Norbert Luckhardt (c't 12/96, S. 110)
Kryptologische Begriffe und Verfahren
Kryptologie steckt hinter so alltäglichen Dingen wie der PIN-Prüfung am Geldautomaten, einem Gespräch per Mobiltelefon oder dem Login am Computer. Überall dort, wo es in technischen Systemen um Rechte, Identifikation oder Geheimhaltung geht, kommen die `Lehren vom Verbergen' zum Einsatz.
Unterthema: Glossar
Unterthema: Internet-Banking: mit Netz und doppeltem Boden
Kryptologie läßt sich in zwei Bereiche untergliedern: in die Kryptographie, die sich mit der Kodierung und Verschlüsselung befaßt, und in die Kryptoanalyse, das Brechen von verschlüsselten Texten (Chiffraten), Algorithmen und Protokollen. Die Erkundung möglicher Angriffe ist aber auch für die Qualitätsbeurteilung und Entwicklung von Krypto-Algorithmen wichtig. Eher eine Nebenrolle spielt die Steganographie, deren Metier das bloße Verschleiern beziehungsweise Verstecken von Information darstellt. Dazu gehören Geheimtinten, die erst bei chemischer Behandlung erscheinen, ebenso wie digitale Wasserzeichen, die sich `unsichtbar' in einer Grafikdatei verbergen.
Kryptographische Methoden verwirklichen verschiedene Aspekte der Datensicherheit. Zwei klassische Ziele sind Integrität und Vertraulichkeit - Daten sollen nicht unbefugt verändert oder gelesen werden können. Je nach Anwendungsgebiet kommen weitere Aufgaben hinzu: in der Kommunikation beispielsweise die Authentizität, die eindeutige Zuordnung einer Nachricht zu einem Absender. Bei elektronischen Geldbörsen sind Originalität und Fehlertoleranz gefragt: digitales Geld darf nicht duplizierbar sein und soll bei einem Systemfehler, wie zum Beispiel einem Plattencrash, nicht verlorengehen. Im Rechtsverkehr darf keine Partei eine Transaktion abstreiten können: hier ist Verbindlichkeit (Unleugbarkeit) gefragt.
Relativitätstheorie
Sicherheit ist relativ; diese Binsenweisheit trifft auch auf Kryptosysteme zu. Absolute Sicherheit liegt vor, wenn ein exakter, mathematischer Beweis für die Unangreifbarkeit eines Verfahrens existiert. Bislang ist nur ein einziger Algorithmus bekannt, der absolut sicher ist: das One-Time-Pad, nach einem seiner Erfinder auch Vernam-Chiffre genannt. Für die Praxis sind komplexitätstheoretische oder praktische Sicherheit wesentlicher: Falls die zum Brechen eines Verfahrens notwendigen Ressourcen die gesamte Materie des Universums übersteigen oder eine beliebig aufwendige Maschine dafür mehr Zeit als die verbleibende Lebensdauer unserer Sonne braucht, dann kann dieser Algorithmus getrost als sicher gelten. Die praktische Sicherheit begnügt sich sogar mit dem Nachweis, daß - jetzt und in absehbarer Zukunft - `verfügbare' Ressourcen nicht ausreichen; über die Grenzen der Verfügbarkeit darf dann allerdings gestritten werden.
Selbst wenn der zugrundeliegende Krypto-Algorithmus sicher ist, können Fehler in der Implementierung zu Sicherheitslücken führen. Netscape bekam das im Laufe der Navigator-Entwicklung zu spüren, als zwei `Cypherpunks' im September 1995 entdeckten, daß die SSL-Version (Secure Socket Layer) im Navigator 1.1 mit einem unsicheren Zufallszahlengenerator versehen war - die Session-Keys zu knacken dauerte nur 25 Sekunden [4].
Weitere Angriffsmöglichkeiten bieten die verwendeten Protokolle. Ein Dritter kann versuchen, durch gezielte Manipulationen den Ablauf so zu beeinflussen, daß ihm spätere Angriffe leichter fallen, zum Beispiel durch die Wahl schlechter (schwacher) Schlüssel. Auch `blinde' Eingriffe sind denkbar: Bei einer Replay-Attacke wird eine abgefangene Nachricht - gegebenenfalls ohne Kenntnis ihres Inhalts - vom Angreifer erneut versendet. Im Falle von Bestellungen, Überweisungen oder kostenpflichtigen Anfragen bei Datenbanken müssen entsprechende Mechanismen verhindern, daß solches Handeln Auswirkungen hat. Eine einfache Gegenmaßnahme sind die Transaktionsnummern (TAN) beim Homebanking, die nur ein einziges Mal eine Nachricht für gültig erklären.
Literatur
[1] Andreas Rieke, Datenschlösser, Grundlagen der Kryptologie, c't 8/94, S. 230
[2] Albrecht Beutelspacher, Kryptologie, Eine Einführung in die Wissenschaft vom Verschlüsseln ..., Vieweg
[3] Uni GH Siegen, Security Server, http://www.uni-siegen.de/security/
[4] Hack Netscape, http://www.c2.org/hacknetscape/
Kasten 1
Glossar
Asymmetrische (Verschlüsselungs-) Verfahren (Public-Key-Verfahren): Jeder Anwender besitzt ein Schlüsselpaar aus einem öffentlichen und einem geheimen Schlüssel. Zur Verschlüsselung benötigt der Absender den öffentlichen Schlüssel (Public Key) des Empfängers. Eine derart kodierte Nachricht kann nur mit dem zugehörigen geheimen Schlüssel dechiffriert werden; nicht einmal der Absender ist in der Lage, den Klartext wiederherzustellen. Die öffentlichen Schlüssel lassen sich gefahrlos in einem allgemein zugänglichen Verzeichnis speichern. Allerdings muß sichergestellt sein, daß ein öffentlicher Schlüssel auch wirklich zu seinem vermeintlichen Inhaber gehört: dies ist durch persönliche Überprüfung oder durch digitale Zertifikate von vertrauenswürdigen Dritten zu gewährleisten. Das weitaus bekannteste Public-Key-Verfahren ist RSA (nach seinen Entwicklern Rivest, Shamir, Adleman). Der Nachteil asymmetrischer Algorithmen liegt in der vergleichsweise langsamen Abarbeitung infolge ihrer hohen Komplexität.
Blockchiffre: Blockchiffren verschlüsseln eine bestimmte Anzahl Bits in einem Schritt, häufig 64 Bit. Für diese Algorithmen stehen neben der einfachen Verschlüsselung `Block für Block' (Electronic Codebook Mode, ECB) verschiedene zusätzliche Betriebsarten zur Verfügung, die durch Rückkopplung des Verschlüsselungsergebnisses auf den nächsten Block entstehen. Damit kann die Blockgröße des Verfahrens reduziert oder/und die Sicherheit erhöht werden: ein Angreifer könnte beim ECB Blöcke ermitteln, die häufig auftreten und deren Klartext abzuleiten ist wie bei Grußformeln oder Header-Informationen - diese 8-Zeichen-Folgen wären dann an jeder Stelle kompromittiert. Außerdem können ECB-Blöcke umgestellt und für Replay-Attacken benutzt werden.
DES, Data Encryption Standard: Der DES ist eine symmetrische Block-Chiffre, die auf eine IBM- Entwicklung der frühen 70er Jahre zurückgeht. Aufgrund seiner einfachen Operationen läßt sich DES gut in Hardware implementieren; aktuelle DES-Chips erreichen einen Durchsatz von mehreren GByte/s. Der DES zählt zu den am besten durchleuchteten Algorithmen und ist ungebrochen. Kritik erntet er überwiegend wegen seines kleinen 56-Bit-Schlüssels. Dieses Manko läßt sich allerdings durch Abwandlungen mildern: Triple-DES arbeitet in drei normalen DES-Durchgängen mit 112 Bit oder 168 Bit Gesamtschlüssellänge.
Digitaler Fingerabdruck (Message Digest, Message Authentication Code, MAC) : Eine Hash-Funktion erzeugt eine Prüfsumme (oft 128 Bit) von einer beliebig langen Nachricht. Falls es nicht oder nur sehr schwer möglich ist, eine `kollidierende' Nachricht zu ermitteln, handelt es sich um eine Sichere Hash-Funktion. Hier kann ein Angreifer keine Nachricht generieren, die denselben Hash-Wert besitzt; der Hash-Wert identifiziert wie ein Fingerabdruck die ursprünglichen Daten. Die bekanntesten Sicheren Hash-Funktionen sind SHA-1 (Secure Hash Algorithm) und RIPEMD-160 - für `kurzlebige' MACs auch MD5.
Digitale Signatur: Bestimmte Public-Key-Verfahren können digitale Signaturen verwirklichen, indem der Autor (oder Signierer) ein Dokument mit seinem geheimen Schlüssel `unterschreibt'. Mit Hilfe des öffentlichen Schlüssels kann jeder die Integrität überprüfen. Neben der Sicherheit des Verfahrens spielen die Authentizitätsprüfung des Signierschlüssels und die dahinterliegende Infrastruktur von Zertifizierungsstellen eine tragende Rolle; schließlich interessiert neben der Unveränderlichkeit auch die gesicherte Urheberschaft. In der Praxis signiert man nicht das gesamte Dokument, sondern nur seinen digitalen Fingerabdruck. Die Qualität der verwendeten Sicheren Hash-Funktion ist dann für die Signatur genauso wichtig wie das verwendete Krypto-Verfahren.
Hybrid-Verfahren: Hierbei wird zunächst ein zufällig gewählter Session-Key (Einmal-Schlüssel) per Public-Key übermittelt, eine symmetrische Verschlüsselung mit diesem Session-Key schützt dann die nachfolgende Kommunikation. Damit nutzt man sowohl das vorteilhafte Schlüsselmanagement der Public-Key-Verfahren als auch den hohen Durchsatz der symmetrischen Algorithmen. Eine zentrale Bedeutung hat der verwendete Zufallszahlengenerator - sind seine Ergebnisse vorhersagbar, ist die Verschlüsselung wirkungslos.
Man-in-the-Middle Attack: Bei diesem Angriff täuscht ein böswilliger Dritter `in der Leitung' zwei Kommunikationspartner, indem er ihnen durch nicht-authentische Schlüssel jeweils die Identität des anderen vorspiegelt.
One-Time-Pad: Die einzige bekannte Verschlüsselung mit absoluter Sicherheit ist eine symmetrische Stromchiffre. Klartext- und Schlüsselbits werden durch ein Exklusiv-Oder verknüpft. Die Sicherheit beruht auf der Zufälligkeit des Schlüssels, der mindestens genauso lang sein muß wie der Klartext und nur ein einziges Mal verwendet werden darf. Durch diese Randbedingungen ist der One-Time-Pad ziemlich unhandlich - schließlich müssen die Kommunikationspartner zuvor über einen sicheren Kanal einen Schlüssel austauschen, der genau so lang ist, wie eine spätere Nachricht.
Schwache Schlüssel: Bei einigen Algorithmen, zum Beispiel dem DES, existieren systembedingt bestimmte Schlüssel, die Teilfunktionen des Algorithmus wirkungslos machen und daher die kryptographische Stärke des Verfahrens mindern. Von semischwachen Schlüsseln ist die Rede, wenn verschiedene Schlüssel dasselbe Chiffrat ergeben. Bei symmetrischen Verfahren sind alle Schlüsselpaare vertraulich - in Public-Key-Chiffren nur der eigene geheime Schlüssel.
Social Engineering: Das beste Krypto-Verfahren hilft nichts, wenn ein Angreifer die verwendeten Schlüssel aus dem Umfeld des Absenders ableiten kann: der Name der Freundin, Autokennzeichen oder das eigene Geburtsdatum multipliziert mit 4711 sind - auch rückwärts geschrieben oder verwürfelt - völlig ungeeignet. Ein sicherer, binärer Schlüssel, der durch ein unsicheres Paßwort freigegeben wird, ist ebenso kompromittiert. Schließlich fallen unter den Begriff des Social Engineering auch das Ausnutzen von Paßwortnotizen und die Preisgabe von Geheimnissen an `Servicetechniker'.
Stromchiffren: arbeiten kontinuierlich auf einem Bitstrom: jeweils ein Bit des Klartextstroms wird mit einem Schlüssel-Bit exklusiv-verodert. Der Schlüssel-Bitstrom muß von einem geeigneten Algorithmus aus dem Schlüssel generiert werden. Der Output eines solchen Schlüssel-Bitstrom-Generators ist meist periodisch - schließlich muß er deterministisch sein, damit ein gleichartiger Mechanismus auf der Empfängerseite den chiffrierten Bitstrom wieder entschlüsseln kann. Für eine sichere Verschlüsselung muß die Periode des Generators deutlich größer sein als der Bit-Durchsatz bis zum nächsten Schlüsselwechsel. Als Bitstrom-Erzeuger kommen auch Blockchiffren zum Einsatz.
Symmetrische Verfahren: Bei symmetrischen Verfahren benutzen Absender und Empfänger denselben Schlüssel zum Ver- und Entschlüsseln einer Nachricht. Solche Algorithmen lassen sich sehr effizient implementieren, haben aber auch deutliche Nachteile: Jeweils zwei Anwender müssen einen geheimzuhaltenden Schlüssel vereinbaren und über einen sicheren Kanal austauschen. Zudem wächst die Schlüsselmenge des Systems quadratisch mit der Teilnehmerzahl. Die Authentizität des Kommunikationspartners folgt implizit aus der Möglichkeit der Entschlüsselung seiner Nachricht, da nur er den vereinbarten Schlüssel kennt - mit der Kompromittierung der Vertraulichkeit ist daher auch ein Verlust der Authentizität verbunden. Zu den bekantesten symmetrischen Algorithmen gehören der DES, IDEA (International Data Encryption Algorithm) und RC2/4 (Ron/s Code).
Zufallszahlen: Computer sind nicht in der Lage, echte Zufallszahlen zu erzeugen: genau festgelegte Verfahren bearbeiten Eingangsdaten und können nur eine endliche Zahl von Zuständen annehmen. Daraus folgt zwingend eine Periodizität beziehungsweise Vorhersagbarkeit der Ausgaben. Algorithmen erzeugen also nur Pseudo-Zufallszahlen (pseudo random number generators, PRNG), eine Folge von Zahlen, die statistisch zufällig erscheinen. PRNG sind allerdings auch für sehr große Perioden bekannt. Bei kryptographischen Anwendungen darf es - auch mit Kenntnis des Verfahrens - darüber hinaus nicht möglich sein, anhand eines Ausgabewerts den nachfolgenden zu ermitteln. (nl)
Kasten 2
Internet-Banking: mit Netz und doppeltem Boden
Beim Internet-Banking kommt neuerdings die Secure Request Technology (SRT) von Brokat zum Einsatz - hier am Beispiel der Bank24. SRT ist praktisch eine 1:1-Umsetzung von Netscapes Secure Socket Layer (SSL) Protokoll in Java. Aufgrund der US-Exportbeschränkungen bieten internationale SSL-Implementierungen nur unzureichenden Schutz - SRT setzt mit der vollen Schlüsselgewalt der freien Kryptowelt auf eine bestehende SSL-Verbindung auf und bildet dort noch einmal eine komplette, zweite Sicherheitsebene.
SRT sichert jeden Klartext zusätzlich zur Verschlüsselung durch einen MAC.
Nach dem Austausch von Versionsnummern und Zufallsdaten in den jeweiligen Hello-Messages findet eine Authentifizierung des Servers statt: hierzu dient unter SSL ein 512-Bit-RSA-Schlüssel (a) der Bank 24, der von der VeriSign SecureServer Zertifizierungsstelle unterschrieben ist. Der öffentliche Schlüssel zur Überprüfung dieses Zertifikats liegt jedem SSL-fähigen Browser bei. Auf der SRT-Ebene gibt es sogar zwei RSA-Keys: für die aktuelle Übertragung wird ein temporärer Schlüssel benutzt (c), der durch einen längerfristig gültigen zertifiziert wird (b). Letzterer liegt dem Applet-Archiv bei und wird durch die gesicherte SSL-Übertragung als authentisch anerkannt. Verbindungsspezifische Zufallsdaten im SRT-Zertifikat verhindern Replay-Attacken.
Als Grundlage für die Sitzungsschlüssel dient das 48 Byte große Master-Secret. Beide Seiten berechnen es durch Kombination der beiden Hash-Funktionen MD5 und SHA aus den Zufallswerten der Session - der größte Teil davon, das ebenfalls 48 Byte umfassende PreMaster-Secret, wurde bereits durch RSA-Kodierung geschützt übertragen. Nach demselben Verfahren berechnet sich der Keyblock, aus dem dann vier Schlüsselwerte entnommen werden: ein eigener Session-Key für jede Übertragungsrichtung und zwei zugehörige MAC-Secrets. In den Exportversionen von SSL sind nur 40-Bit-Schlüssel zugelassen, daher kommen hier die - im Klartext übertragenen - Zufallswerte Random1 und 2 ins Spiel, um die RC4-Keys auf 128 Bit zu ergänzen. Die Initialisierung des SRT-Zufallszahlen-Generators erfolgt übrigens durch Auswertung einer Reihe von Mausbewegungen über dem Java-Fenster.
Jedes Datenpaket in SSL und SRT wird durch einen Message Authentication Code (MAC) abgesichert: In diesen Hash-Wert fließt neben den MAC-Secrets und den Übertragungsdaten auch eine laufende Nummer ein; Replay-Attacken sind somit ausgeschlossen. Außerdem kompromittiert ein Brechen der Übertragungsschlüssel nur die Vertraulichkeit der übermittelten Daten, nicht aber deren Integrität - zu ihrer Modifikation müßte zusätzlich auch der MAC geknackt werden.
Nach dem Aufbau eines gesicherten Kanals authentisiert sich der Internet-Banker durch seine Kundennummer und Online-PIN. Zur Ausführung von Bankgeschäften ist zudem noch die Angabe von Transaktionsnummern (TAN) notwendig. (nl)
Norbert Luckhardt, Harald Bögeholz (c't 1/96, S. 132 ff)
Schlüsselerlebnisse
PGP-Frontends im Überblick
Vielen EMail-Benutzern ist `Pretty Good Privacy' (PGP) noch völlig fremd, anderen zu umständlich in der Anwendung. Dabei könnte PGP ihnen zum Nulltarif eine ganze Menge bieten - und für die Bequemlichkeit gibt es mittlerweile etliche Frontends.
Unterthema: Netzressourcen
Kleben Sie Ihre Briefe zu? Vermutlich schon. Dabei handelt es sich bei der Post doch um eine streng organisierte, `hochoffizielle' Organisation. Verschlüsseln Sie Ihre EMail? Vermutlich nicht. Dabei wissen Sie doch nicht einmal, welchen Weg Ihre Nachricht über Datenautobahnen und Mailbox-Schleichwege zum Empfänger nimmt, wie viele Sysops, HiWis oder Eindringlinge unterwegs Zugang dazu haben oder inwieweit die Datenströme schon systematisch durchforstet werden.
Privatsphäre und Datenschutz haben etwas damit zu tun, daß man weiß, wem man welche Informationen zugänglich macht. Das gilt nicht nur für Geheimnisse: Auch wenn Sie normalerweise keinen Hehl aus Ihrer Abneigung gegen ein bestimmtes Computerbetriebssystem oder die jüngsten Aktivitäten eines bekannten Politikers machen, heißt das noch lange nicht, daß Sie auch bereit wären, sich Meinungsforschern, Werbeleuten oder Ermittlungsbehörden schriftlich zu outen. Abgesehen von den `bösen Absichten' solcher Menschen genügt ja vielleicht schon ein kleiner Tippfehler in der Adresse oder ein fehlkonfigurierter Rechner, um Ihre Post den Falschen erreichen zu lassen. Warum sollte der in der Lage sein, sie - vielleicht sogar unbeabsichtigt - zu lesen?
Wenn eine Nachricht nur für den rechtmäßigen Empfänger lesbar sein soll, muß sie verschlüsselt werden. Bei den meisten Verfahren benutzen Absender und Empfänger denselben Schlüssel. Der Nachteil solcher `symmetrischer' Kryptographie besteht darin, daß jeder für und mit jedem Gesprächspartner einen eigenen Schlüssel vereinbaren muß. Und zwar auf sicherem Wege: Damit in einem Netz 1500 Menschen miteinander vertraulich kommunizieren können, sind bereits weit über eine Million Schlüssel entweder unter vier Augen auszuhandeln oder durch eine `vertrauenswürdige Instanz' bereitzustellen.
`Public Key/-Systeme benötigen im Gegensatz dazu nur einen einzigen Schlüssel pro Person - genauer: ein Schlüsselpaar. Der Trick besteht darin, Nachrichten mit einem allgemein bekannten, `öffentlichen' Schlüssel (public key) zu kodieren. Der Empfänger dechiffriert mit dem `Gegenstück/, seinem geheimgehaltenen, `privaten' Schlüssel (secret key). Natürlich darf der geheime Schlüssel nicht aus dem öffentlichen abzuleiten sein.
Die Umkehr dieses Prinzips ist - bei geeignetem Verfahren - eine digitale Unterschrift: Dazu kodiert der Absender seine Nachricht mit dem geheimen Schlüssel, der nur ihm zur Verfügung steht. Gelingt der Versuch der Dechiffrierung mit dem öffentlichen Schlüssel des vermeintlichen Autors, dann ist die Nachricht authentisch. Mathematische Hintergründe und Details finden sich in [8] oder in aller Kürze bei [5].
Pretty Good Privacy
Bereits 1991 veröffentlichte Philip Zimmermann, angeregt durch die politischen Entwicklungen in den USA, die erste Version von PGP: Phil/s `Pretty Good Privacy/. Um möglichst viele Menschen zu erreichen, ist PGP - für nicht-kommerzielle Zwecke - nach wie vor Freeware. Außerdem soll sich jeder anhand der Quelltexte überzeugen können, daß PGP keine Hintertüren offenläßt. PGP bietet auf der Grundlage anerkannt sicherer Verfahren Public-Key-Verschlüsselung, digitale Unterschriften und eine dezentrale Schlüsselverwaltung.
Die weitere Entwicklung von PGP war und ist eine spannende Geschichte (Näheres in [3], [4] und [5]): Einerseits beklagte eine Firma in den USA die Verletzung eines Softwarepatents (dort sind Algorithmen patentfähig). Zum anderen fällt starke Kryptographie wie PGP unter Exportbeschränkungen des Landes. Daher existieren seit einiger Zeit parallel zu den `offiziellen' Freeware-Versionen, die Zimmermann mittlerweile gemeinsam mit dem MIT (Massachusetts Institute of Technology) herausgibt, jeweils auch eine kommerzielle Version und `internationale' Release, bei der einige amerikanische Besonderheiten unbeachtet bleiben können. Für Benutzer außerhalb der USA empfiehlt sich letztere, da die dort verwendeten Algorithmen vermutlich etwas effizienter sind - einen Rechtsbruch begeht damit niemand. Die von Stå le Schumacher aus Norwegen koordinierte Version (aktuell 2.6.2i) wird von Zimmermann ausdrücklich empfohlen. Nach eigenen Aussagen versuchen er und das MIT aber weiterhin eine Möglichkeit zu finden, PGP auf einer weltweit einheitlichen Basis weiterzuentwickeln.
Jetzt geht/s los ...
Die Installation von PGP ist sehr einfach: Für Amiga, Atari, Archimedes, DOS, Macintosh und OS/2 sind fertig kompilierte Archive erhältlich, die im wesentlichen nur ausgepackt werden müssen. Für Unix/Linux ist in der Regel ein C-Compiler-Paket (etwa Gnu-C und -Make) notwendig. Die Programmquellen sind frei verfügbar und mit Ausnahme von MacPGP für alle Plattformen in einer einzigen Version vereint.
Sobald PGP dem frischgebackenen Kryptojünger ein persönliches Schlüsselpaar berechnet hat, kann/s im Prinzip auch schon losgehen. Die öffentlichen Schlüssel der Empfänger gibt/s auf Anfrage von ihnen selbst oder über einen Keyserver ... doch halt: woher weiß man eigentlich, daß nicht jemand anderes dort einen Schlüssel unter `falschem Namen' gelagert hat, um nun doch vertrauliche Botschaften lesen zu können? Zunächst bleibt das ungewiß.
Blind Date
Um sicherzugehen, müßte der erkennbar echte Empfänger - am Telefon oder im direkten Gegenüber - seinen angeblichen Schlüssel autorisieren. Dazu genügt es, statt aller Bytes den sogenannten Fingerabdruck zu vergleichen, eine 16 Byte lange, unfälschbare `Prüfsumme/. Wer die Echtheit eines Schlüssels überprüft hat, unterschreibt (authentifiziert) ihn mit seinem eigenen. Durch die Weitergabe solcher `Zertifikate' bildet sich allmählich das `Web of Trust/. Statt jeden Schlüssel selbst zu prüfen, vertraut man gegebenenfalls den Unterschriften von anderen. Wenn Piotre sich beispielsweise der Echtheit von Stales Schlüssel versichert hat und ihm zutraut, das PGP-Prinzip verstanden zu haben und nur Schlüssel zu unterschreiben, die auch wirklich authentisch sind, kann er solche Schlüssel ohne eigene Prüfung als echt anerkennen. Ist man sich der Vertrauenswürdigkeit eines Bekannten (in bezug auf die Schlüsselprüfung) nicht so sicher, können auch mehrere unabhängige Unterschriften notwendig sein - PGP gestattet verschiedene Vertrauensebenen (vergleiche Abbildung).
Ein Ausschnitt des `Web of Trust' aus Piotres Sicht: Bis auf Wolfgangs Schlüssel erkennt er alle als authentisch an.
Knackpunkte
Zwei Dinge machen PGP unbequem: Zum einen handelt es sich um ein Kommadozeilenprogramm mit einer großen Zahl von Parametern, die zwar einer Systematik folgen, aber dennoch für viele Anwender schwierig zu merken sind. Außerdem arbeitet PGP auf Dateiebene - zur Ver- beziehungsweise Entschlüsselung von Nachrichten sind daher ohne zusätzliche Utilities etliche Im- und Exportvorgänge notwendig. Um die Handhabung von PGP in puncto EMail zu vereinfachen und das Programm in eine grafische Benutzeroberfläche zu integrieren, empfiehlt es sich, eines der reichlich vorhandenen Frontends zu nutzen.
Die nachfolgende Übersicht erhebt keinen Anspruch auf Vollständigkeit - insbesondere haben wir weder DOS-Shells noch Utilities für Offline-Mailreader (wie QWK oder SOUP) betrachtet. Für Macintosh-Benutzer steht mit MacPGP bereits in der `Grundversion' eine einfache Shell zur Verfügung - eine tiefere Integration in Mailer und weitere Anwendungen können Sie mit Hilfe von AppleScript erzielen (MacPGP-Kit).
Windows 95/3.x
Unter Windows gibt es fast genauso viele Konzepte wie Frontends: die Übertragung der Texte über die Zwischenablage ist die am häufigsten angewandte Methode. Daneben ist von Temporärdateien über die Fernsteuerung durch Windows-Nachrichten bis hin zur Integration in den Mailer alles vertreten.
Private Idaho
Dieses Freeware-Tool von Joel McNamara liegt in Version 2.1 vor (pidaho21.zip). Bei Private Idaho ist das Grundprinzip ein `Premailer/, in dem der Anwender zunächst die komplette Nachricht (maximal 32 KByte) schreibt und verschlüsselt. Anschließend überträgt Private Idaho das Ergebnis inklusive Adressen und Subject in eine `Neue Nachricht' des eigentlichen Mailers, die man aber zuvor selbst geöffnet haben muß. Beim Entschlüsseln führt der Weg hingegen über die Zwischenablage.
Private Idaho empfiehlt sich besonders bei h äufiger Benutzung von Remailern.
Außerdem dient Private Idaho als Frontend zu sogenannten Remailern, die Nachrichten anonymisieren oder zumindest eine Analyse der benutzten Datenverbindungen unmöglich machen. Bei einigen Remailern können durch verschiedene Kommandos auch die Subject-Zeilen geändert und Zeitverzögerungen eingefügt werden. Diese Befehle lassen sich mit Private Idaho ebenso leicht und menügesteuert handhaben wie die Verkettung und geschachtelte Verschlüsselung an die verschiedenen Stationen auf einem langen, undurchschaubaren Postweg. Auch mit News-Gateways, die eine Schnittstelle von (auch anonymisierter) Mail zum Usenet darstellen, kann das Programm umgehen.
WPGP
WPGP nimmt dem Benutzer die Cut-and-Paste-Operationen ab: Nach Auswahl der gewünschten PGP- Operation wählt ein Mausklick das (Editor-)Fenster, das Quelle und/oder Ziel der Nachricht ist. Um zum Beispiel auf eine verschlüsselte Mail zu antworten, kann im Mailer einfach ein `Reply' erzeugt werden. Unter WPGPs Capture-Menü wählt man dann `Read&Reply' und klickt mit der Maus ins Mailer-Fenster. WPGP schnappt sich den Text, entfernt nötigenfalls Quotezeichen, entschlüsselt die Nachricht und gibt dem Benutzer in einem eigenen Editorfenster die Möglichkeit, seine Antwort zu formulieren. Nach Klick auf `OK' wird verschlüsselt, gegebenenfalls unterzeichnet und die erzeugte Antwort automatisch ins Mailerfenster zurückgeschoben. WPGP sollte mit allen Programmen funktionieren, die Windows/`Edit-Control' benutzen.
Der Mauscursor (rechts über dem PGP-Block) zeigt die geplante WPGP-Aktion. Über den `suchenden Augen' steht das Kürzel der Funktion - hier `Read&Reply'.
Ein Problem hat WPGP allerdings mit der Kommentarzeile, die die neueren Versionen von PGP in der `Versandhülle' (ASCII-Armor) ermöglichen. WPGP umbricht diese Zeile, wodurch PGP die Nachricht nicht mehr dechiffrieren kann. WPGP ist Shareware von Jack Gostl und kostet 35 US-$. Die unregistrierte Version (wpgp-102.zip) steht nur 14 Tage zur Verfügung und beendet sich nach jeweils 10 Minuten selbsttätig.
PGPClip
PGPClip von Michael Meyer ist eines der schlichteren Tools - gleichzeitig aber auch am leichtesten zu bedienen und nur 24 KByte groß. Von diesem Freeware-Programm, das aktuell in Version 1.4 vorliegt, sind keine Wunderdinge der Schlüsselverwaltung oder `fortgeschrittene' PGP-Aktionen zu erwarten. Es tut nichts anderes, als die Zwischenablage an PGP zu verfüttern und das Ergebnis wiederum dort abzulegen. Dadurch braucht es aber auch im wesentlichen nur zwei Knöpfe, einen zum Ver- und einen zum Entschlüsseln. Gerade unter Windows 95, dessen Clipboard-Funktionen mit der rechten Maustaste meistens schnell erreichbar sind, gestaltet sich das Arbeiten mit PGPClip recht flott.
Ohne die Option `Schlüssel anzeigen' zeigt PGPClip nur den oberen Teil des Fensters an.
Auf Wunsch liest das Programm die Schlüssel aus einem beliebigen oder dem Standard-Schlüsselbund und zeigt sie zur Auswahl des Empfängers in einem Fenster an - auch die Auswahl mehrerer Adressaten ist möglich. Diese Liste speichert PGPClip allerdings nicht in eine eigene Datei, so daß beim nächsten Start erneut ein zeitaufwendiger PGP-Aufruf erforderlich ist.
PGP Windows Shell
Die Windows Shell arbeitet zwar mit eigenen Eingabefeldern, in die man direkt schreiben kann, stellt aber auf Wunsch auch eine Clipboard-Funktion zur Verfügung, die eine weitestgehende Automatisierung der Entschlüsselung erlaubt. Sobald sie eine PGP-Nachricht in der Zwischenablage erkennt, startet sie PGP und legt das Ergebnis der Entschlüsselung wieder im Clipboard ab.
Für die verschiedenen Operationen bietet die PGP Windows Shell je eine Registerkarte mit Schritt-für-Schritt-Anleitungen.
Die Shell selbst ist nach Registerkartenart aufgemacht. Die verschiedenen Bedienelemente tauchen dabei auf jeder `Karte' auf, auf der sie gebraucht werden - mit Erläuterungen und in der `richtigen' Reihenfolge. Eine derart integrierte Anleitung ersetzt jede Onlinehilfe. Neben der Bearbeitung von Nachrichten stellt das Programm auch Funktionen für Dateien und eine umfassende Karte zum Schlüsselmanagement zur Verfügung.
Hervorzuheben ist die saubere und umfassende Dokumentation (englisch) in Form einer Richtext-Datei. Auch die PGP Windows Shell von Mike Lyman ist Freeware (pgpshlzp.exe).
PGP WinFront
PGP WinFront (pwf31.zip) von Ross Barclay bietet als einziges Frontend Zugang zu allen PGP- Funktionen - wenn auch etwas zu Lasten der Übersichtlichkeit. Weder das Arbeiten mit abgesetzten Signaturen zur Authentifikation von Programmen oder Archiven noch eine Überprüfung des gesamten Schlüsselbunds bleiben außen vor. WinFront unterstützt zwei öffentliche Schlüsselbunde parallel, zu denen es jeweils eine Datei mit den Benutzer-IDs und Fingerabdrücken aller Schlüssel bereithält. Eine programmtechnische Begrenzung der nutzbaren Größe der Schlüsselbunde scheint nicht vorhanden zu sein: Nicht einmal mit einem 7 MByte großen Schlüsselbund gab es - von der Bearbeitungszeit abgesehen - Probleme.
PGP WinFront ist ein Tool für Leute, die alle Möglichkeiten von PGP ausschöpfen - jede Funktion ist erreichbar.
Über den Button `QA' (Quick Access) hat der Benutzer die Möglichkeit, vier beliebige Programmaufrufe mit Dateinamen und interaktiver Parameterübergabe zu definieren. Außerdem führt das Programm eine `History List' aller PGP-Aufrufe. Etwas verbesserungswürdig in puncto Windows 95 sind die Dateiauswahlbox und die an einigen Punkten abweichend belegte rechte Maustaste.
PGP-Win
PGP Create und Receive sind zwei Minimalprogramme (pgpwin11.zip) von Nimrod S. Kerrett, überwiegend für Leute, die nur gelegentlich verschlüsselte Mail bekommen oder schreiben. Im `Creator' befinden sich neben einem Eingabefeld für die zu verschlüsselnde Nachricht nur eine Liste der möglichen Empfänger (aus dem öffentlichen Schlüsselbund abgeleitet) und zwei Optionen. Nach dem `Go' steht der entstandene PGP-Block im Notepad als temporäre Datei zur weiteren Verfügung.
Recht spartanisch gibt sich der PGP Composer `Create ' aus dem pgpwin-Paket.
PGP Receive ist unter Windows nur als Dropziel, Verknüpfung oder durch einen Aufruf aus dem Mailprogramm zu verwenden. Am elegantesten funktioniert es mit Mailern (zum Beispiel Offline-Reader), die die Angabe eines externen Editors zum Lesen der einzelnen Mails ermöglichen: in diesem Fall erscheint letztlich immer Notepad mit der Klartextnachricht - entweder direkt oder über den `Umweg' PGP.
PGPEmail (Preview)
Am einfachsten für den Benutzer wäre eine PGP-Einbindung direkt ins Mailprogramm. Manuel Malls PGPEmail geht diesen Weg über Microsofts Simple Mail Application Programming Interface (SMAPI). Wenn der Mail-Reader es zuläßt, erscheinen die PGP-Funktionen als neue Menüeinträge. Für MS-Mail (auch unter NT) und demnächst MS-Exchange soll die Installation über das Setup-Programm automatisch ablaufen, für DaVinci-EMail ist die Prozedur ausführlich beschrieben. PGPEmail befindet sich derzeit noch in einem frühen Betastadium - mit einer Release ist im Frühjahr 1996 zu rechnen.
Der Aufruf des DOS-Programms PGP mit langen Dateipfaden oder vielen Empfängern kann die maximale Kommandozeilenlänge leicht überschreiten. Mit PGPEmail liefert der Autor einen modifizierten PGP-Quelltext, der die Parameter statt dessen auch aus einer Datei lesen kann.
Unix/Linux
Die meisten, wenn nicht alle Mailer unter Unix beziehungsweise Linux erlauben die Einbindung von PGP über Skripte. Beispiele finden sich etwa im `Contrib/-Verzeichnis der - mittlerweile veralteten - europäischen PGP-`ui/-Versionen (auch einzeln als `pgp_cntrb.zip' in der c't-Mailbox). Dennoch gibt es erste Ansätze auch in Sachen grafischer Oberfläche.
Privtool
Privtool benötigt Xview (Openwin). Das optische Vorbild dieses Programms ist das Sun Mailtool, dessen Funktionalität es um grundlegende PGP-Funktionen erweitert. Im Compose-Fenster sind die Optionen Verschlüsselung und Unterschrift wählbar. In Zusammenarbeit mit dem Remailer-Client `Mixmaster' kann der Benutzer außerdem Nachrichten über zufällig ausgewählte Cypherpunk-Remailer versenden. Privtool verwaltet für diesen Fall verschiedene Pseudonyme.
Privtool ist ein kompletter XView-Mailer mit vollst ändiger PGP-Integration und Unterstützung für Cypherpunk-Remailer.
Falls das Unix-PGP-Tools-Paket installiert ist, liest Privtool öffentliche Schlüssel nach Möglichkeit aus einer im Hauptspeicher vorgehaltenen Hash-Tabelle, um zeitaufwendige PGP-Aufrufe einzusparen. Grundsätzlich unterstützt es einen zweiten Schlüsselbund: Bevor es in der Standarddatei sucht, fragt Privtool die Datei `smallring.pgp' ab, die - wiederum zur Geschwindigkeitssteigerung - für eine kleinere Anzahl häufig benutzter Schlüssel gedacht ist.
Bei eingehender Post erkennt Privtool automatisch, ob sie verschlüsselt ist. Je nach eingestelltem `Security-Level' merkt sich dieses Frontend das Paßwort für eine Weile oder fragt jedesmal beim Benutzer an. Nach der Dechiffrierung ersetzt die Klartextnachricht die eingegangene PGP-Mail, den Status von eventuell vorhandenen Unterschriften speichert Privtool mit der Nachricht.
Privtool von Mark Grant ist zur Zeit als Betaversion 0.85 erhältlich; es unterliegt der GNU General Public License (Freeware).
X11PGP
X11PGP hilft nur bei der Arbeit mit Dateien.
Dieses handliche TCL-Skript (9 KByte) bietet dem Benutzer eine X-Window-Minimaloberfläche - ausschließlich - für die Bearbeitung von Dateien. Schlüsselverwaltungsfunktionen oder Eingabemöglichkeiten sind nicht integriert.
OS/2
Für OS/2 ist das Angebot an PGP-Frontends recht übersichtlich. Immerhin gibt es Einbindungen in die beiden wichtigsten Editoren sowie ein Standalone-Programm auf Dateibasis. Mit Emacs und Elm stehen zwei Mailer aus der Unix-Welt zur Wahl, die gut mit PGP umgehen können.
Mailcrypt für Emacs
Das Paket Mailcrypt von Jin Choi und Pat LoPresti ist eine Erweiterung des Emacs-Editors und funktioniert unter Unix und OS/2 gleichermaßen.
Mit Mailcrypt erhält der in Emacs integrierte Mailer PGP-Unterstützung.
Emacs hat für das Lesen und Schreiben von Mail und News eigene Betriebsarten mit speziell angepaßten Menüs. Diese zeigen nach der Installation von Mailcrypt jeweils ein zusätzliches Untermenü mit Krypto-Funktionen. Emacs-üblich sind sie natürlich auch alle über kryptische Tastenkürzel zu erreichen.
Verschlüsselte Mails erkennt Emacs nicht automatisch, sondern zeigt sie zunächst einfach an. Man muß also manuell um Entschlüsselung bitten. Anschließend kann Mailcrypt die Mail entweder durch den Klartext ersetzen oder die verschlüsselte Form beibehalten.
Das nötige Paßwort speichert Mailcrypt für eine einstellbare Zeit, was natürlich ein gewisses Risiko bedeutet. Strenggenommen darf man seinen Rechner nicht aus den Augen lassen, solange Mailcrypt es noch nicht vergessen hat. Per Menüpunkt läßt sich daher auch eine sofortige Amnesie herbeiführen.
Zur Erweiterung seiner Schlüsselsammlung bietet Mailcrypt zwei Möglichkeiten an. Mit `Snarf Keys' fischt es etwaige Schlüsselblöcke aus der gerade angezeigten Mail heraus und fügt sie dem Public Keyring hinzu. Der Menüpunkt `Fetch Key' kann auf einem von drei Wegen einen fehlenden öffentlichen Schlüssel besorgen: Per http vom nächstbesten Keyserver, per finger direkt vom Rechner des Adressaten oder aus einem lokal gespeicherten größeren Schlüsselbund. Finger ist ein einfacher Internet-Dienst zur Abfrage von Benutzerinformationen, über den viele auch ihren PGP-Schlüssel bereitstellen.
Außerdem beherrscht Mailcrypt die hohe Kunst, Mail über anonyme Remailer zu verschicken, wofür die Nachricht je nach gewünschter Anonymität mehrmals mit verschiedenen Schlüsseln zu kodieren ist.
Gibbon EPM-Makro
Für den bei OS/2 mitgelieferten erweiterten Editor EPM gibt es von Gibbon Computer Products eine PGP- Integration als Freeware (gcppgp11.zip). Das Gibbon-Frontend fügt ein zusätzliches PGP-Menü in die Menüleiste ein, über das sich alle Funktionen erreichen lassen. Im Gegensatz zu Mailcrypt sind hier auch die Anzeige und Verwaltung der Schlüsselbunde integriert. Allerdings beschränken sich etliche Menüpunkte darauf, einfach PGP mit geeigneten Optionen in einem separaten Fenster zu starten, wo es dann in klassisch textbasierter Manier weitergeht.
Mit der Sicherheit nimmt es das Gibbon-Frontend nicht allzu genau. Verwendet man die bei Warp mitgelieferte Version 5.51 von EPM, so zeigt es das Paßwort bei der Eingabe gar im Klartext an. Bequem, aber gefährlich: das Paßwort bleibt gespeichert, bis man es explizit über das Menü löscht. Einen Timeout gibt es nicht.
Elm für OS/2
Elm ist ein verbreitetes Unix-Mailprogramm, das im reinen Textmodus läuft. Es eignet sich als Internet- Mailer in Zusammenarbeit mit IBMs Internet Connection oder dem TCP/IP von Warp Connect, kann aber auch mit UUPC/extended zusammenarbeiten, um Mails über das betagte UUCP-Protokoll per Modem auszutauschen.
In seine OS/2-Portierung von Elm hat Kai Uwe Rommel eine einfache, aber praktische PGP-Unterstützung eingebaut. Funktionen zur Schlüsselverwaltung und dergleichen gibt es nicht, ebensowenig zusätzliche Menüpunkte. Eingehende verschlüsselte Mails erkennt Elm automatisch und zeigt sie nach Eingabe des Paßwortes im Klartext an. Er bewahrt sie jedoch in verschlüsselter Form auf, zum Lesen ist daher jedesmal das Paßwort erforderlich.
Verschlüsseln geht ebenfalls ohne jeden Schnickschnack vor sich: Man schreibt einfach `[pgp-encrypt]' in eine einzelne Zeile der Mail. Beim Absenden kodiert Elm sie dann automatisch für alle Adressaten. Wahlweise lassen sich auch innerhalb der eckigen Klammern die gewünschten Empfänger angeben.
pmPGP
Das Shareware-Programm pmPGP von Thomas Blummer arbeitet grundsätzlich auf Dateibasis. Ein wenig lästig ist das, wenn man es zum Lesen von Mail benutzen will. pmPGP kann nicht einfach eine Datei in entschlüsselter Form anzeigen, sondern will immer erst einen Dateinamen für den Klartext haben. Auch mit dem Clipboard kann pmPGP nur über den Umweg einer Datei umgehen.
Das `Web of Trust' unter der Lupe: pmPGP kann die Abhängigkeiten zwischen den Schlüsseln grafisch darstellen.
Dafür arbeitet pmPGP recht gut mit der Workplace Shell zusammen. Dateien lassen sich von der WPS in das pmPGP-Fenster ziehen, wo man sie per Kontextmenü ver- oder entschlüsseln kann. Ebenfalls per Drag & Drop wandert die entstehende Datei dann wieder in einen WPS-Ordner zurück.
Gut gelungen ist auch die Schlüsselverwaltung. Neben einer einfachen Liste der Public Keys mit allen Eigenschaften kann pmPGP auch die zugehörigen Unterschriften anzeigen. Das `Web of Trust' erscheint so als Baumstruktur mit Ästen zum Auf- und Zuklappen. Bei den seltener benötigten Menüpunkten wie dem Zurückziehen von Schlüsseln oder dem Ändern von User-IDs endet die grafische Oberfläche - dies erledigt dann doch wieder ein in einem Textfenster gestarteter PGP.
Nachlese
Pflichtlektüre für jeden PGP-Interessierten ist die Programmdokumentation [3], die Phil Zimmermann sehr ausführlich und verständlich geschrieben hat. Der FoeBuD e. V. (Verein zur Förderung des bewegten und unbewegten Datenverkehrs) in Bielefeld hat eine deutsche Übersetzung herausgegeben, deren Text in elektronischer Form frei erhältlich ist. Das gedruckte Buch beinhaltet eine Diskette mit PGP und Tools.
Wer mehr wissen will, dem stehen etliche gute, aber überwiegend englischsprachige Werke zur Verfügung. Lediglich William Stallings Buch [6] ist bereits übersetzt: Es befaßt sich neben einer grundlegenden Einführung intensiv mit der Bedienung von PGP unter DOS, Windows und Mac OS. Simson Garfinkel geht in [5] - immer noch allgemein verständlich - etwas mehr in die Tiefe der Kryptographie und gibt einen ausführlichen Einblick in die Personen und Hintergründe, die die Entwicklung von PGP beeinflußt haben.
Bruce Schneier hat mit [8] ein Standardwerk in bezug auf die Kryptographie geschaffen - wer sich näher über die Tiefen und mathematischen Hintergründe von Verschlüsselungsverfahren informieren will, findet damit ein umfassendes Kompendium. Mit [7] kommt Schneier dem `nur' am Teilgebiet EMail-Sicherheit Interessierten entgegen, gibt eine Einführung in die Algorithmen und vergleicht PGP und PEM (Privacy Enhanced Mail). (nl)
Literatur
[1] Dirk Fox, Krypto-Neid, Staatliche Standpunkte zur sicheren Kommunikation, c't 6/95, S. 46
[2] Dirk Fox, Schlüsseldienst, Private Kommunikation mit PEM und PGP, c't 9/95, S. 184
[3] Phil Zimmermann, Pretty Good(tm) Privacy, Public Key Encryption for the Masses, Programmdokumentation
[4] Phil Zimmermann, übersetzt von A. Deuring und C. Creutzig, PGP, Das Verschlüsselungsprogramm für Ihre private elektronische Post, Verlag Art d/Ameublement, ISBN 3-9802182-5-2
[5] Simson Garfinkel, PGP, Encryption for Everyone, O/Reilly, ISBN 1-56592-098-8
[6] William Stallings, Datensicherheit mit PGP, (dt. Ausgabe von `Protect Your Privacy/), Prentice Hall, ISBN 3-930436-28-0
[7] Bruce Schneier, E-Mail Security, How to keep Your Electronic Messages Private, Wiley, ISBN 0-471-05318-X
[8] Bruce Schneier, Applied Cryptography, Protocols, Algorithms and Source Code in C, Wiley, ISBN 0-471-59756-2
Kasten 1
Netzressourcen
Alle besprochenen Programme (außer PGPEMail) stehen in der c't-Mailbox zum Download bereit und sind auf der Mailbox-CD (4. Quartal 95) enthalten. Auf der CD befindet sich zusätzlich ein 7 MByte großer PGP-Schlüsselbund vom Hamburger PGP-Public-Key-Server.
Die meisten Frontends liegen auf:
ftp://ftp.informatik.uni-hamburg.de/pub/virus/crypt/pgp/
(in den Verzeichnissen `tools'und `shells') und
ftp://ftp.ox.ac.uk/pub/crypto/pgp/
Internationale PGP-Homepage: http://www.ifi.uio.no/pgp
Aktuelle WWW-Links zu den besprochenen Utilities findet man unter: http://www.ifi.uio.no/pgp/utils.shtml
PGP-Netzwerk: http://www.pgp.net/pgp
PGP.Net sammelt öffentliche Schlüssel auf miteinander synchronisierten Keyservern, die per EMail an pgp-public-keys@keys.pgp.net zugänglich sind. Auf eine Mail mit `HELP DE' im Subject antwortet der Server mit einer deutschen Anleitung.
http://www.ifi.uio.no/pgp/keyservers.shtml beinhaltet eine Liste aller über WWW abfragbarer Keyserver.
Weitere interessante URLs zum Thema:
Yahoos PGP-Index: http://www.yahoo.com/Computers_and_Internet/Security_and_Encryption/PGP___Pretty_Good_Privacy/
PGP Digital Timestamping Service: http://www.ftech.co.uk/~itcl/stampinf.htm
Zum Thema Remailer: http://zen.stack.urc.tue.nl/~galactus/remailers/index.html
Jörg Birkelbach (c't 12/96, S. 104)
Safer Banking
Online-Banking:
Gefahren von `außen' und `innen'
Fast ein dreiviertel Jahr suchten italienische Behörden nach einem Computerhacker, der unbefugt in das Rechenzentrum der Banca d/Italia eingedrungen war. Als die Fahnder ihn endlich aufgespürt hatten, war die Überraschung groß. Weder steckte eine Gruppe skrupelloser Mafiosi oder gar gefährlicher Terroristen dahinter, noch hatte der erst 17jährige Schüler ein besonders anspruchsvolles Equipment zur Verfügung. Mit Hilfe eines Standardcomputers aus dem unteren Preisbereich gelang es ihm, die mehrfach geschützten und als unüberwindbar geltenden digitalen Barrieren der Bank zu überwinden.
Unterthema: `Eine Sicherheitshysterie ist nicht angebracht/
Unterthema: Tips für Homebanker
Unterthema: Transaktionsbanking im Internet
Unterthema: Banking-Sicherheitslösungen
Nachrichten dieser Art häuften sich in den vergangenen Monaten. Ob es sich dabei um Tatsachenberichte handelt oder schon mal die ein oder andere Geschichte von der Sicherheitskonzepte verkaufenden Industrie zur Belebung des Geschäfts eingestreut wird, läßt sich nicht immer verläßlich nachprüfen.
Faktum jedenfalls ist: Seit über zehn Jahren verfügen deutsche Geldanleger elektronisch über ihre Konten. So ziemlich jede Bank oder Sparkasse erlaubt den elektronischen Zugriff auf das Konto über T-Online (vormals Btx). Und glaubt man der Branche, ist es in der über zehnjährigen Geschichte noch zu keinem einzigen Fall von Datenklau gekommen, obwohl allen Beteiligten die Schwachstellen des T-Online-Bankings bekannt sind. So werden die Daten unverschlüsselt über die Telefonleitungen verschickt und könnten auch abgefangen werden. Man muß halt nur den richtigen Zeitpunkt abpassen. Auch dürfte unbestritten sein, daß es technisch möglich ist, die elektromagnetischen Strahlen eines PC-Bildschirms abzuscannen und so in den Genuß von PIN und TAN zu gelangen.
Um all diesen Gefahren zu begegnen, müßten Überängstliche, um ein sicheres Homebanking zu praktizieren, als vorbereitende Maßnahmen zunächst die Fenster verhängen, anschließend in ständig wechselndem Rhythmus tippen, zusätzlich jemanden auf die Straße schicken, der nach einem VW-Bus mit Scanner Ausschau hält und im Idealfall auch die Telefonleitung beobachten lassen. Doch Ironie beiseite, Gelassenheit ist angesagt, schließlich transferiert ein Kunde beim Homebanking über T-Online überwiegend Kleinbeträge, die den hohen technischen Aufwand des Hackens und das damit verbundene hohe Strafrisiko in keinster Weise rechtfertigten, zudem wird der Bankkunde beim Eröffnen eines T-Online-Kontos aufgefordert, ein Überweisungslimit festzulegen; was er auch tun sollte. Und schließlich bleibt das Geld ausschließlich im Bankensystem, so daß stets nachvollzogen werden kann, wohin es transferiert wurde. Bankberater sind darüber hinaus gehalten, ihrer Klientel grundsätzlich die Verhaltensweisen im Umgang mit PIN und TANs zu erläutern. Ob die Banker das auch immer sachgerecht und mit Nachdruck durchführen, kann hingegen angezweifelt werden, denn viele Sachbearbeiter kennen Homebanking nur vom Hörensagen.
Gefahrenquelle Kunde
Die eigentlichen Risiken beim Online-Banking liegen nicht allein in den technischen Unzulänglichkeiten des Systems, sondern in hohem Maße in einem oft beobachtbaren fahrlässigen Verhalten der Anwender. So kann man in vielen Fällen davon ausgehen, daß die Anwahlprozedur zu T-Online in einem der vielfältig verfügbaren Programme aus Bequemlichkeitsgründen fest implementiert wurde. Gleiches gilt für die PIN. Ob dann auch noch der gesamte TAN-Block im Programm erfaßt wird, hängt von der Verfügbarkeit dieser Funktion in der jeweiligen Software ab. Oft genügt Datendieben bereits ein Blick unter die Tastatur oder in die nächstgelegene Schublade. Dort wartet die angeschmutzte TAN-Liste auf ihre Entdeckung. Ein solch `offenes' System wäre in den Händen eines Kriminellen vergleichbar mit herumliegendem Bargeld.
Auch stellen die gewöhnlich verwendeten Paßwörter kein unüberwindbares Hindernis dar. Für einen motivierten Hacker ist das Erkunden eines solchen Codes nur selten ein Problem, denn fast 80 Prozent aller Paßwörter enthalten Namen naher Verwandter, der Freundin oder des Hundes. Ebenso beliebt sind Geburtsdaten oder Städtenamen, und nur in den seltensten Fällen werden Ziffern mit Buchstaben kombiniert. Weil es so schön bequem ist, werden die Paßwörter so gut wie nie geändert, obwohl von vielen Banken deren monatlicher Wechsel empfohlen wird. Hacker, die keine Lust zum Entschlüsseln von Paßwörtern haben, rufen schon mal beim Homebanker an und geben sich dreist als Bankmitarbeiter aus. `Social Engineering' ist die charmante Umschreibung für dieses kriminelle Vorgehen, auf das immer wieder Kunden hereinfallen.
Wer sichert wie
Die meisten deutschen Banken und Sparkassen haben mittlerweile zusätzlich zu T-Online auch eine Homepage im Internet eingerichtet, doch nur wenige sind auf dem Weg, tatsächlich in nächster Zukunft Online-Banking anzubieten - mit unterschiedlichen Sicherheitslösungen. Generell sollten alle derartigen Systeme die wichtigsten Aspekte eines sicheren Online-Bankings berücksichtigen: 1. Authentizität: Mit ihr soll sichergestellt werden, daß der Benutzer auch derjenige ist, für den er sich ausgibt. 2. Verläßlichkeit: Der Inhalt muß verbindlich nachweisbar sein, da es andernfalls keine rechtsgültige Grundlage für Lieferungen oder Abbuchungen geben kann. 3. Integrität: Die Daten dürfen während ihres Transports nicht verändert werden. 4. Vertraulichkeit: Nur Befugte, für die die Daten vorgesehen sind, sollen sie lesen können.
Die Direkt Anlage Bank, die Bank 24 und der Discountbroker ConSors greifen beim Internet-Banking auf eine Sicherheitslösung des Böblinger Systemhauses Brokat zurück, das unter dem Namen X*PRESSO Security Package eine 128-Bit-Verschlüsselung (in Java programmiert) präsentiert. Überdies hat sich die Bank 24 ihre Firewalls von zwei Prüfungsgesellschaften testieren lassen. Die Identifizierung der Bank beim Login vollzieht sich automatisch; Einsatz findet hier ein Schlüsselpaar, das von einer anerkannten US-Firma zertifiziert wurde. Damit soll der Bankkunde die Gewähr erhalten, daß sämtliche Daten, die ihn erreichen, auch wirklich von der Bank 24 kommen. Dies macht Sinn, denn das als domain name spoofing bekannte Vortäuschen eines falschen Domain-Namens ist eines der bekannten Sicherheitsprobleme im Internet.
Die Schlüssellänge wurde groß genug gewählt, um nicht durch reine Rechenpower geknackt zu werden, wie dies bei den Schlüsseln in US-Export-Browsern möglich wäre. Man verwendet daher unter anderem IDEA mit 128 Bit und RSA mit 1024 Bit. Als zusätzlicher Schutz dient ein sogenannter `elektronischer Fingerabdruck/, der vor und nach einer Datenübertragung abgenommen wird. Der Vorher-Nachher-Vergleich läßt die Aussage zu, ob im Laufe des Datentransfers ein unberechtigter Eingriff stattgefunden hat. Zu guter Letzt gibt der Kunde dann PIN und TANs ein. Die Nummern werden im PC kodiert, bevor sie zur Bank 24 weitergegeben werden (siehe auch Seite 110).
Seit Ende August bietet das Berliner Privatbankhaus Gries & Heissel einen weltweit verfügbaren Online-Banking-Service (Abfragen von Kontos und Depots, Überweisungen, Lastschriftaufträge und Wertpapiergeschäfte). Auch Gries & Heissel verwenden anerkannte Verschlüsselungsalgorithmen. Bei der Realisierung des Projektes stützen sich die Berliner auf die Erfahrungen von Hewlett-Packard, die bereits die Security First Network Bank ins Internet begleitet hat, und denen des eigenen Tochterunternehmens G & H Bankensoftware.
Die Hamburger Sparda-Bank eG setzt auf den von der ESD Information Technology Entwicklungs GmbH entwickelten MeChip. Als Zusatzelement am privaten Online-PC zu Hause bearbeitet und verschlüsselt dieser Chip alle sicherheitsrelevanten Banktransaktionen. Jeder einzelne Chip ist ein fälschungssicheres Unikat und allein für die Anwenderidentifikation, Bankbearbeitung und Verschlüsselung der dabei anfallenden Finanzdaten zuständig. Durch seine Abschottung vom PC ist er für die eventuell eingeschleusten Viren nicht erreichbar. Den privaten Computer als schwächstes Glied in der Sicherheitskette des Internet-Bankings will man damit als Angriffsfläche ausschalten. Auf der Bankseite hat Siemens Nixdorf das System durch ein mehrstufiges Sicherheitskonzept gegen Angriffe von Hackern und unberechtigten internen Zugriffen gesichert. Nachteil: Das System ist nicht multibankfähig.
Fast unbemerkt mogelte sich die Dortmunder Stadtsparkasse in das Internet und hat als erste deutsche Sparkasse Transaktions-Banking angeboten, wenn man das denn so bezeichnen kann. Nach jeder Kundenorder ruft nämlich ein freundlicher Berater an und fragt der Sicherheit halber noch einmal nach, ob alles seine Richtigkeit hat. Alternativ dazu könnte man auch eine Brieftaube auf die Reise schicken, was nicht nur zur Region passen würde, sondern auch ein weltweites Presse-Echo zur Folge hätte.
Gefahr in Sicht: Das T-Online-Angebot einer Bank wird über ein Internet-T- Online-Gateway und eine Formaterkennung im Internet bereitgestellt. Der Kunde kommuniziert dann über die Internet-Seiten des Dienstanbieters mit dem T-Online-Rechner seiner Bank. Ein solches Gateway könnte in betrügerischer Absicht und ohne Kenntnis der Bank von beliebigen Serverbetreibern - auch im Ausland - etabliert werden. PIN und TANs stünden ihnen dann unverschlüsselt zur Verfügung.
Die Dresdner-Bank-Tochter DIT läßt bereits den Erwerb von Investmentanteilen über das Internet zu, nun geht auch die Muttergesellschaft selbst ins WWW mit einem Angebot zur interaktiven Orderaufgabe. Dabei werden allerdings lediglich die Orders via EMail an die Bank geleitet und dort auf deren sachliche Richtigkeit hin überprüft. Für den Kunden ist dies eine Black box, denn er erhält weder Informationen über Konto- noch über Depotbestände.
Wege zum Standard
Vielversprechende Ansätze zur Standardisierung des Finanzdatenaustauschs kommen aus dem Kreditkartenbereich und aus der US-Softwareindustrie. Ob sich diese Vorhaben allerdings in Europa etablieren können, bleibt abzuwarten.
Die Kreditkartengesellschaften Visa und Mastercard entwickelten in zunächst getrennten Konsortien in Kooperation mit verschiedenen Herstellern von Internetsoftware miteinander konkurrierende Standards für Kreditkartenzahlungen im Web. Mittlerweile arbeiten die beiden Institute zusammen und entwickelten ein Verfahren namens SET (Secure Electronic Transactions). Es ist allerdings primär als Zahlungssystem und nicht als Homebanking-Standard gedacht.
Auch Microsoft meldete sich im Frühjahr zu Wort und präsentierte OFC (Open Financial Connectivity) mit der Absicht, hier einen weltweiten Standard zu etablieren. Ein fernes Ziel, zieht man die relativ unbedeutende Rolle von Microsoft im Finanzsoftwaremarkt in Betracht. Die für OFC notwendigen Softwarekomponenten gibt es bereits; Microsoft hat die Absicht, sie noch im laufenden Jahr in den Finanzmanager Money aufzunehmen. Auch auf bestehende OFC-Bankssysteme läßt sich zurückgreifen, gleiches gilt für eine entsprechende Entwicklungsumgebung für die Programmierung eigener Anwendungen. Microsoft stellt die aktuelle Version kostenlos zur Verfügung. Ob sich das Verfahren aber tatsächlich als Standard etablieren läßt, ist aus heutiger Sicht eher anzuzweifeln, denn es orientiert sich sehr stark am amerikanischen Bankenmarkt, und eine Multibankfähigkeit ist nicht generell gegeben. Zudem ist der Funktionsumfang, das Banking betreffend, noch sehr gering, und die verfügbaren Datenformate sind für deutsche Verhältnisse nicht ausreichend ausgestaltet.
Eine führende Rolle spielen will Intuit bei der Konzeption eines Kommunikationsstandards, der den Austausch von Finanzdaten im Internet regeln soll. Dabei geht es nicht allein um den Datentransfer zwischen Kunde und Bank, auch der zwischen Unternehmen und Finanzinstituten wird mit einbezogen. OpenExchange, so der Name für die neue Online-Kommunikationsarchitektur, soll die bestehenden Internet-Standards und -Protokolle nicht ersetzen, sondern diese, gemäß den spezifischen Anforderungen der Finanzbranche, erweitern. Offen, vollständig und sicher will man das System machen. Dazu notwendig ist eine Veröffentlichung der Ergänzungen sowie eine kostenfreie Lizenzierung an Interessenten. Während sich die bisherigen Spezifikationen primär auf Transaktionen zwischen Bankkonten beschränken, soll OpenExchange die gesamte Spannbreite finanzieller Aktivitäten zwischen Banken, Versicherungen, Anlageinstituten, institutionellen sowie staatlichen Stellen umfassen. Natürlich sollte die Lösung hardwareunabhängig sein, zugleich den Datenaustausch auf internationaler Ebene berücksichtigen, darunter auch spezifische Standards in Ländern außerhalb der USA.
Das Konzept von Visa Interactive besitzt gewisse Ähnlichkeiten mit der Konzeption von Microsoft und Intuit. Es ist allerdings stark auf den amerikanischen Markt ausgerichtet. Das als offener Standard konzipierte Verfahren ist in erster Linie für den mobilen Einsatz, also für PDAs, Handys oder dergleichen gedacht, und dürfte im Bereich Homebanking eher eine untergeordnete Rolle spielen.
HBCI (Homebanking Computer Interface) schließlich soll die gemeinsame Plattform für alle Banken und Sparkassen bilden, die Bankleistungen in offenen Netzen, wie beispielsweise dem Internet, offerieren wollen und gleichzeitig einen massiven Schutz vor Hackern und Viren bieten, sowie die elementaren Nachteile des ZKA-Standard von 1987 ablösen, wie etwa die unverschlüsselte Übertragung der Daten. Im Vordergrund der Überlegungen standen Forderungen nach Multibankfähigkeit und einer einheitlichen Datenbank für Einwahladressen. Zudem will man HBCI für verschiedene Internet-Protokolle (Telnet, FTP usw.) realisieren. Es handelt sich um einen offenen Standard, der für jeden frei verfügbar ist. Die Kontrolle des Kommunikationskanals zum Kunden liegt bei den Banken. Eine `digitale Signatur' soll Sicherheit gegen Manipulation gewährleisten, und die jeweils aktuellsten Verschlüsselungsverfahren fänden Einsatz zum Schutz vor unberechtigter Einsichtnahme.
Cyber-Terroristen
Winn Schwartau, amerikanischer Sicherheitsexperte, hat derzeit Hochkonjunktur. Auf seinen häufigen Vorträgen vor Bankern aus ganz Europa fordert er seine Zuhörer schon mal dazu auf, nicht wie Banker, sondern wie Verbrecher zu denken. Dabei begnügt er sich nicht nur mit den alltäglichen Attacken von Hackern, sondern beschreibt eher die Gefahr von Großangriffen mittels einer elektromagnetischen Bombe auf eine der großen Börsen dieser Welt. Allein eine nur zehnminütige Unterbrechung der Handelsaktivitäten könnte alle Daten vernichten und unabsehbare Folgen für die Weltwirtschaft haben. Einen Schwachpunkt sieht er in den weltweit nur 200 Knotenpunkten für Datenleitungen, die bei einem Angriff durch Hacker zu einem `elektromagnetischen Tschernobyl' werden könnten. Dabei genügte es seiner Meinung nach schon, diesen Angriff nur anzudrohen, um im Wege der Erpressung an hohe Geldbeträge zu kommen. Schwartau fordert die Banken daher immer wieder dazu auf, sich der enormen Risiken bewußt zu werden und die Verantwortung auch anzunehmen. Er ist davon überzeugt, daß keine Bank im Alleingang für Sicherheit sorgen kann. Daher schlägt er die Konstitution einer weltweiten Sicherheitskommission vor. Die unterschiedlichen und konkurrierenden Lösungen lassen allerdings erahnen, daß dieser Ruf bisher ungehört verhallt ist. Die Branche glaubt offenbar weiterhin, daß sie sich über das vermeintlich beste Sicherheitskonzept im Wettbewerb um den Kunden absetzen kann.
Frustiert und gemobbt
So spektakulär naturgemäß Aktivitäten von potentiellen Hackern, die von außen in die Banksysteme eindringen wollen, auch sind, deutet doch vieles daraufhin, daß ein Großteil der Dateneinbrüche oder Sabotagefälle von innen kommt. `Mitarbeiter sind für die Sicherheit das größte Problem, und das sicher nicht nur in Banken/, so Hans-Christian Boos, Geschäftsführer der Arago GmbH. `Mitarbeiter können viel zu viele geheime Informationen einsehen, diese exportieren oder verändern. Gegen diese Art der Angriffe kann keine Internet- und Rechnersicherheit Abhilfe schaffen. Christian Zimmermann beispielsweise schildert in seinem Buch `Der Hacker' den frustrierten, unter Mobbinggefühlen leidenden Mitarbeiter, der sich an seinen Kollegen oder Vorgesetzten für Mißachtung und Fehlbehandlung rächen will. Auch verkappte Genies fühlen sich um entsprechende Anerkennung betrogen und können auf Dauer zu einer nicht zu unterschätzenden Gefahr für ein Unternehmen werden, wenn sie nicht entsprechend kontrolliert werden. Carsten Goerke, Sicherheitsexperte bei INSYS, empfiehlt daher stets die Implementierung komplexer Sicherheitssysteme, die nach dem Motto `Alles was nicht erlaubt ist, ist verboten' auch diesen sensiblen Aspekt der potentiellen Risiken abdeckt.
Laxer Umgang
So elementar die Sicherheit von Banktransaktionen im Internet zweifelsohne ist, die derzeitige Diskussion um die Hacker- und Virenproblematik bewegt sich mitunter im überrealen Raum, was den großflächigen Einsatz eines Web-Bankings sicherlich verlangsamt oder gar hemmt. Warum aber werden an das Online-Banking via Internet erheblich höhere Anforderungen gestellt als beispielsweise an das noch heute wesentlich unsicherere Telefonbanking? Ist denn ein Einzelhändler, der allabendlich seine mit den Tageseinnahmen gefüllte Geldbombe am Nachttresor einwerfen will, nicht eher gefährdet als der Homebanker, der seine Geschäfte bequem von zu Hause aus führt? Der Einzelhändler verliert Bargeld und kann nur schwerlich dessen Existenz nachweisen. Der Onlinebanker verliert Buchgeld, dessen Spuren grundsätzlich ohne weiteres verfolgt werden können.
Es stellt sich auch die Frage nach der Haftung im Falle des Vermögensschadens und der Beweislast. Kann ein elektronisch beklauter Kunde stets lückenlos nachweisen, daß er alles getan hat, um sich vertragsgerecht zu verhalten? In Sachen Online-Banking, so versichern die Banken, wollen sie Schäden übernehmen, wenn diese nicht auf grob fahrlässiges Verhalten zurückzuführen sind. Daß die Institute in ähnlich gelagerten Fällen (Kreditkarten) allerdings anders gehandelt haben, belegt das Wirtschaftsmagazin `Capital' in seiner Mai-Ausgabe.
Es dürfte einleuchten, daß der Kunde aus seiner Verantwortung im Umgang mit PIN und TANs nicht entlassen werden darf; die laxe Handhabung von Sicherheitsbestimmungen erhöht das Risiko immens. Letztlich ist er ja auch verantwortlich für den sicheren Umgang mit Bargeld.(ae)
Literatur
[1] Jörg Birkelbach, Online-Geldgeschäfte, Was machbar ist, c't 7/96, S. 102
[2] Jörg Birkelbach, Hausmannskost, c't 12/95, S. 260
[3] Jörg Birkelbach, Cyber-Finance, Gabler Verlag (erscheint im Dezember)
[4] Christian Zimmermann, Der Hacker, MVG Verlag, Landsberg am Lech, 1996
Kasten 1
`Eine Sicherheitshysterie ist nicht angebracht '
c't sprach mit Sebastian Garbe vom Bundesvorstand deutscher Banken (Köln) über das Thema `Risiken und Sicherheitsaspekte beim Homebanking/.
c't: Ist in den vielen Jahren, seitdem es Homebanking gibt, schon einmal ein `Dateneinbruch' bekanntgeworden?
Garbe: Theoretische Angriffsmöglichkeiten existieren gegen jedes System - sei es Fort Knox oder Homebanking. Die Frage ist vielmehr die der praktischen Relevanz der Angriffsmöglichkeiten. Auch wenn in diversen Publikationen und Fernsehsendungen das Gegenteil behauptet wird: In mehr als 10 Jahren Online-Banking in Deutschland ist kein realer `Dateneinbruch' bekanntgeworden.
c't: Wer trägt eigentlich das Risiko beim Homebanking und wer trägt die Beweislast?
Garbe: Geregelt wird das Online-Banking durch entsprechende Sonderbedingungen, die zwischen Kunde und Bank vereinbart werden. Wer das Risiko beim Homebanking trägt und wer die Beweislast, das würde von den konkreten Umständen des Einzelfalles abhängen. Entscheidend wäre, wer in welchem Umfang zum Schaden beigetragen hat und in welchem Umfeld der Angriff erfolgte: Der Kunde ist insbesondere verpflichtet PIN und TANs geheimzuhalten, die Bank hat die Sicherheit des eigenen Systems zu gewährleisten. Durch die Protokollierung aller Aktivitäten könnte der Ablauf eines Angriffs nachvollzogen werden.
c't: Welche Bedeutung nimmt Homebanking in Relation zum traditionellen Filialbanking ein? Gibt es aktuelle Zahlen?
Garbe: Zirka 3,5 % der Girokonten in Deutschland werden online geführt (2 Millionen). Dies mag wenig erscheinen. Der Anteil des Online-Banking wächst jedoch rasant.
c't: Man hört immer wieder davon, daß zirka 80 % Prozent der Hackerversuche von unzufriedenen Bankmitarbeitern kommen sollen, die ja in der Tat einen Zugriff auf eine Vielzahl von Daten haben. Können Sie diese Zahl bestätigen und welche Maßnahmen empfehlen Sie Ihren Mitgliedsinstituten, sich vor internen Übergriffen zu schützen.
Garbe: Mehrere Studien über die Computerkriminalität im allgemeinen sind zu dem Ergebnis gelangt, daß bei weitem mehr Angriffe `von innen' als `von außen' kommen. Für den Homebanking-Bereich gibt es keine derartige Studie, allein schon, weil es keine Schadensfälle gab, die man hätte auswerten können. Die Banken treffen dennoch vielfältige Maßnahmen, um Attacken von Mitarbeitern auszuschließen.
c't: Wird das Thema Sicherheit im Zusammenhang mit dem Internet nicht zu stark in den Vordergrund gestellt? Fax- und Telefonbanking bergen doch ebenfalls nicht von der Hand zu weisende Risiken.
Garbe: Die Mentalität in Deutschland ist eine andere als in den USA. In den Staaten wird zunächst einmal alles umgesetzt was machbar ist - egal wie unsicher - und wenn das Kind in den Brunnen gefallen ist, macht man sich Gedanken über Sicherheit. Der Deutsche möchte am liebsten im voraus eine Garantie für 100prozentige Sicherheit - die natürlich nicht möglich ist - das gilt selbstverständlich auch für Fax- und Telefonbanking.
Die derzeitige Sicherheitsdiskussion im Zusammenhang mit dem Internet wird nicht immer sachlich geführt; es ist aber in jedem Fall richtig und erforderlich, sich mit den Sicherheitsaspekten des Internet zu befassen; denn wenn auch nicht hinter jeder Web-Page ein `Cyber-Gangster' lauert, gibt es im Internet nicht nur theoretisch, sondern ganz real andere Risiken als in geschlossenen Netzwerken. Zum Beispiel wurden bereits wenige Stunden, nach dem eine IP-Port-Nummer für den neuen Homebanking-Standard HBCI registriert wurde, in Kanada die ersten Hackangriffe auf diese Portnummer festgestellt. Nichtsdestotrotz ist die Sicherheitshysterie nicht angebracht, denn letztlich muß im Vordergrund stehen, dem Kunden einen guten Online-Banking-Service mit wirtschaftlich vertretbarem Risiko anzubieten.
Kasten 2
Tips für Homebanker
Speichern Sie niemals ihre PIN, TANs und sonstige Zugangscodes auf Ihrem PC.
Sichern Sie alle sicherheitsrelevanten Daten vor dem Zugriff, bevor Sie ihren PC zur Reparatur geben.
Wählen Sie möglichst kryptische Paßwörter, in denen Zahlen und Ziffern kombiniert vorkommen, verwenden Sie weder Namen noch Geburtsdaten.
Ändern Sie Ihr Paßwort häufig, wenn möglich regelmäßig einmal pro Monat.
Limitieren Sie die Transaktionsvolumina, die mit T-Online pro Tag verfügt werden können.
Hinterlegen Sie Ihren TAN-Block an einem sicheren Platz und stets getrennt von der PIN.
Sobald Sie den Eindruck haben, daß jemand Ihr Paßwort kennt, ändern Sie dieses und verständigen Ihre Bank.
Beantworten Sie niemals telefonische oder schriftliche Anfragen zu Ihrer PIN-Nummer, auch wenn der sogenannte Bankberater noch so überzeugend wirkt.
Kasten 3
Transaktionsbanking im Internet
Bankhttp://www.dresdner-bank.de
Bank 24 |
http://www.bank24.de |
DIT |
http://www.dit.de |
ConSors Discount Broker |
http://www.consors.de |
Direkt Anlage Bank |
http://www.diraba.de |
Gries und Heissel |
http://www.guh.de |
Sparda Bank Hamburg |
http://www.sparda-hh.de |
Stadtsparkasse Dortmund |
http://www.stadtsparkasse-dortmund.de |
Kasten 4
Banking-Sicherheitslösungen
Arago |
http://www.arago.de |
|
Aquila Consult |
http://www.aquila.de |
|
Brokat Systeme |
http://www.brokat.de |
|
G&H Bankensoftware |
http://www.bancos.de |
|
Hewlett-Packard |
http://www.hp.com/go/internet |
|
ESD (MeChip) |
http://www.esd.de |
|
Insys |
http://www.insys.de |
Carsten Meyer (c't 7/96, S. 94 )
Nur Peanuts
Der Risikofaktor Magnetkarte
Trotz dreistelliger Millionenverluste durch Kartenbetrug war dem deutschen Kreditgewerbe die breite Einführung fälschungssicherer Smart Cards bislang zu teuer. Lieber nimmt man persönliche Härtefälle in der Kundschaft und vier Promille Defizit in Kauf. Doch das bislang noch akzeptable Aufwand/Nutzen-Verhältnis droht umzukippen.
Unterthema: Das Sicherheitsmodul
Unterthema: Magnetische Aufzeichnung
Unterthema: Das modulierte maschinenfähige Merkmal
Karin D. traute ihren Augen kaum. Von ihrem Konto, geführt bei einer Filiale der Deutschen Bank in Aachen, waren Anfang Dezember 1995 innerhalb weniger Tage 11 000 DM verschwunden. Offenbar war ihre ec-Karte `entliehen' und dupliziert worden, denn die Diebe leerten im nahen Ausland damit reihenweise Geldautomaten. Eine sofortige Sperrung konnte nicht mehr verhindern, daß insgesamt 13 050 DM erbeutet wurden. Karin D. erstattete Anzeige gegen unbekannt - mit unliebsamen Folgen: Die Zentrale in Frankfurt schaltete sich ein und strengte im Gegenzug ein Verfahren gegen Frau D. wegen Betrugsversuchs an. Es sei, so ein Vertreter der Deutschen Bank, offensichtlich, daß Frau D. oder ihr Sohn, dem die PIN der Karte bekannt war, das Geld selbst abgehoben hatten und die Bank nun um den fünfstelligen Betrag prellen wollte. Ein Gutachter schloß die Möglichkeit einer Magnetkarten- oder Automatenmanipulation aus, zumal bei keiner der unrechtmäßigen Abhebungen eine Fehleingabe protokolliert wurde und die maschinell erkannten Sicherheitsmerkmale der ec-Karte praktisch nicht zu fälschen seien. Frau D. erinnerte sich noch, daß der von ihr gewöhnlich benutzte Automat am Wochenende vor den ersten betrügerischen Abhebungen defekt war.
Da Mutter und Sohn versicherten, die Geheimnummer niemandem mitgeteilt und auch nirgendwo notiert zu haben, aber sonst keine Angaben zu eventuellen Ausspähversuchen Dritter machen konnten, blieb dem Gericht zunächst nur, den Angaben der Bank und des Gutachters glauben zu schenken. Das Verfahren gegen Frau D. wegen Betrugsversuchs wurde zwar eingestellt, aber ihr Geld sah sie trotzdem nicht wieder - vorerst zumindest. Am 12. 01. 96 schrieben dann die `Aachener Nachrichten/:
Mit kopierten Scheckkarten sind bei Aachen noch mehr Bankkonten geplündert worden als zunächst befürchtet ... Die Täter haben insgesamt 400 000 DM von den Konten abkassiert, teilte die Staatsanwaltschaft Aachen am Donnerstag mit. Die Polizei geht davon aus, daß die Täter zwei Geldautomaten der Deutschen Bank in Hückelhoven und Jülich so manipuliert haben, daß bei Benutzung die Daten auf dem Magnetstreifen und die Code-Zahl (PIN, Anm. der Red.) abgelesen und gespeichert wurden. Mit diesen Informationen haben die Täter offensichtlich neue Scheckkarten gebastelt und damit in den Niederlanden mehrere Tage hintereinander jeweils die Höchstsumme von 1000 Gulden abgehoben. Für den entstandenen Schaden kommen Versicherungen auf, erklärte ein Sprecher der Deutschen Bank.
Doch wird der Betrüger nicht dingfest gemacht, hat der Kunde das Nachsehen. Gerhard W. wurde die VISA-Karte gestohlen, was er erst Tage später bemerkte. In der Zwischenzeit hatten Bösewichte fünfmal 400 DM an verschiedenen Geldautomaten abgehoben, wiederum ohne Fehleingabe der PIN. W. benutzte seine Karte nur gelegentlich zum Einkaufen, für Bargeldabhebungen verwendete er grundsätzlich seine ec-Karte. Die PIN zur Kreditkarte bewahrte er daheim an einem sicheren Ort auf, wo sie sich auch noch heute befindet; ein Ausspähen der PIN schließt W. völlig aus. Das Kreditunternehmen verweigerte eine Erstattung bis heute mit der Begründung, die PIN sei nicht auf der Karte vermerkt und deshalb für Dritte auch nicht zu erlangen. Ein Ermittlungsverfahren gegen Unbekannt wurde eingestellt.
Hereingefallen
Weitere, ähnlich gelagerte Begebenheiten wie der Fall Gerhard W. sind der Redaktion inzwischen bekannt. Die Zahl der angezeigten Betrugsfälle durch unrechtmäßig angeeignete ec- und Kundenkarten lag schon im Jahr 1994 mit 17 350 Fällen um 60 % höher als im Vorjahr, bei Kreditkarten war mit 28 800 Fällen gar ein Anstieg um 125 % zu verzeichnen. Sollte es entgegen der einschlägigen Gutachtermeinung doch möglich sein, eine PIN aus den Kartendaten zu ermitteln? - Tatsächlich legte Gelddrucker Siegfried Otto (Giesecke & Devrient) bereits 1982 in einem Beitrag in der `Betriebspraxis' dar, daß die PIN aus nichts anderem als den statischen (d. h. sich nicht verändernden) Daten auf dem Magnetstreifen errechnet wird [4]. Jeder Geldautomat macht bei einer Abhebung nichts anderes, wie sollte er sonst offline und ohne Hilfe der Bankzentrale die Gültigkeit der PIN ermitteln.
Man mag dagegenhalten, daß zur Dechiffrierung der (lediglich 56 Bit = 7 Zeichen lange) DES-Schlüssel bekannt sein muß. Der ist, so die Banken, schließlich hochgeheim und nur ganz, ganz wenigen Auserwählten bekannt; das Ausprobieren nach der Holzhammermethode würde selbst auf einer Workstation-Farm angeblich mehrere tausend Jahre dauern.
Aber irgendwie gelangt der Code ja in die Automaten (siehe Kasten `Das Sicherheitsmodul/) - und hier kommt der menschliche Divisor ins Spiel. Der britische Kryptologieexperte Ross Anderson, der bereits einige Banken in Sicherheitsbelangen beraten hat, beziffert in seiner schockierenden, sehr lesenswerten Abhandlung [2] die durch Sicherheitsverletzungen verursachten Entlassungen bei Banken auf 1 % des Mitarbeiterstamms pro Jahr. Daraus resultiert bei einer Großbank mit 50 000 Angestellten eine Wahrscheinlichkeit von zwei ernsten Vorfällen pro Geschäftstag. Dieses jedoch scheinen die Kreditinstitute einfach nicht wahrhaben zu wollen - grundsätzlich wird im Schadensfall die Schuld beim Kunden und nicht im System oder in den eigenen Reihen gesucht, frei nach dem Motto: Was nicht sein darf, kann nicht sein.
Alles Humbug?
Leider erwiesen sich die Studien des Darmstädter Professors Manfred Pausch als nicht `gesellschaftsfähig/. Der wollte schon 1988 in einem Prozeß gegen die Dresdner Bank bewiesen haben, daß sich die PIN aus den Kartendaten mit einfachen stochastischen Mitteln errechnen läßt. Doch selbst Kritiker des magnetkartenbasierten ec-Systems zweifeln seine Ergebnisse an, zumal er sich bislang weigerte, die verwendeten Algorithmen offenzulegen oder das Experiment vor Kryptoexperten zu wiederholen. Daß das Gericht die Ausführungen trotzdem in vollem Umfang anerkannte, beweist einmal mehr, wie schwer sich mathematisch und kryptologisch nicht vorbelastete Juristen mit diesem Thema tun.
Viel wahrscheinlicher als die direkte Errechnung ist in Betrugsfällen, bei denen keine PIN ausgespäht wurde, die organisierte, zentrale PIN-Ermittlung im Trial-And-Error-Verfahren an einem erbeuteten Security-Modul. Gern unterschätzt man hier die Fähigkeiten unterbezahlter Krypto- und Computerspezialisten aus dem Ostblock und den Einfluß mafiöser Interessengemeinschaften.
Trotz immer noch gern angewandter `Bärentricks' scheint auch die Qualität der Betrügereien neue Dimensionen zu erreichen. Im ersten zitierten Fall hatten die Betrüger einen recht geschickt konstruierten Aufsatz am Kartenschlitz des Automaten installiert, der die Kartendaten mitlas und per Mini-Kamera auch gleich die Eingabe der PIN protokollierte. Noch Dreisteres wurde aus den USA bekannt: Dort erwarben Gauner einen echten Geldautomaten, fütterten ihn mit eigener Software und stellten ihn in einem belebten Einkaufszentrum auf. Der Automat verlangte von seinen Opfern Karte samt PIN, speicherte die Daten ab, zahlte aber dann wegen eines angeblichen Defektes nichts aus. Möglich wurde dieser Betrug durch eine typische Sicherheitseinbahnstraße: Zwar muß man sich selbst durch PIN und Karte legitimieren, der Automat aber beweist zu keinem Zeitpunkt, daß er `echt' und unmanipuliert ist.
Die größte Gefahr liegt aber ohne Zweifel in der Sorglosigkeit von Kunden und Angestellten. In einem 1994 von RTL ausgestrahlten Experiment kopierten wir die Magnetspur einer Eurocard auf eine VISA- Kreditkarte (mit Foto!) und kauften damit munter ein. An keinem einzigen POS (Point of Sale) fiel dem Verkäufer auf, daß noch nicht einmal das Kreditunternehmen im Kassenausdruck mit der Karte übereinstimmte, geschweige denn die Kontonummer. Bei einem derart laxen Umgang wird auch die vielgepriesene Smart Card kaum Sicherheitsvorteile bieten. (cm)
Literatur
[1] Francesco P. Volpe, Streifenweise, PC liest Magnetkarten, c't 1/94, S. 182
[2] Ross Anderson, Why Cryptosystems Fail (als `cryptfail.tex' in diversen Online-Diensten und Mailboxen)
[3] Bundeskriminalamt, Kriminalistisches Institut, Referat KI12
[4] Siegfried Otto, Echt oder falsch? Die maschinelle Echtheitserkennung, Betriebspraxis 2/1982, S. 35
Kasten 1
Das Sicherheitsmodul
Auf jeder ec-Magnetkarte sind neben Kontonummer, Bankleitzahl und Verfügungsrahmen Informationen enthalten, die einen Abgleich mit der einzugebenden PIN erlauben (sog. Offsets). Nötig sind sie deshalb, um auch `offline' - der Automat ist nicht mit der Zentrale verbunden und muß deshalb selbst und völlig autark die Gültigkeit der PIN überprüfen - Auszahlungen zu ermöglichen. Ein Security-Modul (beispielsweise IBMs PCF, 3848 oder das neuere 4753) kodiert statische Teile des Kartendatensatzes mit einem geheimen DES-Schlüssel. Stimmen PIN und Ergebnis überein, ist die PIN echt, und das Modul meldet ein `O. K.' an den Steuerprozessor des GAA. Die Zwischenschritte gelangen nicht nach draußen.
Gegen Lauschangriffe sind neuere Module (z. B. mit dem DS5002-Controller von Dallas Semiconductor) weitgehend geschützt: Sie zerstören ihren geheimen Key-RAM-Inhalt selbst, sobald man versucht, sie zu öffnen. Auch das Abtrennen von der Stromversorgung führt zum Löschen des RAMs. Der Schlüssel selbst wird online von der Zentrale übermittelt, wenn der Automat ans Netz geht, oder offline von einem Servicetechniker eingespielt, natürlich wiederum in verschlüsselter Form.
Gelingt es nun, ein `lebendes' Modul auszubauen und in ein eigenes `Lebenserhaltungssystem' zu transplantieren, hat der Betrüger ein probates Werkzeug zur Verifizierung von PINs gestohlener Karten. Zwar kann er die PIN damit nicht errechnen, aber immerhin die Gültigkeit einer beliebigen vierstelligen Zahl innerhalb von Sekundenbruchteilen überprüfen.
Kasten 2
Magnetische Aufzeichnung
Die magnetisch aktive Schicht auf einer Magnetkarte ist vergleichbar mit einem Tonband: Magnetisierbare, mikroskopisch kleine Eisenoxid-Partikel sind in einem Kunststoffilm eingebettet. Tatsächlich erinnert der Schreib-/Lesekopf in einem Magnetkartenleser an einen Kassettenrecorder-Tonkopf, lediglich die Spur ist wesentlich breiter (2,8 mm statt 1,4 mm). Der Kopfspalt steht wiederum senkrecht zur Spur. Nach ISO sind drei Spuren vorgesehen, von denen aber bei ec- und Kreditkarten immer nur zwei gleichzeitig benutzt werden [1]: eine `hochauflösende' mit 210 Bits/Inch und die mittlere, `niedrigauflösende' mit 75 Bits/Inch.
Im Gegenstatz zur Audio-Aufzeichnung arbeitet die digitale Aufzeichnung nicht mit einer HF-Vormagnetisierung; statt dessen wird das `Band/-Material bis in den Sättigungsbereich durchmagnetisiert (siehe Grafik).
Eine Handvoll Bauteile aus der Elektronikwühlkiste und ein Mittelklasse-PC reichen bereits aus, um einen Magnetstreifen mit neuen Informationen zu füllen. Er ist mithin genauso fälschungssicher wie Bleistift auf Papier. Einzige Vorkehrung, den `echten' Magnetstreifen auf ec-Karten beispielsweise von einem aufgeklebten Tonband unterscheidbar zu machen, ist eine nicht änderbare (weil hochkoerzitive) magnetische Grundausrichtung des laminierten Bandmaterials (sog. Watermark-Magnetstreifen). Dieses `Wasserzeichen' ist jedoch bei allen ec-Karten gleich aufgebaut und deshalb als Sicherheitsmerkmal nur sehr bedingt brauchbar. Viele Geldautomaten ignorieren es deshalb völlig, genau wie optische Merkmale (Hologramm, Feindruck).
Kasten 3
Das modulierte maschinenfähige Merkmal
Damit der Automat Originalkarten erkennen und Fälschungen sicher abweisen kann, sind grundsätzlich andere Vorkehrungen zu treffen als für die optische Kontrolle beispielsweise durch den Bankangestellten. Das Merkmal sollte unsichtbar, sicher lesbar, schwer nachzuahmen, dauerhaft und fest mit der Karte verbunden sein. Die beiden ersten Kriterien erfüllt der Magnetstreifen, die anderen nicht, weil der sich nach Belieben ändern läßt. Ferner ist wünschenswert, daß sich das Merkmal von Karte zu Karte unterscheidet (deswegen `moduliert'); dann ist es möglich, die Daten auf dem Magnetstreifen und die implizit im Merkmal enthaltenen Daten zu verküpfen und so den Magnetstreifen gegen Veränderungen zu sichern. Das MM-Verfahren hatte die `Gesellschaft für Automation und Organisation' in München eigentlich nur entwickelt, um Eurocheques in Verbindung mit der Scheckkarte jederzeit automatisch einlösen zu können. 1982 fand es dann Einzug in die Geldausgabeautomaten (GAA).
Die Abbildung zeigt eine MM-Leseeinheit, wie sie im gepanzerten Sicherheitsbereich deutscher GAAs zu finden ist: Der Lesekopf tastet die unsichtbare Information von der Karte ab und gibt sie an den Prozessor des Automaten weiter. Dieser vergleicht die mit dem MM-Code verknüpften, verschlüsselten Informationen auf dem Magnetstreifen mit dem MM-Code selbst und weist bei Nichtübereinstimmung die Karte ab. Um die MM-Leseeinheit ranken sich wilde Gerüchte und Fabeln, aber mit etwas Geschick kommen Sie dem MM-Verfahren leicht selbst auf die Spur. Erwärmen Sie einmal eine alte ec-Karte bis zum Weichwerden und versuchen Sie, das PVC-Laminat exakt in der Mitte (bei 0,8 mm Dicke nicht ganz einfach) aufzutrennen. Die mittlere Schicht ist nicht nur mit einem rötlichen Guilloche-Muster bedruckt; es wird im unteren Drittel der Karte mit etwas Glück auch eine streifenartige Struktur ähnlich eines Barcodes sichtbar, die beim Durchleuchten nicht zu erkennen war. Diese Struktur ergibt sich aus dielektrisch unterschiedlichen Materialien, aus denen die mittlere Schicht besteht. Das Ganze (einige Bits) läßt sich kapazitiv abtasten und ergibt dann das `modulierte Merkmal/.
Da die Abtastelektronik gegen Umwelteinflüsse recht empfindlich ist - immerhin muß sie per HF-Oszillator Kapazitätsunterschiede von Bruchteilen eines Picofarad erkennen - spielt sie des öfteren verrückt, und der Automat meldet einen Defekt. Die Zentrale kann dann per Fernwartung den MM-Sensor abschalten, damit Kunden nicht verärgert zur Konkurrenzfiliale laufen. Ein solcher Automat nimmt dann auch bedenkenlos Fälschungen entgegen. Ausländischen Geldautomaten fehlt der MM-Sensor ganz, deshalb werden duplizierte Karten mit Vorliebe dort eingesetzt. Auch übliche Kreditkarten enthalten keinen MM-Schlüssel.
Normalsterblichen ist der Zugang zur MM-Box verwehrt. Der Meßkopf tastet die Karte direkt am Motorleser ab, die Box formt daraus RS-232-Daten für den Prozessor des GAA.