X-pire! - Ein Verfallsdatum für digitale Daten

Wir geben hier eine ausführlichere Beschreibung von X-pire!, insbesondere dessen Funktionsweise, Anwendungsmöglichkeiten und Einschränkungen. Im folgenden finden Sie:

Warum eigentlich ein Verfallsdatum?

Seit einigen Jahren erleben wir eine erhebliche Veränderung in der Handhabung von Informationen. Früher wurden Informationen, die keiner expliziten Archivierung unterlagen nach einiger Zeit ''vergessen''. Viele Dokumente wie z.B. Notizzettel gingen entweder verloren oder wurden entsorgt; andere Dokumente wie Leserbriefe an Zeitungen waren nur noch über deren Archive zugänglich; Bilder, Dias etc. verschwanden in Kisten und gerieten in Vergessenheit.

Heute ist dies in vielerlei Hinsicht anders: Daten, die einmal in elektronischer Form veröffentlicht wurden, sind oftmals unbegrenzt verfügbar. Daten werden nicht nur in Suchmaschinen aufgenommen oder zwischengespeichert, sie werden häufig auch zusätzlich in Internet-Archiven für die Ewigkeit konserviert. Die Ursache dieser Entwicklung ist die Tatsache, dass heutzutage große Datenmengen effizient und vollautomatisch durchsucht werden können, und man diese Datenmengen aufgrund des günstigen Speicherplatzes auch langfristig speichern kann. Das Ergebnis ist ein schier ''unendliches Gedächtnis'', welches sekündlich weiter mit privaten Informationen gefüttert wird: Bilder sind in Sekunden in sozialen Netzwerken eingestellt, Nachrichten auf Diskussionsseiten und elektronischen Pinnwänden in Sekunden geschrieben. Kaum jemand bedenkt jedoch, dass diese Informationen noch nach vielen Jahren im Internet für jedermann zu finden sein werden. Die daraus resultierenden Probleme sind jedoch in zahlreichen Fällen gravierend. So bereiten Bilder, die beispielsweise von Jugendlichen ohne weiteres Nachdenken online gestellt werden, zum Zeitpunkt des Einstellens keinerlei Probleme; Jahre später hingegen kann die öffentliche Verfügbarkeit dieser Bilder nachhaltig Probleme bei der Jobsuche etc. bereiten.

Sobald Daten einmal veröffentlicht wurden, können sie normalerweise nicht mehr vollständig gelöscht werden. Dies lässt den Benutzern im Moment lediglich zwei Möglichkeiten: entweder keinerlei Informationen von sich preiszugeben, oder den vollständigen Verlust der Kontrolle über ihre Informationen in Kauf zu nehmen. In unserer immer stärker digital vernetzten Welt mit ihren vielfältigen Nutzen und Zwängen insbesondere im sozialen Austausch ist es nur verständlich, dass Benutzer sich in Ermangelung eines Mittelwegs nahezu immer für die zweite Variante entscheiden, meist entgegen ihrem Wunsch nach Kontrolle über ihre privaten Daten. Kurz gesagt: Es fehlt ein eben solcher Mittelweg, der die Kontrolle über den Verfall privater Daten beim Benutzer lässt, und ihm dennoch erlaubt, die vielfältigen Vorteile der sozialen Präsenz im Internet zu nutzen.

Beschreibung des digitalen Verfallsdatums X-pire!

Wir stellen mit X-pire! einen solchen Mittelweg anhand eines digitalen Verfallsdatums vor. X-pire! kann Bilder verschlüsseln und sie mit einem Ablaufdatum verknüpfen. Die verschlüsselten Bilder können im Anschluss ins Internet, insbesondere in soziale Netzwerke wie Facebook, wer-kennt-wen und Flickr eingestellt werden. Nach Erreichen des Ablaufdatums ist ein Anzeigen dieser Bilder nicht mehr möglich; die Bilder sind verfallen. Obwohl der Schutz von Bildern das Hauptanwendungsgebiet für ein elektronisches Verfallsdatum darstellt ist das Grundkonzept von X-pire! ebenso geeignet, andere Daten wie z.B. Blogs, ganze Webseiten, eMails und Videos verfallen zu lassen. Im Folgenden beschreiben wir die Funktionsweise von X-pire! anhand konkreter Anwendungsszenarien.

Das Grundkonzept hinter X-pire!

Alle Bilder, die deren Eigentümer veröffentlichen möchte, werden von der Erstellungssoftware von X-pire! mit einem individuellen Schlüssel verschlüsselt und dann in verschlüsselter Form zur Verfügung gestellt. Der hierzu verwendete Schlüssel erhält vom Dateneigentümer zusätzlich ein Ablaufdatum und wird im Anschluss auf einen von einer vertrauenswürdigen Organisationen zur Verfügung gestellten Schlüssel-Server hochgeladen (Schritt (1) in Abbildung 1). Das verschlüsselte Bild kann im Anschluss ins Internet, z.B. in Facebook eingestellt werden (Schritt (2) in Abbildung 1).

Möchte nun jemand ein eingestelles Bild betrachten, wird über eine Browsererweiterung zum Anzeigen von X-pire! Bildern der für die Entschlüsselung des Bildes notwendige Schlüssel von dem entsprechenden Schlüssel-Server heruntergeladen, das Bild entschlüsselt und im Anschluss das Bild unverschlüsselt angezeigt (Schritt (3) in Abbildung 1). Dieser komplette Vorgang geschieht vollautomatisch im Hintergrund; im Vergleich zum normalen Betrachten der Webseite hat der Nutzer keinerlei Mehraufwand, außer gegebenenfalls ein CAPTCHA zu lösen (Näheres wird unten beschrieben). Ist das Ablaufdatum einmal erreicht, wird der Schlüssel von den Schlüssel-Servern nicht mehr herausgegeben. Somit ist ab diesem Zeitpunkt ein Betrachten des Bildes nicht mehr möglich; das Bild ist verfallen.

Die Idee, dass alle veröffentlichten Daten vom Nutzer nur verschlüsselt zur Verfügung gestellt werden und die Schlüssel auf vertrauenswürdigen Servern zu speichern, löst das Problem jedoch noch nicht vollständig. Einerseits erfordert ein Verfallsdatum für Bilder in sozialen Netzwerken wie Facebook, wer-kennt-wen und Flickr zusätzliche Funktionalität, da solche Seiten die hochgeladenden Bilder vor dem eigentlichen Veröffentlichen verändern (erneute JPEG Kompression), und damit die Verschlüsselung zerstören würden. Andererseits muss verhindert werden, dass ein Angreifer eine große Anzahl von Schlüsseln vollautomatisch speichern kann und sich somit uneingeschränkten Zugriff auf all diese Daten bewahrt. Beide Aspekte werden im Folgenden kurz behandelt.

Benutzung von X-pire! in sozialen Netzwerken

Soziale Netzwerke wie Facebook, wer-kennt-wen und Flickr verändern hochgeladende Bilder vor deren eigentlicher Veröffentlichung durch JPEG Kompression, was die Verschlüsselung völlig und unweigerlich zerstören würde; die Konsequenz wäre, dass sich niemand mehr diese Bilder ansehen kann; sie verfallen sozusagen augenblicklich. X-pire! verhindert dies durch einen neuartigen Ansatz, eine Verschlüsselung derart vorab zu behandeln, dass sie eine solche Kompression unbeschadet übersteht. Etwas technischer: Wir betten die Verschlüsselung in diejenigen Bildteile ein, die eine JPEG Kompression weitestgehend unbeschadet überstehen, und verwenden fehler-korrigierende Codes, um die Verschlüsselung wieder vollständig aus dem veröffentlichten Bild zu rekonstruieren. Diese Einbettung erlaubt es, X-pire! in sozialen Netzwerken einfach und schnell einzusetzen.

Was kann X-pire! garantieren und was nicht?

Wir betonen hier, dass X-pire! (oder eine andere technische Lösung) keinen Verfall garantieren kann, wenn der Angreifer den Schlüssel für eine bestimmte verschlüsselte Datei speichert, während das Bild noch nicht verfallen ist (oder äquivalent: das Bild in sichtbarer Form) - ein solches manuelles Kopieren sichtbarer Bilder liegt in der Natur der Sache und kann technologisch nicht verhindert werden; im Extremfall kann man ein Bild während seiner sichtbaren Zeit immer noch abfotographieren und erneut ins Netz einstellen. Was X-pire! hingegen verhindern soll (und verhindert) ist, dass im Nachhinein auf Daten, deren Schlüssel bereits abgelaufen sind, zugegriffen wird. In anderen Worten: Sofern ein Bild nicht vor seinem Verfallsdatum manuell kopiert und neu ins Internet eingestellt wurde, garantiert X-pire! den Verfall der Bilder. Dies ist das technologisch maximal Erreichbare. Wir betonen daß automatisch erstellte Archive der geschützten Bilder, zum Beispiel durch Google-Cache, in der momentanen Form ebenso verfallen wie das Originalbild. Es wäre jedoch technologisch möglich die bestehenden vollautomatisch durchgeführten Such- und Archivierungsmechanismen derart mit der X-pire! Software interagieren zu lassen, dass die ungeschützten sichtbaren Bilder archiviert werden. Dies wäre klarer Weise eine Unterwanderung des Datenschutzes, so dass wir ein solches Vorgehen der grossen Such- und Archivierungsdienste für ausgeschlossen halten. Um sich dennoch vor dieser Eventualität zu schützen stellt X-pire! weiterhin einen optionalen Schutz zur Verfügung der ein solch vollautomatisches Abgreifen und Archivieren signifikant erschwert. X-pire! realisiert dies durch sogenannte CAPTCHAs (kleine bildbasierte Puzzle). Jeder Benutzer kann für seine Bilder entscheiden ob er CAPTCHAs aktivieren möchte. Sofern CAPTCHAs aktiviert sind muss beim Download des Schlüssels dem Schlüssel-Server das Ergebnis eines CAPTCHAs mitgeteilt werden. Die zusätzliche Benutzerinteraktion erhöht den Aufwand für Angreifer erheblich und erschwert das automatische Abgreifen einer großen Anzahl von Schlüsseln signifikant. Da in diesem Fall aber auch das Ansehen des Bildes durch ehrliche Benutzer das lösen von CAPTCHAs, und damit unerwartete Mehrarbeit beim browsen, erfordert sind sie standardmässig ausgeschaltet.

Kurz zusammengefasst:

Was kann X-pire?

  • X-pire! kann Bilder (im JPG Format) verschlüsseln und sie mit einem Ablaufdatum verknüpfen. Die Erweiterung von X-pire! auf andere Datenformate ist in der Mache.
  • Die verschlüsselten Bilder können in den sozialen Netzwerken Facebook, wer-kennt-wen und Flickr verlinkt werden (sowie auf allen  Webseiten ohne Bildnachbearbeitung, z.B. der eigenen Homepage).
    • Werden sie mit einem Browser, in dem X-pire! installiert ist, betrachtet, wird vor dem konfigurierten Ablaufdatum das entschlüsselte Bild angezeigt. Nach dem Ablaufdatum ist dies nicht mehr möglich; die Bilder sind verfallen. 
    • Werden sie mit einem Browser, in dem X-pire! nicht installiert ist, betrachtet - oder mittels einer anderen Software zum Betrachten von Bildern - wird lediglich ein Schwarz-Weiss-Bild angezeigt, mit einem Text, wo X-pire! (zum kostenlosen Anschauen) herunter geladen werden kann; das eigentliche Bild bleibt geschützt.
  • X-pire! schützt die Nutzer vor dem momentan benutzten automatischen und großflächigen Archivieren Ihrer Bilder. Die optionale Benutzung von Captchas bietet zusätzlichen Schutz.
  • Weiterhin bietet X-pire! eine Benutzerverwaltung der eingestellten Verfallsdaten, welche das Verlängern und Verkürzen bestehender eigener Verfallsdaten ermöglicht, bis hin zum augenblicklichen Verfall.
  • X-pire! als Plugin zu entwerfen hat weitere Vorteile für die Benutzerfreundlichkeit: eventuell auftretende Fehler können leicht ohne zusätzliche Schritte des Benutzers korrigiert werden; neue Versionen von X-pire! können vollautomatisch aufgespielt werden.

 

Was kann X-pire! nicht?

  • X-pire! ist ein Browserplugin für den Firefox - ohne Firefox funktioniert das Programm nicht. Erweiterungen für andere Browser sind angedacht.
  • X-pire! bietet keinen Schutz gegen vorsätzliches Kopieren eines Bildes während der Gültigkeitsdauer (zum Beispiel durch einen Screenshot). D.h. die Verwendung dieser Software ist kein Freifahrtschein - Der gewissenhafte und bewußte Umgang mit den eigenen Daten im Internet bleibt Grundvoraussetzung für den Schutz der eigenen Privatsphäre.

Wer profitiert von X-pire!

Jeder Nutzer von X-pire! kann individuell und mit einem einzigen Handgriff Bilder (später auch ganze Homepages, Blogs, etc.) mit einem digitalen Verfallsdatum versehen. Die Benutzung von X-pire! vermindert spätere negative Konsequenzen, die oftmals durch unachtsam eingestellte Bilder nach vielen Jahren entstehen.

X-pire! ist prinzipiell für jeden interessant, der sich um seine Privatsphäre sorgt während er im Internet und insbesondere in sozialen Netzwerken aktiv ist. Wir erwähnen hier lediglich zwei konkrete Anwendungsszenarien von X-pire! für die private Nutzung; eine Vielzahl weiterer Anwendungsszenarien liegen auf der Hand, z.B. als eine bequeme Möglichkeit, Informationen automatisch nach einer selbstgesetzten Frist auf seiner Homepage unleserlich zu machen, etc.

  • Jüngere Benutzer (zwischen 12 und 18 Jahren), die soziale Netzwerke in einer selbstverständlichen und für ihr Leben zentralen Art und Weise benutzen: sie tauschen sich aus, verabreden sich und bleiben in Kontakt. Hierbei sind sie meist sorglos im Umgang mit persönlichen Informationen, insbesondere mit eingestellten Bildern. Dies identifiziert insbesondere die besorgten Eltern der Jugendlichen als potenzielle Interessenten von X-pire!. Wir glauben in diesem Rahmen an Abkommen im Familienkreis: Die Eltern akzeptieren, dass sie Ihre Teenager in der heutigen Zeit nicht von der sozialen Interaktion im Internet ausschließen können; statt dessen wird vereinbart, dass ihre Teenager Bilder lediglich mit einem Verfallsdatum von wenigen Wochen ins Netz stellen. Ein unserer Ansicht nach für beide Parteien realistisches Szenario, da die Benutzung von X-pire! dem Teenager nahezu keine Zeit raubt.
  • Internetnutzer zwischen 18 und 55 Jahren, bei denen das Interesse am Schutz der eigenen Privatsphäre auf Basis der im täglichen Umgang mit dem Internet gewonnen Erfahrungen und der daraus resultierenden Bedürfnisse überwiegt. Diese Gruppe ist ebenso wie die Jüngeren regelmäßig in sozialen Netzwerken aktiv. Zu der privaten Nutzung kommen jedoch auch zunehmend berufliche Interessen.