Hallo zusammen,
habe gerade auf heise gelesen, dass nun die Volksverschlüsselung dank Telekom und Fraunhofer SIT verfügbar ist (erst für Windows, andere OS sind geplant).
Mehrfach ist in diesem Zusammenhang von "Open Source" Software die Rede, denn ja, der Quelltext soll verfügbar sein (habe ihn aber nicht auf der Webseite [1] gefunden). Aber von Freier Software, welche wir als Synonym für Open Source Software betrachten, kann keineswegs die Rede sein. Ein paar Auszüge aus der EULA [2]:
Fraunhofer räumt dem LIZENZNEHMER unentgeltlich ein zeitlich und räumlich unbegrenztes, nicht - ausschließliches, nicht übertragbares, nicht unterlizenzierbares Recht ein, die SOFTWARE für private Zwecke kostenlos [...] zu gebrauchen.
Es ist dem LIZENZNEHMER nicht gestattet, die SOFTWARE selbst oder Teile davon zu vervielfältigen, außer es wird ausdrücklich durch diese Bedingungen gestattet.
Es ist dem LIZENZNEHMER nicht gestattet, die SOFTWARE selbst oder Teile derselben zu modifizieren, anzupassen, in andere Programmiersprachen zu übersetzen oder sie in ein anderes Programm zu integrieren.
Mit dieser SOFTWARE werden personenbezogene Daten des LIZENZNEHMERS im Sinne des § 3 Absatz 1 des Bundesdatenschutzgesetzes (BDSG) zum Zwecke der Verarbeitung erhoben.
Was sagt denn eigentlich die FAQ [3] zu diesem Thema?
*Ist die Volksverschlüsselungs-Software Open Source?*
Das ist eine schwierige Frage, weil "Open Source" vielfältig verwendet wird. Die Software ist "Open Source", in einem umgangssprachlichen Sinn, weil der Quelltext offen gelegt wird. Sie ist nicht "Open Source" im Sinne der Open Source Initiative. Dort wird u.a. verlangt:
"Die Lizenz darf niemanden in seinem Recht einschränken, die Software als Teil eines Software-Paketes, das Programme unterschiedlichen Ursprungs enthält, zu verschenken oder zu verkaufen. Die Lizenz darf für den Fall eines solchen Verkaufs keine Lizenz- oder sonstigen Gebühren festschreiben."
Mit dieser Lizenz würden wir es nicht schaffen, die Volksverschlüsselung dauerhaft für die private Nutzung kostenlos zur Verfügung zu stellen.
PGP ist ein Beispiel für ein "Open Source" - Produkt, das nicht die OSI-Definition erfüllt. Diese Definition kam erst 1998 auf, lange nachdem der Begriff schon im Gebrauch war.
Aus unserer Sicht sind die Worte "Open Source" für die Volksverschlüsselung nicht entscheidend. Uns kommt es darauf an, dass sich wirklich jeder von der Vertrauenswürdigkeit der Volksverschlüsselungs-Software überzeugen kann. Und das erreichen wir durch die Offenlegung des Quelltextes.
...und...
*Unter welcher Lizenz wird die Volksverschüsselungs-Software veröffentlicht?*
Wir sind dabei die Lizenz zu definieren. Das ist ein schwieriges Unterfangen, wir bitten daher noch um etwas Geduld. Die Lizenz wird auch festlegen, ob und wie andere sich beteiligen können und wie wir mit Hinweisen auf Sicherheitslücken umgehen, sollten solche gemeldet werden.
Interessant ist, dass Teile der Software auf Programmen u.a. unter den Lizenzen GNU GPL (Open eCard), Apache 2.0 oder MIT (Bouncy Castle), aufbauen, also Freie Software.
Schade, dass der Vertrauensvorsprung durch Freie Software von renommierten Instituten nicht genutzt wird und aus eher fadenscheinigen Gründen selbst laxe FLOSS-Lizenzen nicht den Ansprüchen genügen.
Viele Grüße Max
[1] https://www.volksverschluesselung.de [2] https://volksverschluesselung.de/doc/VV-Private-EULA.pdf [3] https://www.volksverschluesselung.de/faq.php