Quelle

Digitale Signaturen

Verschlüsselung

Abhören etc.

Oliver Müller, LINUX-Magazin 4/97

-

Neuer Angriff auf den Wirtschaftsstandort Deutschland 

Droht das ``Aus'' der Kryptographie in Deutschland? 

Nachdem die USA den Export von Verschlüsselungstechnologien weiter engeschränkt haben, will auch die deutsche Bundesregierung nachziehen. Der Vertrieb und der Einsatz von Kryptosystemen soll verschiedenen Quellen zufolge künftig eingeschränkt und genehmigungspflichtig werden. Wer demnach in Zukunft Software und Hardware zur Verschlüsselung von Daten vertreibt oder einsetzt, die keine Möglichkeiten zum Mitlesen der Sicherheitsbehörden bieten, macht sich nach dem Willen der Regierung straftbar.  

...  

Laut Joerg Tauss (MdB, SPD) fand am 19.12.1996 ein vertrauliches Treffen der Referenten der Innenministerien aus Bund und Ländern statt, in dem sich die Teilnehmer für eine Beschränkung des Vertriebs und des Einsatzes von Kryptosystemen aussprachen.  

...  

S.42 ff

-
Dirk Fox, iX 5/1997 - siehe Abhören

Schutzmechanismen für's Internet 

Uneinsehbar

...  

Die Sicherheitsprobleme lokaler und globaler Rechnernetze sind lange bekannt, und schon vor vielen Jahren wurden Vorschläge und Konzepte entwickelt, die diese Lücken mit informationstechnischen Mitteln, insbesondere durch Verwendung kryptographischer Protokolle und Zugangskontrollmechanismen schließen sollen.  

...  

In absehbarer Zeit könnten daher sichere Internet-Verbindungen selbstverständlich sein - sofern die Nachfrage groß genug ist und nationale Kryptoregulierungen oder Exportbeschränkungen dies nicht verhindern.  

Mithören kann fast jeder  

Das Mithören ist die älteste und einfachste Angriffsform, ein passiver Angriff, der praktisch nicht verhindert oder festgestellt werden kann.  

...  

Da Routing-Rechner im Internet keinerlei Überprüfung auf Vertrauenswürdigkeit unterliegen und insbesondere große Internet-Provider ein kommerzielles Interesse an einer Auswertung der Kommunikationsdaten zu Werbezwecken haben, kann nicht grundsätzlich davon ausgegangen werden, daß das Fernmeldegeimnis (Art. 10 GG) im Internet eine besondere Beachtung genießt.  

...  
  


Schutz durch Kryptographie 

Schutz vor Abhörangriffen kann man durch eine Verschlüsselung der Daten erreichen. Damit wird ein Angriff nicht verhindert, wohl aber der Erfolg für den Angreifer: Ist das Verschlüsselungsverfahren gut, dann wird dieser die abgehörten Daten ohne den passenden Schlüssel nicht entschlüsseln können.  

...  

S.148 ff

iX 6/1997 -

Internet-Unternehmen suchen Krypto-Auswege 

Lobbyarbeit am Big Ben 

...  

Die jüngst vorgestellten Cryptography Guidelines der OECD heizen die internationale Diskussion um den Einsatz der Kryptographie wieder an.  

...  

Denn mit der vagen Festschreibung von Key-Recovery -Verfahren als künftige Standardlösung sind die wenigsten GIP-Vertreter glücklich. Auch mit der vorsichtigen Bejahung der OECD, daß Strafverfolgungsbehörden einen Zugriff auf die Kryptoschlüssel haben müßten, ist man nicht einverstanden.  

...  

Strittig ist vor allem der in einem Anhang zu den Richtlinien ( http://www.oecd.org/dsti/iccp/crypto_e.html ) ausgeführte Punkt 6, der sich mit dem `Lawful Access' befaßt.  

...  
  


Mit Kanther in die Abhörgesellschaft 

In der Bundesregierung entzünden sich offenbar Meinungsverschiedenheiten am Begriff der `Informationsgesellschaft'. Während sich Justizminister Edzard Schmidt-Jortzig (FDP) für freie Kommunikation stark macht - `Verschlüsselung schafft die technische Voraussetzung dafür, daß die Idee des Postgeheimnisses in die Zukunft übertragen werden kann' -, hält Kabinettskollege Manfred Kanther (CDU) offenbar daran fest, digitale Kommunikation per Gesetz abhörbar machen zu wollen.  

...  

Mit der Behauptung, Abhöraktionen leisteten einen sinnvollen Beitrag zur Verhinderung von Kriminalität, untermauerte er seine Forderung nach der ausschließlichen Verwendung von Schlüsseln, die für die Staatsorgane zugänglich sein müssen.  

...  



Andy Müller-Maguhn vom Chaos Computer Club hatte einen treffenden Vergleich parat:`Dies käme dem Vorschlag gleich, daß alle Bürger einen Nachschlüssel zu ihrer Wohnung und die Geheimzahl ihrer EC-Karte beim örtlichen Polizeirevier abgeben sollten.'  

...  

Redner von IBM und Certco versuchten im Anschluß an diese Positionen, eine Trennung zwischen Key Recovery und Key Escrow zu ziehen und die Vorteile der eigenen Lösungen darzustellen. Kritik an der künstlichen Unterscheidung (`Begriffsklauberei') äußerte vor allem Whitfield Diffie.  

...  

Auf kuriose Weise schlug sich hingegen Ulrich Sandl vom Bundeswirtschaftsministerium auf die Seite der Anwender. Sandl, der als Kryptographiebeauftragter an den OECD-Verhandlungen teilgenommen hatte, sah für Deutschland die Erlaubnis starker Kryptographie kommen.  

...  

Sandl bejahte ausdrücklich, daß eine Zugriffsmöglichkeit für die Strafverfolgungsbehörden gegeben sein muß.  

...  

S.14 ff

-
Oliver Müller, LINUX-Magazin 7/1997

Einführung in die Kryptographie - Teil 1

Achtung, Geheimsache!

...  

Durch ``digitale Unterschriften'' kann man ein elektronisches Dokument signieren, ähnlich wie beim handschriftlichen Unterzeichnen eines Dokuments aus Papier. Somit wären in Zukunft Verträge, behördliche Dokumente und ähnliches in digitaler Form denkbar. Möglich wäre es dann beispielsweise, seine Steuererklärung elektronisch zu verfassen oder Verträge online unter Dach und Fach zu bringen.  

...  

S.15 ff

Einführung in die Kryptographie - Teil 1

Achtung, Geheimsache!

Der Online-Markt boomt. Wer heute - gerade als Unternehmer - etwas auf sich hält, ist im Internet vertreten und nutzt die schnellen Kommunikationsmöglichkeiten dieses Mediums. Doch diese Präsenz bringt es mit sich, daß auch vertrauliche Daten, die nicht gerade für die Augen der Konkurrenz vorgesehen sind, über die öffentlichen Weiten und Tiefen des Internet übertragen werden müssen. Es ist also zwingend nötig, diese Daten vor fremden Augen zu verschließen. Wen wundert es dann noch, daß Verschlüsselungstechnologien Hochkonjunktur haben. In dieser und den folgenden Ausgaben werden wir die zugrundeliegenden kryptographischen Techniken näher beleuchten und einen spannenden Einblick in das Gebiet der Verschlüsselung geben.  

...  

S.15 ff

-
Oliver Müller, LINUX-MAGAZIN 8/1997 -

Einführung in die Kryptographie - Teil 2 

Steganographie 

Im Zuge der Diskussion um ein Kryptokontrollgesetz taucht immer wieder der Begriff der Steganographie auf. Wenn man Informationen schon nicht ``offen'' verschlüsseln darf, versteckt man sie eben in scheinbar harmlosen Daten. Wie diese steganographischen Daten arbeiten, zeigt dieser Beitrag.  

...  

S.21 ff

-
iX 8/1997 - -

Multimediagesetz passiert Bundesrat - Lauschangriff durch die Hintertür befürchtet 

Das umstrittene Informations- und Kommunikationsdienstegesetz ( IuKDG), auch Multimediagesetzt genannt, kann wie geplant am 1. August in Kraft treten. Der Bundesrat hat ihm am 4. Juli zugestimmt, ...  

..., daß durch eine Änderung der Strafprozeßordnung Mobiltelefone als Peilsende für die Erstellung von Bewegungsmustern herangezogen werden könnten.  

Überdies sollen Sicherheitsbehörden Mobiltelefone mit Spezialgeräten direkt abhören können - egal, wieviele Unbeteiligte dabei in derselben Funkzelle dabei mitbelauscht werden. Ganz nebenbei soll auch eine Regelung zugunsten des Verfassungsschutzes erweitert werden, nach der bisher nur das Zollkriminalamt in besonders schweren Fällen (etwa Handel mit Kriegswaffen) Telefone präventiv abhören darf.  

S.30

Florian Rötzer, telepolis 8.9.1997 siehe Verschlüsselung

Europäische Kommission: Freier Markt für Verschlüsselungstechniken 

...  

Indirekt, aber deutlich hat die europäische Kommission in einer während der European Internet Forum veröffentlichten Mitteilung über Europäische Richtlinien für digitale Unterschriften und Verschlüsselung die Versuche der amerikanischen Behörden kritisiert, auch auf globaler Ebene die Verschlüsselung zu begrenzen und Sicherheitsbehörden durch key escrow oder key recovery die Möglichkeit zu eröffnen, verschlüsselte Mitteilungen zu lesen.  

...

-
Wolfgang Hoffmann, DIE ZEIT, Nr. 38 vom 12.9.1997 

Was bei der Verabschiedung des sogenannten Signaturgesetzes vor Monaten befürchtet wurde, tritt nun ein. 

...  

Bisher ist das Bundesamt für Sicherheit in der Informationstechnik (BSI ) zuständig, das Informationssysteme sowie deren Komponenten prüft und die Datensicherheit mit dem Siegel des Bundesadlers amtlich beglaubigt.  

...  

Jetzt schafft Innenminister Manfred Kanther Fakten: Zwei Firmen, darunter die Daimler-Benz-Tochter Debis, haben sich bereits um die private Zertifizierung unter dem Hoheitszeichen beworben. Wie aus dem Innenministerium zu erfahren ist, stehen die Verhandlungen kurz vor dem Abschluß.  

...

- -
Hajo Passon, iX 10/1997 -

Cryptix - ein kryptographischer Werkzeugkasten 

Auf Nummer sicher 

Bei kryptographischen Anwendungen ist es nicht nur überflüssig, sondern auch gefährlich, ungenügend getestete eigene kryptografische Software einzusetzen. Die Kommerzialisierung des Internet, Intranet-Strukturen, die firmeninterne Nutzung öffentlicher Netze oder der Wunsch nach Vertraulichkeit der privaten Kommunikation - es gibt viele Faktoren, die den Bedarf nach gesichertem Datenaustausch steigen lassen. Cryptix ist ein Projekt, das kryptographische Routinen als Perl5- und als Java-Objektbibliothek - oder, wie es in korrekter Java-Terminiologie heißt - als Package zur Verfügung zu stellen. Die frei verfügbare Software entstand in Irland und unterliegt so nicht den US-Exportbeschränkungen, die dem PGP -Erfinder Philip Zimmerman das Leben schwer machten.  

...  

S.160 ff

-
c't 11/1997 -

Kryptoregulierung: Gefahr für Bürgerrechte oder Chance für Europa? 

Mitte September trafen sich auf Einladung von Privacy International (siehe http://www.privacy.org/pi/ ) namhafte Kryptologen sowie Vertreter von Regulierungsbehörden und Regierungen in den Räumen des Europäischen Parlaments in Brüssel.  

Die für eine nationale Schlüsselhinterlegungspflicht erforderliche Infrastruktur sei unmöglich bereitzustellen, betonten Matt Blaze (AT&T) und Carl Ellison (Cybercash). Ebenso sei es ausgeschlossen, hinterlegte Schlüssel gleichermaßen gegen den Zugriff Unbefugter zu schützen, ihre Zuordnung zu einer Person zu gewährleisten und sie dennoch ohne Zeitverzug berechtigten Einrichtungen zur Verfügung zu stellen. Ein Verzicht auf die nötige Sicherheit der Schlüssel, um die Effizienz des Verfahrens für Strafverfolgungs- und andere Behörden zu erhalten, hätte jedoch bei wachsender Bedeutung sicherer Kommunikation für lebensnotwendige Vorgänge katastrophale Folgen.  

...  

S.54

Ohr des Gesetzes 

Regierung will Abhörbefugnisse drastisch erweitern 

...  

Nun will ein Gesetzentwurf der Bundesregierung die Überweachungsvorschriften auch auf Telekommuniukation in `privaten' Netzen ausdehnen. Bisher blieben sie verschont, weil die dort benutzten Systeme keine für die Öffentlichkeit bestimmte Fernmeldeanlage darstellen. Entsprechende Änderungen an StPO , AWG und G-10-Gesetz finden sich jetzt im Entwurf eines Begleitgesetzes zum Telekommunikationsgesetz.  

...  

Die Überwachungsvorschriften sollen sich künftig auf jeden erstrecken, der geschäftsmäßig Telekommunikationsdienstleistungen erbringt oder daran auch nur mitwirkt. Diese Formulierung deckt sich mit der Begriffsbestimmung von §3 Nr. 5 TKG und wird dort definiert als `nachhaltiges Angebot von Telekommunikation einschließlich des Angebots von Übertragungswegen für Dritte mit und ohne Gewinnerzielungsabsicht'.  

...  

Zum `geschäftsmäßigen Erbringen von Telekommunikationsdienstleistungen' gehören nach der Begründung des TKG-Entwurfs auch Nebenstellenanlagen in Hotels und Krankenhäusern, ...  

S.136 ff

Thomas Weihrich, GATEWAY 11/1997 -

Internet-Sicherheit, Teil 5: Schlüsselverwaltung 

Schlüsseldienst 

...  

Eine Schlüsselverwaltung für das Internet sollte gut >>skalieren<<. Das heißt, der Aufwand darf bei steigender Zahl von Kommunikationspartnern nicht überproportional anwachsen. Gegenwärtig ist nur eine Methode verfügbar: Die Schlüsselverwaltung wird auf einer authentisierten Public-Key-Infrastruktur aufgebaut. Eine Alternative sind X.509-Zertifikate, die eine Institution herausgibt, die durch die öffentliche Hand dazu ermächtigt wurde.  

...  

Eine zweite Möglichkeit ist das >>Domain Name System<< (RFC2065). Das dritte Verfahren ist das >> Web of Trust<<, ein Netz von Personen, die sich kennen.  

...  

S.118 ff

-