Im folgenden Text sollte der Leser
sich auf eine Geschichtsdarstellung nach dem zweiten Modell einlassen.
Wir suchen nach verschiedenen Spuren in der Geschichte, die in engerem
Bezug zum Sujet stehen. Den Bezug zwischen ihnen stellt unsere Frage nach
der Geschichte her. Eine Schwierigkeit solcher Beschreibungen besteht darin,
zeitgleiche Entwicklungen nur sequentiell besprechen zu können. Daraus
ergeben sich Irritationen. Abhilfe kann man schaffen, indem man die Bausteine
des Textes als Mosaik versteht und zusammensetzt, um sich ein Bild zu machen.
Da gibt es auf der einen Seite die Unterschrift
-vornehm: Signatur-, die man schon als Schulkind übt und die
einen lebenslang als Resultat persönlichen Handelns begleitet. Jetzt
soll diese zuerst ergänzt, später vielleicht ersetzt werden durch
die sogenannte digitale Unterschrift -technisch: digitale Signatur-;
ein Begriff unter dem sich wohl nur wenige etwas vorstellen können.
Das ist die andere, abstrakte Seite der Münze. Ist die Geschichte
der einen auch die der anderen? Irgendwie schon und andererseits auch nicht.
Das ist das Dilemma.
Digitale Signaturen haben eine relativ kurze Geschichte;
Unterschriften eine lange. digitale Signaturen haben irgendwas mit dem
Computer zu tun, die gibt es noch nicht so lange und suspekt sind sie sowieso.
Unterschriften sind Handarbeit und schon uralt. Und: Wer vertraut schon
einem Computer? Einer Unterschrift vertraut dagegen eigentlich jeder. Zu
Recht?
``Die Unterschrift ist grundsätzlich mit dem Familiennamen zu leisten. ... Sie muß individuelle Züge tragen, nicht aber unbedingt lesbar sein. ... Sie muß ferner eigenhändig vollzogen werden; ... Die Unterschrift muß - ihrem Wortlaut gemäß - regelmäßig unter das Schriftstück gesetzt werden, d.h. dessen Inhalt decken ... Eine "Oberschrift" ... genügt regelmäßig nicht ...'' [Creifelds]
[Hinweis:
Es gibt leider kein deutschsprachiges Buch, das einen Titel wie ``Geschichte
der Unterschrift'' trägt. Man findet hier und da in der wissenschaftlichen
Literatur einzelne Hinweise, die man unterschiedlich interpretieren kann.
Diese Darstellung ist ein vorsichtiger Versuch der Zusammenfassung der
mir bekannten Fakten.]
[Anmerkung: Auch im alten China wurden Siegel, in Form von Stempeln, eigenständig entwickelt und verbreitet. Ich beschränke mich an dieser Stelle aber auf die europäische Kultur.]
Wir sehen, in gewisser Weise haben Siegel, Stempel, Handelsmarke und Unterschrift einen gemeinsamen Ursprung. Sie alle haben etwas mit individuellen Zusicherungen verschiedenster Art zu tun: Herkunft, Stand, Identität, Authentizität, Exklusivität, Verbindlichkeit. Mit der Etablierung der Unterschrift im Recht wurde dem formal Rechnung getragen.![]()
![]()
Siegel und Stempel waren die Vorläufer der Unterschrift. Sie sind seit Jahrtausenden im Gebrauch. Ein wichtiger Grund für ihren Gebrauch war der Beleg der Authentizität. Unterschriften entstanden, als sich das Schrifttum in größeren Teilen der Bevölkerung ausbreitete und das Bewußtsein der eigenen Individualität zunahm.
``... the essential direction for the future development of what is still called `Public-Key-Cryptography' ist rather that of preserving trust than that of preserving secrecy, only!'' [Beth/Frisch/Simmons 1991]
Doch das ist das Ergebnis. Wie kam es dazu? Wir
vollziehen jetzt einen Schritt aus der kontinuierlichen, analogen Welt
des menschlichen Handelns in die diskrete, digitale Welt der Computer.
[Anmerkung: Über die Geschichte digitaler Signaturen wird in der Fachliteratur nicht viel gesagt. Oft lassen die Autoren sie ganz aus der Betrachtung heraus, manchmal kommt sie vor, beginnt aber erst in den 70'er Jahren (z.B.: [Pfitzmann 1996]). Ich versuche, bei den Ahnen anzufangen.]
``Historically, computer security is related to both cryptography and access control in operating systems.'' [Pieprzyk/Sadeghiyan 1993]
Je weiter man zu den Anfängen der Computer
zurückgeht, desto teurer war der Speicher. Die ersten Verfahren für
Prüfsummen waren simpel,
d.h. der Aufwand, sie zu berechnen war aus heutiger Sicht gering; ihr Speicherbedarf
war niedrig. Ihre Trefferquote war allerdings auch nicht sehr hoch. So
gab es Verfahren, die Fehler immer nur im zweiten Bit anzeigten, d.h. mit
einer Wahrscheinlichkeit von höchstens 50% wurde eine auftretende
Abweichung festgestellt.
Zur gleichen Zeit wurde an einem anderen, wichtigen
Problem der Informatik gearbeitet, dem schnellen Sortieren und Suchen in
großen Datenmengen. Dafür wurden Hashverfahren erfunden. Sie
wurden bereits früh im Compilerbau und bei Datenbanken eingesetzt,
um einerseits Speicher zu sparen und andererseits eine hohe Zugriffsgeschwindigkeit
zu erreichen. Die Einweg-Eigenschaft von Funktionen wurde 1977 von L. Berman
erstmals definiert. [Kurtz/Mahaney/Royer
1988] Eine Weiterentwicklung der Hashfuntionen unter dem Aspekt der
Einweg-Eigenschaft führte zu den kryptographischen
Hashfunkionen, auch Einweg-Hashfunktionen
genannt, die wiederum gut als Checksummenfunktionen einzusetzen sind.
![]()
In den 50'er und 60'er Jahren wurde von den Technikern (Informatikern) an der Entwicklung von Verfahren gearbeitet, welche bei geringem Speicherbedarf die Integrität der Daten sicherstellen sollten, die mit dem Computer verarbeitet werden: Checksummen. Ebenfalls wurden Hashverfahren, die einen effizienten Zugriff auf Daten bei gleichzeitig geringem Speicherbedarf gestatten, entwickelt.
``Within Europe all email telephone and fax communications are routinely intercepted by the United States National Security Agency transfering all target information from the European mainland via the strategic hub of London then by satellite to Fort Meade in Maryland via the crucial hub at Menwith Hill in the North York moors in the UK.'' [Electronic Telegraph 16.12.1997]
Die Forschungen im Bereich der Kryptologie fanden
über zwanzig Jahre hinweg nahezu ausschließlich in den Geheimlabors
der Militärs und Geheimdienste statt. Die Resultate blieben bis auf
Ausnahmen geheim. In den USA wurde z.B. 1952 die NSA
gegründet, die sich in der Hauptsache mit Ver- und Entschlüsselung
beschäftigt und zu diesem Zwecke zig-Tausende Mathematiker im Dienst
hat. Ziel der NSA-Aktivitäten war und ist einerseits die strategische
Auklärung der Kommunikation von Feinden und Freunden (siehe Zitat)
und andererseits die Unterbindung vergleichbarer Vorhaben durch jene.
Als die Geheimdienste die Computer für sich
entdeckten, oder andersherum: als die Computer für die Zwecke der
Geheimdienstler interessant wurden, wurden die Erkenntnisse zu Checksummen
und Hashverfahren, wie auch zur Verschlüsselung zusammengeführt.
Wie fruchtbar diese Begegnung wirklich war, kann nur gemutmaßt werden,
da Geheimdienstler meist verschwiegene Leute sind. David Kahn hat
Teile davon rekonstruiert ([Kahn 1967]).
Als Diffie und Hellman ihren Artikel (s.u.) veröffentlichten,
monierte der Direktor der NSA, daß
dort die Kryptographie mit unterschiedlichen Schlüsseln bereits zwei
Jahrzehnte zuvor entwickelt worden wäre. Das blieb aber unbewiesen
([Schneier 1996], S. 38).
![]()
Mathematiker und Linguisten arbeiteten im Auftrag der Geheimdienste seit den 50'er Jahren verstärkt an Verfahren zur Geheimhaltung von Informationen und an Verfahren zur Gewinnung von Informationen aus verschlüsselten Daten. Die klassische (symmetrische) Verschlüsselung erlebte ihre Blütezeit.
``Regierungen haben eine Menge Geheimnisse vor ihrem Volk. ... Warum darf das Volk im Gegenzug keine Geheimnisse vor der Regierung haben?'' Philip Zimmermann, Entwickler von PGP, zitiert in [Kippenhahn 1997], S. 250
Relativ unabhängig -jedoch nicht unbehindert [3] - von der geheimdienstlichen und militärischen Forschung auf kryptologischem Gebiet hatte sich eine um Größenordnungen weniger umfangreiche akademische Forschung entwickelt. Auch in der Wirtschaft war mit dem Computereinsatz das Interesse an `privacy and authentication' (Diffie und Hellman) gewachsen und die entsprechenden Anstrengungen wurden verstärkt.![]()
Insbesondere der zunehmende internationale Austausch von Waren und Dienstleistungen machte eine sichere Informationsweitergabe unumgänglich. In unserer Zeit übersteigt die Menge an monetären Transaktionen in ihrem Wert den des Warenaustausches um das Fünfzigfache. Dieser Verkehr wird in irgendeiner Form über elektronische Kommunikationsnetzwerke abgewickelt. Ohne Authentifizierung und Schutz vor Manipulation wäre das nicht denkbar.
![]()
Erste Arbeiten zu manipulationsgeschützten Codes wurden (nach [Pfitzmann 1996], S.12) von E. N. Gilbert, F. J. Mac Williams und N. J. A. Sloane veröffentlicht (Codes which detect deception; The Bell System Technical Journal 53/3, 1974). Es verging noch einige Zeit, bis jemand die entscheidende Idee hatte: 1976 veröffentlichten Whitfield Diffie und Martin Hellman einen Artikel, der den Grundgedanken für die `public key cryptography' enthielt: New Directions in Cryptography [Diffie/Hellman 1976].
![]()
Kerngedanke war, daß man mit zwei unterschiedlichen Schlüsseln arbeitet, wobei ein Schlüssel nur für die Verschlüsselung und der andere nur für die Entschlüsselung verwendbar ist (Sinnbildlich: Ein Schlüssel kann das Schloß verschließen, aber nicht aufschließen. Mit dem anderen Schlüssel kann man wiederum nur aufschließen, nicht jedoch abschließen.). Dazu muß man dem Gegenspieler, dem fiktiven kryptologischen Angreifer (attacker), eine an sich unlösbare Aufgabe stellen. Für Freunde aber baut man eine Hintertür (trapdoor) ein, durch welche die Lösung leicht zu bestimmen ist. Konkret heißt das: Die Verschlüsselung mit dem einen Schlüssel stellt den Angreifer vor das Problem, daß der Aufwand für das Brechen der Verschlüsselung in der Praxis dessen Möglichkeiten übersteigt. Dagegen kann ein Partner, der über den anderen Schlüssel verfügt eine Entschlüsselung vornehmen.
![]()
Bei Diffie und Hellman handelte es sich um theoretische Überlegungen, die erstmals von Ronald Rivest, Adi Shamir und Leonard Aldleman praktisch umgesetzt wurden: 1978 (1977) stellten sie das nach ihnen benannte RSA-Verfahren vor und ließen es sogleich patentieren.
![]()
Kombiniert man geeignete Hashfunktionen, sogenannte kryptographische Einweg-Hashfunktionen, mit Public Key-Verfahren und einer Schlüsselverwaltung in bestimmter Art und Weise, so erhält man digitale Signaturen, auch als digitale Unterschriften bezeichnet.
Genauere Beschreibungen finden sich im KapitelDie erste Implementierung eines Verfahrens für digitale Signaturen wurde (nach [Pfitzmann 1996], S. 19) von Leslie Lamport vorgenommen (1979). Der Vorschlag, auf dem die Implementierung basierte, stammte bereits aus dem Jahre 1974, von Roger Needham. Der größte Nachteil des Ansatzes von Lamport war die Schlüssellänge, die so groß war, daß eine effiziente Verwaltung nicht möglich war. Später wurden praktikable Verfahren entwickelt.``Grundlagen''.
![]()
Der Vollständigkeit halber soll an dieser Stelle daraufhingewiesen werden, daß Diffie und Hellman nicht die ersten waren, die sich mit `public key cryptography' beschäftigt haben, wenn auch ihre Ideen die maßgeblichen waren. Nimmt man die Zeitangaben aus der Fachliteratur, so steht Ralph Merkle die Ehre zu. 1974 entwickelt er im Rahmen einer Seminararbeit an der Universität Berkeley (Kalifornien) das `knapsack'-Problem ([Schneier 1996], S. 40). An anderer Stelle ([Menezes/Oorschot/Vanstone 1997], S. 300) werden Merkle und Hellman als Verursacher genannt. Auch die Zeitangaben differieren. Bei [Damm 1995] findet sich für das `knapsack'-Problem 1978 als Entstehungszeitpunkt (S. 40). Der `knapsack'-Ansatz wird von den meisten Autoren jedoch abgelehnt bzw. nicht empfohlen und hat praktisch keine Bedeutung.F. Damm hat in [Damm 1995] Übersichten über die wichtigsten kryptographischen Hashfunktionen und praktikablen elektronischen Unterschriftenverfahren erarbeitet, die ich graphisch aufbereitet habe.
![]()
![]()
Den modernsten Ansatz für digitale Signaturen haben Birgit Pfitzmann und Michael Waidner entwickelt und 1990 bzw. 1991 [4] vorgestellt. Sie verfolgen mit ihren Failstop-Signaturen die Idee, die Fälschung einer digitalen Signatur nachweislich zu machen und Folgefälschungen zu unterbinden, sobald eine Fälschung festgestellt wurde. Voraussetzungen für das Funktionieren sind die Geheimhaltung des privaten Schlüssels und die Gültigkeit der kryptologischen Annahme (cryptological assumption).
![]()
![]()
In den 70'er Jahren wurden in der zivilen kryptologischen Forschung große Fortschritte gemacht, insbesondere wurde die asymmterische Verschlüsselung (public key cryptography) entwickelt. Durch eine Kombination mit kryptographischen Hashfunktionen erhält man Verfahren für digitale Signaturen. Die Sicherheit von der modernen Fail-stop-Signaturen ist höher, als die einfacher, herkömmlicher digitaler Signaturen.
Geschichte digitaler Signaturen
``Der Trend ist eindeutig: die Informationsgesellschaft wird es nur in Abhängigkeit vom sicheren und beherrschbaren Funktionieren "digitaler Signaturen" geben. Gemessen am Stand der aktuellen Debatte wird ein gerichtsverwertbarer, also rechtsverbindlicher Geschäftsverkehr - ein zentraler Baustein einer multimedialen Dienstleistungsgesellschaft - nicht ohne digitale Signaturen, dem modernsten Produkt kryptographischen Denkens, möglich sein.'' [Hartmann/Ulrich 1997]
Auf Drängen der Geschäftswelt wurden
inzwischen weltweit einige Versuche unternommen, die digitale Signatur
gesetzlich zu reglementieren, um ihr einen der eigenhändigen Unterschrift
vergleichbaren Wert zu geben. Den Anfang machten die USA, wo 1995 in Utah
der `Utah Digital Signature Act' (UDSA)
verabschiedet wurde. Es folgten andere Bundesstaaten, wie z.B. Georgia
und Kalifornien.
Auch der deutsche Gesetzgeber bemerkte die Notwendigkeit
einer rechtlichen Absicherung digitaler Signaturen und reagierte. 1997
trat im Rahmen der sogenannten Multimediagesetzes (IuKDG)
das Gesetz zur digitalen Signatur, kurz SigG,
in Kraft. Damit sieht sich die Bundesregierung international in einer Vorreiterrolle.
Der Wert des Gesetzes ist umstritten. Einerseits
wurde begrüßt, daß das Gesetz überhaupt geschaffen
wurde. Auf der anderen Seite wurde seine Ausgestaltung stark kritisiert.
Den Hauptangriffspunkt stellen dabei die unklaren Verantwortlichkeiten
und fehlende Haftungsregelungen dar. Auch werden die in einer ergänzenden
Verordnung vorgeschriebenen technischen Anforderungen als ernstes Hindernis
für den breiten Einsatz der digitalen Signaturen angesehen. Die von
einer Allianz aus Politikern, Geheimdienstlern und Beamten der Innenministerien
von Bund und Ländern angestrebte Reglementierung der Verschlüsselung
trägt ihrerseits zur Verunsicherung über den Wert digitaler Signaturen
bei.
![]()
Zwanzig Jahre nach Entwicklung der technischen Verfahren wird die digitale Signatur der eigenhändigen Unterschrift rechtlich weitgehend gleichgestellt. Der praktische Wert der gesetzlichen Regelungen muß sich erst noch erweisen. Zumindest beinhalten die fehlenden Haftungsregelungen ein gewisses Risiko.
``Chronological Order with digital signature schemes, as with most other cryptologic subjects, means: Related to older work, someone has an informal idea, and people happily start to construct schemes.'' [Pfitzmann 1996], S.11
``1980 gab es einen schwerwiegenden Versuch,
als die NSA das American Council
on Education ins Leben rief. Dahinter steckte die Absicht, den Kongreß
davon zu überzeugen, der NSA
die juristische Kontrolle der Publikationen auf dem Gebiet der Kryptographie
zu übertragen.''
usw. usf.
Birgit Pfitzmann, Michael Waidner: Formal Aspects of
Fail-Stop Signatures. Report 22/90, Fakultät für Informatik,
Universität Karlsruhe, 1990
In der Informatik gab und gibt es oft einen Mangel an Speicherplatz
oder verfügbarer Rechenzeit. Ein Ansatz, dem zu begegnen war und ist
die Entwicklung von Hashfunktionen zur komprimierten Speicherung und/oder
zur Beschleunigung des Zugriffes auf gespeicherte Daten. Eine Auswahl von
Hashfunktionen unter dem Kriterium der Kollisionsfreiheit
ist wiederum für Kryptologen interessant, die sich die unumkehrbare
Komprimierung ebenfalls zu Nutze machen.
Für digitale Signaturen werden die Erkenntnisse
der Kryptologen zu Zahlentheorie
und Hashfunktionen kombiniert,
in der asymmetrischen
Verschlüsselung (auch Public Key-Verschlüsselung genannt).
Deren Charakteristika werden dargestellt.
Dann erfolgt der Übergang von der Theorie
zur Praxis: Die Implementierung der Algorithmen in Form konkreter Software
und/oder Hardware. In dieser Schale muß die Auseinandersetzung mit
Problemen wie Protokollen, Kompatibilität, Speicherung, Verteilung
in Netzwerken, Verfügbarkeit etc. stattfinden.
Prinzipien der Implementierung werden erörtert.
Ein umfassender Einsatz digitaler Signaturen in
der Praxis ist ohne einen geeigneten rechtlichen Rahmen nicht durchsetzbar.
Im Sommer 1997 hat der Bundestag mit der Beschließung des Signaturgesetzes
(SigG) einen Rahmen geschaffen.
Dessen Wirkungsbereich und Eignung sollen untersucht werden.
Alle theoretischen, technischen und juristischen
Voraussetzungen für einen Einsatz digitaler Signaturen sind geschaffen.
Noch ist jedoch völlig unklar, ob digitale Signaturen die ebenfalls
notwendige soziale Akzeptanz finden werden. Überlegungen dazu wurden
bisher im wesentlichen in Expertenkreisen angestellt. In der Öffentlichkeit
fehlt eine adäquate Darstellung der Thematik und deren Diskussion.
Der Stand der Argumentation wird zusammengefaßt.
Die Kryptographie ist ein Gebiet der Kryptologie (cryptology) . Das Wort ist griechischer Abstammung und bedeutet `geheimes Schreiben'. Wir verwenden dafür den Ausdruck `verschlüsseln' (encrypt), auch `codieren' (encode). Die Kryptologie umfaßt weiterhin das Gebiet der Kryptanalyse (cryptanalysis), die sich mit dem unbefugten Lesbarmachen verschlüsselter Nachrichten beschäftigt, sprich: entschlüsseln (decrypt, decode).
Neuerdings kommt die Steganographie (steganography) hinzu, die sich -wortwörtlich- mit dem `versteckten Schreiben' befaßt. Dabei geht es darum, die bloße Tatsache, daß eine Information übermittelt wird, geheimzuhalten.
In der einen oder anderen Art und Weise wird der Schlüssel für die Entschlüsselung zur Verfügung gestellt. Dazu wird eine Vorgehensweise vereinbart: das Protokoll (protocol). Nahezu alle Abläufe bei verschlüsselter Kommunikation werden durch Protokolle geregelt. Der Schlüssel für die Verschlüsselung verbleibt normalerweise beim Inhaber, um eine zufällige Aufdeckung, d.h. Kompromittierung (compromisation) zu verhindern. Ebenfalls kann damit die Wahrscheinlichkeit eines unbefugten Zugriffs (unauthorized access) auf den Schlüssel verringert werden.
Die Information in der übermittelten Form heißt Nachricht (message). In einer intelligiblen, d.h. dem Menschen ohne Schlüssel verständlichen Form heißt sie Klartext (plaintext). Geheimtext (ciphertext) heißt sie, wenn sie nicht ohne Schlüssel verständlich ist. Eine Nachricht liegt demnach vor der Verschlüsselung als Klartext vor, nach der Verschlüsselung als Geheimtext. Aus dem Geheimtext wird durch Entschlüsselung wiederum der Klartext gewonnen.
Die Nachricht wird von einem Sender (sender) abgeschickt, an den Empfänger (receiver). In der Regel verschlüsselt der Sender die Nachricht und der Empfänger entschlüsselt sie. Der Weg der Übertragung vom Sender an den Empfänger heiß Kanal (channel). In einer Welt hochgradiger Vernetzung gibt es viele Möglichkeiten, Zugang zu einem Übertragungskanal zu bekommen. Deshalb geht man davon in der Regel aus, daß der Kanal unsicher ist (insecure channel).
Der Angreifer (attacker) ist derjenige, der die Geheimhaltung unterlaufen
will. Bei der Entwicklung eines Verschlüsselungsverfahrens (encryption
scheme) stellt der Angreifer die Fiktion dar, an deren gemutmaßtem
Verhalten sich der Kryptograph (cryptographer) orientiert. In der Praxis
handelt es sich um reale Personen und Institutionen, die an geheime Informationen
gelangen wollen. Dazu führen sie eine Kryptanalyse durch. Derjenige,
welcher diese vornimmt, heißt Kryptanalytiker (cryptanalyst).
Die Private Key-Kryptographie wird nach den Schlüsseln häufig als symmetrische Kryptographie (symmetric cryptography) genannt.
Ein alternativer Name für die Public Key-Kryptographie ist asymmetrische Kryptographie (asymmetric cryptography).
Die Public Key-Kryptographie (public key cryptography) hat sich historisch gesehen aus der Private Key-Kryptographie (private key cryptography) entwickelt. Am Anfang war alle Kryptographie Private Key-Kryptographie. Deshalb gibt es die verbale Unterscheidung in Public Key-Kryptographie und Private Key-Kryptographie erst seit relativ kurzer Zeit.
(Identische Schlüssel haben dieselbe Gestalt.)
Der Ablauf des Protokolls teilt sich in folgende Schritte auf:
Das `klassische' symmetrische Verschlüsselungsverfahren ist DES.
DES wurde bereits in den 70'er Jahren entwickelt, ist effizient und weit
verbreitet, z.B. im Bankensektor. Allerdings kann es bei kurzen Schlüssellängen
nicht mehr als sicher gelten, wie bei verschiedenen Aktionen im Internet
demonstriert wurde (z.B. RSA-Challenge). Aus DES wurde Triple-DES entwickelt,
das mit dreifacher Verschlüsselung höhere Sicherheit bietet.
(Im Glossar, unter dem Eintrag für DES finden sich detailliertere
Beschreibungen zum Verfahren.)
Die nächste Grafik stellt die sichere Nachrichtenübermittlung
unter dem Kriterium der Authentizität dar, d.h. die Empfängerin
soll sicher sein können, daß die Nachricht vom Besitzer des
privaten Schlüssels stammt.
Vor der Kommunikation:
Kehrt man die Richtung der Kommunikation um, so erreicht man die Geheimhaltung
der Information. Nachfolgende Grafik zeigt das Vorgehensschema:
Vor der Kommunikation:
Die beschriebenen Protokolle lassen sich bi- oder multidirektional, d.h. zwischen zwei oder mehr Parteien, einsetzen, wenn jeder Kommunikationsteilnehmer jeweils ein Paar Schlüssel einbringt, wobei aller Paare unterschiedlich, d.h. disjunkt sein müssen. Die gezeigten Probleme lassen sich damit jedoch nicht beheben.
Die asymmetrisch verschlüsselte Kommunikation mit einem Paar Schlüssel führt also zu dem Dilemma, daß entweder der Nachrichteninhalt geheim bleibt oder die Urheberschaft belegt ist. Das ist für geschäftliche Transaktionen nicht hinnehmbar.
Den Ausweg stellt eine geeignete Kombination aus symmetrischen und asymmetrischen Verschlüsselungsverfahren, in Kombination mit einem Beglaubigungsverfahren dar. Das Beglaubigungsverfahren soll die eindeutige Zuordnung von Personen und öffentlichen Schlüsseln
[Lesehinweis: Für den folgenden Abschnitt wurde die Vorgehensweise ``vom Allgemeinen zum Besonderen'' gewählt. Zuerst werden Begriffe diskutiert, dann Konzepte vorgestellt und schließlich auf Implementierungsfragen (technische und juristische) eingegangen.
Im vorliegenden Text werden die Begriffe `trusted third party', `vertrauenswürdiger Dritter', `vertrauenswürdige dritte Instanz' usw. synonym gebraucht.]
Wann ist ein `Dritter' ein `Dritter'? Und wozu wird ein `vertrauenswürdiger Dritter' benötigt?
``Zwei Menschen, die sich allein und ohne Ausweis begegnen, können sich ihre Identität gegenseitig nicht beweisen. Sie brauchen dazu ein bestätigendes soziales Umfeld. Entweder sind sie von vertrauenswürdigen Instanzen, z.B. Einwohnermeldeämtern, mit Identitätsausweisen versehen worden, oder sie werden von einer vertrauenswürdigen dritten Person einander vorgestellt. Beide Verfahren setzen vertrauenswürdige Dritte ein.'' [Grimm 1996]
`Trusted Third Party` ist ein englischer Begriff. Das Wort `trust' wird vom Oxford Dictionary mit Vertrauen übersetzt. Demzufolge heißt die `trusted third party' auf Deutsch `vertrauenswürdige dritte Partei'. Eine feinere Übersetzung würde `vertrauenswürdiger Dritter' wählen.
Gemeint ist eine Instanz mit unabhängiger Stellung gegenüber zwei Parteien, die zueinander in einer bestimmten Beziehung stehen. Für den Konfliktfall, Garantien, Interessenvertretung oder notwendige treuhänderische Aufgaben bestimmen die beiden Parteien diese Instanz zum Dritten und vereinbaren untereinander, deren Entscheidungen zu akzeptieren. Werden Regeln oder ein Protokoll vereinbart, nach dem die Parteien vorgehen wollen, wird eine unabhängige Instanz zur Überwachung der Einhaltung der Regeln bestimmt. Oft wird von ihr auch die Abwicklung der Protokolle gesteuert.
Im Sport nennt man solche Instanzen Schiedsrichter. In der Rechtsprechung ist es der Richter, der nach Interessenabwegung sein Urteil fällt. Andernorts werden Vermittler und Ombudsmänner berufen.
Festzuhalten bleibt, daß eine `vertrauenswürdige dritte Instanz' in einer (interessen-) unabhängigen Position gegenüber den beiden ersten Parteien stehen muß. Besteht dagegen die Möglichkeit, daß der `Dritte' selbst in einen Interessenkonflikt bezüglich der Wahrnehmung seiner Aufgaben gerät, ist das Vertrauen schnell erschüttert. Nicht zuletzt muß die Durchsetzung der Entscheidungen des `Dritten' gesichert sein, sonst verlieren er und seine Funktion ihre Glaubwürdigkeit. Dies sind keine neuen Erkenntnisse. Trotzdem sollte im Vorfeld der folgenden Ausführungen noch einmal klargestellt werden, was die herkömmliche Auffassung über Aufgabe und Stellung einer `trusted third party' ist.
Im Zusammenhang mit `digitalen Signaturen' sollen Trusted Third Parties die Funktion der Certification Authorities in einer Schlüsselverwaltungsinfrastruktur (key management infrastructure) übernehmen. Das wird später genauer augeführt werden.
Das Problem der Authentizität von Kommunikation
Seit den 70'er Jahren vollzieht sich eine Entwicklung hin zur elektronischen Vernetzung. Diese Entwicklung hatte Vorläufer in anderen Kommunikationsnetzen: Post, Zeitungswesen, Rundfunk und Telefonnetz. Dieses waren in den letzten Jahrhunderten (national-)staatliche Netze. Erst im Zeitalter des Internet werden die Grenzen für die Kommunikation aus nationalstaatlicher Perspektive aufgehoben. Gleichzeitig geht damit auch der Schutz verloren, den der Staat als Nationalstaat bieten kann: nationale Gesetze und Behörden zu deren Durchsetzung. Datenschutz und Versicherungsschutz seien hier nur als Stichworte genannt. Auch wachsen auf dem Weg in die Informationsgesellschaft die Begehrlichkeiten aller möglichen Institutionen -staatlicher und nichtstaatlicher-, an die Ressource Information zu gelangen, länderübergreifend (siehe z.B. [Ruhmann/Schulzki-Haddouti 1998]).
Die Grenzen öffnen sich noch in einem anderen Sinne: Materie wird ersetzt durch elektrische Impulse und Ladungen, durch Magnetflüsse und -felder, wandelbarer in Raum und Zeit, als Papier, Medium der letzten zwei Jahrtausende. Damit ermöglichen sie eine Beschleunigung und Vervielfachung der Kommunikation ohne Gleichen. Aber auch diese Grenzöffnung hat ihren Preis: die Sicherheit und Haltbarkeit, die Papier bieten kann, finden in elektronischen Welten kein Pendant. (``Das Internet hat kein Gedächtnis.'')
Die moderne Kommunikation kann ohne Kopien gar nicht mehr existieren. Permanent werden Daten zwischengespeichert, in papierner oder in elektromagnetischer Form. Längst schon ist nicht mehr überschaubar, wer wo und wie die Gelegenheit hat, elektronische Kommunikation zu belauschen, zu verfälschen und zu verhindern. Und daß solche Möglichkeiten weidlich ausgenutzt werden, zeigen z.B. die Berichte über das von der NSA installierte Echelon-System (z.B. [c't 5/98], S.82 ff).
Ein Mittel, Inhalte von Kommunikation erstens abzusichern (d.h. ihre authentische Übermittlung sicherzustellen) und zweitens geheimzuhalten, ist die Verschlüsselung. (Ein anderes, deutlich aufwendigeres Mittel ist die Installation abgeschlossener Kommunikationskanäle, wie z.B. das `rote Telefon` zwischen Weißem Haus und Kreml.)
Schlüsselverwaltung für Verschlüsselungsverfahren
Zur Illustration der Bedeutung der Schlüsselverwaltung ein Zitat aus [Schneier 1996], S.33:
``Bei einem guten Kryptosystem hängt die Sicherheit vollständig von der Kenntnis des Schlüssels und nicht von der Kenntnis des Algorithmus' ab. Deshalb ist die Schlüsselverwaltung in der Kryptographie auch so wichtig.''
Verschlüsselung kann symmetrisch oder asymmetrisch vorgenommen werden. Im Falle der klassischen, symmetrischen Verschlüsselung sind Geheimhaltung und Authentifizierung [1] relativ leicht sicherzustellen:
(1) Es gibt nur einen Schlüssel. Kopien davon bekommen alle Kommunikationsteilnehmer. Solange der Schlüssel geheim bleibt, kann niemand außerhalb des Kreises der Schlüsselinhaber Nachrichten lesen oder (ver-)fälschen.
(2) Wenn sich immer nur je zwei Personen einen Schlüssel `teilen', d.h. über eine Kopie verfügen, kann der Empfänger sicher sein, daß eine Nachricht authentisch ist. Solange der Schlüssel geheim bleibt, muß man hinzufügen. Die Frage nach der Authentizität der Kommunikation reduziert sich dann auf die Frage nach der Authentizität des Schlüssels.
So schön es klingt, das Verfahren hat gravierende Nachteile. Die zwei größten Nachteile sind, daß (1) der Schlüssel von mindestens zwei Personen geheimgehalten werden muß und (2) bei einer genügend großen Anzahl von Teilnehmern sehr große Mengen von Schlüsseln anfallen. Dies läßt sich grafisch sehr gut verdeutlichen:
Wer nachzählt, kommt auf 5 + 4 + 3 + 2 + 1 = 15 mögliche Kommunikationswege. Sollte jeder Weg abgesichert werden, müßte je ein Schlüssel in zwei Kopien bereitgestellt werden. Da zu einer Kommunikation immer zwei Teilnehmer (communicants) gehören, gibt es 30 Stellen, an denen irgendein Schlüssel geheim bleiben muß. Dazu kommt das Problem der Schlüsselverteilung. Die Schlüssel müssen nicht nur geheimgehalten werden, sie müssen auch zur Übergabe sicher transportiert (key transport) werden. Damit benötigt man zusätzlich 15 sichere Kommunikationskanäle allein für die Übermittlung der Schlüssel.
In weltumspannenden, elektronischen Netzen wächst daraus eine praktisch unlösbar scheinende Verwaltungsaufgabe. Eine elegante Lösung zur Reduktion des Verwaltungsaufwandes, stellt die Benutzung der asymmetrischen Kryptographie dar.
Asymmetrische Kryptographie setzt auf zwei unterschiedliche Schlüssel, einen sogenannten privaten Schlüssel, auch geheimer Schlüssel genannt, und einen öffentlichen Schlüssel. Letzterer erhält seinen Namen dadurch, daß er im wahrsten Sinne des Wortes veröffentlicht wird. Konkret bedeutet Veröffentlichung, daß potentielle Kommunikationsteilnehmer wahlfreien Zugriff auf den Schlüssel erhalten. Der private Schlüssel muß geheim bleiben, weshalb jeder Zugriff verwehrt wird.
Die Besonderheit bei asymmetrischen Verschlüsselungsverfahren besteht ja darin, daß was mit einem Schlüssel verschlüsselt wurde, nur mit dem anderen entschlüsselt werden kann. Das Problem der Geheimhaltung reduziert sich daher auf die notwendige Geheimhaltung eines -des privaten- Schlüssels an einer Stelle, beim Inhaber. Dazu kommt die authentische Übermittlung der öffentlichen Schlüssel.
Wir verstehen an dieser Stelle unter einer authentischen Übermittlung eine solche, bei der sichergestellt ist, daß der ``echte'' Schlüssel unverfälscht beim vorgesehenen Empfänger ankommt. Die Übermittlung muß nicht geheim bleiben, wie bei der symmetrischen Verschlüsselung, da ja der private Schlüssel nicht transportiert wird, sondern einzig und allein dem Inhaber zur Verfügung steht. Sie muß jedoch unbeeinflußt bleiben.
Ab einer gewissen Anzahl von Beteiligten stellt die Schlüsselverteilung wieder einen Engpaß dar. Der einfachste Weg wäre jener, bei dem die Schlüsselübergabe vom Inhaber an den Empfänger direkt erfolgt. Das mag für ein paar Leute praktikabel sein, in einem weltweiten Kommunikationsverkehr ist es nicht möglich.
Der Weg der unmittelbaren Übergabe des öffentlichen Schlüssels scheidet im großen Rahmen aus. Im kleinen ist er durchaus zu empfehlen, da er einem potentiellen Angreifer (auf die Verschlüsselung) weniger Möglichkeiten bietet, als die indirekte Verteilung, die nun beschrieben werden soll.
Unter indirekter Verteilung versteht man das Komplement zur direkten Verteilung, d.h. die Schlüsselübergabe erfolgt nicht durch den Inhaber, sondern aus zweiter, dritter usw. Hand. Diese Art der Schlüsselgabe ist der normale Weg in elektronischen Netzen, wo man einen Schlüssel von irgendeiner verwaltenden Stelle abruft.
Damit steht man wieder vor einer Vertrauensfrage: Kann ich dem Überbringer des Schlüssels trauen, oder nicht. In unserem Sinne also: Kann ich davon ausgehen, daß der öffentliche Schlüssel, den mir Person X als den von Person Y übergibt, tatsächlich derjenige von Person Y ist? Oder wenn der Schlüssel nicht von einer Person kommt, sondern einer öffentlich zugänglichen Datenbank entnommen wird: Stimmen die Angaben über den Schlüssel in der Datenbank? Wer bürgt dafür?
Anhand der folgenden Grafik kann man sich ein Bild über die Zusammenhänge bei der Schlüsselverwaltung machen.
[Die Grafik wurde nach einer Abbildung aus dem ``Handbook of Applied Cryptography'' gestaltet ([Menezes/Oorschot/Vanstone 1997], Seite 579).] Z.B. in ISO/IEC CD 11770-1 (Key Management - Part 1: Framework) findet sich ebenfalls ein Modell für einen Schlüssellebenszyklus ([Fumy 1995] ).
Für ein öffentliches System zur Absicherung digitaler Signaturen sind nicht alle abgebildeten Teile notwendig. Einige Elemente, wie Schlüsselkopien (key backup) oder Schlüsselwiederherstellung (key recovery), dürfen für öffentliche Schlüssel (für digitale Signaturen) gar nicht implementiert werden, soll sichergestellt sein, daß ein Paar aus privatem und öffentlichem Schlüssel nur einmal existiert. Andernfalls wäre es möglich, mit einer Kopie des privaten Schlüssels digitale Signaturen zu fälschen, was die Bemühungen, Rechtssicherheit herzustellen konterkarieren würde. Man beachte, daß in der Grafik keine Angaben über die Lokalisierung der einzelnen Komponenten gemacht werden. Fragen der Implementierung bleiben unberührt.
Bisher wurden zwei grundsätzlich unterschiedliche Ansätze entwickelt, die indirekte, authentische Verteilung abzusichern. Die Absicherung selbst bezeichnet man als Zertifizierung, da sie auf irgendeiner Art von Zertifikaten (Bescheinigungen, die etwas bestätigen) beruhen. Unterschiede finden sich in der Form, wie die Zertifizierung implementiert wird.
Auf der einen Seite gibt es den hierarchischen Ansatz, auf der anderen Seite einen netzartigen Ansatz (auch Digraphmodell genannt). Jede Variante hat ihre Vor- und Nachteile. Die Hierarchie setzt auf klare Verantwortlichkeiten, die Netzstruktur auf Eigenverantwortlichkeiten. Hierarchien lassen sich effektiv realisieren, Netzstrukturen brauchen Zeit zum Wachsen. Hierarchien sind anfällig gegen Fehler, Netzwerke sind verhältnismäßig fehlertolerant. Nicht zuletzt benötigen Hierarchien Bürokratien, wogegen Netzstrukturen weitgehend ohne solche auskommen.
Im konkreten Fall von X.509 werden die Stellen in der Hierarchie von folgenden Elementen besetzt:
Für den Benutzer (user) müssen alle Instanzen über ihm (authorities) die Qualität vertrauenswürdiger Dritter (TTPs) haben.
Unabhängig von der Wahl des Modells muß eine Zertifizierung vorgenommen werden. Sinn und Zweck ist es, Glaubwürdigkeit und Vertrauenswürdigkeit abzusichern und Beweissicherheit herzustellen.
In der Hierarchie stellt die übergeordnete Instanz das Zertifikat für die ihr nachgestellte Stufe aus und gibt damit Garantien, im Netz stellen sich die Teilnehmer gegenseitig Zertifikate aus. Diese Zertifikate haben die Aufgabe, die Zuordnung von Personen und öffentlichen Schlüsseln auszuweisen (und ggf. noch weitere Angaben).
Allgemein gefaßt, kann man Zertifizierung als Beglaubigung ``übersetzen''. In dem schon zitierten Werk zur Kryptographie von Menezes, van Oorschot und Vanstone findet sich die Definition ``endorsement of information by a trusted entity'' ( [Menezes/Oorschot/Vanstone 1997], Seite 3). Wörtlich übersetzt hieße es ``Unterschreiben einer Information durch eine vertrauenswürdige Einheit'', was mit Beglaubigung ganz gut umschrieben ist.
Die Aufgabe der Zertifizierung kommt in einem hierarchischen Modell dem ``vertrauenswürdigen Dritten'' (trusted third party) zu. Nur unter dem Primat der Vertrauenswürdigkeit wird einerseits der Schlüsselinhaber bereit sein, seinen öffentlichen Schlüssel zertifizieren (beglaubigen) zu lassen und andererseits ein möglicher Kommunikationspartner der Beglaubigung durch die Zertifizierungsinstanz trauen. Im Englischen wird das unter dem Begriff ``establishing trust between users in distinct [security] domains'' ([Menezes/Oorschot/Vanstone 1997], Seite 571) zusammengefaßt.
In einem netzartigen Modell zur Zertifizierung entscheidet dagegen jeder Teilnehmer selbst über Vertrauen oder Ablehnung, unmittelbar. Die Zertifizierung erfolgt, wie z.B. bei PGP, gegenseitig. Damit ist zwar einem möglicherweise in betrügerischer Absicht handelnden Dritten das Vorhaben erschwert, die Schlichtung im Streitfalle jedoch ebenfalls. Ein Betrug zeitigt dafür nicht so gravierende Folgen wie in einer Hierarchie. In jener zieht die Kompromittierung des Schlüssels einer höheren Stufe lawinenartig die Wertlosigkeit der Zertifikate aller ihr untergeordneten Stufen nach sich. Im Netz verfügt jeder einzelne Teilnehmer nur über eine relativ geringe Anzahl von Schlüsseln. Manipulationen daran können nie so große Auswirkungen haben wie in einer Hierarchie.
Weiterhin verbleibt die Frage nach der Vertrauenswürdigkeit der obersten Instanz in der Hierarchie. Eine mögliche Antwort ist die sogenannte gegenseitige Zertifizierung mehrerer Zertifizierungsinstanzen (cross certification, CA-certification), bei der zwei Instanzen sich wechselzeitig Zertifikate ausstellen. Damit läßt sich das Vertrauen in die eigene Zertifzierungsinstanz herstellen und zusätzlich auf die andere Hierarchie übertragen. In gewisser Weise handelt es sich um die Anwendung des Netzmodelles auf die Hierarchie.
Von beiden Modellen (Netz und Hierarchie) gibt es noch Varianten. So gibt es bidirektionale Hierarchien, bei den jede Stufe die unter ihr liegenden Stufen zertifiziert, sowie von ihnen zertifiziert wird. Ebenfalls gibt es Netze mit abgestuften Graden des Vertrauens (wie z.B. im Web of Trust von PGP).
Verwaltung der Zertifikate und Schlüssel
[Hinweis: Insofern nicht explizit von privaten Schlüsseln die Rede ist, sind immer öffentliche Schlüssel gemeint, auch wenn es bloß Schlüssel heißt.]
Für eine abgesicherte und authentische Kommunikation sind also zwei Dinge nötig: Erstens ein Verfahren und die Infrastruktur zur Verwaltung der Schlüssel und zweitens Verfahren und Infrastruktur für die Zertifikatsverwaltung. Im Netzmodell fällt das alles weitgehend zusammen: Der Inhaber gibt die Schlüssel weiter und zertifiziert die empfangenen Schlüssel. Später verteilt er seinerseits die zertifizierten Schlüssel. So ``wandern'' Schlüssel und Zertifikate durch's Netz und auf die Festplatten der Teilnehmer.
In der Hierarchie sieht das anders aus. Es bietet sich scheinbar an, die hierarchische Infrastruktur für Schlüssel und Zertifikate gleichzeitig zu benutzen. Warum? Beide erfordern die Speicherung in Datenbanken, sowie die Möglichkeiten des externen Zugriffs. Die öffentlichen Schlüssel müssen ebso abgerufen werden können, wie die dazugehörigen Zertifikate, in der Regel gleichzeitig. Eine gekoppelte Verwaltung von Schlüsseln und Zertifikaten würde diesen Ablauf erleichtern.
Es gibt auch die Möglichkeit, Zertifikate und Schlüssel nicht auf Abruf zu liefern (pull model), sondern in gewissen Zeiträumen automatisch an die Anwender zu versenden (push model), quasi im Abonnement ([Menezes/Oorschot/Vanstone 1997], Seite 577). Zusätzlich wären Zertifikatswiderrufe (certificate revocation) zu verschicken, falls Schlüssel kompromittiert worden sein sollten. In der Praxis ist dies für kleine, geschlossene Gruppen durchführbar. Im weltweiten Verbund, mit zig-Millionen Teilnehmern, wird die notwendige Datenmenge zu groß. Wir gehen im weiteren vom Abrufmodell aus.
Welche Argumente könnten dagegen sprechen, Schlüssel und Zertifikate gemeinsam zu verwalten? Eine Grundregel der Sicherheitspolitik lautet, das Risiko zu verteilen (``Doppelt hält besser!''), um es zu minimieren. Und Risiken gibt es viele, wenn es um Technik geht. Technik, die zentralisiert wird, ist bei einem Ausfall nicht oder nur sehr schwer ersetzbar. Die Gefahr des Mißbrauches wächst, wenn die Möglichkeiten dazu vereinfacht werden. Und ein zentraler Zugriff ist leichter zu bewerkstelligen, als mehrere dezentrale Zugriffe. (Was gleichzeitig auch ein Argument für die gemeinsame Verwaltung ist.)
Große und komplizierte Systeme haben die Tendenz, unflexibel zu werden. Im Krisenfall fällt es ihnen meist schwer, schnell und adäquat zu reagieren. Sie neigen eher dazu, die Bekannwerdung eines Problems zu verhindern, als sofortige Abhilfe zu schaffen. Auch sind viele Fälle denkbar, in denen Zertifikate gar nicht benötigt werden, sondern lediglich die Schlüssel. Oder es kann Fälle geben, in denen nur interessant ist, ob es ein Zertifikat für eine Person gibt. Vielfach wollen Anwender auch ihre Anonymität gesichert werden. Sie werden dann eher einer Instanz vertrauen, die ihre persönlichen Angaben gar nicht erst erfahren hat, als einer Instanz, die beteuert, keine Daten weiterzugeben, die sie gespeichert hat. Datenchutzgesetz hin oder her; Beispiele für Mißbrauch oder Fahrlässigkeit gibt es immer wieder.
Die Abwägung der Sicherheitsanforderungen gegen die Bequemlichkeiten bei der Benutzung werden letztendlich ausschlaggebend für die Entscheidung pro oder contra gemeinsame Verwaltung von Schlüsseln und Zertifikaten sein. Wenn es um Rechtsverbindlichkeit geht, kommt man in vielen Fällen sowieso nicht umhin, sich nach den Vorgaben des Signaturgesetzes (SigG), der zugehören Verordnung (SigV) und des Maßnahmenkatalogs des BSI zu verhalten. Was aber seinerseits keine Garantien für die Sicherheiten bietet. Im Signaturgesetz geht es um die Schlüssel für digitale Signaturen. Diese könnten jedoch auch für andere Zwecke eingesetzt werden, wie zum Beispiel in hybriden Verfahren, wenn sie denn zugänglich sind.
Implementierung von Authentifizierungs- und Zertifizierungsverfahren
Nachdem nun die Begriffe und Konzepte erläutert worden sind, soll auf Implementierungsfragen eingegangen werden.
Maßgeblich ISO/IEC haben diverse Authentifizierungsverfahren standardisiert ([Fumy 1995], [Menezes/Oorschot/Vanstone 1997]):
ISO/IEC 9796 Digitale Signaturen mit message recovery
ISO/IEC 9798 Authentifizierung
ISO/IEC 9798-1 Einführung
ISO/IEC 9798-2 (1994) Mechanismen, basierend auf symmetrischen Techniken
ISO/IEC 9798-3 (1993) Mechanismen, basierend auf asymmetrischen Techniken. Die Mechanismen in ISO/IEC 9798-3 finden in X.509 eine Entsprechnung.
ISO/IEC 9798-4 (1995) Mechanismen mit kryptographischer Prüffunktion
ISO/IEC 9798-5 (Working Draft) Mechanismen, basierend auf Zero-knowledge-Funktionen
ISO/IEC 11770 Schlüsselverwaltung und Schlüsselinstallation
ISO/IEC 11770-1 Schlüssellebenszyklus, Schutz für Schlüssel, Trusted Third Parties
ISO/IEC 11770-2 Schlüsselinstallation mit symmetrischen Techniken
ISO/IEC 11770-3 Schlüsselinstallation mit asymmetrischen Techniken
ISO/IEC 13888 (Draft) Dienste für Unabweisbarkeit
ISO/IEC 13888-1 Modell und Überblick
ISO/IEC 13888-2 Mechanismen, basierend auf symmetrischen Techniken
ISO/IEC 13888-3 Mechanismen, basierend auf asymmetrischen Techniken und digitalen Signaturen
ISO/IEC 14888 (Draft) Signaturen mit Anhang
ISO/IEC 14888-1 Definitionen, Überblick und Modelle
ISO/IEC 14888-2 Mechanismen mit Signaturen, basierend auf der Identität des Benutzer
ISO/IEC 14888-3 Mechanismen mit Signaturen, basierend auf Zertifikaten
ISO/IEC 9594-8 (ITU-T X.509) Authentifizierungstechniken,
Es viele weitere, konkrete Vorschläge für hierarchische Zertifizierungsstrukturen von nationalen und internationalen Institutionen. Auch Firmen haben eigene Entwürfe vorgestellt, wie z.B. PKCS Nr. 6 von RSADSI.
Beispielsweise sieht der X.509-Vorschlag für Zertifikate folgendermaßen aus (nach [Breilmann 1996]):
Allen Entwürfen gemeinsam sind öffentlich zugängliche Datenbereiche, aus denen die Zertifikate abgerufen werden können. Die Verwaltung dieser Datenbereiche obliegt einer vertrauenswürdiger Authorität, was lediglich ein anderer Name für `trusted third party' ist. Dieser Instanz gegenüber muß sich derjenige identifizieren, der ein Zertifikat zu erhalten wünscht. Ebenfalls muß er seinen öffentlichen Schlüssel vorlegen. Aus dem erteilten Zertifikat gehen dann ein Identitätskennzeichen (nicht notwendig ein echtes, Pseudonyme sind ausreichend), der öffentliche Schlüssel und die Bestätigung der Übereinstimmung durch die Zertifizierungsauthorität hervor.
Die Zertifizierungsinstanz legt die Zertifikate so ab, daß sie von Außenstehenden nicht manipuliert werden können. Die Computer im Netzwerk, die für diese Aufgabe bereitgestellt werden, kann man als Schlüsselserver (key server) oder auch Zertifikatsserver bezeichnen. Der Zugriff auf die Zertifikate erfolgt über genau spezifizierte Protokolle und Verbindungen. Darunter fallen sowohl die klassische, schriftliche Übermittlung (offline), als auch die elektronische Übermittlung (online). In beiden Fällen muß die Übermittlung selbst wieder authorisiert werden. Dazu lassen sich Siegel bzw. digitale Signaturen -durch die Zertifizierungsinstanz- einsetzen.
Wesentliche Unterschiede gibt es im Umgang mit ungültigen Zertifikaten. X.509 verlangt die Gültigkeit sämtlicher Zertifikate in der Zertifikatskette, d.h. von der Wurzelinstanz bis zum Benutzer, um eine gültige Signatur zu erzeugen. Die Umsetzung der Signaturverordnung zum Signaturgesetz ist hier weniger strikt. Zur Verringerung des Verwaltungsaufwandes können Zertifikate auch dann anerkannt werden, wenn übergeordnete Zertifikate ungültig sind ([SigB]).
Das Konzept der öffentlichen Verzeichnisse (trusted public file, trusted public directory) geht auf Diffie und Hellman (1976) zurück. Merkle (1979) hatte die Idee von der hierarchischen (für Informatiker: baumartigen) Authentifizierungsstruktur. Zertifikate für öffentliche Schlüssel wurden von Kohnfelder vorgeschlagen (1978). Dessen Vorschlag sah für ein Zertifikat vor, den Namen des Inhabers, seinen öffentlichen Schlüssel und Angaben über Authentifizierung einzutragen. Er orientierte sich dabei am RSA-Verfahren. ( [Menezes/Oorschot/Vanstone 1997], Seite 587) In ihrer Kombination ergeben die drei Ideen die notwendige Infrastruktur für ein System der Zertifikatsverwaltung, wie es u.a. für digitale Signaturen zur Anwendung kommt. (Alternativen sind denkbar, z.B. nach dem Netzmodell. [2])
Schlüsselverwaltung und Zertifikate im Signaturgesetz
Im deutschen Signaturgesetz finden sich die entsprechenden Umsetzungen der erläuterten Konzepte in Paragraph 2 (Begriffsbestimmungen ), Paragraph 5 (Vergabe von Zertifikaten) und Paragraph 7 ( Inhalt von Zertifikaten). Leider setzen sie die internationale Norm X.509 nicht vollständig um, so daß eine Interoperabilität weltweit nicht garantiert werden kann.
Die Regelungen im Gesetz gehen zum Teil über die technisch sinnvollen Forderungen hinaus. So findet sich in Paragraph 5 Absatz 4 die folgende Aussage:
``(4) Die Zertifizierungsstelle hat Vorkehrungen zu treffen, damit Daten für Zertifikate nicht unbemerkt gefälscht oder verfälscht werden können. Sie hat weiter Vorkehrungen zu treffen, um die Geheimhaltung der privaten Signaturschlüssel zu gewährleisten. Eine Speicherung privater Signaturschlüssel bei der Zertifizierungsstelle ist unzulässig. '' [SigG], §5 (4)
Der erste Satz ist einsichtig, Fälschungen sind zu verhindern. Der zweite Satz steht dem ersten dann in gewisser Weise entgegen. Zertifizierung meint in Bezug auf digitale Signaturen, d.h. asymmetrische Verschlüsselung, immer die Zertifizierung der öffentlichen Schlüssel. Die zugehörigen privaten Schlüssel müssen unter allen Umständen geheim bleiben, soll die Kommunikation gesichert werden [3].
Der zweite Satz räumt jedoch die Möglichkeit ein, daß die Zertifizierungsstelle an die privaten Schlüssel gelangt. Ein Aufdecken (Kompromittieren) der privaten Schlüssel ermöglicht die beliebige Manipulation jeglicher damit verschlüsselter Kommunikation und muß daher prinzipiell ausgeschlossen werden.
Der dritte Satz des Absatzes schließlich, der eine Speicherung der privaten Schlüssel untersagt, ist nur notwendig, wenn es überhaupt eine Möglichkeit der Speicherung und damit der Kompromittierung gibt. Satz 1 des Absatzes steht also in eklatantem Widerspruch zu den Sätzen 2 und 3. Und nicht nur dazu, sondern insbesondere zu jedem Sicherheitsmodell für digitale Signaturen.
In der vorliegenden Form wird der Umgang mit privaten (geheimen) Schlüsseln kryptologisch unsicher gemacht.
Handelt es sich um ein Versehen? Im Gesetz wird nichts darüber gesagt, woher die Schlüssel, auf die Bezug genommen wird, stammen. Noch ein Versehen? Ein Blick in die amtliche Begründung klärt nicht auf. Dort findet sich folgende Aussage:
``Die jeweils einmaligen Schlüsselpaare (privater und öffentlicher Schlüssel) werden durch anerkannte Stellen natürlichen Personen fest zugeordnet. Die Zuordnung wird durch ein Signaturschlüssel-Zertifikat beglaubigt.'' [SigV]
und an anderer Stelle:
``Der private Schlüssel sowie die Signiertechnik ist in der Regel auf einer Chipkarte gespeichert, die erst in Verbindung mit einer Personenidentifikationsnummer (PIN) eingesetzt werden kann.'' [SigV]
Die Schlüsselgenerierung selbst wird nicht behandelt. Wie kommt der private Schlüssel auf die Chipkarte? Wieso muß die Zertifizierungsstelle die privaten Schlüssel geheimhalten, wo sie diese doch nicht speichern darf? Wie kommt sie überhaupt in den Besitz der privaten Schlüssel, den sie geheimhalten soll? Warum werden PINs gegenüber biometrischen Verfahren priorisiert, wird doch damit der Schlüsselraum erheblich eingeschränkt? Biometrische Merkmale zur Identifizierung heranzuziehen, ist zwar möglich, nach der Signaturverordnung (§16 Abs. 2 Satz 3), nicht jedoch zwingend. Warum? Fragen, die zu stellen sind. Mit der Sicherheit der Schlüsselgenerierung und -verwaltung steht und fällt das ganze System der Verschlüsselung mit Public Key-Verschlüsselung, wie es z.B. für digitale Signaturen eingesetzt wird.
Worin die Intention der unklaren gesetzlichen Aussagen zu sehen ist, kann man sich bei aufmerksammer Lektüre von Gesetz, Verordnung und insbesondere amtlicher Begründung zusammenreimen.
Unter der Überschrift ``Wirksamer Informationsschutz'' findet sich in der Begründung zum Gesetz der Absatz:
``Ob unabhängig davon unter besonderen Aspekten spezielle >>Kryptoregelungen<< erforderlich sind, ist nicht Gegenstand des Gesetzentwurfs. Die Funktionen Signatur und Verschlüsselung sind technisch wie rechtlich völlig eigenständig zu betrachten. ''
Aus juristischer Perspektive mag ein solcher Satz, wie der zweite des zitierten Absatzes, sinnvoll sein. Bei der Interpretation des Wortes `technisch' muß man stutzig werden. Wie bei der Erläuterung der kryptologischen Grundlagen für digitale Signaturen beschrieben, erzeugt man digitale Signaturen, in dem man das Resultat der Anwendung einer kryptographischen Hashfunktion auf eine Nachricht -den Hashwert- verschlüsselt. In diesem (mathematisch-technischen) Sinne kann von einer Eigenständigkeit keine Rede sein. Verbleibt also, das `technisch' als `implemtierungstechnisch' zu lesen. Dann würde die Aussage so zu verstehen sein, daß die Implementierung zwar die Erzeugung digitaler Signaturen, nicht aber Verschlüsselung anderweitig gestatten soll - ein Schritt auf dem Wege zum ``Kryptoverbot''.
Andere Passagen im Gesetz und in der Begründung lassen ähnliche Vermutungen zu. In der Begründung zu Paragraph 5 findet sich folgende Aussage:
``..., da davon ausgegangen werden kann, daß der Markt jedem Interessenten die Möglichkeit eröffnen wird, bei einer Zertifizierungsstelle einen Signaturschlüssel zu erwerben.'' [SigGB]
Wohl fast jedem Kryptographen werden erhebliche Zweifel an der Sicherheit eines so konzipierten Systems kommen, wird doch der elementarste kryptologische Grundsatz -Geheimhaltung des Schlüssels- aufs Schwerste verletzt, wenn dritte Personen Zugriff auf den privaten Schlüssel haben. Und diese Personen haben nicht bloß Zugriff darauf, sie entscheiden sogar darüber, welche Schlüssel an wen vergeben werden! Dieses Verfahren hätte gewisse Ähnlichkeiten mit der Vergabe der PINs für EC-Karten, die in letzter Zeit stark in Verruf geraten ist.
Da beruhigt es auch nicht, wenn in der Begründung zu Paragraph 5 Absatz 4 steht:
``Die in Satz 2 geforderte Geheimhaltung des Signaturschlüssels ist absolut. Es soll keine Person (auch nicht der Signaturschlüssel-Inhaber) Kenntnis vom privaten Signaturschlüssel erhalten, da andernfalls ein Mißbrauch des Signaturschlüssels nicht auszuschließen ist.''
Inwiefern ein berechtigter Schlüsselinhaber seinen eigenen Schlüssel mißbrauchen könnte, bleibt offen.
Es folgt gleich darauf, in der Erläuterung von Satz zwei, die Aussage:
``Technisch unvermeidbare temporäre Zwischenspeicherungen beim gesicherten Ladevorgang sind damit nicht ausgeschlossen.''
Daraus ist wohl zu folgern, daß der private Schlüssel außerhalb der Chipkarte erzeugt (key generation) und anschließend darauf gespeichert werden soll (key installation). Mindestens im Schlüsselgenerator (key generator) wird er für eine gewisse Zeit zwischengespeichert werden, wenn dieser nicht auf der Chipkarte integriert wird.
Zieht man nun noch in Betracht, welche Anwendungen für digitale Signaturen vom Gesetzgeber u.a. vorgesehen werden, nämlich ``digitaler Ausweis'' ([SigGB]) oder ``automatische Feststellung der Urheberschaft elektronischer Post'' ([SigGB]) muß man befürchten, daß das Recht auf informationelle Selbstbestimmung der Bürger weiter ausgehöhlt wird. Dem Gesetzgeber ist das durchaus bewußt, findet sich in der Begründung zu Signaturgesetz doch die Aussage:
``Signierte Daten in Dateien und Netzen können das Erstellen von Persönlichkeitsprofilen ... erleichtern.'' [SigB]
Haftung der ``Trusted Third Parties''
``Mögliche Haftungsfragen sind aus den jeweiligen Verantwortlichkeiten und dem allgemeinen Haftungsrecht zu beantworten (jeder haftet für sein schuldhaftes Handeln oder Unterlassen).'' [SigB]
``Hinsichtlich der Haftung der Zertifizierungsstellen gegenüber Dritten kann sich im Einzelfall eine Haftungslücke ergeben.'' [SigB]
Das im Prinzip alles, was sich in der Begründung zum Signaturgesetz findet. Der Gesetzestext selbst enthält keinerlei Haftungsregeln oder -beschränkungen. Das ist um so verwunderlicher, als vergleichbare Gesetze in den USA auf Haftungsrichtlinien nicht verzichten.
Die Adäquatheit bestehender Haftungsregelungen zu den Bedürfnissen, die aus dem neuen Gesetz erwachsen, ist zu bezweifeln. Zum einen fehlt es an einer passenden Rechtsprechung, zum anderen an ausreichenden Praxiserfahrungen mit vergleichbarer Technologie. Die vorliegenden Erfahrungen im breiten Einsatz von Chipkarten (Telefonkarten, EC-Karten, Krankenkassenkarten) sprechen eher gegen die Annahme, daß die Haftung bereits ausreichend geregelt sei.
Die implizierte Klarheit der Verantwortlichkeiten läßt sich meines Erachtens aus dem Gesetz nicht ableiten. Zwar läßt sie sich für die (behördliche) Wurzelinstanz erkennen. Für die nachgeordneten, privaten Zertifizierungsstellen bleibt dagegen offen, welche Haftungsbestimmungen greifen. Was geschieht, wenn sich die Genehmigungen der behördlichen Wurzelinstanz oder des amtlich bestellten Prüfinstituts als Fehler herausstellt, sei es in technischer oder in organisatorischer Hinsicht? Greift dann die Staatshaftung für die Behörde oder sind die Verträge zwischen Benutzer und Zertifizierungsstelle maßgeblich? Der Vergleich mit Kernkraftwerken, wie ihn Wendelin Bieser in [SigB] anstellt, wirkt in dieser Hinsicht nicht sehr beruhigend.
Patente
Und noch etwas wird übersehen oder ignoriert: Alle bedeutsamen Verfahren für die digitale Signaturen sind irgendwo patentiert und die Patente werden verwertet. Die Patente schließen üblicherweise die Schlüsselgenerierung ein (siehe RSA ). Die Folgerung lautet, daß Schlüsselpaare nicht kostenlos erhältlich sein werden. Da es nur sehr wenige praktikable Signaturverfahren gibt, haben die Patentinhaber praktisch eine Monopolstellung inne. Das Gesetz sieht diesbezüglich weder Beschränkungen, noch Öffnungsmaßnahmen vor. Der Einsatz von digitalen Signaturen kann somit schon an der Kostenfrage scheitern.
Fazit aus der Analyse des Gesetzes
(A) Es besteht die Gefahr, daß das Grundrecht auf informationelle Selbstbestimmung weiter eingeschränkt wird. Inwieweit ist eine solche Einschränkung, durch unmittelbare oder mittelbare Einschränkung von Verschlüsselung, zu befürchten?
1. Der Schlüsselinhaber hat nicht die vollständige Autonomie über den privaten, d.h. den geheimen Schlüssel. Die Wahl des Verschlüsselungsverfahrens ist nur eingeschränkt möglich. Die vorgegebenen Verfahren der Schlüsselerzeugung und Schlüsselinstallation sehen keine individuelle Schlüsselwahl vor. Die Verwendung mehrerer, alternativer Verschlüsselungsverfahren scheint nicht möglich zu sein, obwohl das Gesetz hier unklar ist.
2. Der vorgesehene Umgang mit den privaten Schlüsseln ist aus kryptologischer Sicht zumindest bedenklich (z.B. temporäre Zwischenspeicherung). Verfahren, bei denen der geheime (private) Schlüssel nur an einer einzigen Stelle existiert, sind nicht zwingend vorgeschrieben. Der Schlüsselraum wird durch den Einsatz von PINs (mit verhältnismäßig geringer Länge) anstelle von einmaligen biometrischen Merkmalen stark eingeschränkt.
3. Die künstliche Trennung in Signatur und Verschlüsselung legen den Schluß nahe, daß Kryptographie später -in einem anderen Gesetz- von staatlicher Seite eingeschränkt werden soll. Aussagen des Bundesinnenministers und seines Staatssekretärs weisen in dieselbe Richtung.
4. Eine Infrastruktur für Schlüsselverwaltung und Zertifizierung im Sinne des Gesetzes kann jederzeit für ein umfassendes `key recovery'/`key escrow'-Programm eingesetzt werden. Damit kann die Wahrnehmung des ``Grundrechts auf Verschlüsselung'' ([Koch 1997]) in ihrer Intention unterlaufen werden.
5. Schlüsselverwaltung und Signierungen (Signaturen) im Sinne des Gesetzes können zur Erstellung von Benutzer- und Bewegungsprofilen ohne Kenntnis des Schlüsselinhabers benutzt werden. Der vorgeschlagene Einsatz von Chipkarten als digitalem Ausweis gestattet dies. In der automatischen Absenderkontrolle bei elektronischer Post liegt das Risiko einer De-Anonymisierung. Eventuell gewünschte Vertraulichkeiten sind so u.U. gefährdet.
6. Das Signaturgesetz sieht eine flache, zweistufige Hierarchie mit einer Genehmigungsbehörde oben und lizenzierten Zertifizierungsstellen unten vor. Die Behörde erteilt der Zertifizierungsstelle [4] die Lizenz nach einer Evaluierung (z.B. durch das BSI) [5]. Das Kontrollrecht liegt ausschließlich bei der Behörde. Den Betroffenen (Schlüsselinhabern und Zertifkatsnachfragern) ist eine Kontrolle nicht möglich. Es steht zu befürchten, daß im Streitfalle der Bürger oder die Firma der Zertifizierungsstelle wird nachweisen müssen, daß diese versagt hat (analog dem Verfahren bei EC-Kartenvorfällen [6]). Ohne Einblick in die internen Vorgänge und Abläufe wird das nicht möglich sein und so gerät er in eine Ohnmachtposition. Erfahrungen dazu gibt es vom EC-Kartenbetrug und den Fällen überhöhter Telefonrechnungen der Telekom in den letzten Jahren. Simulationsstudien haben ihrerseits Schwachstellen nachgewiesen [7]. Im übrigen kehrt sich das Beweisverfahren um: Wo bei der einzelnen Unterschrift im Zweifelsfalle nachgewiesen werden muß (z.B. durch gutachterliche Untersuchungen), daß derjenige, von dem sie zu stammen scheint, tatsächlich der Urheber ist, steht der Schlüsselinhaber bei der digitalen Signatur in der Pflicht, da gemutmaßt wird, daß er die Signatur erstellt hat. Eine klare Schwächung der Bürgerposition.
(B) Detaillierte Haftungsregelungen fehlen gänzlich. Der grundgesetzlich verankerte Schutz des Eigentums ist für den Fall gefährdet, daß sich bei Fehlern die Verantwortlichkeiten nicht identifizieren lassen. Bei komplizierten technischen Abläufen, wie sie Zertifizierung und Authentifizierung erfordern, gibt es diesbezüglich ein großes Risikopotential, das nicht kompensiert wird.
(C) Die Stellung der Patentinhaber wurde nicht genügend beachtet. Zertifizierungsinstanzen kommen nach dem vorliegenden Gesetz nicht umhin, Patente in Anspruch zu nehmen (mangels alternativer Verfahren). So werden sie gezwungen sein, entsprechende Gebühren zu zahlen. Die faktische Monopolstellung der Patentinhaber stellt den neuralgischen Punkt dar. Ein fairer Wettbewerb zwischen ihnen ist nicht erkennbar.
(D) Das ``technische Fundament'' für die im Gesetz festgeschriebene asymmetrische Verschlüsselung hat seine Tragfähigkeit auf Dauer noch nicht unter Beweis gestellt. Bei einer unbeschränkten Einführung digitaler Signaturen im großen Rahmen besteht die Gefahr einer ernsthaften Gefährdung des Rechtsgefüges, sollten sich die den Verfahren zugrundeliegenden kryptologischen Annahmen in näherer oder fernerer Zukunft als falsch erweisen. Die Möglichkeit einer Rücknahme der Entwicklung dürfte in wenigen Jahren nicht mehr bestehen.
Fußnoten
[1] Der Begriff der Authentifizierung geht auf den der Authentizität zurück und hat in unserem Zusammenhang die Feststellung von Identität zum Gegenstand.
Schneier definiert ihn so: ``Es sollte dem Empfänger möglich sein, die Herkunft einer Nachricht zu ermitteln; ein Eindringling sollte sich nicht als andere Person ausgeben können. '' [Schneier 1996], S. 2 (!)
Menezes/Vanstone/van Oorschot unterscheiden zwischen `` data origin authentication'' und ``entity authentication''. Erstere stellt auf die Identität und Integrität der Daten ab ( ``Data origin authentication implicitly provides data integrity ... if a message is modified, the source has changed''), letztere auf die Identität der Kommunikationsteilnehmer. [Menezes/Vanstone/Oorschot 1997], S. 4 (!) Deren Integrität allerdings kann mit Authentifizierung nicht sichergestellt werden.
CRISIS bietet vielleicht die umfassendste Betrachtung:
``... individuals in an information age may wish to be able to:
...
Ensure that a party with whom they are transacting business is indeed the party he or she claims to be. Likewise, they may seek to authenticate their own identity ... In an electronic domain without face-to-face communiations or recognizable indicators such as voices and speech patterns (as used today in telephone calls), forgery of identity becomes increasingly easy.'' [CRISIS 1997], S. 42
[2] Zur netzartigen Struktur der Zertifizierung bei PGP siehe z.B.: [Grimm 1996],
[3] ``Die Sicherheit von Aussagen zur Identität des Urhebers von elektronischen Signaturen wird durch vier Faktoren beeinflußt:
- Unikat des Schlüsselpaares42
- Zugriffssicherung zum Trägermedium
- Sperrdienste
- Sicherheit der Ausgabeverfahren und Verzeichnisdienste
Der Nachweis der Unikatssicherung von Schlüsselpaaren und der korrekten Ausgabeverfahren und Verzeichniseinträge ist gleichermaßen ein Validierungs- wie Revisionsproblem. ...
42 Zielkonflikte ergeben sich dafür aus Interessen der inneren Sicherheit. ...'' [Hammer 1993]
[4] Anwärter für Zertifizierungsstellen sind derzeit (März 1998) die Telekom und das Gespann debis/Bundesdruckerei. Als Aspiranten in spe dürften fast alle großen Banken und Versicherungsgesellschaften in Frage kommen. Den maßgeblichen Antrieb bildet die Hoffnung auf Großgeschäfte mit Behörden.
[5] Eine solche Zertifizierung stellt allerdings keine Garantie dar, daß ein System wirklich sicher ist. Siehe z.B. [Versteegen 1997].
[6] Zu den ``Schwierigkeiten'' mit der Sicherheit beim EC-Verfahren und ihren Konsequenzen siehe z.B.: [OLG Hamm (31 U 72/96)] , [Rossa 1997(I)], [Rossa 1997(II)], [Pausch 1997], [Heine 1997], [SPIEGEL 36/1997]
[7] Siehe z.B. den Bericht zur provet/GMD-Simulationsstudie von Volker Hammer:
``Im Rahmen der Simulationsstudie Rechtspflege und in ihrem Umfeld wurden eine Reihe von Angriffen durchgeführt. Obwohl den sachverständigen Testpersonen dieses Versuchsziel bekannt war, gelang es unter anderem, Dokumente zu manipulieren, Chipkarten mit PIN zu entwenden und beliebige oder teilweise veränderte Dokumente zum Signieren unterzuschieben. Die Angriffe gelangen völlig unabhängig vom mathematischen Teil des Signaturverfahrens ...''
``Werden dagegen elektronische Signaturen mit Chipkarten gefälscht, gibt der Augenschein keinerlei Hinweis auf deren Unechtheit. Ein betroffener Chipkarteninhaber kann allenfalls versuchen, z.B. durch Zeugen zu belegen, daß die Signatur nicht von ihm stammen kann.'' [Hammer 1993]
(http://www.cyberlaw.com)
Patrick J. Flinn and James M. Jordan III
Zusammenfassung des Artikels
von Robert Gehring
In der Fachliteratur zu Kryptographie findet man im jeweiligen Abschnitt zu RSA üblicherweise den Hinweis, daß der RSA-Algorithmus patentiert sei (US Pat. 4.405.829), z.B. auch bei [Schneier 1996], S.541. Damit entsteht der Eindruck, daß zum legalen Einsatz des RSA-Verfahrens eine Lizenz des Lizenzinhabers, in diesem Falle RSADSI (RSA Data Security Inc.) notwendig sei. Die Autoren des Artikels untersuchen das RSA-Patent im Detail und zeigen auf, daß es gute Gründe dafür gibt, anzunehmen, daß
![]() |
einzelne Aktionen des RSA-Verfahrens ohne Patentverletzung vorgenommen werden können, auch wenn man nicht im Besitz einer gültigen RSA-Lizenz ist |
![]() |
das RSA-Patent nicht den rechtlichen Anforderungen entspricht, die in den USA für eine Patenterteilung gestellt werden |
Sie weisen daraufhin, daß es sich um theoretische Überlegungen und persönliche Auffassungen handelt, die nicht als juristischer Rat zu verstehen sind. Daß diese Überlegungen nichtsdestotrotz fundiert sind, läß sich aufgrund der beruflichen Qualifikation der Autoren annehmen: Flinn und Jordan sind praktizierende Anwälte, Jordan insbesondere Patentanwalt.
Hier folgt eine Zusammenfassung ihrer Schlußfolgerungen und Argumente.
Die RSA-Patentanmeldung enthält 40 Patentansprüche (claims), von denen 10 unabhängige Ansprüche und die restlichen 30 abhängige Ansprüche darstellen. Die bloße Operation der Entschlüsselung einer RSA-verschlüsselten[1] Nachricht wird im Patent nicht als unabhängiger Anspruch aufgeführt[2] .
Der grundlegende Anspruch ist Nummer 23, der Patentschutz für folgende Verfahren beansprucht (im Wortlaut):
"encoding a digital message word signal M to a ciphertext word signal C, where M corresponds to a number representative of a message and
0 <= M <= n-1
where n is a composite number of the form
n = p * q
where p and q are prime numbers, and
where C is a number representative of an encoded form of message word M,
wherein said encoding step comprises the step of:
transforming said message word signal M to said ciphertext word signal C wherby
C [is congruent to] Me (mod n)
where e is a number relatively prime to (p-1) * (q-1)."
Die Autoren führen nun folgende Schritte an, die für eine mutmaßliche Patentverletzung (alleged infringement) vollzogen werden müßten (Rohübersetzung):
![]() |
Kryptographische Kommunikationen herbeiführen (establish); |
![]() |
Sicherstellen, daß die Nachricht (M) die Länge null hat, oder länger ist, und daß sie kürzer als (n-1) ist; |
![]() |
Den Modulus (n) durch Auswahl und Multiplikation der Primzahlen (p) und (q) erzeugen; |
![]() |
Den Verschlüsselungsexponenten (e) derart definieren, daß er teilerfremd (relativ prim) zu (p-1)*(q-1) ist; |
![]() |
Die Nachricht (M) in einen Geheimtext (C) verschlüsseln, indem (M) hoch (e) bestimmt wird; |
![]() |
Den Geheimtext modulo (n) reduzieren. |
Der Schritt der Entschlüsselung wird in Anspruch 23 nicht aufgeführt. Insbesondere stellt eine Entschlüsselung (decoding) keine Verschlüsselung (encoding) dar, die Begriffe sind klar unterschieden und haben eine je eigene Bedeutung. Die Entschlüsselung wird in Anspruch 24 aufgeführt:
"decoding said ciphertext word signal C to said message word signal M,
wherein said decoding step comprises the step of:
transforming said ciphertext word signal C, whereby:
M [is congruent to] Cd (mod n)
where d is a multiplicative inverse of e (mod (lcm ((p-1), (q-1))))."
Nun ist aber Anspruch 24 ein abhängiger Anspruch, der eingeleitet wird mit
"24. The method according to claim 23 ..."
Eine Verletzung des abhängigen Anspruches 24 durch bloßes Entschlüsseln einer RSA-verschlüsselten Nachricht ist nach amerikanischem Patentrecht nicht möglich, da der referenzierte, unabhängige Anspruch 23 die Entschlüsselung nicht aufführt. Entschlüsselung kommt ohne die in Anspruch 23 aufgeführten Aktionen aus.
Die Autoren prüften dann noch die anderen unabhängigen Ansprüche des RSA-Patentes und kamen zu dem Schluß, daß die bloße Entschlüsselung einer RSA-verschlüsselten Nachricht keine Patentverletzung darstellen könne. Dies gilt dann auch für die Verifizierung einer digitalen Signatur, die unter Verwendung des RSA-Verfahrens erzeugt wurde.
An dieser Stelle formulieren die Autoren etwas vorsichtiger:
"It appears that the process of generating an RSA signature also may be done without infringing Claim 23."
Um eine Nachricht mit RSA zu verschlüsseln, muß man über die Zahlen verfügen, mit denen die Schlüssel zusammenhängen: p, q, n, e und d. Es genügt, darüber zu verfügen. Man muß sie nicht selbst erzeugt haben. Der Prozeß der Schlüsselerzeugung kann unabhängig von dem der Verschlüsselung erfolgen. Dieser Prozeß fällt sicherlich unter den Patentschutz. Man kann aber einmal erzeugte Schlüssel wiederverwenden, selbst in Software die ohne RSA-Lizenz daherkommt.
Die Autoren sind der Auffassung, daß es dem RSA-Patentinhaber schwer fallen würde, nachzuweisen, daß eine Verschlüsselung, die ohne Schlüsselerzeugung auskommt, unter das Patent fällt. Das Verschlüsselungsverfahren mit Exponenten und modularer Arithmetik wurde nämlich bereits von Stephen Pohlig und Martin Hellman in dem nach ihnen benannten Verschlüsselungssystem eingeführt - 1975. Pohlig und Hellman traten damit bereits zwei Jahre vor dem Trio Rivest/Shamir/Adleman auf den Plan. Der einzige Unterschied zwischen RSA und Pohlig-Hellman besteht darin, das erstere das Produkt zweier Primzahlen verwenden, wogegen letztere mit einer Primzahl auskamen.
In einem Vergleich stellen die Autoren das RSA-Verfahren und das Verfahren von Pohlig und Hellman gegenüber.
RSA-Verfahren | Verfahren von Pohlig und Hellman | |
Verschlüsselungsoperation | C = Me mod n | C = Me mod n |
Entschlüsselungsoperation | M = Cd mod n | M = Cd mod n |
Modulus | p * q (p,q sind Primzahlen) | p (p ist Primzahl) |
Verschlüsselungsexponent | e, e ist teilerfremd (relativ prim) zu (p-1)*(q-1) | e, e ist teilerfremd (relativ prim) zu (p-1) |
Entschlüsselungsexponent | d = e-1 mod ((p-1)*(q-1)) | d = e-1 mod (p-1) |
Wie ersichtlich, unterscheiden sich die Verschlüsselungs- und die Entschlüsselungsoperationen nicht, sie sind identisch. Vorausgesetzt, man verfügte über die beiden Exponenten d und e, könnte man mit einer Software, die das Pohlig-Hellman-Verfahren implementiert, genauso ver- und entschlüsseln, wie mit einer RSA-Software.
Daraus schlußfolgern die Autoren, daß die RSA-Patentanmeldung ohne die aufgeführte Schlüsselerzeugung ungültig gewesen wäre, da das Pohlig-Hellman-Patent dem entgegengestanden hätte.
Anschließend wenden sich die Autoren der Frage der Beihilfe zur Patentverletzung (contributory infringement) zu. Sie weisen auf den entscheidenden Punkt hin, daß es eine Beihilfe zur Patentverletzung per definitionem nur geben kann, wenn es eine direkte Patentverletzung gibt, zu der beigetragen werden kann. Dies muß willentlich und wissentlich geschehen.
Unterstellt, daß dies der Fall wäre, müßte im Detail untersucht werden, wie die Beihilfe ausgestaltet wäre. Würde sie z.B. mit Mitteln vollzogen, die nicht spezifisch dazu dienen, wäre der Nachweis schwer zu führen[3].
Als nächstes wenden sich die Autoren einem "Real World Example" zu und beschreiben das Beispiel SSL-Client. Sie untersuchen die Abläufe des Schlüsselaustausches und der Verschlüsselung und kommen zu dem Schluß, daß ein Nutzer eines SSL-Clients gutgläubig davon ausgehen kann, daß alles seine Richtigkeit hat und er nichts Ungesetzliches tut.
Der letzte wesentliche Punkt in den Betrachtungen der Autoren ist der Gültigkeit des RSA-Patents gewidmet. Bis zu diesem Punkt waren sie in ihren Überlegungen immer davon ausgegangen, daß das Patent gültig ist, d.h. daß der Antrag auf Patentschutz und das Procedere seiner Einbringung mit den Regeln für die Patenterteilung konform waren. Nun untersuchen sie, ob diese Unterstellung gerechtfertigt ist.
Patentierbarkeit von Algorithmen
1972 stellte der US Supreme Court fest, daß ein Algorithmus kein
"process, machine, manufacture, or composition of matter"
sei, wie es in Abschnitt 101 des Patentgesetzes (Patent Act) gefordert wird. Ein Algorithmus war im Verständnis des US Supreme Court eine
"procedure for solving a given type of mathematical problem".
Diese Definition schloß Algorithmen von der Patentierung aus.
1981 änderte sich die Situation schlagartig, ebenfalls durch eine Entscheidung des US Supreme Court. Im Fall Diamond vs. Dehr wurde um einen verbesserten Prozeß zur Gummiherstellung gestritten. Die Verbesserung wurde im wesentlichen durch einen Algorithmus zur Behandlung von Gummi bei spezifischen Temperaturen repräsentiert. Der Supreme Court entschied nun, daß dadurch, daß ein Algorithmus Bestandteil eines ansonsten patentierbaren Verfahrens sei -und die Herstellung von Gummi ist prinzipiell patentierbar- nicht begründet werden könne, daß das Verfahren keinen Patentschutz nach Abschnitt 101 des Patentgesetzes zu erhalten habe. Dem Richterspruch des Supreme Court folgten weitere Urteile von Appellationsgerichten, die genauer eingrenzten, wann und wie Algorithmen Patentschutz erhalten können.
Zur Feststellung der Patentierbarkeit eines Algorithmus' wurde der sogenannte Freeman-Walter-Abele-Test[4] erarbeitet, der folgendermaßen vorgenommen wird:
Zuerst wird untersucht, ob ein mathematischer Algorithmus direkt oder indirekt in den Patentansprüchen genannt wird.
Ist das der Fall, wird festgestellt, ob die Erfindung, für die Patentschutz beantragt wird, nur den Algorithmus, oder mehr umfaßt.
Geht es um Schutz einzig und allein für den Algorithmus, d.h. nicht um Schutz für physikalische Elemente oder Prozeßschritte, die auf dem Algorithmus aufbauen, ist der Anspruch ungesetzlich.
Wenn dagegen der Algorithmus in einem Verfahren, daß ansonsten patentierbar wäre zum Einsatz kommt, oder in einer patentierbaren Apparatur, sind die Bedingungen von Abschnitt 101 des Patentgesetzes erfüllt.
Zusammengefaßt kann ein Algorithmus patentiert werden, wenn er eine der folgenden Bedingungen erfüllt:
![]() |
Der Algorithmus ist Element eines physikalischen Prozesses. |
![]() |
Der Algorithmus ist Element eines physikalischen Gerätes. |
Das RSA-Verfahren und der Freeman-Walter-Abele-Test
Die Autoren sind der Ansicht, daß die Formulierungen im RSA-Patentantrag den Forderungen der Gerichtsurteile, die im Freeman-Walter-Abele-Test zum Ausdruck kommen, wohl nicht genügen dürften. Als physikalische Geräte werden genannt:
"a communication channel", "an encoding means", "a decoding means".
Dies sind die allgemeinsten Formulierungen, die diesbezüglich überhaupt möglich sind. Daß sie ein physikalisches Gerät beschreiben, kann man eigentlich nicht behaupten. Oder was hat man sich unter einem "encoding means" vorzustellen?
Ähnlich ist es mit den Beschreibungen des physikalischen Prozesses. Dieser wird mit
"encode" a "message word signal"
geschildert. [Frage: Was alles ist ein "message word signal"?]
An dieser Stelle erwähnen die Autoren weitere Fälle, in denen des um die Patentierbarkeit von Algorithmen ging und in denen Computer eine Rolle spielten. Die Urteile in diesen Fällen waren von der Natur der Eingabedaten abhängig. Die Entscheidungen fielen zugunsten der Antragsteller aus, wenn es sich um Daten handelte, die Resultat von
"physical activity or objects"
waren. In einem Fall scheiterte der Antragsteller. Bei seinen Daten handelte es sich um Gebote von Auktionären, d.h. um das Resultat menschlichen Denkens, oder zumindest Empfindens.
Die Frage nach der Gültigkeit des RSA-Patents läßt sich unter diesen Umständen nicht mehr eindeutig beantworten.
Formalien
Als sei dies noch nicht genug, haben die Autoren noch weitere Fragwürdigkeiten aufgedeckt.
In Abschnitt 112 des Patentgesetzes werden Anforderungen an die Formulierung eines Patentantrages gestellt. Eine davon besagt, der Erfinder möge
"set forth the best mode contemplated by the inventor of carrying out his invention".
Der Grund für diese Forderung ist, daß einem Mißbrauch des Patentschutzes vorgebeugt werden soll. Es handelt sich um eine klare Forderung, die keine Spielräume kennt.
Zurück zum Fall RSA. Es stellte sich heraus, daß Dr. Rivest im Januar 1978, also vor dem Patentantrag, ein Papier veröffenlicht hatte, das mehr Details über die Ausführung des RSA-Verfahrens beschrieb, als später im Patentantrag aufgeführt wurden[5]. Im Patentantrag wurde also nicht der "best mode of carrying out" offengelegt. Dies ist ein klarer Verstoß gegen die Regeln des Abschnitt 112 des Patentgesetzes. Aus diesem Grunde könnte das Patent ungültig sein.
Die Autoren haben noch andere Merkwürdigkeiten aufgedeckt. So vermieden es die Antragsteller, die Verwandtschaft zum Pohlig-Hellman-Verfahren zu erwähnen. Unerwähnt blieb auch eine Arbeit aus dem 19. (!) Jahrhundert zum Thema Einweg-Funktionen und Kryptographie, die bereits das Faktorisierungsproblem, auf dem RSA aufbaut, diskutiert[6].
Die Feststellung, daß RSA patentiert sei, ist richtig. Dabei sollte man es aber nicht belassen. Wie die Autoren gezeigt haben, ist das RSA-Patent zumindest äußerst fragwürdig. Da das Patent und die Lizenzierungspolitik der Lizenzinhaber ein großes Hindernis für die Verbreitung von Digitalen Signaturen darstellen, sollte dieser Punkt weiter untersucht werden.
Einige Aktionen des RSA-Verfahrens lassen sich ausführen, ohne das Patent zu verletzen. Gerade die für den Einsatz Digitaler Signaturen so wichtige Verifikation fällt in der Regeln nicht unter das Patent.
[1] Unter einer RSA-verschlüsselten Nachricht wird an dieser Stelle eine Nachricht verstanden, die entsprechend dem RSA-Algorithmus verschlüsselt wurde.
[2] Das amerikanische Patentrecht kennt unterschiedliche Arten von Patentansprüchen: unabhängige Ansprüche (independent claims) und abhängige Ansprüche (dependent claims). Abhängige Ansprüche heißen so, weil sie einen Anspruch unter Bezugnahme auf einen unabhängigen Anspruch anmelden (incorporate by reference). Eine eventuelle Patentverletzung muß als Verletzung eines unabhängigen Anspruches nachgewiesen werden. Ein abhängiger Patentanspruch kann nicht verletzt werden, wenn der als Bezug dienende unabhängige Anspruch nicht verletzt wurde.
[3] Es ist eine andere Spezialität des amerikanischen Rechtssystems, daß zur Feststellung der Frage, ob ein Mittel (Gerät, Verfahren) als Tatwerkzeug für die Beihilfe zur Tat zu betrachten ist, das Mittel im Ganzen und in Bezug auf die Tat untersucht wird. Stellt sich dabei heraus, daß es genügend andere Zwecke gibt, zu denen das Mittel verwandt werden kann und verwandt wird (substantial use), so wird es nicht als Tatwerkzeug qualifiziert. Beihilfe zur Tat wird dann in der Regel nicht unterstellt. Zum Thema `contributory infringement' siehe auch: [Rosenoer 1997], S.5, 6, 12, 71, 72, 82-84
[4] Der Name leitet sich von den drei entscheidenden Fällen vor Appellationsgerichten ab: In re Walter, In re Freeman und In re Abele.
[5] Insbesondere machte Dr. Rivest detaillierte Ausführungen zur Auswahl der Primzahlen und des Exponenten (e), die in der Patentschrift nicht enthalten sind.
[6] 1870 befaßte sich William S. Jevons damit.
Digitale Signaturen |
|
Verschlüsselung |
|
(Un-)Sicherheit elektronischer Systeme |
|
Digitale Signaturen |
Damm, Frank: Konstruktion und Analyse beweisbar sicherer elektronischer Unterschriftenverfahren.[Wobst 1997 (II)]
Dissertation an der Universität Köln; Verlag Shaker, Aachen 1995
Wuermeling, Ulrich/Felixberger, Stefan: Fernmeldegeheimnis und Datenschutz im Telekommunikationsgesetz.[Köhntopp 1996 (I)]
Computer und Recht (CR) 4/1997, S. 230-238,...
Bröhl, Georg M.: Rechtliche Rahmenbedingungen für neue Informations- und Kommunikationsdienste.[Schulzki-Haddouti 1997 (I)]
Computer und Recht (CR) 2/1997, S.73-79,...
Shecter, Robb: Security and Authentication with Digital Signatures. How one university uses PGP and digital Signatures to make its network secure.[Luckhardt 1997]
Linux Journal, August 1997, S. 12ff, Specialized Systems Consultants, Inc. (SSC), Seattle, WA, USA.
Luckhardt, Norbert: Prettier Good Privacy. PGP 5.0 - jetzt als Komplettpaket.[Moreau 1996]
c't 8/1997, S. 58, Verlag Heinz Heise GmbH & Co KG, Hannover
Moreau, Thierry: A Probabilistic Flaw in PGP Design?[Klemm u.a. 1996]
Computers & Security Vol. 15 Num. 1, S.39-43, Elsevier Science Ltd.
Verschlüsselung |
Schneier, Bruce: Angewandte Kryptographie. Protokolle, Algorithmen und Sourcecode in C.[Menezes/Oorschot/Vanstone 1997]
Addison-Wesley Publishing Company, Bonn u.a., 1996
Zimmermann, Phil: Wir alle haben etwas zu verbergen.[Bizer 1996]
Global Online 3/97, S.72, 73
Bizer, Johann: Kryptokontroverse - Der Schutz der Vertraulichkeit in der Telekommunikation.[Huhn/Pfitzmann 1996 (I)]
Datenschutz und Datensicherung (DuD) 1/1996, S.5-14, Friedrich Vieweg & Sohn Verlagsgesellschaft mbH, Braunschweig/Wiesbaden
Huhn, Michaela/Pfitzmann, Andreas: Technische Randbedingungen jeder Kryptoregulierung.[Huhn/Pfitzmann 1996 (II)]
Datenschutz und Datensicherung (DuD) 1/1996, S.3-26, Friedrich Vieweg & Sohn Verlagsgesellschaft mbH, Braunschweig/Wiesbaden
Huhn, Michaela/Pfitzmann, Andreas: Krypto(de)regulierung.[CRISIS 1996]
Datenschutznachrichten (DANA) 6/1996, S. 4 ff, Deutsche Vereinigung für Datenschutz e.V. (DVD), Bonn
Cryptography's Role In Securing The Information Society.[Hagemann/Rieke 1994]
Committee to Study National Cryptography Policy; Computer Science and Telecommunications Board; Commission on Physical Sciences, Mathematics, and Applications; National Research Council, National Academy Press, Washington, D.C. ,USA 1996
Koch, Alexander: Grundrecht auf Verschlüsselung.[Dix 1997]
Computer und Recht (CR) 2/1997, S.106-110, ...
Dix, Alexander: Gesetzliche Verschlüsselungsstandards - Möglichkeiten und Grenzen der Gesetzgebung.[Schulzki-Haddouti 1997 (II)]
Computer und Recht (CR) 1/1997, S.38-43, ...
Günther, Andreas: Ausfuhrkontrollen für IT-Produkte in den USA. Aktuelle Entwicklungen im Exportkontrollrecht und in der Kryptopolitik.[Rihaczek 1996]
Computer und Recht (CR) 4/1997, S.245-252, ...
Rihaczek, Karl: Die Kryptokontroverse: Das Normungsverbot.[Highland 1996]
Datenschutz und Datensicherung (DuD) 1/1996, S.15-22, Friedrich Vieweg & Sohn Verlagsgesellschaft mbH, Braunschweig/Wiesbaden
Highland, Joseph: Random Bits & Bytes. US Cryptographic Policy.[Koops 1996]
Computers & Security Vol. 15 Num. 6, S.458ff, Elsevier Science Ltd.
bei [Menezes/Oorschot/Vanstone 1997]
bei [Menezes/Oorschot/Vanstone 1997]
Jablon, David P.: Strong Password-Only Authenticated Key Exchange.[Grimm 1996]
Computer Communication Review Vol. 26 Num. 5, Oct. 1996, S.5ff, ACM/SIGCOMM
Grimm, Rüdiger: Kryptoverfahren und Zertifizierungsinstanzen.[Fumy 1995]
Datenschutz und Datensicherung (DuD) 1/1996, S.27-36, Friedrich Vieweg & Sohn Verlagsgesellschaft mbH, Braunschweig/Wiesbaden
Fumy, Walter: Authentifizierung und Schlüsselmanagement.[Borchers 1996]
Datenschutz und Datensicherung (DuD) 10/1995, S.607-613, Friedrich Vieweg & Sohn Verlagsgesellschaft mbH, Braunschweig/Wiesbaden
(Un-)Sicherheit elektronischer Systeme |
Helf, Karl-Heinz: Sicherheit in der Telekommunikation als Regulierungsaufgabe.[Jennen u.a. 1996]
Computer und Recht (CR) 6/1997, S.331-335, ..
Hacker: Wir haben den Code des D1-Netzes geknackt.bei [Ruhmann/Schulzki-Haddouti 1998]
Wirtschaftswoche 37/1996
Krimm, Markus: Hack des Jahres.
PC Magazin/DOS 9/1997, S.60ff, DMV-Verlag
OLG Hamm: Mißbrauch von EC-Karten.[Rossa 1997(I)]
Computer und Recht (CR) 6/1997, S.339-343, ...
Rossa, Caroline Beatrix: Mißbrauch beim electronic cash. Eine zivilrechtliche Bewertung.[Rossa 1997(II)]
Computer und Recht (CR) 3/1997, S.138-146, ...
Rossa, Caroline Beatrix: Mißbrauch beim electronic cash. Eine strafrechtliche Bewertung.[Pausch 1997]
Computer und Recht (CR) 4/1997, S.219-229, ...
Pausch, Manfred: Die Sicherheit von Magnetstreifenkarten im automatisierten Zahlungsverkehr.[Heine 1997]
Computer und Recht (CR) /1997, S.174-180, ...
Einbruch ohne Spuren.[Kruse/Peuckert 1995]
DER SPIEGEL 47/1996, S.216, 217
Kruse, Dietrich/Peuckert, Heribert: Chipkarte und Sicherheit.[Kocar 1996]
Datenschutz und Datensicherung (DuD) 3/1995, Friedrich Vieweg & Sohn Verlagsgesellschaft mbH, Braunschweig/Wiesbaden
Kocar, Osman: Hardwaresicherheit von Mikrochips in Chipkarten.[Kiranas 1997]
Datenschutz und Datensicherung (DuD) 7/1996, S.421-424, Friedrich Vieweg & Sohn Verlagsgesellschaft mbH, Braunschweig/Wiesbaden
Kiranas, Argiris: Technische Sicherheitsmechanismen in Point-Of-Sale (POS)-Systemen (Teil 1).[Horster 1994]
Datenschutz und Datensicherung (DuD) 7/1996, S.413-420, Friedrich Vieweg & Sohn Verlagsgesellschaft mbH, Braunschweig/Wiesbaden