 00:22:35.570 --> 00:22:40.287 Turnus, also meistens aus Nordamerika, Europa und Asien, wenn nicht gerade Pandemie ist. 00:22:40.584 --> 00:22:47.480 Und zwischendrin kann es noch Interim-Meetings geben. Die sind dann spezifisch für eine Arbeitsgruppe. 00:22:48.110 --> 00:22:51.171 Und die müssen, ich glaube, ein bis zwei Wochen vorher angekündigt werden. 00:22:51.657 --> 00:22:55.708 Oh, das ist Short Notice sozusagen, kurzfristig. Das ist relativ kurzfristig. 00:22:56.329 --> 00:23:01.767 Ui. Man kann dann auch wieder online mitmachen oder das passiert irgendwo vor Ort, das hängt 00:23:01.965 --> 00:23:03.648 vom Meeting halt ab. Das kann man dann entscheiden. 00:23:04.269 --> 00:23:08.170 Da sind die Formalitäten nicht mehr ganz so hoch, es muss aber trotzdem alles nur öffentlich 00:23:08.170 --> 00:23:10.211 und transparent sein. Die werden auch meistens aufgezeichnet. 00:23:10.949 --> 00:23:17.319 Und da passiert meistens die eigentliche Arbeit, weil da ist man im kleineren Kreise und da 00:23:17.319 --> 00:23:19.573 kann man sich dann auch mal über Dinge streiten in Person. 00:23:20.131 --> 00:23:25.039 Wohingegen bei diesen drei Terminen im Jahr, da versucht man eher so ein bisschen zu zeigen, 00:23:25.039 --> 00:23:25.974 was man eigentlich erreicht hat. 00:23:26.541 --> 00:23:30.639 Da sind dann wesentlich mehr Leute mit im Raum, die dann auch manchmal Fragen stellen, 00:23:30.639 --> 00:23:32.759 die dann nicht so ganz dazu passen. 00:23:32.860 --> 00:23:38.319 Und im ITF-Jargon heißen die so ein bisschen despektierlich Touristen manchmal, weil die 00:23:38.319 --> 00:23:44.968 die halt nicht direkt dazugehören. Man muss dann oft wiederholen Dinge, die man eigentlich schon besprochen hat und erklären werden, 00:23:45.302 --> 00:23:46.400 wo man eigentlich weiterkommen will. 00:23:46.519 --> 00:23:50.667 Das gibt es bei anderen Standardisierungsgremien sicherlich auch. 00:23:50.946 --> 00:23:57.077 Was man braucht unbedingt ist Konsens. Also das ist ein ganz zentrales Element bei der IETF, man braucht Konsens. 00:23:57.599 --> 00:24:07.420 Es gibt diesen Ausdruck Rough Consensus and Running Code. Das ist nur ein Ausschnitt aus so einem etwas längeren Credo eigentlich. 00:24:07.987 --> 00:24:14.019 Und da geht es eben darum, dass man nicht irgendwie ein Wahlsystem hat, wo Mehrheiten 00:24:14.019 --> 00:24:18.019 entscheiden, was jetzt gemacht wird, sondern wo man vielmehr schaut, dass man einen Konsens 00:24:18.019 --> 00:24:22.939 hinbekommt und insbesondere, wenn man halt Meinungen hat, die stark auseinander gehen, 00:24:22.939 --> 00:24:24.813 dass man das berücksichtigt in dem Moment. 00:24:24.939 --> 00:24:29.299 Aber ohne den Running Code. Ihr habt eine Spezifikation geschrieben, ihr habt keinen Running Code. 00:24:29.299 --> 00:24:32.599 Wir haben auch Running Code geschrieben. Aber nicht innerhalb des RFCs, oder? 00:24:33.365 --> 00:24:38.163 Nee, das passiert immer außerhalb des RFCs. Also der Code gehört nicht dazu, ja. 00:24:38.460 --> 00:24:40.699 Stimmt, eine neue Abkürzung. Möchtest du sie gleich auflösen? 00:24:40.699 --> 00:24:48.002 Nee, nee, bin ich hier der Experte, also genau. Rausgekörpert ganz am Ende ist ein sogenannter RFC, jetzt im Mitte Juli, ne? 00:24:48.299 --> 00:24:52.440 Guter Punkt, ja. Den haben wir noch gar nicht jetzt im Stand der Diskussion. 00:24:52.819 --> 00:24:55.735 Bis dahin gibt es nur die Arbeitsgruppe und die hat wiederum Dokumente. 00:24:56.257 --> 00:25:03.979 Die nennen sich auf Englisch Drafts. Und das sind also Arbeitsdokumente, die dann offiziell von der Arbeitsgruppe als solche bezeichnet werden. 00:25:03.979 --> 00:25:08.379 Also, da wird dann vorgeschlagen, da finden sich ein paar Autoren zusammen und sagen, 00:25:08.379 --> 00:25:13.579 okay, wir würden gerne einen Draft zu folgendem Thema machen und dann muss die Arbeitsgruppe 00:25:13.579 --> 00:25:19.375 diesen Draft dann quasi als Arbeitsdokument der Arbeitsgruppe annehmen auch. 00:25:19.579 --> 00:25:23.979 Also, jeder kann einen Draft anreichen zu jeder Zeit, der hat aber keine besondere Relevanz. 00:25:23.979 --> 00:25:28.979 Der hat erst dann wirklich Relevanz, wenn die Arbeitsgruppe den für gut befindet. 00:25:29.809 --> 00:25:33.619 Der muss ja auch nicht fertig sein zu dem Zeitpunkt, sondern der muss im Kleineren auch 00:25:33.619 --> 00:25:36.819 wieder nur klar umrissen sein, was der eigentlich beschreibt und welches Problem der lösen will. 00:25:36.819 --> 00:25:38.419 Aber auch konsensual. 00:25:38.604 --> 00:25:41.728 Das muss, alles ist konsensbasiert in dem Moment. 00:25:42.052 --> 00:25:48.499 Aber der eigentliche, also sozusagen das Endergebnis, der ist ja nicht statisch, sondern der heißt 00:25:48.499 --> 00:25:53.459 ja schon so, Request for Compensate, auf Deutsch so viel heißt wie, ey, gib mal Kommentare ab. 00:25:54.637 --> 00:26:00.984 Warum heißt der so? Das ist ein guter Punkt. Also der Name passt eigentlich nicht ganz dazu, weil der ist eigentlich statisch. 00:26:01.487 --> 00:26:03.765 Also der ist wirklich in Stein gemeißelt in dem Moment. 00:26:04.512 --> 00:26:09.419 Also diese Drafts, um nochmal kurz darauf zurückzukommen, die haben halt erstmal so einen gewissen Lebenszyklus, 00:26:09.491 --> 00:26:14.793 bis die so einen Reifegrad erreichen, wo die dann eben vorgeschlagen werden für die Standardisierung. 00:26:15.487 --> 00:26:21.487 Und ab dem Zeitpunkt wird es dann so ein bisschen formaler. Also bis dahin haben die Leute relativ inoffiziell einfach daran rumgeschnitzt, 00:26:21.653 --> 00:26:23.327 an dem Dokument. 00:26:23.822 --> 00:26:28.647 In dem Moment gibt es dann einen sogenannten Last Call von der Working Group, da hat man 00:26:28.647 --> 00:26:34.367 nochmal zwei Wochen Zeit oder meinetwegen auch mal länger, wenn man sich da einig ist, 00:26:34.367 --> 00:26:39.459 wo jeder seinen Senf nochmal dazu abgeben kann und später wird das Dokument dann an 00:26:39.727 --> 00:26:45.687 ein weiteres Gremium weitergereicht, das nennt sich Steering Group, IESG, Internet Engineering 00:26:45.797 --> 00:26:51.647 Steering Group und das besteht dann aus ganz anderen Leuten, die mit der Arbeitsgruppe 00:26:51.647 --> 00:26:57.347 nichts zu tun haben. Die begutachten das dann und wenn das wiederum sämtliche 00:26:57.347 --> 00:27:01.650 formalen Kriterien erfüllt, also und bis dahin kann aber immer noch jeder ganz, 00:27:02.147 --> 00:27:04.639 öffentlich auf der Mailingliste oder sonst wo Anspruch erheben. 00:27:04.747 --> 00:27:08.947 Das ist eigentlich ein klassischer akademischer Reviewing-Prozess. Also wie man es in der Wissenschaft kennt, 00:27:08.947 --> 00:27:15.587 gucken andere Experten, die nicht direkt damit zu tun haben, drüber und können 00:27:15.587 --> 00:27:18.747 aber auch einen Feedback-Kanal zu euch, korrekt beschrieben. 00:27:18.747 --> 00:27:23.547 Ja, es ist so eine Art Peer Review, wobei die Kriterien auch nochmal so ein bisschen anders sind in dem Moment. 00:27:23.547 --> 00:27:28.387 Es passiert vorher schon so ein bisschen Peer Review innerhalb der Arbeitsgruppe, idealerweise. 00:27:29.044 --> 00:27:35.627 Aber das ist dann wirklich nochmal ein getrenntes Gremium. Und wenn das soweit ist, die Hürde ist dann schon deutlich höher, 00:27:35.627 --> 00:27:39.919 also da muss das Dokument eine gewisse Relevanz haben, eine gewisse Reife und so weiter. 00:27:40.738 --> 00:27:45.387 Und dann im allerletzten Schritt geht das zu dem sogenannten RFC Editor, 00:27:45.387 --> 00:27:48.387 Und da kommt das RFC jetzt überhaupt zum ersten Mal ins Spiel. 00:27:48.387 --> 00:27:53.062 Das war früher mal über Jahre hinweg eine Person, mittlerweile sind das mehrere. 00:27:53.692 --> 00:27:59.210 Und die verpassen im Dokument nochmal so den letzten Feinschliff, was das Sprachliche angeht. 00:27:59.940 --> 00:28:07.790 Da das halt von oftmals mehreren Autoren geschrieben wird, die auch unterschiedliche Englischkenntnisse 00:28:07.790 --> 00:28:14.510 haben, unterschiedlichen Stil und so weiter und sich nicht immer so formal präzise ausdrücken, 00:28:14.510 --> 00:28:18.790 wie es erforderlich wäre für so einen Standard, wird das alles nochmal unter die Lupe genommen 00:28:18.790 --> 00:28:23.150 und da werden dann Korrekturen vorgeschlagen und die Autoren können das dann nachher auch 00:28:23.150 --> 00:28:26.577 nochmal, die müssen das formal annehmen, diese Korrekturen. 00:28:27.108 --> 00:28:32.710 Aha, das ist vielleicht ein guter Punkt, um ein paar RFC-Funfacts nochmal einzustreuen, 00:28:32.710 --> 00:28:37.614 denn das Ganze hat ja eine tolle, inzwischen echt wahnsinnige, geschichtliche Dimension. 00:28:37.677 --> 00:28:44.510 Und tatsächlich, wie du schon sagtest, die RFCs stehen ja zeitlich vor den ersten Treffen 00:28:44.510 --> 00:28:46.030 der Internet Engineering Task Force. 00:28:46.030 --> 00:28:52.750 Also der erste RFC ist von 1969 und vielleicht auch das Spannende, die sind so quasi aufsteigend 00:28:52.750 --> 00:28:53.750 einfach durchnummeriert. 00:28:53.750 --> 00:28:56.550 Also wir fangen am Anfang an. Manche sind auch nicht mehr dokumentiert. 00:28:56.550 --> 00:28:59.350 Also ich glaube, manche können wir heute gar nicht mehr so richtig rekonstruieren, 00:28:59.490 --> 00:29:04.350 was da drin stand. Und auch total spannend, relativ schnell noch im einstelligen Bereich 00:29:04.350 --> 00:29:08.350 geht es dann wirklich darum, sich auch erstmal in diesen RFCs selber Regeln zu geben 00:29:08.350 --> 00:29:13.850 und dann bis hin, was du gerade sagtest, sogar die sprachlichen Feinheiten dort abzustimmen. 00:29:13.850 --> 00:29:21.150 Also es gibt RFCs, die nochmal definieren, was heißt eigentlich shall, also sollen oder könnten oder sollten. 00:29:21.150 --> 00:29:26.510 Also wo genau nochmal abgegrenzt wird, was heißt dann dieses Wording eigentlich, was heißt diese Begrifflichkeit, 00:29:26.676 --> 00:29:30.457 wenn sie verwendet wird, um das eben auch nochmal referenzierbar und verständlich zu machen. 00:29:30.630 --> 00:29:34.346 Das erinnert an Juristen, oder? Also das ist total wie Verwaltungsdeutsch vielleicht auch. 00:29:34.409 --> 00:29:39.109 Und da sind wir ja natürlich auch im Policy-Bereich. Also ich glaube, die Parallelen drängen sich in dem Fall auf. 00:29:39.430 --> 00:29:46.350 Genau, und vielleicht gibt es noch so dreistellige RFCs, die heute noch relevant sind, wie TCP oder UDP und so weiter. 00:29:46.509 --> 00:29:49.398 Aber weißt du, welche Nummer ihr habt? Weißt du es auswendig? 00:29:50.289 --> 00:29:57.320 Wir haben 9.420. Okay, da hat sich einiges getan seit den 700ern der beiden alten Protokolle. 00:29:57.939 --> 00:30:04.539 Naja gut, aber an den Nummern sieht man, es ist jetzt auch nicht so häufig, weil der Prozess lang ist. 00:30:04.539 --> 00:30:06.939 Du hast ihn ja, glaube ich, auch ziemlich verständlich beschrieben. 00:30:06.939 --> 00:30:12.642 Ich finde, er wirkt heute, so wie du ihn jetzt beschreibst, schon relativ akademisch. 00:30:13.776 --> 00:30:18.899 Da ist die Hürde daran mitzuwirken, ist wahrscheinlich tatsächlich ein gewisses Kompetenzlevel, ne. 00:30:20.195 --> 00:30:26.639 Aber das ist natürlich auch gewünscht, denn die Menschen, die diesen RFC am Ende dann produzieren, aus ihren Gehörden, 00:30:26.639 --> 00:30:31.279 sollen natürlich auch möglichst wissen, worüber sie reden und eine gewisse Erfahrung haben mit dem Feld, nicht wahr? 00:30:31.279 --> 00:30:37.439 Also das ist ja eben, warum ist der Name denn hier blieben, wenn man überhaupt nicht Kommentare anfordern will? 00:30:37.439 --> 00:30:38.679 Ich habe da jetzt auch keine Antwort drauf. 00:30:38.679 --> 00:30:42.679 Da müsstest du mal einen Boff gründen. Genau, das könnte man machen. 00:30:42.679 --> 00:30:47.039 Ja, soweit ich weiß, ist RFC auch nicht was, was jetzt spezifisch für die ITF ist. 00:30:47.039 --> 00:30:49.039 Das wird auch in anderen Gremien verwendet. 00:30:49.983 --> 00:30:56.799 Die haben sich den Begriff wahrscheinlich damals einfach nur geliehen und der ist geblieben halt, würde ich vermuten. 00:30:56.799 --> 00:31:00.399 Aber also, wie du schon sagst, es ist relativ formalistisch natürlich, was das angeht. 00:31:00.399 --> 00:31:02.830 Aber das muss es auch sein, weil die Tragweite halt sehr groß ist. 00:31:04.079 --> 00:31:06.079 Ach, speaking of Tragweite. 00:31:07.839 --> 00:31:16.019 Also das ist doch eigentlich ein Punkt. Nicht alle RFCs, also ihr habt ja sozusagen einen guten Teil des Weges fertig und wir 00:31:16.019 --> 00:31:18.939 können gleich noch über den Code reden, du hast gesagt, ihr habt den Zeitgleich rausgehauen, 00:31:18.939 --> 00:31:23.379 würdet ja nicht alle Spezifikationen machen, aber ein Guteil der RFCs, würde ich mal sagen, 00:31:23.379 --> 00:31:27.838 ist von nicht so hoher Relevanz für Milliarden Menschen. 00:31:28.198 --> 00:31:31.628 Bei euch ist es anders. Warum? Also reden wir doch mal über den Inhalt. 00:31:33.428 --> 00:31:38.878 Gerne. Also klar, natürlich, das hängt total davon ab, in welchem Bereich man unterwegs ist. 00:31:38.878 --> 00:31:43.781 Hier in dem Fall ist es Messaging. Und Messaging macht man meistens zu mehreren, sonst ist es nicht so spaßig. 00:31:43.878 --> 00:31:46.950 Na ja, zwei, nicht? Also ist ja so eine untere Grenze, oder? 00:31:47.589 --> 00:31:53.864 Zwei ist eine untere Grenze, aber es ist selten der Fall, dass irgendjemand einen Messenger rausbringt, 00:31:54.078 --> 00:31:59.688 der nur für genau zwei Leute funktioniert. Also das Zielpublikum ist meistens relativ groß in dem Bereich 00:32:00.012 --> 00:32:02.078 und kann enorm skalieren. 00:32:02.078 --> 00:32:08.358 Also wir wissen ja, wie groß Messenger werden können. Wenn man jetzt einen Teil der Technologie austauscht in so einem Messenger, 00:32:08.358 --> 00:32:11.198 dann betrifft das gleich die ganze Nutzerbasis. 00:32:11.859 --> 00:32:15.878 Wobei, als ihr angefangen habt, es gab kein Matrix, es gab kein Telegram, 00:32:15.878 --> 00:32:22.758 so diese neue, nicht nur unbedingt für den privaten oder beruflichen Austausch zu nehmen, 00:32:22.758 --> 00:32:26.515 sondern richtig große Gruppen zu bilden, war definitiv noch nicht da, oder? 00:32:26.623 --> 00:32:27.379 Als ihr angefangen habt. 00:32:27.802 --> 00:32:32.753 Also doch, es gab sowohl Matrix wie Telegram 2018. Oh, dann sind die älter als ich dachte. 00:32:32.878 --> 00:32:36.158 Also gerade Telegram ist, glaube ich, mit einer der ältesten. 00:32:36.158 --> 00:32:41.413 Die sind schon seit 2000, ich will nicht die falsche Zahl sagen, aber 2012 gefühlt unterwegs. 00:32:41.558 --> 00:32:49.498 Und diese großen Gruppen, es geht also weniger darum, diese Telegram-ähnlichen Gruppen jetzt bedienen zu können, 00:32:49.867 --> 00:32:53.558 sondern überhaupt darum, Gruppen effizient bedienen zu können. 00:32:53.558 --> 00:32:58.558 Also auch mit Dutzenden Teilnehmern, bis hin zu Hunderten vielleicht. 00:32:58.662 --> 00:33:01.426 Und warum ist das so wichtig? 00:33:01.885 --> 00:33:06.558 Der Grund dafür ist einfach der, dass eben die meisten Leute Messaging auf einem Smartphone verwenden. 00:33:07.196 --> 00:33:12.516 Smartphone hat nur eine Batterie und die geht schnell leer, wenn man es zu viel verwendet. 00:33:13.084 --> 00:33:15.558 Und da muss das Messaging dementsprechend effizient sein. 00:33:15.558 --> 00:33:19.558 Und der Status quo war vor MLS, dass man einfach die Wahl hatte, 00:33:19.558 --> 00:33:26.558 Entweder wir machen es sehr sicher, auch in Gruppen, aber dann geht es eben auf die Batterie und auf den Datenverbrauch. 00:33:27.262 --> 00:33:31.558 Der Geld kosten kann und auch Geld kostet effektiv in vielen Fällen. 00:33:31.558 --> 00:33:36.558 Oder aber wir drehen die Sicherheit runter. Das war so die Stellschraube, die man hatte. 00:33:36.558 --> 00:33:38.558 Diesen Trade-off wolltest du nicht verstehen. 00:33:38.558 --> 00:33:41.558 Und das ist effektiv, was WhatsApp zum Beispiel gemacht hat. 00:33:41.558 --> 00:33:47.798 Gemacht hat. Die verwenden zwar das Signalprotokoll für 1 zu 1 Kommunikation, aber in Gruppen 00:33:47.798 --> 00:33:54.278 hat es einfach nicht mehr die gleichen Sicherheitseigenschaften. Und das war nicht so ein toller Trade-off. 00:33:55.421 --> 00:34:01.078 Okay, aber jetzt muss ich nochmal auf diesen... Wie... Ich kann das total verstehen. Ich glaube, 00:34:01.078 --> 00:34:04.838 viele, die jetzt zuhören, werden auch verstehen können, nein, das ist kein guter Trade-off. 00:34:04.838 --> 00:34:06.422 Bei Trade-Off würde man übersetzen mit Abwägung. 00:34:07.838 --> 00:34:16.478 Keine gute, ja genau. Aber wie in aller Welt kommt man darauf, als einer von vielen Milliarden Personen sich 00:34:16.478 --> 00:34:19.238 hinzustellen und zu sagen, ey, da kümmere ich mich jetzt drum. 00:34:20.115 --> 00:34:24.589 Da mache ich mich mal an Standardisieren. Das ist jetzt nicht unbedingt so naheliegend, oder? 00:34:24.724 --> 00:34:27.524 Naja, aber wie gesagt, das war ein bisschen so eine Gruppenbewegung. 00:34:27.524 --> 00:34:31.907 Also aus der akademischen Gemeinschaft kamen dann einiges an Vorschlägen, 00:34:32.268 --> 00:34:36.994 gerade um diese Effizienz zu bringen. Also das ist tatsächlich nicht was, was man eben so spontan unbedingt entsteht. 00:34:37.570 --> 00:34:45.204 Das muss man schon mal recherchieren. Und was eben aber aus der Firmenwelt kam, war eben diese Abwesenheit von einem Standard. 00:34:45.204 --> 00:34:50.407 Also sämtliche Firmen, die im Messaging-Bereich tätig waren, haben gesagt, 00:34:50.484 --> 00:34:54.484 ja, wir hätten gerne was Gutes, idealerweise auch noch so effizient, 00:34:54.484 --> 00:34:57.555 wie es hier gerade schon besprochen wird, aber dann bitte als Standard, 00:34:57.724 --> 00:35:00.724 sodass wir das alle verwenden können. 00:35:00.805 --> 00:35:03.613 Dass das ab jetzt die neue Basis ist, mehr oder weniger. 00:35:04.136 --> 00:35:08.964 Und man kann es natürlich immer noch besser machen. Aber wenigstens haben wir überhaupt schon mal was, 00:35:08.964 --> 00:35:14.065 weil es ist für eine Firma relativ kostspielig, so was selber zu machen. 00:35:14.191 --> 00:35:18.314 Auch für die Großen und das weiterzuentwickeln. 00:35:18.524 --> 00:35:25.524 Es gibt auch deutliche Nachteile, das bei der ITF zu machen, das muss man auch ganz klar sagen. 00:35:25.524 --> 00:35:27.524 Oh bitte, jetzt aber raus damit. 00:35:27.641 --> 00:35:33.124 Das mögen auch nicht unbedingt alle Leute. Also ein Faktor ist zum Beispiel die Zeit. 00:35:33.375 --> 00:35:34.518 Es dauert erst mal länger. 00:35:35.130 --> 00:35:41.524 Konsens zu haben zwischen Parteien, die in der echten Welt dann auch noch Konkurrenten sind, 00:35:41.524 --> 00:35:47.204 Und es ist nicht immer so einfach, wenn man dann eben versucht, mit verschiedenen Akademikern 00:35:47.204 --> 00:35:51.124 von verschiedenen Unis das auch noch zeitlich zu koordinieren, wann die ihre Analysen machen, 00:35:51.124 --> 00:35:59.844 wann die Zeit dafür haben, das sind ganz andere Zyklen und das dauert dann einfach mal länger. 00:35:59.844 --> 00:36:02.804 Also im Fall von MLS hat das jetzt fünf Jahre gedauert, das hätte man deutlich schneller 00:36:02.804 --> 00:36:08.358 machen können, gar keine Frage. Okay, da sind in der Zeit so einige Messenger gestorben, neu dazugekommen und also… 00:36:08.484 --> 00:36:09.484 Naja, das sowieso. 00:36:09.681 --> 00:36:12.031 Und die Akademia war wahrscheinlich auch ein Stück weiter, oder? 00:36:12.607 --> 00:36:19.484 Klar, natürlich. Das geht immer weiter. Deswegen ist MLS wahrscheinlich auch nicht das Letzte, was wir sehen werden. 00:36:19.484 --> 00:36:22.484 Nachteil ist also die Geschwindigkeit. Weitere Nachteile? 00:36:24.184 --> 00:36:28.034 Einer reicht ja vielleicht auch. Du hast von Nachteilländen gesprochen. 00:36:28.226 --> 00:36:33.634 Also ja, im Fall von MLS weiß ich jetzt nicht, ob es so gravierende weitere Nachteile gibt, 00:36:33.634 --> 00:36:37.507 aber es kann sein, dass man Kompromisse eingeht, die nicht so toll sind. 00:36:37.903 --> 00:36:39.956 Das haben wir jetzt nicht, also das ist jetzt sehr theoretisch. 00:36:40.496 --> 00:36:44.484 In dem Fall, wenn also verschiedene Hersteller zum Beispiel verschiedene Dinge haben wollen, 00:36:44.970 --> 00:36:51.784 die nichts miteinander zu tun haben, dann kommt dabei was raus, was wirklich so zusammengestückelt ist. 00:36:51.834 --> 00:36:56.610 MLS ist schon ziemlich aus einem Guss. Insofern haben wir das Problem zum Glück nicht. 00:36:57.303 --> 00:37:02.758 Okay. Das heißt, wir haben jetzt eine Art von technischer Spezifikation. 00:37:03.362 --> 00:37:07.834 Aber also erzähl doch mal, du hattest vorhin schon mal gesagt, Rough Consensus und Running Code. 00:37:07.834 --> 00:37:13.696 Also was ist denn nun mit dem Running Code? Was ist denn nun mit den technischen Umsetzungen dieser Spezifikation, die er da macht? 00:37:13.834 --> 00:37:14.834 Die gibt es schon, ist das richtig? 00:37:15.127 --> 00:37:19.834 Ja, genau. Also das ist eben auch eine formale Anforderung der ITF, dass es diesen Running Code geben muss. 00:37:19.834 --> 00:37:24.234 Running Code heißt, jemand hat was programmiert und das funktioniert auch halbwegs. 00:37:24.805 --> 00:37:28.034 Und es ist nicht absehbar, dass es gar nicht funktionieren würde. 00:37:28.034 --> 00:37:37.534 Es muss also nicht so fertig sein, dass man es jetzt in eine App gießen kann und an einen Endverbraucher. 00:37:38.317 --> 00:37:42.980 Weitergeben kann, aber es muss erkennbar sein, dass es eben funktioniert. 00:37:43.043 --> 00:37:45.924 Und das ist, was man mit Running Code meint in dem Moment. 00:37:46.207 --> 00:37:50.047 Hast du mit dem Code, also ich weiß, dass du mit der Spezifikation zu tun hast, 00:37:50.047 --> 00:37:51.127 hat das mit dem Code auch zu tun? 00:37:51.515 --> 00:37:54.269 Ja. Ja, mit beiden. Aber das ist ein Kennzwang, ne? Die Autoren können auch... 00:37:54.764 --> 00:37:57.465 Das müssen nicht die Autoren sein, aber irgendjemand muss es halt machen. 00:37:57.654 --> 00:38:02.047 Also, weil das muss ja da sein. Und typischerweise sind das eben auch die Autoren. 00:38:02.110 --> 00:38:09.987 Gerade bei jetzt Drafts, die komplexer sind, ist es halt wichtig, den Code zu haben, um beweisen zu können, ja, es funktioniert auch. 00:38:10.402 --> 00:38:13.939 Und was man eben sehen will in dem Moment ist, dass es verschiedene Implementierungen gibt, 00:38:14.247 --> 00:38:15.803 die dann auch zueinander kompatibel sind. 00:38:16.343 --> 00:38:23.068 Ich habe zwei gesehen. Bei welcher hattest du zu tun? Mit OpenMLS, das ist eine Implementierung in Rust. 00:38:23.590 --> 00:38:26.876 Es gibt noch eine andere, die wurde von Cisco geschrieben, die ist in C++ geschrieben. 00:38:27.290 --> 00:38:30.431 Beide sind unter einer permissiven Lizenz veröffentlicht. 00:38:31.247 --> 00:38:36.040 Ich glaube, das müssen wir auch erklären. Du kannst ja nicht immer diese Fachbegriffe... 00:38:36.490 --> 00:38:42.827 Klar, also Quellcode, wenn er denn öffentlich ist, muss unter einer gewissen Lizenz veröffentlicht werden, 00:38:43.512 --> 00:38:45.969 damit klar ist, was man mit dem eigentlich machen darf. 00:38:46.247 --> 00:38:50.596 Und es geht konkret um Urheberrecht. Wenn man eben keine Lizenz dazu packt, 00:38:51.247 --> 00:38:55.247 dann greift das ganz normale Urheberrecht und das ist ein bisschen zu eingeschränkt, 00:38:55.247 --> 00:38:58.247 weil dann dürfte man den Quellcode eigentlich überhaupt nicht verwenden, 00:38:58.247 --> 00:39:03.182 wenn man nicht selber geschrieben hat, also nur sehr eingeschränkt eben, nicht in seiner Gesamtheit. 00:39:03.247 --> 00:39:06.072 Und da gibt es halt verschiedene Lizenzen. 00:39:06.440 --> 00:39:08.871 Ich glaube, der Ziblatt, das war MIT, ne, Lizenz, oder? 00:39:09.402 --> 00:39:20.247 Ich glaube, das war BSD, aber das ist sehr ähnlich wie MIT. Und unter einer permissiven Lizenz versteht man eben eine Lizenz, mit der man dann im Prinzip fast alles machen kann, was man will. 00:39:20.997 --> 00:39:26.247 Also da kann man einfach den Code nehmen, den in sein eigenes Produkt, in sein sehr kommerzielles Produkt auch, 00:39:26.804 --> 00:39:28.247 was selbst nicht quelloffen ist. 00:39:29.909 --> 00:39:33.888 Einfach integrieren und da gibt es dann keine weiteren Einschränkungen. 00:39:34.023 --> 00:39:36.560 Das ist ja auch schon in der Tradition der IETF eigentlich, ne? 00:39:36.560 --> 00:39:39.668 Also mit diesem ganzen offenen, also bis dahin ist es offen und dann hoppt da was 00:39:40.040 --> 00:39:44.664 drumherum ab. Es ist zumindest im Sinne, ja. Es ist keine formale Anforderung, dass dieser Code quelloffen ist, nach wie vor nicht. 00:39:45.303 --> 00:39:48.920 Aber hattest du nicht gesagt, ne? Also okay, das ist üblich, aber nicht… 00:39:48.920 --> 00:39:50.552 Es muss ein Running Code sein. Ah, okay, I see. 00:39:50.920 --> 00:39:56.079 Und es ist mittlerweile so üblich, dass, wenn es nicht der Fall ist… Kipps Nase rümpfen. Ja, genau. 00:39:56.484 --> 00:40:01.589 Ah, okay. Und deswegen haben wir relativ früh angefangen mit Implementierungen, 00:40:02.011 --> 00:40:05.351 einfach weil das MLS-Protokoll als solches relativ komplex ist. 00:40:05.837 --> 00:40:09.240 Das Papier ist halt geduldig, wenn man irgendetwas spezifiziert, 00:40:09.240 --> 00:40:11.640 was sehr komplex ist, kann man auch mal schnell was spezifizieren, 00:40:11.640 --> 00:40:12.840 was nachher gar nicht funktioniert. 00:40:12.840 --> 00:40:19.440 Weil man dann gedanklich Abkürzungen genommen hat und dann erst beim Programmieren merkt, 00:40:19.440 --> 00:40:26.840 das passt ja gar nicht zusammen, da fehlt ein Schritt und der ist völlig unlogisch oder manchmal ist das dann nur etwas Kleines, 00:40:26.840 --> 00:40:29.864 da noch so nachspezifiziert werden muss, wie man den genau macht. 00:40:30.261 --> 00:40:35.200 Wenn man wirklich Pech hat, dann hat man da was logisch Unmögliches irgendwie spezifiziert. 00:40:35.200 --> 00:40:38.588 Okay, das ist aber auch wirklich… Ja, okay, so war mir das natürlich nicht klar. 00:40:38.720 --> 00:40:45.160 Das bedeutet aber auch, dass man die Spezifikation eher so verstehen würde, wie das unter Software 00:40:45.160 --> 00:40:51.600 Engineers verstanden wird, so eine Form von Spezifikation, während ja andere Standardisierungsgremien oder Organisationen…. 00:40:52.478 --> 00:40:54.837 Also ein bisschen akademischer verstehen, würde ich jetzt mal sagen. 00:40:55.080 --> 00:40:59.770 Das heißt, es ist auch kein Prozess nacheinander, sondern miteinander. 00:41:00.049 --> 00:41:04.528 Sozusagen Coden, Spezifikationen greifen einander, ist das korrekt? Ja, das ist korrekt. 00:41:04.595 --> 00:41:08.511 Es gibt immer wieder Debatten darüber, was die Spezifizierung jetzt genau ist, 00:41:08.961 --> 00:41:13.840 weil sie ist eben nicht eine ganz genaue Anleitung darüber, wie man es implementieren sollte, 00:41:14.516 --> 00:41:18.684 und lässt da gewisse Freiräume offen. Genau deswegen braucht man auch den Code. 00:41:19.314 --> 00:41:26.088 Bei sicherheitsrelevanten Protokollen wie MLS-Sets geht es eben auch darum, dass es 00:41:26.088 --> 00:41:30.088 diese ganze akademische Komponente gibt, die es jetzt bei anderen Protokollen überhaupt 00:41:30.088 --> 00:41:36.128 nicht gibt, die eine ganz andere Art von Formulismus da mit reinbringt, wie das intern strukturiert 00:41:36.128 --> 00:41:38.168 ist und so weiter und so fort. 00:41:38.168 --> 00:41:44.088 Also das ist nicht immer so ganz kompatibel miteinander, also man könnte das Ding auch 00:41:44.088 --> 00:41:48.768 einmal komplett anders aufziehen mit dem gleichen Ergebnis, aber dann wirklich anders spezifiziert 00:41:48.768 --> 00:41:54.168 von der Struktur her. Was wir jetzt haben, ist was, was eben gut genug sein sollte, 00:41:54.168 --> 00:41:59.048 um es implementieren zu können. Und das haben wir eben auch bewiesen, indem es mindestens zweifach 00:41:59.048 --> 00:42:01.968 implementiert wird. Es gibt noch weitere Implementierungen, die jetzt gerade entstehen 00:42:01.968 --> 00:42:06.728 und auch welche, die nicht quelloffen sind und schon entstanden sind. Und das heißt, 00:42:06.728 --> 00:42:13.544 wir hatten also in den letzten Monaten jetzt vor der Publikation so eine Phase der Interoperabilitätstests. 00:42:14.273 --> 00:42:18.063 Wo wir gesehen haben, ob diese Implementierungen eigentlich zueinander passen oder nicht. Im 00:42:18.369 --> 00:42:23.368 Im Fall von MLS ist das besonders komplex, weil es geht ja darum, in Gruppen zu verschlüsseln. 00:42:23.368 --> 00:42:29.088 Das heißt, man hat sehr komplexe Testszenarien, wo es gleich um mehrere Teilnehmer geht und 00:42:29.088 --> 00:42:30.747 da muss man sich so Szenarien überlegen. 00:42:31.161 --> 00:42:36.128 Da gibt es dann so fiktive Akteure mit Alice und Bob und Charlie und die sind dann in einer 00:42:36.128 --> 00:42:41.469 Gruppe und wollen sich Nachrichten schicken und so weiter und dann muss man so eine Art. 00:42:42.328 --> 00:42:43.568 Playbook eigentlich schreiben. 00:42:43.568 --> 00:42:48.168 Alles erstellt die Gruppe, lädt dann Bob ein und dann Bob lädt Charlie ein und schickt 00:42:48.168 --> 00:42:52.368 eine Nachricht und so weiter. Also das nur anekdotisch am Rande. 00:42:52.368 --> 00:42:54.063 Das Testen war relativ kompliziert. 00:42:54.702 --> 00:43:00.088 Das ist deutlich einfacher, wenn man sowas wie TLS oder so testet, wo es halt einen kleinen Server gibt. 00:43:00.292 --> 00:43:03.248 Du hast mehrere Berichter verwendet, die wir hier erklären müssen. 00:43:03.248 --> 00:43:09.488 Also wir lassen sich ja nicht mit allem durchgehen. Also das Erste ist natürlich das Wort Interoperabilität. 00:43:09.862 --> 00:43:13.008 Da können sich vielleicht einige darunter vorstellen, aber bestimmt nicht alle. 00:43:13.008 --> 00:43:16.325 Und da müssen wir, glaube ich, unbedingt darauf zurückkommen, wir müssen es jetzt mehrfach fallen lassen. 00:43:17.325 --> 00:43:20.208 Warum in aller Welt sollte das denn sicherheitsrelevant sein? 00:43:20.208 --> 00:43:23.644 Ich glaube, wir haben das noch nicht ausreichend begründet, was das eigentlich für eine Sicherheitsrelevanz hat. 00:43:23.808 --> 00:43:27.110 Auch durchaus für den Einzelnen und nicht nur für die Firma, die den Umsatz... 00:43:27.208 --> 00:43:31.224 Sag mal aber erstmal, was zu dieser Interoperabilität und was überhaupt... was soll denn das? 00:43:31.584 --> 00:43:37.408 Genau, also unter Interoperabilität, das ist echt ein sperriges Wort, versteht man halt, 00:43:37.408 --> 00:43:41.808 dass Dinge kompatibel sind und miteinander gut funktionieren. 00:43:42.414 --> 00:43:46.808 Überhaupt funktionieren, nicht wahr? Ja, also im Zusammenspiel miteinander funktionieren. 00:43:46.808 --> 00:43:48.808 Gibt es ein deutsches Wort dafür? 00:43:48.446 --> 00:43:55.896 Interoperabilität? Nee, vielleicht zusammen in der Arbeit? Nix Gutes ein. 00:43:55.896 --> 00:44:03.344 Also es funktioniert miteinander, aber es funktioniert auch in einem definierten Rahmen miteinander. Kann man so sagen? 00:44:03.867 --> 00:44:08.881 Genau, also im Fall von MLS ist es halt relativ klar, was da zu funktionieren hat. 00:44:09.421 --> 00:44:18.296 Weil wir wollen ja Nachrichten Ende zu Ende verschlüsseln. Und was da einfach funktionieren muss, ist, dass an Punkt A diese Nachricht verschlüsselt wird 00:44:18.296 --> 00:44:21.844 und an Punkt B, nämlich am anderen Ende, dann entschlüsselt wird. 00:44:22.366 --> 00:44:27.296 Und da kann es noch weitere Punkte geben, weil wir ganze Gruppen gleich mit betrachten. 00:44:27.296 --> 00:44:29.289 Und nicht nur A und B. 00:44:29.370 --> 00:44:34.296 Das ist intuitiv relativ klar, was da eigentlich funktionieren muss und wie die Tests dann aussehen. 00:44:34.296 --> 00:44:37.296 Und der sicherheitsrelevante Teil ist dann die berühmte Eve, wie sie immer heißt, 00:44:37.296 --> 00:44:39.296 dass die halt nicht in der Mitte mit reinhorcht. 00:44:39.525 --> 00:44:45.736 Genau, also vereinfacht gesagt gibt es die berühmte EVE natürlich, aber um das formal 00:44:45.736 --> 00:44:48.680 einmal auszudrücken gibt es das sogenannte Threat Modelling. 00:44:49.229 --> 00:44:53.376 Auch da fällt mir jetzt gerade kein guter deutscher Begriff zu ein, den gibt es aber sicherlich. 00:44:53.376 --> 00:45:00.576 Ich würde sagen die Angriffsmodalitäten, ne die Angriffswahrscheinlichkeiten. 00:45:00.576 --> 00:45:06.896 Genau, also man überlegt sich eigentlich was Angreifer in der Lage sind überhaupt zu machen. 00:45:06.896 --> 00:45:13.136 Haben Angreifer. Sowas wird eben auch akademisch formal definiert. Das ist jetzt nicht nur so ein 00:45:13.136 --> 00:45:18.376 Rumgerät, also da wird wirklich klar gesagt, Angreifer haben zum Beispiel das Netzwerk unter 00:45:18.376 --> 00:45:25.216 Kontrolle oder Angreifer können zeitweise Endgeräte kompromettieren. Angreifer können 00:45:25.216 --> 00:45:31.136 passiv mitlesen oder können aktiv in die Kommunikation mit angreifen. Und diese Dinge 00:45:31.136 --> 00:45:36.136 müssen halt erstmal spezifiziert werden. Das fasst man eben unter einem Threatmodel zusammen 00:45:36.311 --> 00:45:41.476 Und dann kann man eben sagen, okay, unter diesem Threat-Model können wir uns gegen 00:45:41.476 --> 00:45:43.783 diese Art von Angriffen schützen oder eben nicht. 00:45:44.971 --> 00:45:50.236 Gail, kannst du ein typisches Angreifer-Modell nennen, was besonders wichtig ist und mit 00:45:50.236 --> 00:45:55.676 welchen Methoden ihr sozusagen, also einfach verständlich, ihr diesen Angriff abwehrt? 00:45:56.053 --> 00:46:03.796 Genau, also es gibt eins, was den meisten Leuten intuitiv sehr klar ist bei der Ende-zu-Ende-Verschlüsselung. 00:46:03.796 --> 00:46:07.927 Geht es eben darum, dass die Informationen, die Nachrichten selbst, 00:46:08.593 --> 00:46:12.796 an einem Ende verschlüsselt werden und an anderen erst entschlüsselt werden. 00:46:12.916 --> 00:46:17.676 Das heißt, das Angreifermodell hier ist, dass ein Angreifer in der ganzen Lebenszeit 00:46:17.796 --> 00:46:21.871 dieser verschlüsselten Nachricht nicht an den Inhalt der Nachricht drankommt. 00:46:22.316 --> 00:46:26.876 Da geht es um die Vertraulichkeit, das ist eine dieser Sicherheitseigenschaften. 00:46:26.996 --> 00:46:30.694 Und die Vertraulichkeit der Nachricht muss halt eben gewahrt sein, 00:46:31.233 --> 00:46:35.780 Wenn der Angreifer z.B. den ... 00:46:36.518 --> 00:46:42.608 Messaging-Dienst unter Kontrolle hat. Also ganz konkret, ich sende eine Nachricht über 00:46:42.608 --> 00:46:47.366 WhatsApp, ich möchte aber nicht unbedingt Meta vertrauen als Betreiber von WhatsApp, 00:46:47.608 --> 00:46:53.008 dann hilft mir Ende-zu-Ende-Verschlüsselung in dem Kontext, dass ich sicher gehen kann, 00:46:53.008 --> 00:46:57.848 dass aufgrund dieser Verschlüsselung die Schlüssel, die dafür notwendig sind, nur 00:46:57.848 --> 00:47:00.648 bei mir und bei dem Empfänger liegen. 00:47:00.648 --> 00:47:09.288 Und gerade nicht beim Anbieter. gerade nicht beim Anbieter. Also das ist wahrscheinlich so das Plakativste, was man dazu sagen kann. 00:47:09.288 --> 00:47:13.288 Ich glaube, das ist ein ziemlich typisches Modell des Angreifers. 00:47:13.288 --> 00:47:16.288 Genau, das ist auch nicht wirklich neu, aber das ist unglaublich relevant beim Messaging. 00:47:16.288 --> 00:47:21.288 Also genau dieses Briefgeheimnis will man ja haben in dem Moment. 00:47:21.288 --> 00:47:26.288 Aber akademisch wird das halt noch wesentlich granularer. Dann wird sich angeschaut, 00:47:26.288 --> 00:47:30.288 okay, was ist, wenn der Angreifer noch mehr könnte, was ist, wenn er Metadaten analysiert, 00:47:30.972 --> 00:47:34.288 Das ist, wenn ein Angreifer dann tatsächlich auch Zugriff auf die Endgeräte hat und so weiter. 00:47:34.288 --> 00:47:38.184 Wollen wir da einen Tick politischer werden, Asikmen? 00:47:38.288 --> 00:47:40.011 Ja, von mir aus gerne. 00:47:40.785 --> 00:47:44.288 Gibt es da gesellschaftliche Interessenträger, die nicht so interessiert daran sind, 00:47:44.288 --> 00:47:48.288 dass es technisch abgesichert ist, dass von einem Gerät zum anderen sicher verschlüsselt ist, 00:47:48.288 --> 00:47:53.288 weil man vielleicht Gründe vorbringen kann, warum man in die Inhalte hineinhorchen will. 00:47:53.667 --> 00:47:59.636 Damit wird das Protokoll eminent politisch. Also das wird vor allen Dingen dann politisch schwendig vom Anfang an zu setzen. 00:48:00.293 --> 00:48:07.189 Das wird dir wahrscheinlich nicht neu sein, aber tritt da mal jemand an dich heran mit diesem Problem? 00:48:07.432 --> 00:48:12.185 Also die Debatte ist ja nicht neu in dem Sinne, also Ende-zu-Ende-Verschlüsselung gab es eben schon vor MLS. 00:48:12.995 --> 00:48:20.288 So wirklich flächenmäßig verbreitet hat die sich halt in den letzten zehn Jahren, würde ich sagen. 00:48:20.288 --> 00:48:22.288 Signal war glaube ich ein Game Changer, oder? 00:48:22.288 --> 00:48:28.768 Das Signal von Snowden hat sicherlich erst mal dazu beigetragen, dass man mehr darüber 00:48:28.768 --> 00:48:31.208 geredet hat. War Snowden für dich eine Motivation? 00:48:33.088 --> 00:48:42.433 Ich würde das so nicht formulieren, aber das hat sicherlich dazu beigetragen, dass es mehr Bewusstsein dafür gibt. 00:48:43.747 --> 00:48:50.164 Also dir ist klar, dass es irgendwie auch relevante gesellschaftliche Gruppen gibt, die das vielleicht nicht so eine gute Idee finden, 00:48:50.164 --> 00:48:53.164 wenn man technisch absichert, dass jemand rittet nicht hineinhorchen kann. 00:48:53.164 --> 00:48:58.164 Und das auch noch potenziell zumindest in sehr großem Maße zum Einsatz kommen wird. 00:48:58.475 --> 00:49:04.684 Also es gibt natürlich verschiedene Parteien aus ganz vielen verschiedenen Richtungen, 00:49:04.684 --> 00:49:08.444 die das erstmal vielleicht auch nicht so gut finden. Aber aus sehr verschiedenen Gründen. 00:49:08.444 --> 00:49:10.844 Achso, der Aufwand macht es natürlich auch. 00:49:11.078 --> 00:49:17.524 Weil, also gut, zum einen wurde natürlich immer angeführt in den letzten zehn Jahren 00:49:17.524 --> 00:49:19.764 Terrorismusbekämpfung, um es mal beim Namen zu nennen. 00:49:19.900 --> 00:49:24.401 Jetzt, das neueste Stichwort ist CISAM. 00:49:24.923 --> 00:49:29.361 Wir müssen das auch übersetzen, da geht es um die Darstellung von Missbrauch. 00:49:29.721 --> 00:49:35.804 Genau, es geht also um Missbrauch von Kindern, durchaus ein sehr, sehr ernstes Thema und 00:49:35.804 --> 00:49:42.883 auch ein sehr schwieriges Thema, was in der gesellschaftlichen Tabu-Thema eben auch ist, 00:49:43.164 --> 00:49:47.244 über das man nicht so gerne und so einfach spricht, sondern... 00:49:47.244 --> 00:49:51.044 Es taucht auch nicht wirklich auf, ich habe es mal gesucht im Archiv, wir hatten ja erwähnt, 00:49:51.044 --> 00:49:56.744 relativ, also in eurem Archiv jetzt von eurer Gruppe, das heißt die politischen Debatten 00:49:56.744 --> 00:50:01.324 sind nicht wirklich Teil der Diskussion für den eigentlichen Standard, nicht wahr? 00:50:01.679 --> 00:50:08.084 Habe ich das korrekt vorgenommen? Ja, also die ITF ist jetzt keine politische Institution in dem Sinne, es werden immer 00:50:08.084 --> 00:50:13.204 wieder politische Debatten ja mit da mit reingetragen und das ist natürlich auch wichtig, also 00:50:13.204 --> 00:50:15.669 ich meine man muss natürlich schon wissen, warum man die Dinge macht. 00:50:16.326 --> 00:50:23.124 Bei der Ende-zu-Ende-Verschlüsselung gab es hin und wieder mal einen Anflug von Debatten, 00:50:23.124 --> 00:50:29.524 aber da war der Konsens unter den Teilnehmern so groß, dass niemand das ernsthaft in Frage gestellt hat. 00:50:29.524 --> 00:50:35.124 Gesamtgesellschaftlich wird das sicherlich debattiert, aber jetzt reflektiert die ITF 00:50:35.124 --> 00:50:38.124 hier nicht die gesamte Gesellschaft, sondern nur einen elitären Kreis. 00:50:38.124 --> 00:50:45.476 Aber jetzt gucken wir uns die sechs Autoren mal an. Während ihr parallel den Stern da draushaut, gab es eine ganz aktive Debatte, zum Beispiel in Großbritannien? 00:50:46.412 --> 00:50:55.549 Um eine Gesetzgebung, wo sich sozusagen die Arbeitgeber von zwei der Mitglieder, nämlich Meta, also Facebook und vor allen Dingen WhatsApp, hier ganz klar positioniert haben. 00:50:56.008 --> 00:51:01.724 Die haben gesagt, also wenn das hier gesetzt wird in Großbritannien, dass wir gezwungen werden quasi Hintertüren einzubauen, dann ziehen wir das aus dem Markt zurück. 00:51:01.724 --> 00:51:09.512 Also eine ganz aktive Rolle, die plötzlich auch von Konzernen auch wirklich laut und deutlich kommuniziert wird über Tickete. 00:51:09.724 --> 00:51:17.724 Spielt es dann keine Rolle, wenn man quasi ziemlich zeitgleich zufällig gerade mal fertig ist mit seinem jahrelangen Prozess der Standardisierung? 00:51:18.856 --> 00:51:31.706 Also es gibt da zumindest eine Zeitgleichheit, aber diese politische Debatte ist wesentlich neuer als tatsächlich der MLS-Prozess selbst. 00:51:31.972 --> 00:51:39.706 Und gut, da stehen natürlich große Firmen als Autoren mit drauf. Das ist einfach Fakt, weil die halt Autoren waren von Anfang an. 00:51:39.706 --> 00:51:47.186 Das sind ja Menschen, nicht die... Das sind zunächst mal die Menschen und die müssen gegebenenfalls Dinge mit ihren Arbeitgebern 00:51:47.186 --> 00:51:48.186 koordinieren. 00:51:48.743 --> 00:51:54.786 Also es gibt tatsächlich von den großen Unternehmen in Silicon Valley Arbeitgeber, die lassen 00:51:54.786 --> 00:52:03.226 einen das nicht machen. Also da darf man nicht ITF-Auto werden mit Affiliation. 00:52:03.642 --> 00:52:08.386 Es gibt so eine Firma, die eine Frucht als Logo hat, die da sehr bekannt ist. 00:52:08.386 --> 00:52:13.302 Ah, Orange. Das ist bestimmt eine Zitrone. 00:52:13.392 --> 00:52:19.026 Die Notorie dafür bekannt ist, bei der ITF nicht mitzumachen und erst seit Neuestem 00:52:19.026 --> 00:52:21.546 überhaupt ab und zu mal Leute hinzuschicken. 00:52:22.277 --> 00:52:32.786 Also, dass die Abkürzung ITF bei so einer Apple-Entwickler-Konferenz überhaupt mal 00:52:32.786 --> 00:52:35.506 genannt wurde, ist neu. 00:52:35.506 --> 00:52:42.361 Also ich glaube, das erste Mal war letzten Sommer bei der letzten WWDC, wie diese Konferenzen heißen. 00:52:43.522 --> 00:52:49.506 Ja, also da tut sich vielleicht auch ein bisschen was, aber historisch gibt es halt Firmen, die da ganz klar sagen, 00:52:49.506 --> 00:52:53.830 nee, wir sind so verschwiegen, intern wie extern. 00:52:54.262 --> 00:53:00.006 Das können wir uns gar nicht oder wollen wir uns gar nicht leisten, dass da irgendwie Informationen abfließen könnte in so einem offenen Gremium. 00:53:00.230 --> 00:53:03.966 Also das heißt, die Geheimdienste sind noch nicht offen, zumindest auch nicht ran getreten, 00:53:03.966 --> 00:53:08.526 nicht, dass ihr es gemerkt hättet anscheinend und auch noch nicht die Überwachungsfreundinnen da draußen. 00:53:08.526 --> 00:53:12.852 Um das zu unterwandern? Oder vielleicht auch nur das Gespräch zu suchen, ich weiß es nicht. 00:53:13.068 --> 00:53:19.326 Also es ist mir nicht bekannt. Ich meine, die Mailing-Listen sind ja öffentlich, die ganzen Dinge auch. 00:53:19.568 --> 00:53:22.966 Und ich weiß auch nicht, was das Gespräch sein sollte an der Stelle. 00:53:22.966 --> 00:53:28.126 Also, na ja, Staaten haben so eine gewisse Dualität immer. 00:53:28.126 --> 00:53:36.566 Einerseits wollen die an Informationen rankommen, das liegt in der Natur der Aufträge oder 00:53:36.566 --> 00:53:38.841 der Legitimation, die gewisse Dienste haben. 00:53:38.895 --> 00:53:43.846 Gleichzeitig haben die aber ein genauso hohes Interesse, dass Information auch geschützt wird. 00:53:44.666 --> 00:53:53.416 Und das hängt dann davon ab, mit wem man redet. Also der Trend geht glücklicherweise aus meiner Sicht dahin, 00:53:53.740 --> 00:53:57.953 dass man die Schutzwürdigkeit der Information. 00:53:58.808 --> 00:54:03.458 Grundsätzlich anerkennt. Ich wünschte es wohl. 00:54:03.458 --> 00:54:11.439 Leider gibt es aber eben in verschiedenen Jurisdiktionen jetzt Debatten über verschiedene Gesetzgebungen, 00:54:12.051 --> 00:54:13.458 die sehr heiß geführt werden. 00:54:13.458 --> 00:54:18.694 Wir müssen halt mal sehen, was dabei rauskommt. Du hast eine Rolle daran, du bist ein Enabler, wenn man so will. 00:54:18.793 --> 00:54:22.738 Oh, das ist auch kein Wort. Das ist ein Gefähiger. 00:54:22.738 --> 00:54:29.458 Ja, du bist echt gefährlich. Na ja, du hilfst ganz aktiv mit, Technik in die Praxis zu bringen. 00:54:29.458 --> 00:54:33.258 Und zwar wirklich auch nicht für drei Handschellen, sondern für ganz viele Menschen. 00:54:33.458 --> 00:54:39.178 Aber ich glaube schon auch, wie du gerade sagtest, alle Staaten haben diese Dualität oder staatliche AkteurInnen haben diese Dualität. 00:54:39.178 --> 00:54:45.618 Das zeigt ja auch vielleicht, wie unterkomplex die Debatte um, wir müssen Verschlüsselung aushebeln, um an bestimmte Informationen zu kommen, gerade geführt wird. 00:54:45.618 --> 00:54:51.778 Und dass natürlich das Interesse am Ende schon überwiegt, sich selber abzusichern und irgendwie die eigene Kommunikation zu schützen. 00:54:51.778 --> 00:54:58.698 Das ist ja schon ein gutes Zeichen. Aber ihr habt keine staatlichen Institutionen als, also als Institutionen mit, zumindest 00:54:58.698 --> 00:55:00.042 sind mir keine großartig aufgefallen. 00:55:00.249 --> 00:55:08.058 Also bei MLS ist da niemand in den Vordergrund getreten und hat gesagt, man weiß natürlich, 00:55:08.058 --> 00:55:11.298 da diese Dinge öffentlich sind, weiß man natürlich nie, wer hat eigentlich diese Mailingliste 00:55:11.298 --> 00:55:13.538 abonniert und wer verfolgt das aktiv. 00:55:13.538 --> 00:55:15.538 Das ist immer sehr spannend. Verfolgen ist ja was anderes als mitwirken. 00:55:15.868 --> 00:55:23.958 Genau, klar. Klar, aber es gibt auch bei der ITF Dokumente, Drafts, wo die NSA offiziell bei den Autoren 00:55:23.958 --> 00:55:25.176 mit draufsteht, bei den Älteren. 00:55:25.758 --> 00:55:30.798 Und das aus gutem Grund, weil die einfach auch ein Bedürfnis daran haben, dass Dinge 00:55:30.798 --> 00:55:36.510 geschützt werden, weil die intern schon diese Dualität haben, dass die sowohl schützen wie auch angreifen. 00:55:36.618 --> 00:55:39.526 Und das gibt es natürlich bei anderen Standardisierungsgremien auch, ja. 00:55:39.718 --> 00:55:42.518 Genau, bei den anderen Ländern ist das manchmal ein bisschen stärker getrennt. 00:55:42.518 --> 00:55:51.958 Aber es fällt noch was anderes auf. Es gibt wenig nicht-westliche Namen auf euren Mailinglisten. 00:55:51.958 --> 00:55:59.558 Stimmt das? Ja, das stimmt. Und das reflektiert auch irgendwo, was bei der ITF insgesamt passiert. Also das 00:55:59.558 --> 00:56:05.838 sind, ich will schon sagen, gefestigte Kreise irgendwo, die sich selber immer wieder so 00:56:05.838 --> 00:56:09.593 ernähren. Und das ist natürlich ein Problem. 00:56:10.278 --> 00:56:18.798 Dazu vielleicht eine Erfahrung von mir. Ich war 2019, glaube ich, bei meinem ersten ITF-Treffen in Singapur. 00:56:18.798 --> 00:56:23.118 Und nicht nur war die erste Person, mit der ich bei irgendeinem Cocktail-Event, bei so einem Schnittchen-Event abends gesprochen habe, 00:56:23.118 --> 00:56:27.571 tatsächlich da als Contractor für die NSA. Und ich bin aus allen Wolken gefallen irgendwie und wusste gar nicht, 00:56:27.652 --> 00:56:31.358 ob ich ihm jetzt ein Getränk ins Gesicht schütten soll oder da weiter Smalltalk machen soll. 00:56:31.358 --> 00:56:37.958 Das war also auch total spannend, damit auf so einer Selbstverständlichkeit dort sehr unterschiedliche Leute aufeinandertreffen. 00:56:38.139 --> 00:56:46.318 Und das andere ist aber auch, dass ich dort, ich habe da eher Interviews geführt, um so ein bisschen die ganze Szene zu erkunden und Bedarfe nochmal aufzudecken. 00:56:46.620 --> 00:56:52.718 Und dass da aber auch meine Frage auf, wer ist denn eigentlich hier und wer ist denn nicht hier so demografisch gesehen, dass die kaum beantwortet werden konnte. 00:56:52.718 --> 00:56:54.443 Und ich glaube jetzt seit 20... 00:56:55.415 --> 00:57:02.265 2021 werden tatsächlich demografische Berichte auch veröffentlicht, die nochmal Auskunft darüber geben, wer ist da eigentlich. 00:57:02.265 --> 00:57:05.704 Demografisch? Demografisch, Herkunft, Alter, Gender. 00:57:06.265 --> 00:57:07.910 Ich habe keine Frauen gesehen. 00:57:08.603 --> 00:57:11.265 Na schon, doch, doch. Also nicht in der Gruppe. 00:57:11.265 --> 00:57:18.265 Das weiß ich nicht in der Gruppe, aber tatsächlich, da gibt es ein Missverhältnis, das ist nicht 50-50, aber es gibt durchaus Frauen bei der IETF. 00:57:18.265 --> 00:57:26.665 Und auch Herkunftsregionen und bin ich für die Zivilgesellschaft hier, bin ich für die Wirtschaft hier, bin ich für die Wissenschaft und Forschung hier. 00:57:26.665 --> 00:57:32.665 Also das ist ganz spannend, dass da jetzt auch schon, habe ich das Gefühl, auch mehr Interesse da ist, nochmal zu gucken, wer ist denn eigentlich nicht hier. 00:57:32.665 --> 00:57:36.384 Insofern ist die Frage spannend, aber ich glaube auch gerade ziemlich in den Köpfen vieler Menschen. 00:57:36.996 --> 00:57:47.061 Ja, da setzen sich natürlich auch gewisse Traditionen fort. Aber wenn man darauf blickt und bemerkt, ist ja schon erstmal der erste Schritt getan, oder? 00:57:47.664 --> 00:57:49.465 Würdest du es denn wieder tun? 00:57:50.545 --> 00:57:54.465 Also grundsätzlich ja. Ich meine, das war jetzt natürlich nicht wenig Arbeit. 00:57:54.465 --> 00:57:58.465 Und zum Teil, ich bin auch noch in anderen Arbeitsgruppen mit engagiert. 00:57:58.465 --> 00:58:01.465 Hast du noch andere Engagements zum Beispiel? Na ja, jetzt aber. 00:58:02.734 --> 00:58:06.465 Ich hatte ein sehr kurzes Engagement in einer Arbeitsgruppe, die sich Privacy-Pass nennt, 00:58:06.465 --> 00:58:09.465 die wesentlich kleiner ist, wo es um ein etwas kleineres Problem geht. 00:58:09.465 --> 00:58:13.437 Es gibt eine neue Arbeitsgruppe, die vor kurzem entstanden ist, die nennt sich Mimi. 00:58:13.527 --> 00:58:17.465 Mimi? Oh, da können viele mitmachen. Da können viele mitmachen. Nur Mimi. 00:58:18.164 --> 00:58:23.265 More Instant Messaging Interrupt, zum Glück haben wir schon darüber gesprochen, was Interrupt bedeutet. 00:58:24.087 --> 00:58:30.551 Und in der MLS-Arbeitsgruppe selbst wollen wir jetzt ein bisschen schauen, was es noch 00:58:30.625 --> 00:58:38.212 an Bedarf gibt, den wir nicht erschlagen haben im ersten Anlauf, im Sinne von Erweiterung für das Protokoll. 00:58:38.401 --> 00:58:44.545 Und weiteren Code? Würdest du daran auch noch mitwirken? Ja, und das tun wir auch faktisch. 00:58:44.545 --> 00:58:48.705 Also unser Alltag ist tatsächlich so ein bisschen, das hast du schon gesagt, 00:58:48.705 --> 00:58:51.913 sind irgendwie Enabler von Ende zu Ende Verschlüsselung. 00:58:52.183 --> 00:58:57.225 Das werde ich mir auf jeden Fall merken, mich demnächst so vorstellen. 00:58:57.225 --> 00:59:00.225 Soll ich dir ein T-Shirt für meinen Mann machen? Nein, tatsächlich. 00:59:00.225 --> 00:59:02.225 Er schimpft doch auch wirklich, oder? Nein, das geht tatsächlich. 00:59:02.225 --> 00:59:06.625 Ich ziehe das ein bisschen so in den Kakao, aber ich finde es sehr gut. 00:59:08.045 --> 00:59:14.415 Weil tatsächlich ist das das, was wir auch machen wollen. Wir wollen halt andere in die Lage versetzen, 00:59:14.415 --> 00:59:16.264 Ende-zu-Ende-Verschlüsselungen verwenden zu können. 00:59:16.985 --> 00:59:21.015 Und ein Schritt war natürlich, erst mal eine Spezifizierung dafür zu haben. 00:59:21.015 --> 00:59:24.033 Anderer Schritt war, eine Implementierung dafür zu haben. 00:59:24.492 --> 00:59:29.295 Das heißt wirklich Running Code, den man auch verwenden kann unter einer permissiven Lizenz, 00:59:29.295 --> 00:59:32.255 damit da die Hürde so gering wie möglich ist. 00:59:32.255 --> 00:59:36.535 Und der nächste Schritt ist es dann zu sehen, was braucht es denn eigentlich noch drumherum? 00:59:36.535 --> 00:59:41.655 Weil mit so einem Ende-zu-Ende-Verschlüsselungsprotokoll haben wir eigentlich nur so den Kern. 00:59:41.655 --> 00:59:46.655 Also wir haben uns das Ganze irgendwie als Auto vorgestellt, haben wir jetzt den Motor gemacht, 00:59:46.655 --> 00:59:49.014 aber der Rest vom Auto fehlt halt immer noch. 00:59:49.123 --> 00:59:51.935 Und vielleicht können wir dann auch das Getriebe oder sonst was dazu bauen. 00:59:51.935 --> 00:59:56.895 Und das ist jetzt, wo wir dran arbeiten, konkret. 00:59:56.895 --> 01:00:00.895 Also für mich war das eine große Erkenntnis, dass das so ein gemeinschaftlicher Prozess ist. 01:00:00.895 --> 01:00:05.055 Also dass das eben nicht so eine Abfolge ist, erst mal spezifizieren und dann den Code schreiben, 01:00:05.055 --> 01:00:09.585 sondern dass das zusammen gemacht wird, aber das schließt sich natürlich ein bisschen aus dieser Organisation in gewisser Weise. 01:00:09.873 --> 01:00:14.572 Wusste ich so nicht und ist ja vielleicht auch nicht, stimmt nicht unbedingt jetzt für jeden RFC, 01:00:15.094 --> 01:00:20.655 wenn man jetzt auf die Geschichte der RFCs guckt oder so, aber erscheint mir auch irgendwie so ein Ansatz, 01:00:20.964 --> 01:00:25.897 nachvollziehbarer Ansatz für eher praktische Probleme, was sie ja sind, ne. 01:00:26.815 --> 01:00:32.198 Also, aber um auf meine Frage zurückzukommen, würdest du es wieder tun, würde ich ein Och ja daraus hören. 01:00:32.315 --> 01:00:38.626 Oder ich bin schon dabei, habe ich eigentlich rausgehört. Genau, zum guten Teil bin ich dabei, deswegen stellt sich die Frage gar nicht. 01:00:39.229 --> 01:00:43.375 Aber würde ich nochmal eine Zeitreise machen, würde ich nochmal zurückgehen? 01:00:43.375 --> 01:00:46.800 Ja, ich würde es nochmal machen. Gewisse Dinge würde ich sicherlich anders machen. 01:00:47.457 --> 01:00:50.495 Also vielleicht wirst du mal ans Veteranenden, wie wir die vorhin genannt haben. 01:00:50.495 --> 01:00:54.335 Irgendwie 25 Jahre ITF, hier sind meine RFCs. 01:00:54.596 --> 01:00:57.423 Das glaube ich nicht. Ich habe da keinen langfristigen Plan. 01:00:57.735 --> 01:01:01.735 Das ist sehr zweckgebunden bei mir. Wenn da die Ziele erreicht sind, dann sind die erreicht. 01:01:01.735 --> 01:01:05.156 Was würdest du denn jemandem raten, der... 01:01:06.002 --> 01:01:09.468 Sich auch gerne einbringen will und das vielleicht für sich selbst eine Option findet? 01:01:09.846 --> 01:01:17.452 Ich würde die Person erst mal ermutigen, das zu machen, weil das nicht immer so ganz klar ist, 01:01:17.579 --> 01:01:23.652 wie man überhaupt mitmachen kann. Also es gibt glücklicherweise bei der ITF sehr viel schriftliche Dokumentation, 01:01:23.652 --> 01:01:25.652 die man auch filmen kann. 01:01:25.652 --> 01:01:28.310 Oh, was für ein Understatement! Das ist ein Wust! 01:01:28.850 --> 01:01:33.852 Genau, das ist gleichzeitig der Nachteil. Man ist so ein bisschen erschlagen. 01:01:33.852 --> 01:01:37.564 Man ist auch erschlagen von diesem Formalismus und was natürlich auch beängstigend wirkt, 01:01:37.987 --> 01:01:44.052 das muss man auch klar benennen, sind diese gewachsenen Strukturen, sind, naja, so demografische 01:01:44.052 --> 01:01:49.772 Ungleichheiten, sind Hürden, um da mitmachen zu können, eben man muss erstmal dahin reisen 01:01:49.772 --> 01:01:53.972 können und so weiter, muss die Zeit haben, muss das Budget dafür haben und dann eben 01:01:53.972 --> 01:01:58.467 auch der Umgangsstil kann befremdlich wirken am Anfang. 01:01:58.908 --> 01:02:05.138 Ich fand das eher nett zumindest. Er ist nicht unbedingt unfreundlich, er ist im Vergleich zu anderen Communities auch sehr nett, 01:02:05.642 --> 01:02:10.732 aber er kann anschüchternd wirken in dem Sinne, dass man sich vielleicht nicht traut, 01:02:11.151 --> 01:02:17.212 da mitzumischen, weil man den Eindruck hat, da sind Leute da, die haben sehr viel Kompetenz, 01:02:17.212 --> 01:02:21.492 man selbst hat die nicht unbedingt. Man will nichts Falsches sagen auf so einer Mailing-Liste, 01:02:21.492 --> 01:02:25.042 von der man gar nicht weiß, wie viele Tausende Leute da eigentlich mitlesen. 01:02:25.735 --> 01:02:34.052 Und in dem Sinne würde ich die fiktive Person, die da jetzt mitmachen will, nur ermutigen, 01:02:34.125 --> 01:02:35.304 das trotzdem mal zu versuchen. 01:02:35.430 --> 01:02:38.662 Gibt es da so Mentoren, Einstiegshilfen, irgendetwas? 01:02:39.229 --> 01:02:46.052 Also es gibt Einstiegshilfen, es gibt so Orientierungen zumindest bei den Konferenzen selbst, 01:02:46.052 --> 01:02:50.052 wo das einem auch nochmal ein bisschen näher gebracht wird und so weiter. 01:02:50.428 --> 01:02:54.052 Wie gesagt, man könnte es auch alles theoretisch nachlesen, aber auch da ist die Hürde irgendwo groß, 01:02:54.052 --> 01:02:57.052 Ich weiß nicht, was man eigentlich nachlesen soll und wo. 01:02:58.098 --> 01:03:04.468 Die nächste Sitzung der IETF wird ja auch nicht zu weit entfernt von hier stattfinden. 01:03:04.468 --> 01:03:07.281 Die ist im Herbst, wenn ich richtig informiert bin, in Prag. 01:03:07.588 --> 01:03:12.388 Also eine schöne Zugreise von Berlin oder von vielen anderen Orten in Deutschland entfernt. 01:03:12.700 --> 01:03:16.948 Und ich weiß nicht, ob das noch so ist, aber zumindest früher gab es durchaus auch gerade für Leute, 01:03:16.948 --> 01:03:24.828 die noch studieren oder promovieren, Stipendien von der IRTF, der Internet Research Task Force. 01:03:24.828 --> 01:03:29.388 Also ich weiß nicht, ob ihr euch da noch drauf bewerben könnt, aber tatsächlich das 01:03:29.388 --> 01:03:32.325 Finanzielle ist ein Faktor an der Teilnahme. 01:03:32.469 --> 01:03:37.308 Aber vielleicht gibt es da auch noch Möglichkeiten, die Interessierte, potenzielle, fiktive oder 01:03:37.308 --> 01:03:41.268 reale Interessierte ausschöpfen können, um wirklich einfach mal reinzuschnuppern. 01:03:41.268 --> 01:03:44.442 Und ich glaube, auf der Meldingliste den Mut aufzumachen, ist tatsächlich schwierig, bei 01:03:44.868 --> 01:03:48.028 so einem Treffen mal dabei zu sein. Das macht es dann schon konkreter. 01:03:48.772 --> 01:03:52.468 Ja, wahrscheinlich senkt das die Hürde. Also gut, dass du es ansprichst. 01:03:52.468 --> 01:03:55.948 Gibt es diese Hürde tatsächlich? Die Teilnahme kostet einfach was, es ist günstiger, wenn 01:03:55.948 --> 01:03:59.828 man es online macht, aber dann ist es eben auch nicht unbedingt das, was man haben will. 01:03:59.828 --> 01:04:08.548 Die Kosten werden einem in Sonderfällen wohl erlassen, aber die Sonderfälle sind relativ 01:04:08.548 --> 01:04:12.908 wenige, so wie ich das verstanden habe. Also das ist mit einer der Kritikpunkte, dass es 01:04:12.908 --> 01:04:15.788 diese finanzielle Hürde gibt für Interessierte. 01:04:15.941 --> 01:04:20.676 Ich hätte ja noch eine letzte Frage. Das ist quasi eine Gretchenfrage. Kann ich die noch loswerden? 01:04:21.126 --> 01:04:26.268 Welchen Messenger benutzt du? Ich musste diese Frage stellen, ich warte schon die ganze Zeit darauf. 01:04:26.268 --> 01:04:27.157 Na, und? 01:04:27.292 --> 01:04:33.324 Warum? Wir haben noch keinen MLS-basierten Messenger, aber da werden auf jeden Fall welche kommen. 01:04:33.576 --> 01:04:38.868 Ja, schön. Aber welchen benutzt du nun und warum? Im Alltag verwende ich momentan Signal, tatsächlich. 01:04:38.868 --> 01:04:44.828 Du hast also deine Telefonnummer abgegeben. Das ist einer der großen Kritikpunkte, ja. 01:04:45.684 --> 01:04:54.494 Hast du nur einen Messenger? Ich verwende natürlich auch mehrere, einfach weil ich daran interessiert bin, die zu vergleichen 01:04:54.494 --> 01:04:57.134 und zu sehen. Hey, Lisa, hast du auch den Eindruck, er will es nicht sagen? 01:04:57.846 --> 01:05:00.614 Naja, es ist ja auch die Frage mit der Schleichwerbung und so weiter, aber... 01:05:00.614 --> 01:05:04.894 Also die Frage wäre einfacher, welchen Messenger verwende ich nicht, aber sagen wir mal... 01:05:04.894 --> 01:05:07.047 Lass mich raten, Telegram. 01:05:07.174 --> 01:05:13.734 Guter Punkt, ja. Telegram versuche ich zu vermeiden, habe ich aber mal Spaß, es halber. 01:05:13.734 --> 01:05:16.734 Nein, wahrscheinlich musst du dich ja auch im Feld auskennen, du willst es wenigstens mal probieren. 01:05:16.734 --> 01:05:19.734 Klar, das ist wirklich auch berufliche Neugierde in dem Moment. 01:05:19.866 --> 01:05:25.672 Das heißt, du hast so einen Messenger-Zoo auf deinen diversen Endgeräten. Das ist ja auch niedlich. 01:05:25.734 --> 01:05:32.734 Ja, Raphael, dann wollen wir uns ganz doll bedanken. Du bist ein sehr, finde ich, geduldiger Erklärbär. 01:05:32.946 --> 01:05:40.526 Ich finde jedenfalls den Prozess, den du beschrieben hast, sehr gut verständlich. 01:05:40.734 --> 01:05:47.734 Und trotzdem, wir so ein bisschen festgestellt haben, dass die Organisation ja noch ein bisschen offener sein könnte und diverser, 01:05:47.734 --> 01:05:51.734 ist es glaube ich trotzdem ein recht einladenden Eindruck, zumindest bei mir hinterlassen. 01:05:51.833 --> 01:05:57.734 Also wer sich jetzt so für Engineering interessiert, denke ich, sollte da mal reinschnuppern. 01:05:57.734 --> 01:06:04.481 Ansonsten empfehlen wir selbstverständlich MLS zur Lektüre. Ich denke, der Überblick, den ihr geschrieben habt, der ist auch durchaus lesbar. 01:06:04.734 --> 01:06:09.909 Also den Problem aufrisst und so, den kann man schon verstehen, zumindest nach dem Hören von unserem Podcast, hoffe ich doch. 01:06:10.990 --> 01:06:18.318 Und ja, dann bedanken wir uns und hoffen, dass du unser kleinen Podcast, der die Dicke Bretter heißt übrigens. 01:06:19.488 --> 01:06:25.734 Weiterhin treuer Hörer bleibst und dass du auch in Zukunft dicke Bretter bohren wirst. 01:06:25.734 --> 01:06:31.734 Denn so ein Standardisierungs- oder jedenfalls der Versuch einer Standardisierung ist ja offenbar ein ordentlich dickes Brett. 01:06:31.734 --> 01:06:33.734 Ja, wirklich. Danke, Raphael. 01:06:34.044 --> 01:06:36.734 Ja, vielen Dank, dass ich hier sein durfte. Hat mir auch viel Spaß gemacht. 01:06:36.734 --> 01:06:38.573 Tschüss, liebe Hörer. Bis zum nächsten Mal. 01:06:39.600 --> 01:07:05.625 Music.