Brexit-Vertrag enthält 22 Jahre alte Netscape-Software

29.12.2020

Außerdem wird eine veraltete und als nicht mehr sicher geltende Verschlüsselung vorgeschrieben.

Dieser Artikel ist älter als ein Jahr!

Nach zähen Verhandlungen gab es am 24. Dezember ein politisches Weihnachtswunder. Die EU und Großbritannien konnten sich auf ein Brexit-Abkommen einigen. Nur einen Tag später musste der Entwurf des Vertrags stehen. Das Dokument mit 1.256 Seiten kann hier als PDF abgerufen werden.

Für Tech-Interessierte wird es auf Seite 932 interessant. Hier ist von Netscape die Rede und das Verschlüsselungen genutzt werden sollen, die längst als überholt und unsicher gelten.

Datenaustausch

Der besagte Teil befindet sich in der Vereinbarung zum Datenaustausch. Da Großbritannien mit dem Austritt nicht mehr die DSGVO der EU erfüllen muss, muss diesbezüglich ein neues Abkommen getroffen werden. Dabei geht es um den Austausch von biometrischen Daten (DNA, Fingerabdrücke) und Fahrzeugregisterdaten.

Dafür soll der Standard s/MIME verwendet werden. In dem Abkommen wird das so begründet: „s/MIME-Funktionalität ist in der Mehrheit der modernen E-Mail-Programme eingebaut, wie Outlook, Mozilla Mail und Netscape Communicator 4.x.“

Modern ist hier höchstens Microsoft Outlook. Von Mozilla Mail (nicht zu verwechseln mit Thunderbird) erschien das letzte Update im Jahr 2006. Der Netscape Communicator 4.x erschien erstmals 1998, das letzte Update 2002.

Alte Verschlüsselung

Außerdem sieht der Vertrag die Nutzung des Hash-Algorithmus SHA-1 vor. Der gilt seit 2005 als potentiell unsicher und seit 2017 als geknackt. Auch die vorgeschriebene Schlüssellänge von 1.024 Bit bei RSA gilt seit etwa 2010 als unsicher.

Laut Golem.de könnte es die veraltete Technologie in den Vertrag geschafft haben, weil mit Copy-Paste alte Verträge aus Zeitmangel kopiert wurden. So findet sich die Passage über den Datenaustausch in einem Dokument von 2008. Allerdings waren schon zu diesem Zeitpunkt Mozilla Mail und Netscape Communicator veraltet, weshalb man davon ausgehen kann, dass auch hier Copy-Paste von einem noch älteren Dokument gemacht wurde.

Da der Vertrag derzeit nur ein Entwurf ist, kann man darauf hoffen, dass das finale Abkommen überarbeitet wird und modernere Verschlüsselung zum Einsatz kommen wird.