[Lesehinweis: Abschnittsüberschriften werden mit einer einfachen Markierung eingeleitet. Teilabschnitte beginnen mit einer doppelten Markierung und Unterabschnitte von Teilabschnitten haben eine dreifache Markierung. Art und Weise der Markierung entsprichen derjenigen im Inhaltsverzeichnis. Jeder Teilabschnittsüberschrift werden die `übergeordneten' Überschriften klein vorangestellt, um die Orientierung zu erleichtern. Am Ende jedes Abschnittes findet sich -optisch hervorgehoben- eine sehr kompakte Zusammenfassung. Absätze werden mit einem Kästchen beendet. Zitate sind kursiv gedruckt. Fußnoten werden durch Zahlen in eckigen Klammern markiert und finden sich am Ende des Dokumentes. Die Fußnoten sind gelinkt.]
Im folgenden Text sollte der Leser
sich auf eine Geschichtsdarstellung nach dem zweiten Modell einlassen.
Wir suchen nach verschiedenen Spuren in der Geschichte, die in engerem
Bezug zum Sujet stehen. Den Bezug zwischen ihnen stellt unsere Frage nach
der Geschichte her. Eine Schwierigkeit solcher Beschreibungen besteht darin,
zeitgleiche Entwicklungen nur sequentiell besprechen zu können. Daraus
ergeben sich Irritationen. Abhilfe kann man schaffen, indem man die Bausteine
des Textes als Mosaik versteht und zusammensetzt, um sich ein Bild zu machen.
Da gibt es auf der einen Seite die Unterschrift
-vornehm: Signatur-, die man schon als Schulkind übt und die
einen lebenslang als Resultat persönlichen Handelns begleitet. Jetzt
soll diese zuerst ergänzt, später vielleicht ersetzt werden durch
die sogenannte digitale Unterschrift -technisch: digitale Signatur-;
ein Begriff, unter dem sich wohl nur wenige etwas vorstellen können.
Das ist die andere, abstrakte Seite der Münze. Ist die Geschichte
der einen auch die der anderen? Irgendwie schon und andererseits auch nicht.
Das ist das Dilemma.
Digitale Signaturen haben eine relativ kurze Geschichte;
Unterschriften eine lange. Digitale Signaturen haben etwas mit dem Computer
zu tun; die gibt es noch nicht so lange und suspekt sind sie sowieso. Unterschriften
sind Handarbeit und schon uralt. Und: Wer vertraut schon einem Computer?
Einer Unterschrift vertraut dagegen eigentlich jeder. Zu Recht?
``Die Unterschrift ist grundsätzlich mit dem Familiennamen zu leisten. ... Sie muß individuelle Züge tragen, nicht aber unbedingt lesbar sein. ... Sie muß ferner eigenhändig vollzogen werden; ... Die Unterschrift muß - ihrem Wortlaut gemäß - regelmäßig unter das Schriftstück gesetzt werden, d.h. dessen Inhalt decken ... Eine "Oberschrift" ... genügt regelmäßig nicht ...'' [Creifelds]
[Anmerkung: Auch im alten China wurden Siegel, in Form von Stempeln, eigenständig entwickelt und verbreitet. Ich beschränke mich an dieser Stelle aber auf die europäische Kultur.]
Wir sehen, in gewisser Weise haben Siegel, Stempel, Handelsmarke und Unterschrift einen gemeinsamen Ursprung. Sie alle haben etwas mit individuellen Zusicherungen verschiedenster Art zu tun: Herkunft, Stand, Identität, Authentizität, Exklusivität, Verbindlichkeit. Mit der Etablierung der Unterschrift im Recht wurde dem formal Rechnung getragen.![]()
![]()
Siegel und Stempel waren die Vorläufer der Unterschrift. Sie sind seit Jahrtausenden im Gebrauch. Ein wichtiger Grund für ihren Gebrauch war der Beleg der Authentizität. Unterschriften entstanden, als sich das Schrifttum in größeren Teilen der Bevölkerung ausbreitete und das Bewußtsein der eigenen Individualität zunahm.
``... the essential direction for the future development of what is still called `Public-Key-Cryptography' ist rather that of preserving trust than that of preserving secrecy, only!'' [Beth/Frisch/Simmons 1991]
Doch das ist das Ergebnis. Wie kam es dazu? Wir
vollziehen jetzt einen Schritt aus der kontinuierlichen, analogen Welt
des menschlichen Handelns in die diskrete, digitale Welt der Computer.
[Anmerkung: Über die Geschichte digitaler Signaturen wird in der Fachliteratur nicht viel gesagt. Oft lassen die Autoren sie ganz aus der Betrachtung heraus, manchmal kommt sie vor, beginnt aber erst in den 70'er Jahren (z.B.: [Pfitzmann 1996]). Ich versuche, bei den Ahnen anzufangen.]
``Historically, computer security is related to both cryptography and access control in operating systems.'' [Pieprzyk/Sadeghiyan 1993]
Je weiter man zu den Anfängen der Computer
zurückgeht, desto teurer war der Speicher. Die ersten Verfahren für
Prüfsummen waren simpel,
d.h. der Aufwand, sie zu berechnen, war aus heutiger Sicht gering; ihr
Speicherbedarf war niedrig. Ihre Trefferquote war allerdings auch nicht
sehr hoch. So gab es Verfahren, die Fehler immer nur im zweiten Bit anzeigten,
d.h., mit einer Wahrscheinlichkeit von höchstens 50% wurde eine auftretende
Abweichung festgestellt.
Ausgefeilte Prüsummenverfahren erlauben heute
die Integration von sogenannten `error correcting codes' (ECC)
direkt in die Speicherhardware. Fehler im Bereich einzelner Bits werden
mittels ECC sofort korrigiert. Der Aufwand dafür ist natürlich
höher als bei einem Verzicht auf eine automatische Korrektur. Das
wirkt sich auf den Preis und das Kaufverhalten aus: Speicher mit ECC
belegt nur einen sehr geringen Marktanteil.
Zur gleichen Zeit wurde an einem anderen, wichtigen
Problem der Informatik gearbeitet, dem schnellen Sortieren und Suchen in
großen Datenmengen. Dafür wurden Hashverfahren erfunden. Sie
wurden bereits früh im Compilerbau und bei Datenbanken eingesetzt,
um einerseits Speicher zu sparen und andererseits eine hohe Zugriffsgeschwindigkeit
zu erreichen. Die Einweg-Eigenschaft von Funktionen wurde 1977 von L. Berman
erstmals definiert. [Kurtz/Mahaney/Royer
1988] Eine Weiterentwicklung der Hashfuntionen unter dem Aspekt der
Einweg-Eigenschaft führte zu den kryptographischen
Hashfunkionen, auch Einweg-Hashfunktionen
genannt, die wiederum gut als Checksummenfunktionen einzusetzen sind.
![]()
In den 50'er und 60'er Jahren wurde von den Technikern (Informatikern) an der Entwicklung von Verfahren gearbeitet, welche bei geringem Speicherbedarf die Integrität der Daten sicherstellen sollten, die mit dem Computer verarbeitet werden: Checksummen. Ebenfalls wurden Hashverfahren, die einen effizienten Zugriff auf Daten bei gleichzeitig geringem Speicherbedarf gestatten, entwickelt.
``Within Europe all email telephone and fax communications are routinely intercepted by the United States National Security Agency transfering all target information from the European mainland via the strategic hub of London then by satellite to Fort Meade in Maryland via the crucial hub at Menwith Hill in the North York moors in the UK.'' [Electronic Telegraph 16.12.1997]
Die Forschungen im Bereich der Kryptologie fanden
über zwanzig Jahre hinweg nahezu ausschließlich in den Geheimlabors
der Militärs und Geheimdienste statt. Die Resultate blieben bis auf
Ausnahmen geheim. In den USA wurde z.B. 1952 die NSA
gegründet, die sich in der Hauptsache mit Ver- und Entschlüsselung
beschäftigt und zu diesem Zwecke zig-Tausende Mathematiker im Dienst
hat. Ziel der NSA-Aktivitäten war und ist einerseits die strategische
Aufklärung der Kommunikation von Feinden und Freunden (siehe Zitat)
und andererseits die Unterbindung vergleichbarer Vorhaben durch jene.
Als die Geheimdienste die Computer für sich
entdeckten, oder andersherum: als die Computer für die Zwecke der
Geheimdienstler interessant wurden, wurden die Erkenntnisse zu Checksummen
und Hashverfahren, wie auch zur Verschlüsselung zusammengeführt.
Wie fruchtbar diese Begegnung wirklich war, kann nur gemutmaßt werden,
da Geheimdienstler meist verschwiegene Leute sind. David Kahn hat
Teile davon rekonstruiert ([Kahn 1967]).
Als Diffie und Hellman ihren Artikel (s.u.) veröffentlichten,
monierte der Direktor der NSA, daß
dort die Kryptographie mit unterschiedlichen Schlüsseln bereits zwei
Jahrzehnte zuvor entwickelt worden wäre. Das blieb aber unbewiesen
([Schneier 1996], S. 38).
![]()
Mathematiker und Linguisten arbeiteten im Auftrag der Geheimdienste seit den 50'er Jahren verstärkt an Verfahren zur Geheimhaltung von Informationen und an Verfahren zur Gewinnung von Informationen aus verschlüsselten Daten. Die klassische (symmetrische) Verschlüsselung erlebte ihre Blütezeit.
``Regierungen haben eine Menge Geheimnisse vor ihrem Volk. ... Warum darf das Volk im Gegenzug keine Geheimnisse vor der Regierung haben?'' Philip Zimmermann, Entwickler von PGP, zitiert in [Kippenhahn 1997], S. 250
Relativ unabhängig -jedoch nicht unbehindert [3] - von der geheimdienstlichen und militärischen Forschung auf kryptologischem Gebiet hatte sich eine um Größenordnungen weniger umfangreiche akademische Forschung entwickelt. Auch in der Wirtschaft war mit dem Computereinsatz das Interesse an `privacy and authentication' (Diffie und Hellman) gewachsen, und die entsprechenden Anstrengungen wurden verstärkt.![]()
Insbesondere der zunehmende internationale Austausch von Waren und Dienstleistungen machte eine sichere Informationsweitergabe unumgänglich. In unserer Zeit übersteigt die Menge an monetären Transaktionen in ihrem Wert den des Warenaustausches um das Fünfzigfache. Dieser Verkehr wird in irgendeiner Form über elektronische Kommunikationsnetzwerke abgewickelt. Ohne Authentifizierung und Schutz vor Manipulation wäre das nicht denkbar.
![]()
Erste Arbeiten zu manipulationsgeschützten Codes wurden (nach [Pfitzmann 1996], S.12) von E. N. Gilbert, F. J. Mac Williams und N. J. A. Sloane veröffentlicht (Codes which detect deception; The Bell System Technical Journal 53/3, 1974). Es verging noch einige Zeit, bis jemand die entscheidende Idee hatte: 1976 veröffentlichten Whitfield Diffie und Martin Hellman einen Artikel, der den Grundgedanken für die `public key cryptography' enthielt: New Directions in Cryptography [Diffie/Hellman 1976].
![]()
Kerngedanke war, daß man mit zwei unterschiedlichen Schlüsseln arbeitet, wobei ein Schlüssel nur für die Verschlüsselung und der andere nur für die Entschlüsselung verwendbar ist (Sinnbildlich: Ein Schlüssel kann das Schloß verschließen, aber nicht aufschließen. Mit dem anderen Schlüssel kann man wiederum nur aufschließen, nicht jedoch abschließen.). Dazu muß man dem Gegenspieler, dem fiktiven kryptologischen Angreifer (attacker), eine an sich unlösbare Aufgabe stellen. Für Freunde aber baut man eine Hintertür (trapdoor) ein, durch welche die Lösung leicht zu bestimmen ist. Konkret heißt das: Die Verschlüsselung mit dem einen Schlüssel stellt den Angreifer vor das Problem, daß der Aufwand für das Brechen der Verschlüsselung in der Praxis dessen Möglichkeiten übersteigt. Dagegen kann ein Partner, der über den anderen Schlüssel verfügt eine Entschlüsselung vornehmen.
![]()
Bei Diffie und Hellman handelte es sich um theoretische Überlegungen, die erstmals von Ronald Rivest, Adi Shamir und Leonard Aldleman praktisch umgesetzt wurden: 1978 (1977) stellten sie das nach ihnen benannte RSA-Verfahren vor und ließen es sogleich patentieren.
![]()
Kombiniert man geeignete Hashfunktionen, sogenannte kryptographische Einweg-Hashfunktionen, mit Public Key-Verfahren und einer Schlüsselverwaltung in bestimmter Art und Weise, so erhält man digitale Signaturen, auch als digitale Unterschriften bezeichnet.
Genauere Beschreibungen finden sich im KapitelDie erste Implementierung eines Verfahrens für digitale Signaturen wurde (nach [Pfitzmann 1996], S. 19) von Leslie Lamport vorgenommen (1979). Der Vorschlag, auf dem die Implementierung basierte, stammte bereits aus dem Jahre 1974, von Roger Needham. Der größte Nachteil des Ansatzes von Lamport war die Schlüssellänge, die so groß war, daß eine effiziente Verwaltung nicht möglich war. Später wurden praktikable Verfahren entwickelt.``Grundlagen''.
![]()
Der Vollständigkeit halber soll an dieser Stelle daraufhingewiesen werden, daß Diffie und Hellman nicht die ersten waren, die sich mit `public key cryptography' beschäftigt haben, wenn auch ihre Ideen die maßgeblichen waren. Nimmt man die Zeitangaben aus der Fachliteratur, so steht Ralph Merkle die Ehre zu. 1974 entwickelt er im Rahmen einer Seminararbeit an der Universität Berkeley (Kalifornien) das `knapsack'-Problem ([Schneier 1996], S. 40). An anderer Stelle ([Menezes/Oorschot/Vanstone 1997], S. 300) werden Merkle und Hellman als Verursacher genannt. Auch die Zeitangaben differieren. Bei [Damm 1995] findet sich für das `knapsack'-Problem 1978 als Entstehungszeitpunkt (S. 40). Der `knapsack'-Ansatz wird von den meisten Autoren jedoch abgelehnt bzw. nicht empfohlen und hat praktisch keine Bedeutung.F. Damm hat in [Damm 1995] Übersichten über die wichtigsten kryptographischen Hashfunktionen und praktikablen elektronischen Unterschriftenverfahren erarbeitet, die ich graphisch aufbereitet habe.
![]()
![]()
Den modernsten Ansatz für digitale Signaturen haben Birgit Pfitzmann und Michael Waidner entwickelt und 1990 bzw. 1991 [4] vorgestellt. Sie verfolgen mit ihren Failstop-Signaturen die Idee, die Fälschung einer digitalen Signatur nachweislich zu machen und Folgefälschungen zu unterbinden, sobald eine Fälschung festgestellt wurde. Voraussetzungen für das Funktionieren sind die Geheimhaltung des privaten Schlüssels und die Gültigkeit der kryptologischen Annahme (cryptological assumption).
![]()
![]()
In den 70'er Jahren wurden in der zivilen kryptologischen Forschung große Fortschritte gemacht, insbesondere wurde die asymmterische Verschlüsselung (public key cryptography) entwickelt. Durch eine Kombination mit kryptographischen Hashfunktionen erhält man Verfahren für digitale Signaturen. Die Sicherheit von der modernen Fail-stop-Signaturen ist höher als die einfacher, herkömmlicher digitaler Signaturen.
Geschichte digitaler Signaturen
``Der Trend ist eindeutig: die Informationsgesellschaft wird es nur in Abhängigkeit vom sicheren und beherrschbaren Funktionieren "digitaler Signaturen" geben. Gemessen am Stand der aktuellen Debatte wird ein gerichtsverwertbarer, also rechtsverbindlicher Geschäftsverkehr - ein zentraler Baustein einer multimedialen Dienstleistungsgesellschaft - nicht ohne digitale Signaturen, dem modernsten Produkt kryptographischen Denkens, möglich sein.'' [Hartmann/Ulrich 1997]
Auf Drängen der Geschäftswelt wurden
inzwischen weltweit einige Versuche unternommen, die digitale Signatur
gesetzlich zu reglementieren, um ihr einen der eigenhändigen Unterschrift
vergleichbaren Wert zu geben. Den Anfang machten die USA, wo 1995 in Utah
der `Utah Digital Signature Act' (UDSA)
verabschiedet wurde. Es folgten andere Bundesstaaten, wie z.B. Georgia
und Kalifornien.
Auch der deutsche Gesetzgeber bemerkte die Notwendigkeit
einer rechtlichen Absicherung digitaler Signaturen und reagierte. 1997
trat im Rahmen des sogenannten Multimediagesetzes (IuKDG)
das Gesetz zur digitalen Signatur, kurz SigG,
in Kraft. Damit sieht sich die Bundesregierung international in einer Vorreiterrolle.
Der Wert des Gesetzes ist umstritten. Einerseits
wurde begrüßt, daß das Gesetz überhaupt geschaffen
wurde. Auf der anderen Seite wurde seine Ausgestaltung stark kritisiert.
Den Hauptangriffspunkt stellen dabei die unklaren Verantwortlichkeiten
und fehlende Haftungsregelungen dar. Auch werden die in einer ergänzenden
Verordnung vorgeschriebenen technischen Anforderungen als ernstes Hindernis
für den breiten Einsatz der digitalen Signaturen angesehen. Die von
einer Allianz aus Politikern, Geheimdienstlern und Beamten der Innenministerien
von Bund und Ländern angestrebte Reglementierung der Verschlüsselung
trägt ihrerseits zur Verunsicherung über den Wert digitaler Signaturen
bei.
![]()
Zwanzig Jahre nach Entwicklung der technischen Verfahren wird die digitale Signatur der eigenhändigen Unterschrift rechtlich weitgehend gleichgestellt. Der praktische Wert der gesetzlichen Regelungen muß sich erst noch erweisen. Zumindest beinhalten die fehlenden bzw. unklaren Haftungsregelungen ein gewisses Risiko.
``Chronological Order with digital signature schemes, as with most other cryptologic subjects, means: Related to older work, someone has an informal idea, and people happily start to construct schemes.'' [Pfitzmann 1996], S.11
``1980 gab es einen schwerwiegenden Versuch,
als die NSA das American Council
on Education ins Leben rief. Dahinter steckte die Absicht, den Kongreß
davon zu überzeugen, der NSA
die juristische Kontrolle der Publikationen auf dem Gebiet der Kryptographie
zu übertragen.''
usw. usf.
Birgit Pfitzmann, Michael Waidner: Formal Aspects of
Fail-Stop Signatures. Report 22/90, Fakultät für Informatik,
Universität Karlsruhe, 1990