Geheime technische Details zum Internetzensurgesetz aufgetaucht

Im Internet ist ein PDF-Slidedeck aufgetaucht, in dem Holger Wirtz vom Deutschen Forschungsnetz (DFN), die technische Umsetzung des Internetzensurgesetzes an Universitäten und anderen Forschungseinrichtungen skizziert. Demnach sollen an zentraler Stelle im DFN DNS-Server mit Bind 9 aufgesetzt werden, die zusätzlich einen Open-Source-DNS-Proxy bekommen sollen. Derzeit seien drei solche Server im Aufbau, die bis Ende 2009 im Testbetrieb laufen und ab 2010 in den Regelbetrieb übergehen sollen.

Die DNS-Proxies werden mit einem Closed-Source-Patch versehen, der die Sperrlisten vom BKA empfängt und gefälschte Antworten liefert. Diese Antworten werden als „Government Enhanced Response“ (GER, deutsch: erweiterte Regierungsantwort) bezeichnet.

An Universitäten sollen Administratoren ihre DNS-Server so umkonfigurieren, dass sie die GER-Server als Forwarder nutzen. Auf diese Weise liefern auch die lokalen DNS-Server an den Unis „erweiterte Regierungsantworten“. Darüber hinaus empfiehlt Wirtz, dass Universitäten Port 53 ausgehend sperren oder auf zensierte Server umleiten. Internetnutzer an Universitäten können diese Sperre mit der von ZDNet beschriebenen Methode leicht umgehen, etwa um arbeits- oder studienrechtliche Probleme beim versehentlichen Anklicken eines falschen Links zu vermeiden.

Als Herausforderung sieht Wirtz, dass DNS unterschiedliche Abfragen wie A, AAAA, ANY, MX, NS oder TXT vorsieht. Es dürften nur A- und AAAA-Abfragen verändert werden. Andere Abfragen, etwa MX, dürfe man nicht „verbessern“. Besonders problematisch sei ANY, da in der Antwort echte und „verbesserte“ Records gleichzeitig zurückgegeben werden müssten.

Programmtechnisch sei die Sperrliste als Hash implementiert. So lässt sich aus einem Domainnamen wie example.com zwar der Hash berechnen, aus dem Hash der Domainname jedoch nicht zurückberechnen. So soll verhindert werden, dass sich aus der Hashliste die Sperrliste rekonstruieren lässt.

Die Verwendung von Hashes birgt jedoch die Gefahr, dass mehrere Domains denselben Hashcode erzeugen. Das bedeutet, dass auch legitime Domainnamen quasi als Kollateralschaden auf der Sperrliste landen. Wenn der Hashalgorithmus bekannt wird – wovon auszugehen ist – lässt sich die Sperrliste jedoch mit einer Liste aller Domains und einer „geleakten“ Hashliste rekonstruieren.

Für das BKA ist die Einbeziehung des DFN in die staatliche Zensur ein Risiko. An Universitäten ist das Bewusstsein für das durch das Internetzensurgesetz geschaffene Unrecht besonders hoch. Studenten und Mitarbeiter, die versuchen, an die Sperr- oder Hashliste zu kommen, werden vielfach auf Verständnis stoßen.