Niemand hat die Absicht, eine Straftat zu begehen
Hacker*innen verwenden oft kryptografische Hashes, um (nachträglich) belegen zu können, dass sie zu einem bestimmten Zeitpunkt bestimmte Informationen über Schwachstellen erlangt haben. Ich nutze dieses Verfahren jetzt mal, um einen Schritt weiter zu gehen:
Ich möchte mich nicht damit profilieren dass ich eine Schwachstelle als erstes gefunden habe - ich möchte mit diesem Verfahren im Vorfeld belegen, was für Absichten ich mit einem konkreten Forschungsprojekt verfolge. Warum mache ich das? Ganz einfach: Weil ich in Deutschland lebe und ich in diesem Land mittlerweile Angst davor haben muss meiner Arbeitsgrundlage beraubt zu werden, weil ich Hacker bin und gefundene Schwachstellen melde. Aufgrund dieser Angst rate ich vielen Hacker*innen heutzutage oft dazu, komplett auf Responsible Disclosure zu verzichten, und gnadenlos alles anonym im Internet zu veröffentlichen. Weil ich allerdings in diesem konkreten Fall verhindern möchte dass Dritte in den Daten anderer Leute müllen, kann ich das nicht einfach anonym veröffentlichen: Ich muss mich mit diesem Finding an Behörden wenden, denn es sind Behörden, die das verkackt haben Daten sicher zu erheben und zu verwalten. Und da ich in Deutschland lebe und damit rechnen muss, dass ich für einen solchen freiwilligen Dienst vor Gericht gezerrt werde, möchte ich auf diesem Wege den SHA-256 Hash meiner Absichtserklärung für dieses Projekt veröffentlichen: 5c08aa745f493ecd180ebcf996f93d977cef824a42fe1d15a8042c094846b12b
Ob so eine Erklärung am Ende hilft, weiss ich natürlich erst wenn es ernst wird. Ich werde berichten.