Die Bedeutung der ``Trusted Third Parties (TTPs)''

Schlüsselverwaltung, Authentifizierung und Zertifizierung

[Lesehinweis: Für den folgenden Abschnitt wurde die Vorgehensweise ``vom Allgemeinen zum Besonderen'' gewählt. Zuerst werden Begriffe diskutiert, dann Konzepte vorgestellt und schließlich auf Implementierungsfragen (technische und juristische) eingegangen.

Im vorliegenden Text werden die Begriffe `trusted third party', `vertrauenswürdiger Dritter', `vertrauenswürdige dritte Instanz' usw. synonym gebraucht.]

Wann ist ein `Dritter' ein `Dritter'? Und wozu wird ein `vertrauenswürdiger Dritter' benötigt?

``Zwei Menschen, die sich allein und ohne Ausweis begegnen, können sich ihre Identität gegenseitig nicht beweisen. Sie brauchen dazu ein bestätigendes soziales Umfeld. Entweder sind sie von vertrauenswürdigen Instanzen, z.B. Einwohnermeldeämtern, mit Identitätsausweisen versehen worden, oder sie werden von einer vertrauenswürdigen dritten Person einander vorgestellt. Beide Verfahren setzen vertrauenswürdige Dritte ein.'' [Grimm 1996]

`Trusted Third Party` ist ein englischer Begriff. Das Wort `trust' wird vom Oxford Dictionary mit Vertrauen übersetzt. Demzufolge heißt die `trusted third party' auf Deutsch `vertrauenswürdige dritte Partei'. Eine feinere Übersetzung würde `vertrauenswürdiger Dritter' wählen.

Gemeint ist eine Instanz mit unabhängiger Stellung gegenüber zwei Parteien, die zueinander in einer bestimmten Beziehung stehen. Für den Konfliktfall, Garantien, Interessenvertretung oder notwendige treuhänderische Aufgaben bestimmen die beiden Parteien diese Instanz zum Dritten und vereinbaren untereinander, deren Entscheidungen zu akzeptieren. Werden Regeln oder ein Protokoll vereinbart, nach dem die Parteien vorgehen wollen, wird eine unabhängige Instanz zur Überwachung der Einhaltung der Regeln bestimmt. Oft wird von ihr auch die Abwicklung der Protokolle gesteuert.

Im Sport nennt man solche Instanzen Schiedsrichter. In der Rechtsprechung ist es der Richter, der nach Interessenabwegung sein Urteil fällt. Andernorts werden Vermittler und Ombudsmänner berufen.

Festzuhalten bleibt, daß eine `vertrauenswürdige dritte Instanz' in einer (interessen-) unabhängigen Position gegenüber den beiden ersten Parteien stehen muß. Besteht dagegen die Möglichkeit, daß der `Dritte' selbst in einen Interessenkonflikt bezüglich der Wahrnehmung seiner Aufgaben gerät, ist das Vertrauen schnell erschüttert. Nicht zuletzt muß die Durchsetzung der Entscheidungen des `Dritten' gesichert sein, sonst verlieren er und seine Funktion ihre Glaubwürdigkeit. Dies sind keine neuen Erkenntnisse. Trotzdem sollte im Vorfeld der folgenden Ausführungen noch einmal klargestellt werden, was die herkömmliche Auffassung über Aufgabe und Stellung einer `trusted third party' ist.

Im Zusammenhang mit `digitalen Signaturen' sollen Trusted Third Parties die Funktion der Certification Authorities in einer Schlüsselverwaltungsinfrastruktur (key management infrastructure) übernehmen. Das wird später genauer augeführt werden.

Das Problem der Authentizität von Kommunikation

Seit den 70'er Jahren vollzieht sich eine Entwicklung hin zur elektronischen Vernetzung. Diese Entwicklung hatte Vorläufer in anderen Kommunikationsnetzen: Post, Zeitungswesen, Rundfunk und Telefonnetz. Dieses waren in den letzten Jahrhunderten (national-)staatliche Netze. Erst im Zeitalter des Internet werden die Grenzen für die Kommunikation aus nationalstaatlicher Perspektive aufgehoben. Gleichzeitig geht damit auch der Schutz verloren, den der Staat als Nationalstaat bieten kann: nationale Gesetze und Behörden zu deren Durchsetzung. Datenschutz und Versicherungsschutz seien hier nur als Stichworte genannt. Auch wachsen auf dem Weg in die Informationsgesellschaft die Begehrlichkeiten aller möglichen Institutionen -staatlicher und nichtstaatlicher-, an die Ressource Information zu gelangen, länderübergreifend (siehe z.B. [Ruhmann/Schulzki-Haddouti 1998]).

Die Grenzen öffnen sich noch in einem anderen Sinne: Materie wird ersetzt durch elektrische Impulse und Ladungen, durch Magnetflüsse und -felder, wandelbarer in Raum und Zeit, als Papier, Medium der letzten zwei Jahrtausende. Damit ermöglichen sie eine Beschleunigung und Vervielfachung der Kommunikation ohne Gleichen. Aber auch diese Grenzöffnung hat ihren Preis: die Sicherheit und Haltbarkeit, die Papier bieten kann, finden in elektronischen Welten kein Pendant. (``Das Internet hat kein Gedächtnis.'')

Die moderne Kommunikation kann ohne Kopien gar nicht mehr existieren. Permanent werden Daten zwischengespeichert, in papierner oder in elektromagnetischer Form. Längst schon ist nicht mehr überschaubar, wer wo und wie die Gelegenheit hat, elektronische Kommunikation zu belauschen, zu verfälschen und zu verhindern. Und daß solche Möglichkeiten weidlich ausgenutzt werden, zeigen z.B. die Berichte über das von der NSA installierte Echelon-System (z.B. [c't 5/98], S.82 ff).

Ein Mittel, Inhalte von Kommunikation erstens abzusichern (d.h. ihre authentische Übermittlung sicherzustellen) und zweitens geheimzuhalten, ist die Verschlüsselung. (Ein anderes, deutlich aufwendigeres Mittel ist die Installation abgeschlossener Kommunikationskanäle, wie z.B. das `rote Telefon` zwischen Weißem Haus und Kreml.)

Schlüsselverwaltung für Verschlüsselungsverfahren

Zur Illustration der Bedeutung der Schlüsselverwaltung ein Zitat aus [Schneier 1996], S.33:

``Bei einem guten Kryptosystem hängt die Sicherheit vollständig von der Kenntnis des Schlüssels und nicht von der Kenntnis des Algorithmus' ab. Deshalb ist die Schlüsselverwaltung in der Kryptographie auch so wichtig.''

Verschlüsselung kann symmetrisch oder asymmetrisch vorgenommen werden. Im Falle der klassischen, symmetrischen Verschlüsselung sind Geheimhaltung und Authentifizierung [1] relativ leicht sicherzustellen:

(1) Es gibt nur einen Schlüssel. Kopien davon bekommen alle Kommunikationsteilnehmer. Solange der Schlüssel geheim bleibt, kann niemand außerhalb des Kreises der Schlüsselinhaber Nachrichten lesen oder (ver-)fälschen.

(2) Wenn sich immer nur je zwei Personen einen Schlüssel `teilen', d.h. über eine Kopie verfügen, kann der Empfänger sicher sein, daß eine Nachricht authentisch ist. Solange der Schlüssel geheim bleibt, muß man hinzufügen. Die Frage nach der Authentizität der Kommunikation reduziert sich dann auf die Frage nach der Authentizität des Schlüssels.

So schön es klingt, das Verfahren hat gravierende Nachteile. Die zwei größten Nachteile sind, daß (1) der Schlüssel von mindestens zwei Personen geheimgehalten werden muß und (2) bei einer genügend großen Anzahl von Teilnehmern sehr große Mengen von Schlüsseln anfallen. Dies läßt sich grafisch sehr gut verdeutlichen:

Wer nachzählt, kommt auf 5 + 4 + 3 + 2 + 1 = 15 mögliche Kommunikationswege. Sollte jeder Weg abgesichert werden, müßte je ein Schlüssel in zwei Kopien bereitgestellt werden. Da zu einer Kommunikation immer zwei Teilnehmer (communicants) gehören, gibt es 30 Stellen, an denen irgendein Schlüssel geheim bleiben muß. Dazu kommt das Problem der Schlüsselverteilung. Die Schlüssel müssen nicht nur geheimgehalten werden, sie müssen auch zur Übergabe sicher transportiert (key transport) werden. Damit benötigt man zusätzlich 15 sichere Kommunikationskanäle allein für die Übermittlung der Schlüssel.

In weltumspannenden, elektronischen Netzen wächst daraus eine praktisch unlösbar scheinende Verwaltungsaufgabe. Eine elegante Lösung zur Reduktion des Verwaltungsaufwandes, stellt die Benutzung der asymmetrischen Kryptographie dar.

Asymmetrische Kryptographie setzt auf zwei unterschiedliche Schlüssel, einen sogenannten privaten Schlüssel, auch geheimer Schlüssel genannt, und einen öffentlichen Schlüssel. Letzterer erhält seinen Namen dadurch, daß er im wahrsten Sinne des Wortes veröffentlicht wird. Konkret bedeutet Veröffentlichung, daß potentielle Kommunikationsteilnehmer wahlfreien Zugriff auf den Schlüssel erhalten. Der private Schlüssel muß geheim bleiben, weshalb jeder Zugriff verwehrt wird.

Die Besonderheit bei asymmetrischen Verschlüsselungsverfahren besteht ja darin, daß was mit einem Schlüssel verschlüsselt wurde, nur mit dem anderen entschlüsselt werden kann. Das Problem der Geheimhaltung reduziert sich daher auf die notwendige Geheimhaltung eines -des privaten- Schlüssels an einer Stelle, beim Inhaber. Dazu kommt die authentische Übermittlung der öffentlichen Schlüssel.

Wir verstehen an dieser Stelle unter einer authentischen Übermittlung eine solche, bei der sichergestellt ist, daß der ``echte'' Schlüssel unverfälscht beim vorgesehenen Empfänger ankommt. Die Übermittlung muß nicht geheim bleiben, wie bei der symmetrischen Verschlüsselung, da ja der private Schlüssel nicht transportiert wird, sondern einzig und allein dem Inhaber zur Verfügung steht. Sie muß jedoch unbeeinflußt bleiben.

Ab einer gewissen Anzahl von Beteiligten stellt die Schlüsselverteilung wieder einen Engpaß dar. Der einfachste Weg wäre jener, bei dem die Schlüsselübergabe vom Inhaber an den Empfänger direkt erfolgt. Das mag für ein paar Leute praktikabel sein, in einem weltweiten Kommunikationsverkehr ist es nicht möglich.

Der Weg der unmittelbaren Übergabe des öffentlichen Schlüssels scheidet im großen Rahmen aus. Im kleinen ist er durchaus zu empfehlen, da er einem potentiellen Angreifer (auf die Verschlüsselung) weniger Möglichkeiten bietet, als die indirekte Verteilung, die nun beschrieben werden soll.

Unter indirekter Verteilung versteht man das Komplement zur direkten Verteilung, d.h. die Schlüsselübergabe erfolgt nicht durch den Inhaber, sondern aus zweiter, dritter usw. Hand. Diese Art der Schlüsselgabe ist der normale Weg in elektronischen Netzen, wo man einen Schlüssel von irgendeiner verwaltenden Stelle abruft.

Damit steht man wieder vor einer Vertrauensfrage: Kann ich dem Überbringer des Schlüssels trauen, oder nicht. In unserem Sinne also: Kann ich davon ausgehen, daß der öffentliche Schlüssel, den mir Person X als den von Person Y übergibt, tatsächlich derjenige von Person Y ist? Oder wenn der Schlüssel nicht von einer Person kommt, sondern einer öffentlich zugänglichen Datenbank entnommen wird: Stimmen die Angaben über den Schlüssel in der Datenbank? Wer bürgt dafür?

Anhand der folgenden Grafik kann man sich ein Bild über die Zusammenhänge bei der Schlüsselverwaltung machen.

[Die Grafik wurde nach einer Abbildung aus dem ``Handbook of Applied Cryptography'' gestaltet ([Menezes/Oorschot/Vanstone 1997], Seite 579).] Z.B. in ISO/IEC CD 11770-1 (Key Management - Part 1: Framework) findet sich ebenfalls ein Modell für einen Schlüssellebenszyklus ([Fumy 1995] ).

Für ein öffentliches System zur Absicherung digitaler Signaturen sind nicht alle abgebildeten Teile notwendig. Einige Elemente, wie Schlüsselkopien (key backup) oder Schlüsselwiederherstellung (key recovery), dürfen für öffentliche Schlüssel (für digitale Signaturen) gar nicht implementiert werden, soll sichergestellt sein, daß ein Paar aus privatem und öffentlichem Schlüssel nur einmal existiert. Andernfalls wäre es möglich, mit einer Kopie des privaten Schlüssels digitale Signaturen zu fälschen, was die Bemühungen, Rechtssicherheit herzustellen konterkarieren würde. Man beachte, daß in der Grafik keine Angaben über die Lokalisierung der einzelnen Komponenten gemacht werden. Fragen der Implementierung bleiben unberührt.

Bisher wurden zwei grundsätzlich unterschiedliche Ansätze entwickelt, die indirekte, authentische Verteilung abzusichern. Die Absicherung selbst bezeichnet man als Zertifizierung, da sie auf irgendeiner Art von Zertifikaten (Bescheinigungen, die etwas bestätigen) beruhen. Unterschiede finden sich in der Form, wie die Zertifizierung implementiert wird.

Auf der einen Seite gibt es den hierarchischen Ansatz, auf der anderen Seite einen netzartigen Ansatz (auch Digraphmodell genannt). Jede Variante hat ihre Vor- und Nachteile. Die Hierarchie setzt auf klare Verantwortlichkeiten, die Netzstruktur auf Eigenverantwortlichkeiten. Hierarchien lassen sich effektiv realisieren, Netzstrukturen brauchen Zeit zum Wachsen. Hierarchien sind anfällig gegen Fehler, Netzwerke sind verhältnismäßig fehlertolerant. Nicht zuletzt benötigen Hierarchien Bürokratien, wogegen Netzstrukturen weitgehend ohne solche auskommen.

Im konkreten Fall von X.509 werden die Stellen in der Hierarchie von folgenden Elementen besetzt:

Für den Benutzer (user) müssen alle Instanzen über ihm (authorities) die Qualität vertrauenswürdiger Dritter (TTPs) haben.

Unabhängig von der Wahl des Modells muß eine Zertifizierung vorgenommen werden. Sinn und Zweck ist es, Glaubwürdigkeit und Vertrauenswürdigkeit abzusichern und Beweissicherheit herzustellen.

In der Hierarchie stellt die übergeordnete Instanz das Zertifikat für die ihr nachgestellte Stufe aus und gibt damit Garantien, im Netz stellen sich die Teilnehmer gegenseitig Zertifikate aus. Diese Zertifikate haben die Aufgabe, die Zuordnung von Personen und öffentlichen Schlüsseln auszuweisen (und ggf. noch weitere Angaben).

Allgemein gefaßt, kann man Zertifizierung als Beglaubigung ``übersetzen''. In dem schon zitierten Werk zur Kryptographie von Menezes, van Oorschot und Vanstone findet sich die Definition ``endorsement of information by a trusted entity'' ( [Menezes/Oorschot/Vanstone 1997], Seite 3). Wörtlich übersetzt hieße es ``Unterschreiben einer Information durch eine vertrauenswürdige Einheit'', was mit Beglaubigung ganz gut umschrieben ist.

Die Aufgabe der Zertifizierung kommt in einem hierarchischen Modell dem ``vertrauenswürdigen Dritten'' (trusted third party) zu. Nur unter dem Primat der Vertrauenswürdigkeit wird einerseits der Schlüsselinhaber bereit sein, seinen öffentlichen Schlüssel zertifizieren (beglaubigen) zu lassen und andererseits ein möglicher Kommunikationspartner der Beglaubigung durch die Zertifizierungsinstanz trauen. Im Englischen wird das unter dem Begriff ``establishing trust between users in distinct [security] domains'' ([Menezes/Oorschot/Vanstone 1997], Seite 571) zusammengefaßt.

In einem netzartigen Modell zur Zertifizierung entscheidet dagegen jeder Teilnehmer selbst über Vertrauen oder Ablehnung, unmittelbar. Die Zertifizierung erfolgt, wie z.B. bei PGP, gegenseitig. Damit ist zwar einem möglicherweise in betrügerischer Absicht handelnden Dritten das Vorhaben erschwert, die Schlichtung im Streitfalle jedoch ebenfalls. Ein Betrug zeitigt dafür nicht so gravierende Folgen wie in einer Hierarchie. In jener zieht die Kompromittierung des Schlüssels einer höheren Stufe lawinenartig die Wertlosigkeit der Zertifikate aller ihr untergeordneten Stufen nach sich. Im Netz verfügt jeder einzelne Teilnehmer nur über eine relativ geringe Anzahl von Schlüsseln. Manipulationen daran können nie so große Auswirkungen haben wie in einer Hierarchie.

Weiterhin verbleibt die Frage nach der Vertrauenswürdigkeit der obersten Instanz in der Hierarchie. Eine mögliche Antwort ist die sogenannte gegenseitige Zertifizierung mehrerer Zertifizierungsinstanzen (cross certification, CA-certification), bei der zwei Instanzen sich wechselzeitig Zertifikate ausstellen. Damit läßt sich das Vertrauen in die eigene Zertifzierungsinstanz herstellen und zusätzlich auf die andere Hierarchie übertragen. In gewisser Weise handelt es sich um die Anwendung des Netzmodelles auf die Hierarchie.

Von beiden Modellen (Netz und Hierarchie) gibt es noch Varianten. So gibt es bidirektionale Hierarchien, bei den jede Stufe die unter ihr liegenden Stufen zertifiziert, sowie von ihnen zertifiziert wird. Ebenfalls gibt es Netze mit abgestuften Graden des Vertrauens (wie z.B. im Web of Trust von PGP).

Verwaltung der Zertifikate und Schlüssel

[Hinweis: Insofern nicht explizit von privaten Schlüsseln die Rede ist, sind immer öffentliche Schlüssel gemeint, auch wenn es bloß Schlüssel heißt.]

Für eine abgesicherte und authentische Kommunikation sind also zwei Dinge nötig: Erstens ein Verfahren und die Infrastruktur zur Verwaltung der Schlüssel und zweitens Verfahren und Infrastruktur für die Zertifikatsverwaltung. Im Netzmodell fällt das alles weitgehend zusammen: Der Inhaber gibt die Schlüssel weiter und zertifiziert die empfangenen Schlüssel. Später verteilt er seinerseits die zertifizierten Schlüssel. So ``wandern'' Schlüssel und Zertifikate durch's Netz und auf die Festplatten der Teilnehmer.

In der Hierarchie sieht das anders aus. Es bietet sich scheinbar an, die hierarchische Infrastruktur für Schlüssel und Zertifikate gleichzeitig zu benutzen. Warum? Beide erfordern die Speicherung in Datenbanken, sowie die Möglichkeiten des externen Zugriffs. Die öffentlichen Schlüssel müssen ebso abgerufen werden können, wie die dazugehörigen Zertifikate, in der Regel gleichzeitig. Eine gekoppelte Verwaltung von Schlüsseln und Zertifikaten würde diesen Ablauf erleichtern.

Es gibt auch die Möglichkeit, Zertifikate und Schlüssel nicht auf Abruf zu liefern (pull model), sondern in gewissen Zeiträumen automatisch an die Anwender zu versenden (push model), quasi im Abonnement ([Menezes/Oorschot/Vanstone 1997], Seite 577). Zusätzlich wären Zertifikatswiderrufe (certificate revocation) zu verschicken, falls Schlüssel kompromittiert worden sein sollten. In der Praxis ist dies für kleine, geschlossene Gruppen durchführbar. Im weltweiten Verbund, mit zig-Millionen Teilnehmern, wird die notwendige Datenmenge zu groß. Wir gehen im weiteren vom Abrufmodell aus.

Welche Argumente könnten dagegen sprechen, Schlüssel und Zertifikate gemeinsam zu verwalten? Eine Grundregel der Sicherheitspolitik lautet, das Risiko zu verteilen (``Doppelt hält besser!''), um es zu minimieren. Und Risiken gibt es viele, wenn es um Technik geht. Technik, die zentralisiert wird, ist bei einem Ausfall nicht oder nur sehr schwer ersetzbar. Die Gefahr des Mißbrauches wächst, wenn die Möglichkeiten dazu vereinfacht werden. Und ein zentraler Zugriff ist leichter zu bewerkstelligen, als mehrere dezentrale Zugriffe. (Was gleichzeitig auch ein Argument für die gemeinsame Verwaltung ist.)

Große und komplizierte Systeme haben die Tendenz, unflexibel zu werden. Im Krisenfall fällt es ihnen meist schwer, schnell und adäquat zu reagieren. Sie neigen eher dazu, die Bekannwerdung eines Problems zu verhindern, als sofortige Abhilfe zu schaffen. Auch sind viele Fälle denkbar, in denen Zertifikate gar nicht benötigt werden, sondern lediglich die Schlüssel. Oder es kann Fälle geben, in denen nur interessant ist, ob es ein Zertifikat für eine Person gibt. Vielfach wollen Anwender auch ihre Anonymität gesichert werden. Sie werden dann eher einer Instanz vertrauen, die ihre persönlichen Angaben gar nicht erst erfahren hat, als einer Instanz, die beteuert, keine Daten weiterzugeben, die sie gespeichert hat. Datenchutzgesetz hin oder her; Beispiele für Mißbrauch oder Fahrlässigkeit gibt es immer wieder.

Die Abwägung der Sicherheitsanforderungen gegen die Bequemlichkeiten bei der Benutzung werden letztendlich ausschlaggebend für die Entscheidung pro oder contra gemeinsame Verwaltung von Schlüsseln und Zertifikaten sein. Wenn es um Rechtsverbindlichkeit geht, kommt man in vielen Fällen sowieso nicht umhin, sich nach den Vorgaben des Signaturgesetzes (SigG), der zugehören Verordnung (SigV) und des Maßnahmenkatalogs des BSI zu verhalten. Was aber seinerseits keine Garantien für die Sicherheiten bietet. Im Signaturgesetz geht es um die Schlüssel für digitale Signaturen. Diese könnten jedoch auch für andere Zwecke eingesetzt werden, wie zum Beispiel in hybriden Verfahren, wenn sie denn zugänglich sind.

Implementierung von Authentifizierungs- und Zertifizierungsverfahren

Nachdem nun die Begriffe und Konzepte erläutert worden sind, soll auf Implementierungsfragen eingegangen werden.

Maßgeblich ISO/IEC haben diverse Authentifizierungsverfahren standardisiert ([Fumy 1995], [Menezes/Oorschot/Vanstone 1997]):

ISO/IEC 9796 Digitale Signaturen mit message recovery

ISO/IEC 9798 Authentifizierung

ISO/IEC 9798-1 Einführung

ISO/IEC 9798-2 (1994) Mechanismen, basierend auf symmetrischen Techniken

ISO/IEC 9798-3 (1993) Mechanismen, basierend auf asymmetrischen Techniken. Die Mechanismen in ISO/IEC 9798-3 finden in X.509 eine Entsprechnung.

ISO/IEC 9798-4 (1995) Mechanismen mit kryptographischer Prüffunktion

ISO/IEC 9798-5 (Working Draft) Mechanismen, basierend auf Zero-knowledge-Funktionen

ISO/IEC 11770 Schlüsselverwaltung und Schlüsselinstallation

ISO/IEC 11770-1 Schlüssellebenszyklus, Schutz für Schlüssel, Trusted Third Parties

ISO/IEC 11770-2 Schlüsselinstallation mit symmetrischen Techniken

ISO/IEC 11770-3 Schlüsselinstallation mit asymmetrischen Techniken

ISO/IEC 13888 (Draft) Dienste für Unabweisbarkeit

ISO/IEC 13888-1 Modell und Überblick

ISO/IEC 13888-2 Mechanismen, basierend auf symmetrischen Techniken

ISO/IEC 13888-3 Mechanismen, basierend auf asymmetrischen Techniken und digitalen Signaturen

ISO/IEC 14888 (Draft) Signaturen mit Anhang

ISO/IEC 14888-1 Definitionen, Überblick und Modelle

ISO/IEC 14888-2 Mechanismen mit Signaturen, basierend auf der Identität des Benutzer

ISO/IEC 14888-3 Mechanismen mit Signaturen, basierend auf Zertifikaten

ISO/IEC 9594-8 (ITU-T X.509) Authentifizierungstechniken,

Es viele weitere, konkrete Vorschläge für hierarchische Zertifizierungsstrukturen von nationalen und internationalen Institutionen. Auch Firmen haben eigene Entwürfe vorgestellt, wie z.B. PKCS Nr. 6 von RSADSI.

Beispielsweise sieht der X.509-Vorschlag für Zertifikate folgendermaßen aus (nach [Breilmann 1996]):

Allen Entwürfen gemeinsam sind öffentlich zugängliche Datenbereiche, aus denen die Zertifikate abgerufen werden können. Die Verwaltung dieser Datenbereiche obliegt einer vertrauenswürdiger Authorität, was lediglich ein anderer Name für `trusted third party' ist. Dieser Instanz gegenüber muß sich derjenige identifizieren, der ein Zertifikat zu erhalten wünscht. Ebenfalls muß er seinen öffentlichen Schlüssel vorlegen. Aus dem erteilten Zertifikat gehen dann ein Identitätskennzeichen (nicht notwendig ein echtes, Pseudonyme sind ausreichend), der öffentliche Schlüssel und die Bestätigung der Übereinstimmung durch die Zertifizierungsauthorität hervor.

Die Zertifizierungsinstanz legt die Zertifikate so ab, daß sie von Außenstehenden nicht manipuliert werden können. Die Computer im Netzwerk, die für diese Aufgabe bereitgestellt werden, kann man als Schlüsselserver (key server) oder auch Zertifikatsserver bezeichnen. Der Zugriff auf die Zertifikate erfolgt über genau spezifizierte Protokolle und Verbindungen. Darunter fallen sowohl die klassische, schriftliche Übermittlung (offline), als auch die elektronische Übermittlung (online). In beiden Fällen muß die Übermittlung selbst wieder authorisiert werden. Dazu lassen sich Siegel bzw. digitale Signaturen -durch die Zertifizierungsinstanz- einsetzen.

Wesentliche Unterschiede gibt es im Umgang mit ungültigen Zertifikaten. X.509 verlangt die Gültigkeit sämtlicher Zertifikate in der Zertifikatskette, d.h. von der Wurzelinstanz bis zum Benutzer, um eine gültige Signatur zu erzeugen. Die Umsetzung der Signaturverordnung zum Signaturgesetz ist hier weniger strikt. Zur Verringerung des Verwaltungsaufwandes können Zertifikate auch dann anerkannt werden, wenn übergeordnete Zertifikate ungültig sind ([SigB]).

Das Konzept der öffentlichen Verzeichnisse (trusted public file, trusted public directory) geht auf Diffie und Hellman (1976) zurück. Merkle (1979) hatte die Idee von der hierarchischen (für Informatiker: baumartigen) Authentifizierungsstruktur. Zertifikate für öffentliche Schlüssel wurden von Kohnfelder vorgeschlagen (1978). Dessen Vorschlag sah für ein Zertifikat vor, den Namen des Inhabers, seinen öffentlichen Schlüssel und Angaben über Authentifizierung einzutragen. Er orientierte sich dabei am RSA-Verfahren. ( [Menezes/Oorschot/Vanstone 1997], Seite 587) In ihrer Kombination ergeben die drei Ideen die notwendige Infrastruktur für ein System der Zertifikatsverwaltung, wie es u.a. für digitale Signaturen zur Anwendung kommt. (Alternativen sind denkbar, z.B. nach dem Netzmodell. [2])

Schlüsselverwaltung und Zertifikate im Signaturgesetz

Im deutschen Signaturgesetz finden sich die entsprechenden Umsetzungen der erläuterten Konzepte in Paragraph 2 (Begriffsbestimmungen ), Paragraph 5 (Vergabe von Zertifikaten) und Paragraph 7 ( Inhalt von Zertifikaten). Leider setzen sie die internationale Norm X.509 nicht vollständig um, so daß eine Interoperabilität weltweit nicht garantiert werden kann.

Die Regelungen im Gesetz gehen zum Teil über die technisch sinnvollen Forderungen hinaus. So findet sich in Paragraph 5 Absatz 4 die folgende Aussage:

``(4) Die Zertifizierungsstelle hat Vorkehrungen zu treffen, damit Daten für Zertifikate nicht unbemerkt gefälscht oder verfälscht werden können. Sie hat weiter Vorkehrungen zu treffen, um die Geheimhaltung der privaten Signaturschlüssel zu gewährleisten. Eine Speicherung privater Signaturschlüssel bei der Zertifizierungsstelle ist unzulässig. '' [SigG], §5 (4)

Der erste Satz ist einsichtig, Fälschungen sind zu verhindern. Der zweite Satz steht dem ersten dann in gewisser Weise entgegen. Zertifizierung meint in Bezug auf digitale Signaturen, d.h. asymmetrische Verschlüsselung, immer die Zertifizierung der öffentlichen Schlüssel. Die zugehörigen privaten Schlüssel müssen unter allen Umständen geheim bleiben, soll die Kommunikation gesichert werden [3].

Der zweite Satz räumt jedoch die Möglichkeit ein, daß die Zertifizierungsstelle an die privaten Schlüssel gelangt. Ein Aufdecken (Kompromittieren) der privaten Schlüssel ermöglicht die beliebige Manipulation jeglicher damit verschlüsselter Kommunikation und muß daher prinzipiell ausgeschlossen werden.

Der dritte Satz des Absatzes schließlich, der eine Speicherung der privaten Schlüssel untersagt, ist nur notwendig, wenn es überhaupt eine Möglichkeit der Speicherung und damit der Kompromittierung gibt. Satz 1 des Absatzes steht also in eklatantem Widerspruch zu den Sätzen 2 und 3. Und nicht nur dazu, sondern insbesondere zu jedem Sicherheitsmodell für digitale Signaturen.

In der vorliegenden Form wird der Umgang mit privaten (geheimen) Schlüsseln kryptologisch unsicher gemacht.

Handelt es sich um ein Versehen? Im Gesetz wird nichts darüber gesagt, woher die Schlüssel, auf die Bezug genommen wird, stammen. Noch ein Versehen? Ein Blick in die amtliche Begründung klärt nicht auf. Dort findet sich folgende Aussage:

``Die jeweils einmaligen Schlüsselpaare (privater und öffentlicher Schlüssel) werden durch anerkannte Stellen natürlichen Personen fest zugeordnet. Die Zuordnung wird durch ein Signaturschlüssel-Zertifikat beglaubigt.'' [SigV]

und an anderer Stelle:

``Der private Schlüssel sowie die Signiertechnik ist in der Regel auf einer Chipkarte gespeichert, die erst in Verbindung mit einer Personenidentifikationsnummer (PIN) eingesetzt werden kann.'' [SigV]

Die Schlüsselgenerierung selbst wird nicht behandelt. Wie kommt der private Schlüssel auf die Chipkarte? Wieso muß die Zertifizierungsstelle die privaten Schlüssel geheimhalten, wo sie diese doch nicht speichern darf? Wie kommt sie überhaupt in den Besitz der privaten Schlüssel, den sie geheimhalten soll? Warum werden PINs gegenüber biometrischen Verfahren priorisiert, wird doch damit der Schlüsselraum erheblich eingeschränkt? Biometrische Merkmale zur Identifizierung heranzuziehen, ist zwar möglich, nach der Signaturverordnung (§16 Abs. 2 Satz 3), nicht jedoch zwingend. Warum? Fragen, die zu stellen sind. Mit der Sicherheit der Schlüsselgenerierung und -verwaltung steht und fällt das ganze System der Verschlüsselung mit Public Key-Verschlüsselung, wie es z.B. für digitale Signaturen eingesetzt wird.

Worin die Intention der unklaren gesetzlichen Aussagen zu sehen ist, kann man sich bei aufmerksammer Lektüre von Gesetz, Verordnung und insbesondere amtlicher Begründung zusammenreimen.

Unter der Überschrift ``Wirksamer Informationsschutz'' findet sich in der Begründung zum Gesetz der Absatz:

``Ob unabhängig davon unter besonderen Aspekten spezielle >>Kryptoregelungen<< erforderlich sind, ist nicht Gegenstand des Gesetzentwurfs. Die Funktionen Signatur und Verschlüsselung sind technisch wie rechtlich völlig eigenständig zu betrachten. ''

Aus juristischer Perspektive mag ein solcher Satz, wie der zweite des zitierten Absatzes, sinnvoll sein. Bei der Interpretation des Wortes `technisch' muß man stutzig werden. Wie bei der Erläuterung der kryptologischen Grundlagen für digitale Signaturen beschrieben, erzeugt man digitale Signaturen, in dem man das Resultat der Anwendung einer kryptographischen Hashfunktion auf eine Nachricht -den Hashwert- verschlüsselt. In diesem (mathematisch-technischen) Sinne kann von einer Eigenständigkeit keine Rede sein. Verbleibt also, das `technisch' als `implemtierungstechnisch' zu lesen. Dann würde die Aussage so zu verstehen sein, daß die Implementierung zwar die Erzeugung digitaler Signaturen, nicht aber Verschlüsselung anderweitig gestatten soll - ein Schritt auf dem Wege zum ``Kryptoverbot''.

Andere Passagen im Gesetz und in der Begründung lassen ähnliche Vermutungen zu. In der Begründung zu Paragraph 5 findet sich folgende Aussage:

``..., da davon ausgegangen werden kann, daß der Markt jedem Interessenten die Möglichkeit eröffnen wird, bei einer Zertifizierungsstelle einen Signaturschlüssel zu erwerben.'' [SigGB]

Wohl fast jedem Kryptographen werden erhebliche Zweifel an der Sicherheit eines so konzipierten Systems kommen, wird doch der elementarste kryptologische Grundsatz -Geheimhaltung des Schlüssels- aufs Schwerste verletzt, wenn dritte Personen Zugriff auf den privaten Schlüssel haben. Und diese Personen haben nicht bloß Zugriff darauf, sie entscheiden sogar darüber, welche Schlüssel an wen vergeben werden! Dieses Verfahren hätte gewisse Ähnlichkeiten mit der Vergabe der PINs für EC-Karten, die in letzter Zeit stark in Verruf geraten ist.

Da beruhigt es auch nicht, wenn in der Begründung zu Paragraph 5 Absatz 4 steht:

``Die in Satz 2 geforderte Geheimhaltung des Signaturschlüssels ist absolut. Es soll keine Person (auch nicht der Signaturschlüssel-Inhaber) Kenntnis vom privaten Signaturschlüssel erhalten, da andernfalls ein Mißbrauch des Signaturschlüssels nicht auszuschließen ist.''

Inwiefern ein berechtigter Schlüsselinhaber seinen eigenen Schlüssel mißbrauchen könnte, bleibt offen.

Es folgt gleich darauf, in der Erläuterung von Satz zwei, die Aussage:

``Technisch unvermeidbare temporäre Zwischenspeicherungen beim gesicherten Ladevorgang sind damit nicht ausgeschlossen.''

Daraus ist wohl zu folgern, daß der private Schlüssel außerhalb der Chipkarte erzeugt (key generation) und anschließend darauf gespeichert werden soll (key installation). Mindestens im Schlüsselgenerator (key generator) wird er für eine gewisse Zeit zwischengespeichert werden, wenn dieser nicht auf der Chipkarte integriert wird.

Zieht man nun noch in Betracht, welche Anwendungen für digitale Signaturen vom Gesetzgeber u.a. vorgesehen werden, nämlich ``digitaler Ausweis'' ([SigGB]) oder ``automatische Feststellung der Urheberschaft elektronischer Post'' ([SigGB]) muß man befürchten, daß das Recht auf informationelle Selbstbestimmung der Bürger weiter ausgehöhlt wird. Dem Gesetzgeber ist das durchaus bewußt, findet sich in der Begründung zu Signaturgesetz doch die Aussage:

``Signierte Daten in Dateien und Netzen können das Erstellen von Persönlichkeitsprofilen ... erleichtern.'' [SigB]

Haftung der ``Trusted Third Parties''

``Mögliche Haftungsfragen sind aus den jeweiligen Verantwortlichkeiten und dem allgemeinen Haftungsrecht zu beantworten (jeder haftet für sein schuldhaftes Handeln oder Unterlassen).'' [SigB]

``Hinsichtlich der Haftung der Zertifizierungsstellen gegenüber Dritten kann sich im Einzelfall eine Haftungslücke ergeben.'' [SigB]

Das im Prinzip alles, was sich in der Begründung zum Signaturgesetz findet. Der Gesetzestext selbst enthält keinerlei Haftungsregeln oder -beschränkungen. Das ist um so verwunderlicher, als vergleichbare Gesetze in den USA auf Haftungsrichtlinien nicht verzichten.

Die Adäquatheit bestehender Haftungsregelungen zu den Bedürfnissen, die aus dem neuen Gesetz erwachsen, ist zu bezweifeln. Zum einen fehlt es an einer passenden Rechtsprechung, zum anderen an ausreichenden Praxiserfahrungen mit vergleichbarer Technologie. Die vorliegenden Erfahrungen im breiten Einsatz von Chipkarten (Telefonkarten, EC-Karten, Krankenkassenkarten) sprechen eher gegen die Annahme, daß die Haftung bereits ausreichend geregelt sei.

Die implizierte Klarheit der Verantwortlichkeiten läßt sich meines Erachtens aus dem Gesetz nicht ableiten. Zwar läßt sie sich für die (behördliche) Wurzelinstanz erkennen. Für die nachgeordneten, privaten Zertifizierungsstellen bleibt dagegen offen, welche Haftungsbestimmungen greifen. Was geschieht, wenn sich die Genehmigungen der behördlichen Wurzelinstanz oder des amtlich bestellten Prüfinstituts als Fehler herausstellt, sei es in technischer oder in organisatorischer Hinsicht? Greift dann die Staatshaftung für die Behörde oder sind die Verträge zwischen Benutzer und Zertifizierungsstelle maßgeblich? Der Vergleich mit Kernkraftwerken, wie ihn Wendelin Bieser in [SigB] anstellt, wirkt in dieser Hinsicht nicht sehr beruhigend.

Patente

Und noch etwas wird übersehen oder ignoriert: Alle bedeutsamen Verfahren für die digitale Signaturen sind irgendwo patentiert und die Patente werden verwertet. Die Patente schließen üblicherweise die Schlüsselgenerierung ein (siehe RSA ). Die Folgerung lautet, daß Schlüsselpaare nicht kostenlos erhältlich sein werden. Da es nur sehr wenige praktikable Signaturverfahren gibt, haben die Patentinhaber praktisch eine Monopolstellung inne. Das Gesetz sieht diesbezüglich weder Beschränkungen, noch Öffnungsmaßnahmen vor. Der Einsatz von digitalen Signaturen kann somit schon an der Kostenfrage scheitern.

Fazit aus der Analyse des Gesetzes

(A) Es besteht die Gefahr, daß das Grundrecht auf informationelle Selbstbestimmung weiter eingeschränkt wird. Inwieweit ist eine solche Einschränkung, durch unmittelbare oder mittelbare Einschränkung von Verschlüsselung, zu befürchten?

1. Der Schlüsselinhaber hat nicht die vollständige Autonomie über den privaten, d.h. den geheimen Schlüssel. Die Wahl des Verschlüsselungsverfahrens ist nur eingeschränkt möglich. Die vorgegebenen Verfahren der Schlüsselerzeugung und Schlüsselinstallation sehen keine individuelle Schlüsselwahl vor. Die Verwendung mehrerer, alternativer Verschlüsselungsverfahren scheint nicht möglich zu sein, obwohl das Gesetz hier unklar ist.

2. Der vorgesehene Umgang mit den privaten Schlüsseln ist aus kryptologischer Sicht zumindest bedenklich (z.B. temporäre Zwischenspeicherung). Verfahren, bei denen der geheime (private) Schlüssel nur an einer einzigen Stelle existiert, sind nicht zwingend vorgeschrieben. Der Schlüsselraum wird durch den Einsatz von PINs (mit verhältnismäßig geringer Länge) anstelle von einmaligen biometrischen Merkmalen stark eingeschränkt.

3. Die künstliche Trennung in Signatur und Verschlüsselung legen den Schluß nahe, daß Kryptographie später -in einem anderen Gesetz- von staatlicher Seite eingeschränkt werden soll. Aussagen des Bundesinnenministers und seines Staatssekretärs weisen in dieselbe Richtung.

4. Eine Infrastruktur für Schlüsselverwaltung und Zertifizierung im Sinne des Gesetzes kann jederzeit für ein umfassendes `key recovery'/`key escrow'-Programm eingesetzt werden. Damit kann die Wahrnehmung des ``Grundrechts auf Verschlüsselung'' ([Koch 1997]) in ihrer Intention unterlaufen werden.

5. Schlüsselverwaltung und Signierungen (Signaturen) im Sinne des Gesetzes können zur Erstellung von Benutzer- und Bewegungsprofilen ohne Kenntnis des Schlüsselinhabers benutzt werden. Der vorgeschlagene Einsatz von Chipkarten als digitalem Ausweis gestattet dies. In der automatischen Absenderkontrolle bei elektronischer Post liegt das Risiko einer De-Anonymisierung. Eventuell gewünschte Vertraulichkeiten sind so u.U. gefährdet.

6. Das Signaturgesetz sieht eine flache, zweistufige Hierarchie mit einer Genehmigungsbehörde oben und lizenzierten Zertifizierungsstellen unten vor. Die Behörde erteilt der Zertifizierungsstelle [4] die Lizenz nach einer Evaluierung (z.B. durch das BSI) [5]. Das Kontrollrecht liegt ausschließlich bei der Behörde. Den Betroffenen (Schlüsselinhabern und Zertifkatsnachfragern) ist eine Kontrolle nicht möglich. Es steht zu befürchten, daß im Streitfalle der Bürger oder die Firma der Zertifizierungsstelle wird nachweisen müssen, daß diese versagt hat (analog dem Verfahren bei EC-Kartenvorfällen [6]). Ohne Einblick in die internen Vorgänge und Abläufe wird das nicht möglich sein und so gerät er in eine Ohnmachtposition. Erfahrungen dazu gibt es vom EC-Kartenbetrug und den Fällen überhöhter Telefonrechnungen der Telekom in den letzten Jahren. Simulationsstudien haben ihrerseits Schwachstellen nachgewiesen [7]. Im übrigen kehrt sich das Beweisverfahren um: Wo bei der einzelnen Unterschrift im Zweifelsfalle nachgewiesen werden muß (z.B. durch gutachterliche Untersuchungen), daß derjenige, von dem sie zu stammen scheint, tatsächlich der Urheber ist, steht der Schlüsselinhaber bei der digitalen Signatur in der Pflicht, da gemutmaßt wird, daß er die Signatur erstellt hat. Eine klare Schwächung der Bürgerposition.

(B) Detaillierte Haftungsregelungen fehlen gänzlich. Der grundgesetzlich verankerte Schutz des Eigentums ist für den Fall gefährdet, daß sich bei Fehlern die Verantwortlichkeiten nicht identifizieren lassen. Bei komplizierten technischen Abläufen, wie sie Zertifizierung und Authentifizierung erfordern, gibt es diesbezüglich ein großes Risikopotential, das nicht kompensiert wird.

(C) Die Stellung der Patentinhaber wurde nicht genügend beachtet. Zertifizierungsinstanzen kommen nach dem vorliegenden Gesetz nicht umhin, Patente in Anspruch zu nehmen (mangels alternativer Verfahren). So werden sie gezwungen sein, entsprechende Gebühren zu zahlen. Die faktische Monopolstellung der Patentinhaber stellt den neuralgischen Punkt dar. Ein fairer Wettbewerb zwischen ihnen ist nicht erkennbar.

(D) Das ``technische Fundament'' für die im Gesetz festgeschriebene asymmetrische Verschlüsselung hat seine Tragfähigkeit auf Dauer noch nicht unter Beweis gestellt. Bei einer unbeschränkten Einführung digitaler Signaturen im großen Rahmen besteht die Gefahr einer ernsthaften Gefährdung des Rechtsgefüges, sollten sich die den Verfahren zugrundeliegenden kryptologischen Annahmen in näherer oder fernerer Zukunft als falsch erweisen. Die Möglichkeit einer Rücknahme der Entwicklung dürfte in wenigen Jahren nicht mehr bestehen.

Fußnoten

[1] Der Begriff der Authentifizierung geht auf den der Authentizität zurück und hat in unserem Zusammenhang die Feststellung von Identität zum Gegenstand.

Schneier definiert ihn so: ``Es sollte dem Empfänger möglich sein, die Herkunft einer Nachricht zu ermitteln; ein Eindringling sollte sich nicht als andere Person ausgeben können. '' [Schneier 1996], S. 2 (!)

Menezes/Vanstone/van Oorschot unterscheiden zwischen `` data origin authentication'' und ``entity authentication''. Erstere stellt auf die Identität und Integrität der Daten ab ( ``Data origin authentication implicitly provides data integrity ... if a message is modified, the source has changed''), letztere auf die Identität der Kommunikationsteilnehmer. [Menezes/Vanstone/Oorschot 1997], S. 4 (!) Deren Integrität allerdings kann mit Authentifizierung nicht sichergestellt werden.

CRISIS bietet vielleicht die umfassendste Betrachtung:

``... individuals in an information age may wish to be able to:

...

Ensure that a party with whom they are transacting business is indeed the party he or she claims to be. Likewise, they may seek to authenticate their own identity ... In an electronic domain without face-to-face communiations or recognizable indicators such as voices and speech patterns (as used today in telephone calls), forgery of identity becomes increasingly easy.'' [CRISIS 1997], S. 42

[2] Zur netzartigen Struktur der Zertifizierung bei PGP siehe z.B.: [Grimm 1996],

[3] ``Die Sicherheit von Aussagen zur Identität des Urhebers von elektronischen Signaturen wird durch vier Faktoren beeinflußt:

- Unikat des Schlüsselpaares42

- Zugriffssicherung zum Trägermedium

- Sperrdienste

- Sicherheit der Ausgabeverfahren und Verzeichnisdienste

Der Nachweis der Unikatssicherung von Schlüsselpaaren und der korrekten Ausgabeverfahren und Verzeichniseinträge ist gleichermaßen ein Validierungs- wie Revisionsproblem. ...

42 Zielkonflikte ergeben sich dafür aus Interessen der inneren Sicherheit. ...'' [Hammer 1993]

[4] Anwärter für Zertifizierungsstellen sind derzeit (März 1998) die Telekom und das Gespann debis/Bundesdruckerei. Als Aspiranten in spe dürften fast alle großen Banken und Versicherungsgesellschaften in Frage kommen. Den maßgeblichen Antrieb bildet die Hoffnung auf Großgeschäfte mit Behörden.

[5] Eine solche Zertifizierung stellt allerdings keine Garantie dar, daß ein System wirklich sicher ist. Siehe z.B. [Versteegen 1997].

[6] Zu den ``Schwierigkeiten'' mit der Sicherheit beim EC-Verfahren und ihren Konsequenzen siehe z.B.: [OLG Hamm (31 U 72/96)] , [Rossa 1997(I)], [Rossa 1997(II)], [Pausch 1997], [Heine 1997], [SPIEGEL 36/1997]

[7] Siehe z.B. den Bericht zur provet/GMD-Simulationsstudie von Volker Hammer:

``Im Rahmen der Simulationsstudie Rechtspflege und in ihrem Umfeld wurden eine Reihe von Angriffen durchgeführt. Obwohl den sachverständigen Testpersonen dieses Versuchsziel bekannt war, gelang es unter anderem, Dokumente zu manipulieren, Chipkarten mit PIN zu entwenden und beliebige oder teilweise veränderte Dokumente zum Signieren unterzuschieben. Die Angriffe gelangen völlig unabhängig vom mathematischen Teil des Signaturverfahrens ...''

``Werden dagegen elektronische Signaturen mit Chipkarten gefälscht, gibt der Augenschein keinerlei Hinweis auf deren Unechtheit. Ein betroffener Chipkarteninhaber kann allenfalls versuchen, z.B. durch Zeugen zu belegen, daß die Signatur nicht von ihm stammen kann.'' [Hammer 1993]