Bild: Level 1 Prolog

 Eine kurze Geschichte der Unterschrift

 
Bild: Steinmetzzeichen
Abb.: Steinmetzzeichen nach G. Binding: ``Baubetrieb im Mittelalter'' [Binding 1993]
 
Wir sehen, in gewisser Weise haben Siegel, Stempel, Handelsmarke und Unterschrift einen gemeinsamen Ursprung. Sie alle haben etwas mit individuellen Zusicherungen verschiedenster Art zu tun: Herkunft, Stand, Identität, Authentizität, Exklusivität, Verbindlichkeit. Mit der Etablierung der Unterschrift im Recht wurde dem formal Rechnung getragen. 
 
 
Zusammenfassung__________________________

Siegel und Stempel waren die Vorläufer der Unterschrift. Sie sind seit Jahrtausenden im Gebrauch. Ein wichtiger Grund für ihren Gebrauch war der Beleg der Authentizität. Unterschriften entstanden, als sich das Schrifttum in größeren Teilen der Bevölkerung ausbreitete und das Bewußtsein der eigenen Individualität zunahm.

 
 

 Geschichte digitaler Signaturen

 

 Computer und Techniker

 

 Militär, Geheimdienste und Verschlüsselung

 

  Privacy & Authentication

 
Relativ unabhängig -jedoch nicht unbehindert [3] - von der geheimdienstlichen und militärischen Forschung auf kryptologischem Gebiet hatte sich eine um Größenordnungen weniger umfangreiche akademische Forschung entwickelt. Auch in der Wirtschaft war mit dem Computereinsatz das Interesse an `privacy and authentication' (Diffie und Hellman) gewachsen und die entsprechenden Anstrengungen wurden verstärkt. 

Insbesondere der zunehmende internationale Austausch von Waren und Dienstleistungen machte eine sichere Informationsweitergabe unumgänglich. In unserer Zeit übersteigt die Menge an monetären Transaktionen in ihrem Wert den des Warenaustausches um das Fünfzigfache. Dieser Verkehr wird in irgendeiner Form über elektronische Kommunikationsnetzwerke abgewickelt. Ohne Authentifizierung und Schutz vor Manipulation wäre das nicht denkbar. 

Erste Arbeiten zu manipulationsgeschützten Codes wurden (nach [Pfitzmann 1996], S.12) von E. N. Gilbert, F. J. Mac Williams und N. J. A. Sloane veröffentlicht (Codes which detect deception; The Bell System Technical Journal 53/3, 1974). Es verging noch einige Zeit, bis jemand die entscheidende Idee hatte: 1976 veröffentlichten Whitfield Diffie und Martin Hellman einen Artikel, der den Grundgedanken für die `public key cryptography' enthielt: New Directions in Cryptography [Diffie/Hellman 1976]

Kerngedanke war, daß man mit zwei unterschiedlichen Schlüsseln arbeitet, wobei ein Schlüssel nur für die Verschlüsselung und der andere nur für die Entschlüsselung verwendbar ist (Sinnbildlich: Ein Schlüssel kann das Schloß verschließen, aber nicht aufschließen. Mit dem anderen Schlüssel kann man wiederum nur aufschließen, nicht jedoch abschließen.). Dazu muß man dem Gegenspieler, dem fiktiven kryptologischen Angreifer (attacker), eine an sich unlösbare Aufgabe stellen. Für Freunde aber baut man eine Hintertür (trapdoor) ein, durch welche die Lösung leicht zu bestimmen ist. Konkret heißt das: Die Verschlüsselung mit dem einen Schlüssel stellt den Angreifer vor das Problem, daß der Aufwand für das Brechen der Verschlüsselung in der Praxis dessen Möglichkeiten übersteigt. Dagegen kann ein Partner, der über den anderen Schlüssel verfügt eine Entschlüsselung vornehmen. 

Bei Diffie und Hellman handelte es sich um theoretische Überlegungen, die erstmals von Ronald Rivest, Adi Shamir und Leonard Aldleman praktisch umgesetzt wurden: 1978 (1977) stellten sie das nach ihnen benannte RSA-Verfahren vor und ließen es sogleich patentieren. 

Kombiniert man geeignete Hashfunktionen, sogenannte kryptographische Einweg-Hashfunktionen, mit Public Key-Verfahren und einer Schlüsselverwaltung in bestimmter Art und Weise, so erhält man digitale Signaturen, auch als digitale Unterschriften bezeichnet.

Genauere Beschreibungen finden sich im Kapitel  ``Grundlagen''. 
Die erste Implementierung eines Verfahrens für digitale Signaturen wurde (nach [Pfitzmann 1996], S. 19) von Leslie Lamport vorgenommen (1979). Der Vorschlag, auf dem die Implementierung basierte, stammte bereits aus dem Jahre 1974, von Roger Needham. Der größte Nachteil des Ansatzes von Lamport war die Schlüssellänge, die so groß war, daß eine effiziente Verwaltung nicht möglich war. Später wurden praktikable Verfahren entwickelt. 
 
Zeigefinger F. Damm hat in [Damm 1995] Übersichten über die wichtigsten kryptographischen Hashfunktionen und praktikablen elektronischen Unterschriftenverfahren erarbeitet, die ich graphisch aufbereitet habe. 
 
Der Vollständigkeit halber soll an dieser Stelle daraufhingewiesen werden, daß Diffie und Hellman nicht die ersten waren, die sich mit `public key cryptography' beschäftigt haben, wenn auch ihre Ideen die maßgeblichen waren. Nimmt man die Zeitangaben aus der Fachliteratur, so steht Ralph Merkle die Ehre zu. 1974 entwickelt er im Rahmen einer Seminararbeit an der Universität Berkeley (Kalifornien) das `knapsack'-Problem ([Schneier 1996], S. 40). An anderer Stelle ([Menezes/Oorschot/Vanstone 1997], S. 300) werden Merkle und Hellman als Verursacher genannt. Auch die Zeitangaben differieren. Bei [Damm 1995] findet sich für das `knapsack'-Problem 1978 als Entstehungszeitpunkt (S. 40). Der `knapsack'-Ansatz wird von den meisten Autoren jedoch abgelehnt bzw. nicht empfohlen und hat praktisch keine Bedeutung. 

Den modernsten Ansatz für digitale Signaturen haben Birgit Pfitzmann und Michael Waidner entwickelt und 1990 bzw. 1991 [4] vorgestellt. Sie verfolgen mit ihren Failstop-Signaturen die Idee, die Fälschung einer digitalen Signatur nachweislich zu machen und Folgefälschungen zu unterbinden, sobald eine Fälschung festgestellt wurde. Voraussetzungen für das Funktionieren sind die Geheimhaltung des privaten Schlüssels und die Gültigkeit der kryptologischen Annahme (cryptological assumption). 
 
 

Zusammenfassung__________________________

In den 70'er Jahren wurden in der zivilen kryptologischen Forschung große Fortschritte gemacht, insbesondere wurde die asymmterische Verschlüsselung (public key cryptography) entwickelt. Durch eine Kombination mit kryptographischen Hashfunktionen erhält man Verfahren für digitale Signaturen. Die Sicherheit von der modernen Fail-stop-Signaturen ist höher, als die einfacher, herkömmlicher digitaler Signaturen.

 
 
Geschichte digitaler Signaturen

 Das Gesetz zur digitalen Signatur

 

 Zeittafel

   
 
 

 Fußnoten



Grundlagen digitaler Signaturen

Das Modell

Erläuterung des Modells

 

Terminologie

Geheimhaltung

Informationsintegrität, Authentifizierung, Unabweisbarkeit

Kryptologie, Kryptographie, Kryptanalyse, Steganographie

Schlüssel, Nachricht, Sender, Empfänger, Angreifer, etc.

Private Key-Kryptographie, Public Key-Kryptographie, hybride Kryptographie

Grundlagen

Private Key-Kryptographie

Public Key-Kryptographie


[Lesehinweis: Für den folgenden Abschnitt wurde die Vorgehensweise ``vom Allgemeinen zum Besonderen'' gewählt. Zuerst werden Begriffe diskutiert, dann Konzepte vorgestellt und schließlich auf Implementierungsfragen (technische und juristische) eingegangen.

Im vorliegenden Text werden die Begriffe `trusted third party', `vertrauenswürdiger Dritter', `vertrauenswürdige dritte Instanz' usw. synonym gebraucht.]

Wann ist ein `Dritter' ein `Dritter'? Und wozu wird ein `vertrauenswürdiger Dritter' benötigt?

``Zwei Menschen, die sich allein und ohne Ausweis begegnen, können sich ihre Identität gegenseitig nicht beweisen. Sie brauchen dazu ein bestätigendes soziales Umfeld. Entweder sind sie von vertrauenswürdigen Instanzen, z.B. Einwohnermeldeämtern, mit Identitätsausweisen versehen worden, oder sie werden von einer vertrauenswürdigen dritten Person einander vorgestellt. Beide Verfahren setzen vertrauenswürdige Dritte ein.'' [Grimm 1996]

`Trusted Third Party` ist ein englischer Begriff. Das Wort `trust' wird vom Oxford Dictionary mit Vertrauen übersetzt. Demzufolge heißt die `trusted third party' auf Deutsch `vertrauenswürdige dritte Partei'. Eine feinere Übersetzung würde `vertrauenswürdiger Dritter' wählen.

Gemeint ist eine Instanz mit unabhängiger Stellung gegenüber zwei Parteien, die zueinander in einer bestimmten Beziehung stehen. Für den Konfliktfall, Garantien, Interessenvertretung oder notwendige treuhänderische Aufgaben bestimmen die beiden Parteien diese Instanz zum Dritten und vereinbaren untereinander, deren Entscheidungen zu akzeptieren. Werden Regeln oder ein Protokoll vereinbart, nach dem die Parteien vorgehen wollen, wird eine unabhängige Instanz zur Überwachung der Einhaltung der Regeln bestimmt. Oft wird von ihr auch die Abwicklung der Protokolle gesteuert.

Im Sport nennt man solche Instanzen Schiedsrichter. In der Rechtsprechung ist es der Richter, der nach Interessenabwegung sein Urteil fällt. Andernorts werden Vermittler und Ombudsmänner berufen.

Festzuhalten bleibt, daß eine `vertrauenswürdige dritte Instanz' in einer (interessen-) unabhängigen Position gegenüber den beiden ersten Parteien stehen muß. Besteht dagegen die Möglichkeit, daß der `Dritte' selbst in einen Interessenkonflikt bezüglich der Wahrnehmung seiner Aufgaben gerät, ist das Vertrauen schnell erschüttert. Nicht zuletzt muß die Durchsetzung der Entscheidungen des `Dritten' gesichert sein, sonst verlieren er und seine Funktion ihre Glaubwürdigkeit. Dies sind keine neuen Erkenntnisse. Trotzdem sollte im Vorfeld der folgenden Ausführungen noch einmal klargestellt werden, was die herkömmliche Auffassung über Aufgabe und Stellung einer `trusted third party' ist.

Im Zusammenhang mit `digitalen Signaturen' sollen Trusted Third Parties die Funktion der Certification Authorities in einer Schlüsselverwaltungsinfrastruktur (key management infrastructure) übernehmen. Das wird später genauer augeführt werden.

Das Problem der Authentizität von Kommunikation

Seit den 70'er Jahren vollzieht sich eine Entwicklung hin zur elektronischen Vernetzung. Diese Entwicklung hatte Vorläufer in anderen Kommunikationsnetzen: Post, Zeitungswesen, Rundfunk und Telefonnetz. Dieses waren in den letzten Jahrhunderten (national-)staatliche Netze. Erst im Zeitalter des Internet werden die Grenzen für die Kommunikation aus nationalstaatlicher Perspektive aufgehoben. Gleichzeitig geht damit auch der Schutz verloren, den der Staat als Nationalstaat bieten kann: nationale Gesetze und Behörden zu deren Durchsetzung. Datenschutz und Versicherungsschutz seien hier nur als Stichworte genannt. Auch wachsen auf dem Weg in die Informationsgesellschaft die Begehrlichkeiten aller möglichen Institutionen -staatlicher und nichtstaatlicher-, an die Ressource Information zu gelangen, länderübergreifend (siehe z.B. [Ruhmann/Schulzki-Haddouti 1998]).

Die Grenzen öffnen sich noch in einem anderen Sinne: Materie wird ersetzt durch elektrische Impulse und Ladungen, durch Magnetflüsse und -felder, wandelbarer in Raum und Zeit, als Papier, Medium der letzten zwei Jahrtausende. Damit ermöglichen sie eine Beschleunigung und Vervielfachung der Kommunikation ohne Gleichen. Aber auch diese Grenzöffnung hat ihren Preis: die Sicherheit und Haltbarkeit, die Papier bieten kann, finden in elektronischen Welten kein Pendant. (``Das Internet hat kein Gedächtnis.'')

Die moderne Kommunikation kann ohne Kopien gar nicht mehr existieren. Permanent werden Daten zwischengespeichert, in papierner oder in elektromagnetischer Form. Längst schon ist nicht mehr überschaubar, wer wo und wie die Gelegenheit hat, elektronische Kommunikation zu belauschen, zu verfälschen und zu verhindern. Und daß solche Möglichkeiten weidlich ausgenutzt werden, zeigen z.B. die Berichte über das von der NSA installierte Echelon-System (z.B. [c't 5/98], S.82 ff).

Ein Mittel, Inhalte von Kommunikation erstens abzusichern (d.h. ihre authentische Übermittlung sicherzustellen) und zweitens geheimzuhalten, ist die Verschlüsselung. (Ein anderes, deutlich aufwendigeres Mittel ist die Installation abgeschlossener Kommunikationskanäle, wie z.B. das `rote Telefon` zwischen Weißem Haus und Kreml.)

Schlüsselverwaltung für Verschlüsselungsverfahren

Zur Illustration der Bedeutung der Schlüsselverwaltung ein Zitat aus [Schneier 1996], S.33:

``Bei einem guten Kryptosystem hängt die Sicherheit vollständig von der Kenntnis des Schlüssels und nicht von der Kenntnis des Algorithmus' ab. Deshalb ist die Schlüsselverwaltung in der Kryptographie auch so wichtig.''

Verschlüsselung kann symmetrisch oder asymmetrisch vorgenommen werden. Im Falle der klassischen, symmetrischen Verschlüsselung sind Geheimhaltung und Authentifizierung [1] relativ leicht sicherzustellen:

(1) Es gibt nur einen Schlüssel. Kopien davon bekommen alle Kommunikationsteilnehmer. Solange der Schlüssel geheim bleibt, kann niemand außerhalb des Kreises der Schlüsselinhaber Nachrichten lesen oder (ver-)fälschen.

(2) Wenn sich immer nur je zwei Personen einen Schlüssel `teilen', d.h. über eine Kopie verfügen, kann der Empfänger sicher sein, daß eine Nachricht authentisch ist. Solange der Schlüssel geheim bleibt, muß man hinzufügen. Die Frage nach der Authentizität der Kommunikation reduziert sich dann auf die Frage nach der Authentizität des Schlüssels.

So schön es klingt, das Verfahren hat gravierende Nachteile. Die zwei größten Nachteile sind, daß (1) der Schlüssel von mindestens zwei Personen geheimgehalten werden muß und (2) bei einer genügend großen Anzahl von Teilnehmern sehr große Mengen von Schlüsseln anfallen. Dies läßt sich grafisch sehr gut verdeutlichen:

Wer nachzählt, kommt auf 5 + 4 + 3 + 2 + 1 = 15 mögliche Kommunikationswege. Sollte jeder Weg abgesichert werden, müßte je ein Schlüssel in zwei Kopien bereitgestellt werden. Da zu einer Kommunikation immer zwei Teilnehmer (communicants) gehören, gibt es 30 Stellen, an denen irgendein Schlüssel geheim bleiben muß. Dazu kommt das Problem der Schlüsselverteilung. Die Schlüssel müssen nicht nur geheimgehalten werden, sie müssen auch zur Übergabe sicher transportiert (key transport) werden. Damit benötigt man zusätzlich 15 sichere Kommunikationskanäle allein für die Übermittlung der Schlüssel.

In weltumspannenden, elektronischen Netzen wächst daraus eine praktisch unlösbar scheinende Verwaltungsaufgabe. Eine elegante Lösung zur Reduktion des Verwaltungsaufwandes, stellt die Benutzung der asymmetrischen Kryptographie dar.

Asymmetrische Kryptographie setzt auf zwei unterschiedliche Schlüssel, einen sogenannten privaten Schlüssel, auch geheimer Schlüssel genannt, und einen öffentlichen Schlüssel. Letzterer erhält seinen Namen dadurch, daß er im wahrsten Sinne des Wortes veröffentlicht wird. Konkret bedeutet Veröffentlichung, daß potentielle Kommunikationsteilnehmer wahlfreien Zugriff auf den Schlüssel erhalten. Der private Schlüssel muß geheim bleiben, weshalb jeder Zugriff verwehrt wird.

Die Besonderheit bei asymmetrischen Verschlüsselungsverfahren besteht ja darin, daß was mit einem Schlüssel verschlüsselt wurde, nur mit dem anderen entschlüsselt werden kann. Das Problem der Geheimhaltung reduziert sich daher auf die notwendige Geheimhaltung eines -des privaten- Schlüssels an einer Stelle, beim Inhaber. Dazu kommt die authentische Übermittlung der öffentlichen Schlüssel.

Wir verstehen an dieser Stelle unter einer authentischen Übermittlung eine solche, bei der sichergestellt ist, daß der ``echte'' Schlüssel unverfälscht beim vorgesehenen Empfänger ankommt. Die Übermittlung muß nicht geheim bleiben, wie bei der symmetrischen Verschlüsselung, da ja der private Schlüssel nicht transportiert wird, sondern einzig und allein dem Inhaber zur Verfügung steht. Sie muß jedoch unbeeinflußt bleiben.

Ab einer gewissen Anzahl von Beteiligten stellt die Schlüsselverteilung wieder einen Engpaß dar. Der einfachste Weg wäre jener, bei dem die Schlüsselübergabe vom Inhaber an den Empfänger direkt erfolgt. Das mag für ein paar Leute praktikabel sein, in einem weltweiten Kommunikationsverkehr ist es nicht möglich.

Der Weg der unmittelbaren Übergabe des öffentlichen Schlüssels scheidet im großen Rahmen aus. Im kleinen ist er durchaus zu empfehlen, da er einem potentiellen Angreifer (auf die Verschlüsselung) weniger Möglichkeiten bietet, als die indirekte Verteilung, die nun beschrieben werden soll.

Unter indirekter Verteilung versteht man das Komplement zur direkten Verteilung, d.h. die Schlüsselübergabe erfolgt nicht durch den Inhaber, sondern aus zweiter, dritter usw. Hand. Diese Art der Schlüsselgabe ist der normale Weg in elektronischen Netzen, wo man einen Schlüssel von irgendeiner verwaltenden Stelle abruft.

Damit steht man wieder vor einer Vertrauensfrage: Kann ich dem Überbringer des Schlüssels trauen, oder nicht. In unserem Sinne also: Kann ich davon ausgehen, daß der öffentliche Schlüssel, den mir Person X als den von Person Y übergibt, tatsächlich derjenige von Person Y ist? Oder wenn der Schlüssel nicht von einer Person kommt, sondern einer öffentlich zugänglichen Datenbank entnommen wird: Stimmen die Angaben über den Schlüssel in der Datenbank? Wer bürgt dafür?

Anhand der folgenden Grafik kann man sich ein Bild über die Zusammenhänge bei der Schlüsselverwaltung machen.

[Die Grafik wurde nach einer Abbildung aus dem ``Handbook of Applied Cryptography'' gestaltet ([Menezes/Oorschot/Vanstone 1997], Seite 579).] Z.B. in ISO/IEC CD 11770-1 (Key Management - Part 1: Framework) findet sich ebenfalls ein Modell für einen Schlüssellebenszyklus ([Fumy 1995] ).

Für ein öffentliches System zur Absicherung digitaler Signaturen sind nicht alle abgebildeten Teile notwendig. Einige Elemente, wie Schlüsselkopien (key backup) oder Schlüsselwiederherstellung (key recovery), dürfen für öffentliche Schlüssel (für digitale Signaturen) gar nicht implementiert werden, soll sichergestellt sein, daß ein Paar aus privatem und öffentlichem Schlüssel nur einmal existiert. Andernfalls wäre es möglich, mit einer Kopie des privaten Schlüssels digitale Signaturen zu fälschen, was die Bemühungen, Rechtssicherheit herzustellen konterkarieren würde. Man beachte, daß in der Grafik keine Angaben über die Lokalisierung der einzelnen Komponenten gemacht werden. Fragen der Implementierung bleiben unberührt.

Bisher wurden zwei grundsätzlich unterschiedliche Ansätze entwickelt, die indirekte, authentische Verteilung abzusichern. Die Absicherung selbst bezeichnet man als Zertifizierung, da sie auf irgendeiner Art von Zertifikaten (Bescheinigungen, die etwas bestätigen) beruhen. Unterschiede finden sich in der Form, wie die Zertifizierung implementiert wird.

Auf der einen Seite gibt es den hierarchischen Ansatz, auf der anderen Seite einen netzartigen Ansatz (auch Digraphmodell genannt). Jede Variante hat ihre Vor- und Nachteile. Die Hierarchie setzt auf klare Verantwortlichkeiten, die Netzstruktur auf Eigenverantwortlichkeiten. Hierarchien lassen sich effektiv realisieren, Netzstrukturen brauchen Zeit zum Wachsen. Hierarchien sind anfällig gegen Fehler, Netzwerke sind verhältnismäßig fehlertolerant. Nicht zuletzt benötigen Hierarchien Bürokratien, wogegen Netzstrukturen weitgehend ohne solche auskommen.

Im konkreten Fall von X.509 werden die Stellen in der Hierarchie von folgenden Elementen besetzt:

Für den Benutzer (user) müssen alle Instanzen über ihm (authorities) die Qualität vertrauenswürdiger Dritter (TTPs) haben.

Unabhängig von der Wahl des Modells muß eine Zertifizierung vorgenommen werden. Sinn und Zweck ist es, Glaubwürdigkeit und Vertrauenswürdigkeit abzusichern und Beweissicherheit herzustellen.

In der Hierarchie stellt die übergeordnete Instanz das Zertifikat für die ihr nachgestellte Stufe aus und gibt damit Garantien, im Netz stellen sich die Teilnehmer gegenseitig Zertifikate aus. Diese Zertifikate haben die Aufgabe, die Zuordnung von Personen und öffentlichen Schlüsseln auszuweisen (und ggf. noch weitere Angaben).

Allgemein gefaßt, kann man Zertifizierung als Beglaubigung ``übersetzen''. In dem schon zitierten Werk zur Kryptographie von Menezes, van Oorschot und Vanstone findet sich die Definition ``endorsement of information by a trusted entity'' ( [Menezes/Oorschot/Vanstone 1997], Seite 3). Wörtlich übersetzt hieße es ``Unterschreiben einer Information durch eine vertrauenswürdige Einheit'', was mit Beglaubigung ganz gut umschrieben ist.

Die Aufgabe der Zertifizierung kommt in einem hierarchischen Modell dem ``vertrauenswürdigen Dritten'' (trusted third party) zu. Nur unter dem Primat der Vertrauenswürdigkeit wird einerseits der Schlüsselinhaber bereit sein, seinen öffentlichen Schlüssel zertifizieren (beglaubigen) zu lassen und andererseits ein möglicher Kommunikationspartner der Beglaubigung durch die Zertifizierungsinstanz trauen. Im Englischen wird das unter dem Begriff ``establishing trust between users in distinct [security] domains'' ([Menezes/Oorschot/Vanstone 1997], Seite 571) zusammengefaßt.

In einem netzartigen Modell zur Zertifizierung entscheidet dagegen jeder Teilnehmer selbst über Vertrauen oder Ablehnung, unmittelbar. Die Zertifizierung erfolgt, wie z.B. bei PGP, gegenseitig. Damit ist zwar einem möglicherweise in betrügerischer Absicht handelnden Dritten das Vorhaben erschwert, die Schlichtung im Streitfalle jedoch ebenfalls. Ein Betrug zeitigt dafür nicht so gravierende Folgen wie in einer Hierarchie. In jener zieht die Kompromittierung des Schlüssels einer höheren Stufe lawinenartig die Wertlosigkeit der Zertifikate aller ihr untergeordneten Stufen nach sich. Im Netz verfügt jeder einzelne Teilnehmer nur über eine relativ geringe Anzahl von Schlüsseln. Manipulationen daran können nie so große Auswirkungen haben wie in einer Hierarchie.

Weiterhin verbleibt die Frage nach der Vertrauenswürdigkeit der obersten Instanz in der Hierarchie. Eine mögliche Antwort ist die sogenannte gegenseitige Zertifizierung mehrerer Zertifizierungsinstanzen (cross certification, CA-certification), bei der zwei Instanzen sich wechselzeitig Zertifikate ausstellen. Damit läßt sich das Vertrauen in die eigene Zertifzierungsinstanz herstellen und zusätzlich auf die andere Hierarchie übertragen. In gewisser Weise handelt es sich um die Anwendung des Netzmodelles auf die Hierarchie.

Von beiden Modellen (Netz und Hierarchie) gibt es noch Varianten. So gibt es bidirektionale Hierarchien, bei den jede Stufe die unter ihr liegenden Stufen zertifiziert, sowie von ihnen zertifiziert wird. Ebenfalls gibt es Netze mit abgestuften Graden des Vertrauens (wie z.B. im Web of Trust von PGP).

Verwaltung der Zertifikate und Schlüssel

[Hinweis: Insofern nicht explizit von privaten Schlüsseln die Rede ist, sind immer öffentliche Schlüssel gemeint, auch wenn es bloß Schlüssel heißt.]

Für eine abgesicherte und authentische Kommunikation sind also zwei Dinge nötig: Erstens ein Verfahren und die Infrastruktur zur Verwaltung der Schlüssel und zweitens Verfahren und Infrastruktur für die Zertifikatsverwaltung. Im Netzmodell fällt das alles weitgehend zusammen: Der Inhaber gibt die Schlüssel weiter und zertifiziert die empfangenen Schlüssel. Später verteilt er seinerseits die zertifizierten Schlüssel. So ``wandern'' Schlüssel und Zertifikate durch's Netz und auf die Festplatten der Teilnehmer.

In der Hierarchie sieht das anders aus. Es bietet sich scheinbar an, die hierarchische Infrastruktur für Schlüssel und Zertifikate gleichzeitig zu benutzen. Warum? Beide erfordern die Speicherung in Datenbanken, sowie die Möglichkeiten des externen Zugriffs. Die öffentlichen Schlüssel müssen ebso abgerufen werden können, wie die dazugehörigen Zertifikate, in der Regel gleichzeitig. Eine gekoppelte Verwaltung von Schlüsseln und Zertifikaten würde diesen Ablauf erleichtern.

Es gibt auch die Möglichkeit, Zertifikate und Schlüssel nicht auf Abruf zu liefern (pull model), sondern in gewissen Zeiträumen automatisch an die Anwender zu versenden (push model), quasi im Abonnement ([Menezes/Oorschot/Vanstone 1997], Seite 577). Zusätzlich wären Zertifikatswiderrufe (certificate revocation) zu verschicken, falls Schlüssel kompromittiert worden sein sollten. In der Praxis ist dies für kleine, geschlossene Gruppen durchführbar. Im weltweiten Verbund, mit zig-Millionen Teilnehmern, wird die notwendige Datenmenge zu groß. Wir gehen im weiteren vom Abrufmodell aus.

Welche Argumente könnten dagegen sprechen, Schlüssel und Zertifikate gemeinsam zu verwalten? Eine Grundregel der Sicherheitspolitik lautet, das Risiko zu verteilen (``Doppelt hält besser!''), um es zu minimieren. Und Risiken gibt es viele, wenn es um Technik geht. Technik, die zentralisiert wird, ist bei einem Ausfall nicht oder nur sehr schwer ersetzbar. Die Gefahr des Mißbrauches wächst, wenn die Möglichkeiten dazu vereinfacht werden. Und ein zentraler Zugriff ist leichter zu bewerkstelligen, als mehrere dezentrale Zugriffe. (Was gleichzeitig auch ein Argument für die gemeinsame Verwaltung ist.)

Große und komplizierte Systeme haben die Tendenz, unflexibel zu werden. Im Krisenfall fällt es ihnen meist schwer, schnell und adäquat zu reagieren. Sie neigen eher dazu, die Bekannwerdung eines Problems zu verhindern, als sofortige Abhilfe zu schaffen. Auch sind viele Fälle denkbar, in denen Zertifikate gar nicht benötigt werden, sondern lediglich die Schlüssel. Oder es kann Fälle geben, in denen nur interessant ist, ob es ein Zertifikat für eine Person gibt. Vielfach wollen Anwender auch ihre Anonymität gesichert werden. Sie werden dann eher einer Instanz vertrauen, die ihre persönlichen Angaben gar nicht erst erfahren hat, als einer Instanz, die beteuert, keine Daten weiterzugeben, die sie gespeichert hat. Datenchutzgesetz hin oder her; Beispiele für Mißbrauch oder Fahrlässigkeit gibt es immer wieder.

Die Abwägung der Sicherheitsanforderungen gegen die Bequemlichkeiten bei der Benutzung werden letztendlich ausschlaggebend für die Entscheidung pro oder contra gemeinsame Verwaltung von Schlüsseln und Zertifikaten sein. Wenn es um Rechtsverbindlichkeit geht, kommt man in vielen Fällen sowieso nicht umhin, sich nach den Vorgaben des Signaturgesetzes (SigG), der zugehören Verordnung (SigV) und des Maßnahmenkatalogs des BSI zu verhalten. Was aber seinerseits keine Garantien für die Sicherheiten bietet. Im Signaturgesetz geht es um die Schlüssel für digitale Signaturen. Diese könnten jedoch auch für andere Zwecke eingesetzt werden, wie zum Beispiel in hybriden Verfahren, wenn sie denn zugänglich sind.

Implementierung von Authentifizierungs- und Zertifizierungsverfahren

Nachdem nun die Begriffe und Konzepte erläutert worden sind, soll auf Implementierungsfragen eingegangen werden.

Maßgeblich ISO/IEC haben diverse Authentifizierungsverfahren standardisiert ([Fumy 1995], [Menezes/Oorschot/Vanstone 1997]):

ISO/IEC 9796 Digitale Signaturen mit message recovery

ISO/IEC 9798 Authentifizierung

ISO/IEC 9798-1 Einführung

ISO/IEC 9798-2 (1994) Mechanismen, basierend auf symmetrischen Techniken

ISO/IEC 9798-3 (1993) Mechanismen, basierend auf asymmetrischen Techniken. Die Mechanismen in ISO/IEC 9798-3 finden in X.509 eine Entsprechnung.

ISO/IEC 9798-4 (1995) Mechanismen mit kryptographischer Prüffunktion

ISO/IEC 9798-5 (Working Draft) Mechanismen, basierend auf Zero-knowledge-Funktionen

ISO/IEC 11770 Schlüsselverwaltung und Schlüsselinstallation

ISO/IEC 11770-1 Schlüssellebenszyklus, Schutz für Schlüssel, Trusted Third Parties

ISO/IEC 11770-2 Schlüsselinstallation mit symmetrischen Techniken

ISO/IEC 11770-3 Schlüsselinstallation mit asymmetrischen Techniken

ISO/IEC 13888 (Draft) Dienste für Unabweisbarkeit

ISO/IEC 13888-1 Modell und Überblick

ISO/IEC 13888-2 Mechanismen, basierend auf symmetrischen Techniken

ISO/IEC 13888-3 Mechanismen, basierend auf asymmetrischen Techniken und digitalen Signaturen

ISO/IEC 14888 (Draft) Signaturen mit Anhang

ISO/IEC 14888-1 Definitionen, Überblick und Modelle

ISO/IEC 14888-2 Mechanismen mit Signaturen, basierend auf der Identität des Benutzer

ISO/IEC 14888-3 Mechanismen mit Signaturen, basierend auf Zertifikaten

ISO/IEC 9594-8 (ITU-T X.509) Authentifizierungstechniken,

Es viele weitere, konkrete Vorschläge für hierarchische Zertifizierungsstrukturen von nationalen und internationalen Institutionen. Auch Firmen haben eigene Entwürfe vorgestellt, wie z.B. PKCS Nr. 6 von RSADSI.

Beispielsweise sieht der X.509-Vorschlag für Zertifikate folgendermaßen aus (nach [Breilmann 1996]):

Allen Entwürfen gemeinsam sind öffentlich zugängliche Datenbereiche, aus denen die Zertifikate abgerufen werden können. Die Verwaltung dieser Datenbereiche obliegt einer vertrauenswürdiger Authorität, was lediglich ein anderer Name für `trusted third party' ist. Dieser Instanz gegenüber muß sich derjenige identifizieren, der ein Zertifikat zu erhalten wünscht. Ebenfalls muß er seinen öffentlichen Schlüssel vorlegen. Aus dem erteilten Zertifikat gehen dann ein Identitätskennzeichen (nicht notwendig ein echtes, Pseudonyme sind ausreichend), der öffentliche Schlüssel und die Bestätigung der Übereinstimmung durch die Zertifizierungsauthorität hervor.

Die Zertifizierungsinstanz legt die Zertifikate so ab, daß sie von Außenstehenden nicht manipuliert werden können. Die Computer im Netzwerk, die für diese Aufgabe bereitgestellt werden, kann man als Schlüsselserver (key server) oder auch Zertifikatsserver bezeichnen. Der Zugriff auf die Zertifikate erfolgt über genau spezifizierte Protokolle und Verbindungen. Darunter fallen sowohl die klassische, schriftliche Übermittlung (offline), als auch die elektronische Übermittlung (online). In beiden Fällen muß die Übermittlung selbst wieder authorisiert werden. Dazu lassen sich Siegel bzw. digitale Signaturen -durch die Zertifizierungsinstanz- einsetzen.

Wesentliche Unterschiede gibt es im Umgang mit ungültigen Zertifikaten. X.509 verlangt die Gültigkeit sämtlicher Zertifikate in der Zertifikatskette, d.h. von der Wurzelinstanz bis zum Benutzer, um eine gültige Signatur zu erzeugen. Die Umsetzung der Signaturverordnung zum Signaturgesetz ist hier weniger strikt. Zur Verringerung des Verwaltungsaufwandes können Zertifikate auch dann anerkannt werden, wenn übergeordnete Zertifikate ungültig sind ([SigB]).

Das Konzept der öffentlichen Verzeichnisse (trusted public file, trusted public directory) geht auf Diffie und Hellman (1976) zurück. Merkle (1979) hatte die Idee von der hierarchischen (für Informatiker: baumartigen) Authentifizierungsstruktur. Zertifikate für öffentliche Schlüssel wurden von Kohnfelder vorgeschlagen (1978). Dessen Vorschlag sah für ein Zertifikat vor, den Namen des Inhabers, seinen öffentlichen Schlüssel und Angaben über Authentifizierung einzutragen. Er orientierte sich dabei am RSA-Verfahren. ( [Menezes/Oorschot/Vanstone 1997], Seite 587) In ihrer Kombination ergeben die drei Ideen die notwendige Infrastruktur für ein System der Zertifikatsverwaltung, wie es u.a. für digitale Signaturen zur Anwendung kommt. (Alternativen sind denkbar, z.B. nach dem Netzmodell. [2])

Schlüsselverwaltung und Zertifikate im Signaturgesetz

Im deutschen Signaturgesetz finden sich die entsprechenden Umsetzungen der erläuterten Konzepte in Paragraph 2 (Begriffsbestimmungen ), Paragraph 5 (Vergabe von Zertifikaten) und Paragraph 7 ( Inhalt von Zertifikaten). Leider setzen sie die internationale Norm X.509 nicht vollständig um, so daß eine Interoperabilität weltweit nicht garantiert werden kann.

Die Regelungen im Gesetz gehen zum Teil über die technisch sinnvollen Forderungen hinaus. So findet sich in Paragraph 5 Absatz 4 die folgende Aussage:

``(4) Die Zertifizierungsstelle hat Vorkehrungen zu treffen, damit Daten für Zertifikate nicht unbemerkt gefälscht oder verfälscht werden können. Sie hat weiter Vorkehrungen zu treffen, um die Geheimhaltung der privaten Signaturschlüssel zu gewährleisten. Eine Speicherung privater Signaturschlüssel bei der Zertifizierungsstelle ist unzulässig. '' [SigG], §5 (4)

Der erste Satz ist einsichtig, Fälschungen sind zu verhindern. Der zweite Satz steht dem ersten dann in gewisser Weise entgegen. Zertifizierung meint in Bezug auf digitale Signaturen, d.h. asymmetrische Verschlüsselung, immer die Zertifizierung der öffentlichen Schlüssel. Die zugehörigen privaten Schlüssel müssen unter allen Umständen geheim bleiben, soll die Kommunikation gesichert werden [3].

Der zweite Satz räumt jedoch die Möglichkeit ein, daß die Zertifizierungsstelle an die privaten Schlüssel gelangt. Ein Aufdecken (Kompromittieren) der privaten Schlüssel ermöglicht die beliebige Manipulation jeglicher damit verschlüsselter Kommunikation und muß daher prinzipiell ausgeschlossen werden.

Der dritte Satz des Absatzes schließlich, der eine Speicherung der privaten Schlüssel untersagt, ist nur notwendig, wenn es überhaupt eine Möglichkeit der Speicherung und damit der Kompromittierung gibt. Satz 1 des Absatzes steht also in eklatantem Widerspruch zu den Sätzen 2 und 3. Und nicht nur dazu, sondern insbesondere zu jedem Sicherheitsmodell für digitale Signaturen.

In der vorliegenden Form wird der Umgang mit privaten (geheimen) Schlüsseln kryptologisch unsicher gemacht.

Handelt es sich um ein Versehen? Im Gesetz wird nichts darüber gesagt, woher die Schlüssel, auf die Bezug genommen wird, stammen. Noch ein Versehen? Ein Blick in die amtliche Begründung klärt nicht auf. Dort findet sich folgende Aussage:

``Die jeweils einmaligen Schlüsselpaare (privater und öffentlicher Schlüssel) werden durch anerkannte Stellen natürlichen Personen fest zugeordnet. Die Zuordnung wird durch ein Signaturschlüssel-Zertifikat beglaubigt.'' [SigV]

und an anderer Stelle:

``Der private Schlüssel sowie die Signiertechnik ist in der Regel auf einer Chipkarte gespeichert, die erst in Verbindung mit einer Personenidentifikationsnummer (PIN) eingesetzt werden kann.'' [SigV]

Die Schlüsselgenerierung selbst wird nicht behandelt. Wie kommt der private Schlüssel auf die Chipkarte? Wieso muß die Zertifizierungsstelle die privaten Schlüssel geheimhalten, wo sie diese doch nicht speichern darf? Wie kommt sie überhaupt in den Besitz der privaten Schlüssel, den sie geheimhalten soll? Warum werden PINs gegenüber biometrischen Verfahren priorisiert, wird doch damit der Schlüsselraum erheblich eingeschränkt? Biometrische Merkmale zur Identifizierung heranzuziehen, ist zwar möglich, nach der Signaturverordnung (§16 Abs. 2 Satz 3), nicht jedoch zwingend. Warum? Fragen, die zu stellen sind. Mit der Sicherheit der Schlüsselgenerierung und -verwaltung steht und fällt das ganze System der Verschlüsselung mit Public Key-Verschlüsselung, wie es z.B. für digitale Signaturen eingesetzt wird.

Worin die Intention der unklaren gesetzlichen Aussagen zu sehen ist, kann man sich bei aufmerksammer Lektüre von Gesetz, Verordnung und insbesondere amtlicher Begründung zusammenreimen.

Unter der Überschrift ``Wirksamer Informationsschutz'' findet sich in der Begründung zum Gesetz der Absatz:

``Ob unabhängig davon unter besonderen Aspekten spezielle >>Kryptoregelungen<< erforderlich sind, ist nicht Gegenstand des Gesetzentwurfs. Die Funktionen Signatur und Verschlüsselung sind technisch wie rechtlich völlig eigenständig zu betrachten. ''

Aus juristischer Perspektive mag ein solcher Satz, wie der zweite des zitierten Absatzes, sinnvoll sein. Bei der Interpretation des Wortes `technisch' muß man stutzig werden. Wie bei der Erläuterung der kryptologischen Grundlagen für digitale Signaturen beschrieben, erzeugt man digitale Signaturen, in dem man das Resultat der Anwendung einer kryptographischen Hashfunktion auf eine Nachricht -den Hashwert- verschlüsselt. In diesem (mathematisch-technischen) Sinne kann von einer Eigenständigkeit keine Rede sein. Verbleibt also, das `technisch' als `implemtierungstechnisch' zu lesen. Dann würde die Aussage so zu verstehen sein, daß die Implementierung zwar die Erzeugung digitaler Signaturen, nicht aber Verschlüsselung anderweitig gestatten soll - ein Schritt auf dem Wege zum ``Kryptoverbot''.

Andere Passagen im Gesetz und in der Begründung lassen ähnliche Vermutungen zu. In der Begründung zu Paragraph 5 findet sich folgende Aussage:

``..., da davon ausgegangen werden kann, daß der Markt jedem Interessenten die Möglichkeit eröffnen wird, bei einer Zertifizierungsstelle einen Signaturschlüssel zu erwerben.'' [SigGB]

Wohl fast jedem Kryptographen werden erhebliche Zweifel an der Sicherheit eines so konzipierten Systems kommen, wird doch der elementarste kryptologische Grundsatz -Geheimhaltung des Schlüssels- aufs Schwerste verletzt, wenn dritte Personen Zugriff auf den privaten Schlüssel haben. Und diese Personen haben nicht bloß Zugriff darauf, sie entscheiden sogar darüber, welche Schlüssel an wen vergeben werden! Dieses Verfahren hätte gewisse Ähnlichkeiten mit der Vergabe der PINs für EC-Karten, die in letzter Zeit stark in Verruf geraten ist.

Da beruhigt es auch nicht, wenn in der Begründung zu Paragraph 5 Absatz 4 steht:

``Die in Satz 2 geforderte Geheimhaltung des Signaturschlüssels ist absolut. Es soll keine Person (auch nicht der Signaturschlüssel-Inhaber) Kenntnis vom privaten Signaturschlüssel erhalten, da andernfalls ein Mißbrauch des Signaturschlüssels nicht auszuschließen ist.''

Inwiefern ein berechtigter Schlüsselinhaber seinen eigenen Schlüssel mißbrauchen könnte, bleibt offen.

Es folgt gleich darauf, in der Erläuterung von Satz zwei, die Aussage:

``Technisch unvermeidbare temporäre Zwischenspeicherungen beim gesicherten Ladevorgang sind damit nicht ausgeschlossen.''

Daraus ist wohl zu folgern, daß der private Schlüssel außerhalb der Chipkarte erzeugt (key generation) und anschließend darauf gespeichert werden soll (key installation). Mindestens im Schlüsselgenerator (key generator) wird er für eine gewisse Zeit zwischengespeichert werden, wenn dieser nicht auf der Chipkarte integriert wird.

Zieht man nun noch in Betracht, welche Anwendungen für digitale Signaturen vom Gesetzgeber u.a. vorgesehen werden, nämlich ``digitaler Ausweis'' ([SigGB]) oder ``automatische Feststellung der Urheberschaft elektronischer Post'' ([SigGB]) muß man befürchten, daß das Recht auf informationelle Selbstbestimmung der Bürger weiter ausgehöhlt wird. Dem Gesetzgeber ist das durchaus bewußt, findet sich in der Begründung zu Signaturgesetz doch die Aussage:

``Signierte Daten in Dateien und Netzen können das Erstellen von Persönlichkeitsprofilen ... erleichtern.'' [SigB]

Haftung der ``Trusted Third Parties''

``Mögliche Haftungsfragen sind aus den jeweiligen Verantwortlichkeiten und dem allgemeinen Haftungsrecht zu beantworten (jeder haftet für sein schuldhaftes Handeln oder Unterlassen).'' [SigB]

``Hinsichtlich der Haftung der Zertifizierungsstellen gegenüber Dritten kann sich im Einzelfall eine Haftungslücke ergeben.'' [SigB]

Das im Prinzip alles, was sich in der Begründung zum Signaturgesetz findet. Der Gesetzestext selbst enthält keinerlei Haftungsregeln oder -beschränkungen. Das ist um so verwunderlicher, als vergleichbare Gesetze in den USA auf Haftungsrichtlinien nicht verzichten.

Die Adäquatheit bestehender Haftungsregelungen zu den Bedürfnissen, die aus dem neuen Gesetz erwachsen, ist zu bezweifeln. Zum einen fehlt es an einer passenden Rechtsprechung, zum anderen an ausreichenden Praxiserfahrungen mit vergleichbarer Technologie. Die vorliegenden Erfahrungen im breiten Einsatz von Chipkarten (Telefonkarten, EC-Karten, Krankenkassenkarten) sprechen eher gegen die Annahme, daß die Haftung bereits ausreichend geregelt sei.

Die implizierte Klarheit der Verantwortlichkeiten läßt sich meines Erachtens aus dem Gesetz nicht ableiten. Zwar läßt sie sich für die (behördliche) Wurzelinstanz erkennen. Für die nachgeordneten, privaten Zertifizierungsstellen bleibt dagegen offen, welche Haftungsbestimmungen greifen. Was geschieht, wenn sich die Genehmigungen der behördlichen Wurzelinstanz oder des amtlich bestellten Prüfinstituts als Fehler herausstellt, sei es in technischer oder in organisatorischer Hinsicht? Greift dann die Staatshaftung für die Behörde oder sind die Verträge zwischen Benutzer und Zertifizierungsstelle maßgeblich? Der Vergleich mit Kernkraftwerken, wie ihn Wendelin Bieser in [SigB] anstellt, wirkt in dieser Hinsicht nicht sehr beruhigend.

Patente

Und noch etwas wird übersehen oder ignoriert: Alle bedeutsamen Verfahren für die digitale Signaturen sind irgendwo patentiert und die Patente werden verwertet. Die Patente schließen üblicherweise die Schlüsselgenerierung ein (siehe RSA ). Die Folgerung lautet, daß Schlüsselpaare nicht kostenlos erhältlich sein werden. Da es nur sehr wenige praktikable Signaturverfahren gibt, haben die Patentinhaber praktisch eine Monopolstellung inne. Das Gesetz sieht diesbezüglich weder Beschränkungen, noch Öffnungsmaßnahmen vor. Der Einsatz von digitalen Signaturen kann somit schon an der Kostenfrage scheitern.

Fazit aus der Analyse des Gesetzes

(A) Es besteht die Gefahr, daß das Grundrecht auf informationelle Selbstbestimmung weiter eingeschränkt wird. Inwieweit ist eine solche Einschränkung, durch unmittelbare oder mittelbare Einschränkung von Verschlüsselung, zu befürchten?

1. Der Schlüsselinhaber hat nicht die vollständige Autonomie über den privaten, d.h. den geheimen Schlüssel. Die Wahl des Verschlüsselungsverfahrens ist nur eingeschränkt möglich. Die vorgegebenen Verfahren der Schlüsselerzeugung und Schlüsselinstallation sehen keine individuelle Schlüsselwahl vor. Die Verwendung mehrerer, alternativer Verschlüsselungsverfahren scheint nicht möglich zu sein, obwohl das Gesetz hier unklar ist.

2. Der vorgesehene Umgang mit den privaten Schlüsseln ist aus kryptologischer Sicht zumindest bedenklich (z.B. temporäre Zwischenspeicherung). Verfahren, bei denen der geheime (private) Schlüssel nur an einer einzigen Stelle existiert, sind nicht zwingend vorgeschrieben. Der Schlüsselraum wird durch den Einsatz von PINs (mit verhältnismäßig geringer Länge) anstelle von einmaligen biometrischen Merkmalen stark eingeschränkt.

3. Die künstliche Trennung in Signatur und Verschlüsselung legen den Schluß nahe, daß Kryptographie später -in einem anderen Gesetz- von staatlicher Seite eingeschränkt werden soll. Aussagen des Bundesinnenministers und seines Staatssekretärs weisen in dieselbe Richtung.

4. Eine Infrastruktur für Schlüsselverwaltung und Zertifizierung im Sinne des Gesetzes kann jederzeit für ein umfassendes `key recovery'/`key escrow'-Programm eingesetzt werden. Damit kann die Wahrnehmung des ``Grundrechts auf Verschlüsselung'' ([Koch 1997]) in ihrer Intention unterlaufen werden.

5. Schlüsselverwaltung und Signierungen (Signaturen) im Sinne des Gesetzes können zur Erstellung von Benutzer- und Bewegungsprofilen ohne Kenntnis des Schlüsselinhabers benutzt werden. Der vorgeschlagene Einsatz von Chipkarten als digitalem Ausweis gestattet dies. In der automatischen Absenderkontrolle bei elektronischer Post liegt das Risiko einer De-Anonymisierung. Eventuell gewünschte Vertraulichkeiten sind so u.U. gefährdet.

6. Das Signaturgesetz sieht eine flache, zweistufige Hierarchie mit einer Genehmigungsbehörde oben und lizenzierten Zertifizierungsstellen unten vor. Die Behörde erteilt der Zertifizierungsstelle [4] die Lizenz nach einer Evaluierung (z.B. durch das BSI) [5]. Das Kontrollrecht liegt ausschließlich bei der Behörde. Den Betroffenen (Schlüsselinhabern und Zertifkatsnachfragern) ist eine Kontrolle nicht möglich. Es steht zu befürchten, daß im Streitfalle der Bürger oder die Firma der Zertifizierungsstelle wird nachweisen müssen, daß diese versagt hat (analog dem Verfahren bei EC-Kartenvorfällen [6]). Ohne Einblick in die internen Vorgänge und Abläufe wird das nicht möglich sein und so gerät er in eine Ohnmachtposition. Erfahrungen dazu gibt es vom EC-Kartenbetrug und den Fällen überhöhter Telefonrechnungen der Telekom in den letzten Jahren. Simulationsstudien haben ihrerseits Schwachstellen nachgewiesen [7]. Im übrigen kehrt sich das Beweisverfahren um: Wo bei der einzelnen Unterschrift im Zweifelsfalle nachgewiesen werden muß (z.B. durch gutachterliche Untersuchungen), daß derjenige, von dem sie zu stammen scheint, tatsächlich der Urheber ist, steht der Schlüsselinhaber bei der digitalen Signatur in der Pflicht, da gemutmaßt wird, daß er die Signatur erstellt hat. Eine klare Schwächung der Bürgerposition.

(B) Detaillierte Haftungsregelungen fehlen gänzlich. Der grundgesetzlich verankerte Schutz des Eigentums ist für den Fall gefährdet, daß sich bei Fehlern die Verantwortlichkeiten nicht identifizieren lassen. Bei komplizierten technischen Abläufen, wie sie Zertifizierung und Authentifizierung erfordern, gibt es diesbezüglich ein großes Risikopotential, das nicht kompensiert wird.

(C) Die Stellung der Patentinhaber wurde nicht genügend beachtet. Zertifizierungsinstanzen kommen nach dem vorliegenden Gesetz nicht umhin, Patente in Anspruch zu nehmen (mangels alternativer Verfahren). So werden sie gezwungen sein, entsprechende Gebühren zu zahlen. Die faktische Monopolstellung der Patentinhaber stellt den neuralgischen Punkt dar. Ein fairer Wettbewerb zwischen ihnen ist nicht erkennbar.

(D) Das ``technische Fundament'' für die im Gesetz festgeschriebene asymmetrische Verschlüsselung hat seine Tragfähigkeit auf Dauer noch nicht unter Beweis gestellt. Bei einer unbeschränkten Einführung digitaler Signaturen im großen Rahmen besteht die Gefahr einer ernsthaften Gefährdung des Rechtsgefüges, sollten sich die den Verfahren zugrundeliegenden kryptologischen Annahmen in näherer oder fernerer Zukunft als falsch erweisen. Die Möglichkeit einer Rücknahme der Entwicklung dürfte in wenigen Jahren nicht mehr bestehen.

Fußnoten

[1] Der Begriff der Authentifizierung geht auf den der Authentizität zurück und hat in unserem Zusammenhang die Feststellung von Identität zum Gegenstand.

Schneier definiert ihn so: ``Es sollte dem Empfänger möglich sein, die Herkunft einer Nachricht zu ermitteln; ein Eindringling sollte sich nicht als andere Person ausgeben können. '' [Schneier 1996], S. 2 (!)

Menezes/Vanstone/van Oorschot unterscheiden zwischen `` data origin authentication'' und ``entity authentication''. Erstere stellt auf die Identität und Integrität der Daten ab ( ``Data origin authentication implicitly provides data integrity ... if a message is modified, the source has changed''), letztere auf die Identität der Kommunikationsteilnehmer. [Menezes/Vanstone/Oorschot 1997], S. 4 (!) Deren Integrität allerdings kann mit Authentifizierung nicht sichergestellt werden.

CRISIS bietet vielleicht die umfassendste Betrachtung:

``... individuals in an information age may wish to be able to:

...

Ensure that a party with whom they are transacting business is indeed the party he or she claims to be. Likewise, they may seek to authenticate their own identity ... In an electronic domain without face-to-face communiations or recognizable indicators such as voices and speech patterns (as used today in telephone calls), forgery of identity becomes increasingly easy.'' [CRISIS 1997], S. 42

[2] Zur netzartigen Struktur der Zertifizierung bei PGP siehe z.B.: [Grimm 1996],

[3] ``Die Sicherheit von Aussagen zur Identität des Urhebers von elektronischen Signaturen wird durch vier Faktoren beeinflußt:

- Unikat des Schlüsselpaares42

- Zugriffssicherung zum Trägermedium

- Sperrdienste

- Sicherheit der Ausgabeverfahren und Verzeichnisdienste

Der Nachweis der Unikatssicherung von Schlüsselpaaren und der korrekten Ausgabeverfahren und Verzeichniseinträge ist gleichermaßen ein Validierungs- wie Revisionsproblem. ...

42 Zielkonflikte ergeben sich dafür aus Interessen der inneren Sicherheit. ...'' [Hammer 1993]

[4] Anwärter für Zertifizierungsstellen sind derzeit (März 1998) die Telekom und das Gespann debis/Bundesdruckerei. Als Aspiranten in spe dürften fast alle großen Banken und Versicherungsgesellschaften in Frage kommen. Den maßgeblichen Antrieb bildet die Hoffnung auf Großgeschäfte mit Behörden.

[5] Eine solche Zertifizierung stellt allerdings keine Garantie dar, daß ein System wirklich sicher ist. Siehe z.B. [Versteegen 1997].

[6] Zu den ``Schwierigkeiten'' mit der Sicherheit beim EC-Verfahren und ihren Konsequenzen siehe z.B.: [OLG Hamm (31 U 72/96)] , [Rossa 1997(I)], [Rossa 1997(II)], [Pausch 1997], [Heine 1997], [SPIEGEL 36/1997]

[7] Siehe z.B. den Bericht zur provet/GMD-Simulationsstudie von Volker Hammer:

``Im Rahmen der Simulationsstudie Rechtspflege und in ihrem Umfeld wurden eine Reihe von Angriffen durchgeführt. Obwohl den sachverständigen Testpersonen dieses Versuchsziel bekannt war, gelang es unter anderem, Dokumente zu manipulieren, Chipkarten mit PIN zu entwenden und beliebige oder teilweise veränderte Dokumente zum Signieren unterzuschieben. Die Angriffe gelangen völlig unabhängig vom mathematischen Teil des Signaturverfahrens ...''

``Werden dagegen elektronische Signaturen mit Chipkarten gefälscht, gibt der Augenschein keinerlei Hinweis auf deren Unechtheit. Ein betroffener Chipkarteninhaber kann allenfalls versuchen, z.B. durch Zeugen zu belegen, daß die Signatur nicht von ihm stammen kann.'' [Hammer 1993]


Using the RSA Algorithm for Encryption and Digital Signatures:

Can You Encrypt, Decrypt, Sign and Verify without Infringing the RSA Patent?

(http://www.cyberlaw.com)


Patrick J. Flinn and James M. Jordan III


Zusammenfassung des Artikels

von Robert Gehring


In der Fachliteratur zu Kryptographie findet man im jeweiligen Abschnitt zu RSA üblicherweise den Hinweis, daß der RSA-Algorithmus patentiert sei (US Pat. 4.405.829), z.B. auch bei [Schneier 1996], S.541. Damit entsteht der Eindruck, daß zum legalen Einsatz des RSA-Verfahrens eine Lizenz des Lizenzinhabers, in diesem Falle RSADSI (RSA Data Security Inc.) notwendig sei. Die Autoren des Artikels untersuchen das RSA-Patent im Detail und zeigen auf, daß es gute Gründe dafür gibt, anzunehmen, daß

Sie weisen daraufhin, daß es sich um theoretische Überlegungen und persönliche Auffassungen handelt, die nicht als juristischer Rat zu verstehen sind. Daß diese Überlegungen nichtsdestotrotz fundiert sind, läß sich aufgrund der beruflichen Qualifikation der Autoren annehmen: Flinn und Jordan sind praktizierende Anwälte, Jordan insbesondere Patentanwalt.

Hier folgt eine Zusammenfassung ihrer Schlußfolgerungen und Argumente.


RSA-Entschlüsselung stellt keine Patentverletzung dar


Die RSA-Patentanmeldung enthält 40 Patentansprüche (claims), von denen 10 unabhängige Ansprüche und die restlichen 30 abhängige Ansprüche darstellen. Die bloße Operation der Entschlüsselung einer RSA-verschlüsselten[1] Nachricht wird im Patent nicht als unabhängiger Anspruch aufgeführt[2] .

Der grundlegende Anspruch ist Nummer 23, der Patentschutz für folgende Verfahren beansprucht (im Wortlaut):

Die Autoren führen nun folgende Schritte an, die für eine mutmaßliche Patentverletzung (alleged infringement) vollzogen werden müßten (Rohübersetzung):

Der Schritt der Entschlüsselung wird in Anspruch 23 nicht aufgeführt. Insbesondere stellt eine Entschlüsselung (decoding) keine Verschlüsselung (encoding) dar, die Begriffe sind klar unterschieden und haben eine je eigene Bedeutung. Die Entschlüsselung wird in Anspruch 24 aufgeführt:

Nun ist aber Anspruch 24 ein abhängiger Anspruch, der eingeleitet wird mit

Eine Verletzung des abhängigen Anspruches 24 durch bloßes Entschlüsseln einer RSA-verschlüsselten Nachricht ist nach amerikanischem Patentrecht nicht möglich, da der referenzierte, unabhängige Anspruch 23 die Entschlüsselung nicht aufführt. Entschlüsselung kommt ohne die in Anspruch 23 aufgeführten Aktionen aus.

Die Autoren prüften dann noch die anderen unabhängigen Ansprüche des RSA-Patentes und kamen zu dem Schluß, daß die bloße Entschlüsselung einer RSA-verschlüsselten Nachricht keine Patentverletzung darstellen könne. Dies gilt dann auch für die Verifizierung einer digitalen Signatur, die unter Verwendung des RSA-Verfahrens erzeugt wurde.


Erzeugung einer digitalen Signatur mittels RSA muß keine Patentverletzung sein


An dieser Stelle formulieren die Autoren etwas vorsichtiger:

Um eine Nachricht mit RSA zu verschlüsseln, muß man über die Zahlen verfügen, mit denen die Schlüssel zusammenhängen: p, q, n, e und d. Es genügt, darüber zu verfügen. Man muß sie nicht selbst erzeugt haben. Der Prozeß der Schlüsselerzeugung kann unabhängig von dem der Verschlüsselung erfolgen. Dieser Prozeß fällt sicherlich unter den Patentschutz. Man kann aber einmal erzeugte Schlüssel wiederverwenden, selbst in Software die ohne RSA-Lizenz daherkommt.

Die Autoren sind der Auffassung, daß es dem RSA-Patentinhaber schwer fallen würde, nachzuweisen, daß eine Verschlüsselung, die ohne Schlüsselerzeugung auskommt, unter das Patent fällt. Das Verschlüsselungsverfahren mit Exponenten und modularer Arithmetik wurde nämlich bereits von Stephen Pohlig und Martin Hellman in dem nach ihnen benannten Verschlüsselungssystem eingeführt - 1975. Pohlig und Hellman traten damit bereits zwei Jahre vor dem Trio Rivest/Shamir/Adleman auf den Plan. Der einzige Unterschied zwischen RSA und Pohlig-Hellman besteht darin, das erstere das Produkt zweier Primzahlen verwenden, wogegen letztere mit einer Primzahl auskamen.

In einem Vergleich stellen die Autoren das RSA-Verfahren und das Verfahren von Pohlig und Hellman gegenüber.

Wie ersichtlich, unterscheiden sich die Verschlüsselungs- und die Entschlüsselungsoperationen nicht, sie sind identisch. Vorausgesetzt, man verfügte über die beiden Exponenten d und e, könnte man mit einer Software, die das Pohlig-Hellman-Verfahren implementiert, genauso ver- und entschlüsseln, wie mit einer RSA-Software.

Daraus schlußfolgern die Autoren, daß die RSA-Patentanmeldung ohne die aufgeführte Schlüsselerzeugung ungültig gewesen wäre, da das Pohlig-Hellman-Patent dem entgegengestanden hätte.

Anschließend wenden sich die Autoren der Frage der Beihilfe zur Patentverletzung (contributory infringement) zu. Sie weisen auf den entscheidenden Punkt hin, daß es eine Beihilfe zur Patentverletzung per definitionem nur geben kann, wenn es eine direkte Patentverletzung gibt, zu der beigetragen werden kann. Dies muß willentlich und wissentlich geschehen.

Unterstellt, daß dies der Fall wäre, müßte im Detail untersucht werden, wie die Beihilfe ausgestaltet wäre. Würde sie z.B. mit Mitteln vollzogen, die nicht spezifisch dazu dienen, wäre der Nachweis schwer zu führen[3].



Als nächstes wenden sich die Autoren einem "Real World Example" zu und beschreiben das Beispiel SSL-Client. Sie untersuchen die Abläufe des Schlüsselaustausches und der Verschlüsselung und kommen zu dem Schluß, daß ein Nutzer eines SSL-Clients gutgläubig davon ausgehen kann, daß alles seine Richtigkeit hat und er nichts Ungesetzliches tut.



Der letzte wesentliche Punkt in den Betrachtungen der Autoren ist der Gültigkeit des RSA-Patents gewidmet. Bis zu diesem Punkt waren sie in ihren Überlegungen immer davon ausgegangen, daß das Patent gültig ist, d.h. daß der Antrag auf Patentschutz und das Procedere seiner Einbringung mit den Regeln für die Patenterteilung konform waren. Nun untersuchen sie, ob diese Unterstellung gerechtfertigt ist.

Patentierbarkeit von Algorithmen

1972 stellte der US Supreme Court fest, daß ein Algorithmus kein

sei, wie es in Abschnitt 101 des Patentgesetzes (Patent Act) gefordert wird. Ein Algorithmus war im Verständnis des US Supreme Court eine

Diese Definition schloß Algorithmen von der Patentierung aus.

1981 änderte sich die Situation schlagartig, ebenfalls durch eine Entscheidung des US Supreme Court. Im Fall Diamond vs. Dehr wurde um einen verbesserten Prozeß zur Gummiherstellung gestritten. Die Verbesserung wurde im wesentlichen durch einen Algorithmus zur Behandlung von Gummi bei spezifischen Temperaturen repräsentiert. Der Supreme Court entschied nun, daß dadurch, daß ein Algorithmus Bestandteil eines ansonsten patentierbaren Verfahrens sei -und die Herstellung von Gummi ist prinzipiell patentierbar- nicht begründet werden könne, daß das Verfahren keinen Patentschutz nach Abschnitt 101 des Patentgesetzes zu erhalten habe. Dem Richterspruch des Supreme Court folgten weitere Urteile von Appellationsgerichten, die genauer eingrenzten, wann und wie Algorithmen Patentschutz erhalten können.

Zur Feststellung der Patentierbarkeit eines Algorithmus' wurde der sogenannte Freeman-Walter-Abele-Test[4] erarbeitet, der folgendermaßen vorgenommen wird:

Zusammengefaßt kann ein Algorithmus patentiert werden, wenn er eine der folgenden Bedingungen erfüllt:

Das RSA-Verfahren und der Freeman-Walter-Abele-Test

Die Autoren sind der Ansicht, daß die Formulierungen im RSA-Patentantrag den Forderungen der Gerichtsurteile, die im Freeman-Walter-Abele-Test zum Ausdruck kommen, wohl nicht genügen dürften. Als physikalische Geräte werden genannt:

Dies sind die allgemeinsten Formulierungen, die diesbezüglich überhaupt möglich sind. Daß sie ein physikalisches Gerät beschreiben, kann man eigentlich nicht behaupten. Oder was hat man sich unter einem "encoding means" vorzustellen?

Ähnlich ist es mit den Beschreibungen des physikalischen Prozesses. Dieser wird mit

geschildert. [Frage: Was alles ist ein "message word signal"?]

An dieser Stelle erwähnen die Autoren weitere Fälle, in denen des um die Patentierbarkeit von Algorithmen ging und in denen Computer eine Rolle spielten. Die Urteile in diesen Fällen waren von der Natur der Eingabedaten abhängig. Die Entscheidungen fielen zugunsten der Antragsteller aus, wenn es sich um Daten handelte, die Resultat von

waren. In einem Fall scheiterte der Antragsteller. Bei seinen Daten handelte es sich um Gebote von Auktionären, d.h. um das Resultat menschlichen Denkens, oder zumindest Empfindens.

Die Frage nach der Gültigkeit des RSA-Patents läßt sich unter diesen Umständen nicht mehr eindeutig beantworten.

Formalien

Als sei dies noch nicht genug, haben die Autoren noch weitere Fragwürdigkeiten aufgedeckt.

In Abschnitt 112 des Patentgesetzes werden Anforderungen an die Formulierung eines Patentantrages gestellt. Eine davon besagt, der Erfinder möge

Der Grund für diese Forderung ist, daß einem Mißbrauch des Patentschutzes vorgebeugt werden soll. Es handelt sich um eine klare Forderung, die keine Spielräume kennt.

Zurück zum Fall RSA. Es stellte sich heraus, daß Dr. Rivest im Januar 1978, also vor dem Patentantrag, ein Papier veröffenlicht hatte, das mehr Details über die Ausführung des RSA-Verfahrens beschrieb, als später im Patentantrag aufgeführt wurden[5]. Im Patentantrag wurde also nicht der "best mode of carrying out" offengelegt. Dies ist ein klarer Verstoß gegen die Regeln des Abschnitt 112 des Patentgesetzes. Aus diesem Grunde könnte das Patent ungültig sein.

Die Autoren haben noch andere Merkwürdigkeiten aufgedeckt. So vermieden es die Antragsteller, die Verwandtschaft zum Pohlig-Hellman-Verfahren zu erwähnen. Unerwähnt blieb auch eine Arbeit aus dem 19. (!) Jahrhundert zum Thema Einweg-Funktionen und Kryptographie, die bereits das Faktorisierungsproblem, auf dem RSA aufbaut, diskutiert[6].


Fazit


Die Feststellung, daß RSA patentiert sei, ist richtig. Dabei sollte man es aber nicht belassen. Wie die Autoren gezeigt haben, ist das RSA-Patent zumindest äußerst fragwürdig. Da das Patent und die Lizenzierungspolitik der Lizenzinhaber ein großes Hindernis für die Verbreitung von Digitalen Signaturen darstellen, sollte dieser Punkt weiter untersucht werden.

Einige Aktionen des RSA-Verfahrens lassen sich ausführen, ohne das Patent zu verletzen. Gerade die für den Einsatz Digitaler Signaturen so wichtige Verifikation fällt in der Regeln nicht unter das Patent.


Fußnoten

[1] Unter einer RSA-verschlüsselten Nachricht wird an dieser Stelle eine Nachricht verstanden, die entsprechend dem RSA-Algorithmus verschlüsselt wurde.

[2] Das amerikanische Patentrecht kennt unterschiedliche Arten von Patentansprüchen: unabhängige Ansprüche (independent claims) und abhängige Ansprüche (dependent claims). Abhängige Ansprüche heißen so, weil sie einen Anspruch unter Bezugnahme auf einen unabhängigen Anspruch anmelden (incorporate by reference). Eine eventuelle Patentverletzung muß als Verletzung eines unabhängigen Anspruches nachgewiesen werden. Ein abhängiger Patentanspruch kann nicht verletzt werden, wenn der als Bezug dienende unabhängige Anspruch nicht verletzt wurde.

[3] Es ist eine andere Spezialität des amerikanischen Rechtssystems, daß zur Feststellung der Frage, ob ein Mittel (Gerät, Verfahren) als Tatwerkzeug für die Beihilfe zur Tat zu betrachten ist, das Mittel im Ganzen und in Bezug auf die Tat untersucht wird. Stellt sich dabei heraus, daß es genügend andere Zwecke gibt, zu denen das Mittel verwandt werden kann und verwandt wird (substantial use), so wird es nicht als Tatwerkzeug qualifiziert. Beihilfe zur Tat wird dann in der Regel nicht unterstellt. Zum Thema `contributory infringement' siehe auch: [Rosenoer 1997], S.5, 6, 12, 71, 72, 82-84

[4] Der Name leitet sich von den drei entscheidenden Fällen vor Appellationsgerichten ab: In re Walter, In re Freeman und In re Abele.

[5] Insbesondere machte Dr. Rivest detaillierte Ausführungen zur Auswahl der Primzahlen und des Exponenten (e), die in der Patentschrift nicht enthalten sind.

[6] 1870 befaßte sich William S. Jevons damit.


Bild: Kopfzeile Literaturverzeichnis


Digitale Signaturen

  • Allgemeine Überlegungen
  • Technische Grundlagen digitaler Signaturen
  • Gesetzliche Regelungen und Rahmenbedingungen für digitale Signaturen (Deutschland)
    • Allgemeiner gesetzlicher Rahmen
    • Das Signaturgesetz (SigG)
    • Das Telekommunikationsgesetz (TKG)
    • Das Informations- und Kommunikationsdienstegesetz (IuKDG)
    • Das Bundesdatenschutzgesetz (BDSG)
  • Gesetzliche Regelungen und Rahmenbedingungen in den USA
    • Der "Utah Digital Signature Act"
    • Der "Georgia Digital Signature Act"
  • Anwendungen digitaler Signaturen
  •  

    Verschlüsselung

  • Einführungen und allgemeine Ausführungen
  • Rechtliche Situation
    • Nationale Situation
    • Internationale Situation
  • Verfahren, Standards, Zertifizierung
    • Symmetrische Verfahren
    • Asymmetrische Verfahren
    • Steganographie
    • Hashing
    • Einwegfunktionen
    • Schlüsselverwaltung, Authentifizierung und Zertifizierung
  • (Un-)Sicherheit der Verschlüsselungsverfahren
  •  

    (Un-)Sicherheit elektronischer Systeme

  • (Un-)Sicherheit der Telekommunkation
  • (Überwindung der) Verschlüsselung im digitalen Telefonnetz
  • (Überwindung der) Verschlüsselung beim digitalen Fernsehen
  • (Unsichere) Geheimzahlen im Bankenwesen
  • (Un-)Sicherheit von Chipkarten

  • Sonstige Literatur

    [Funk & Wagnalls] [Webster's] [Microsoft LexiRom] [Bertelsmann Universallexikon] [Holt/Morgan 1994] [Creifelds] [Antike 1982] [Neuburger 1919] [Benjamin 1996] [Zimmer 1997] [Jensen 1997] [Hofmeister 1997] [Schulz 1997] [Holtz-Bacha 1997] [Warhol 1997] [McLuhan 1992] [Blum 1997] [Bradbury 1981] [Conrad/Mertens 1990] [Binding 1993] [Electronic Telegraph 16.12.1997]


    Digitale Signaturen


    Allgemeine Überlegungen

    [Hartmann/Ulrich 1997] [Heuser 1997] [Kumbruck 1997] [Keese 1997] [Tenhaef 1997]

    Technische Grundlagen digitaler Signaturen

    [Diffie/Hellman 1976] [Damm 1995]
    Damm, Frank: Konstruktion und Analyse beweisbar sicherer elektronischer Unterschriftenverfahren.
    Dissertation an der Universität Köln; Verlag Shaker, Aachen 1995
    [Wobst 1997 (II)] [Fox 1996 (I)] [Fox 1993] [Pfitzmann 1991] [Pfitzmann 1996] [Greenfield 1994]

    Gesetzliche Regelungen und Rahmenbedingungen für digitale Signaturen (Deutschland)

    Allgemeiner gesetzlicher Rahmen

    [Bizer 1995] [Bizer 1997]

    Das Signaturgesetz (SigG)

    [SigGB] [Bieser 1996] [Ehmann 1996] [Schmitz 1996 (I)] [Schmitz 1996 (II)] [Fox 1996 (II)] [Schmeh 1997] [Mertes 1996] [SigG] [SigV] [SigB]

    Das Telekommunikationsgesetz (TKG)

    [Wuermeling/Felixberger 1997]
    Wuermeling, Ulrich/Felixberger, Stefan: Fernmeldegeheimnis und Datenschutz im Telekommunikationsgesetz.
    Computer und Recht (CR) 4/1997, S. 230-238,...
    [Köhntopp 1996 (I)] [TKG]

    Das Informations- und Kommunikationsdienstegesetz (IuKDG)

    [IuKDG] [Bröhl 1997]
    Bröhl, Georg M.: Rechtliche Rahmenbedingungen für neue Informations- und Kommunikationsdienste.
    Computer und Recht (CR) 2/1997, S.73-79,...
    [Schulzki-Haddouti 1997 (I)]

    Das Bundesdatenschutzgesetz

    [BDSG]

    Anwendungen digitaler Signaturen

    Voraussetzungen für den (praktischen) Einsatz digitaler Signaturen

    [Kruse 1997] [Glade 1997] [Schröder 1997] [Flinn/Jordan 1997]

    Elektronische Dokumente

    [Rüßmann 199?] [Göttlinger 1997] [Rosenoer 1997] [Hammer 1993]

    PGP - `Pretty Good Privacy'

    [Shecter 1997]
    Shecter, Robb: Security and Authentication with Digital Signatures. How one university uses PGP and digital Signatures to make its network secure.
    Linux Journal, August 1997, S. 12ff, Specialized Systems Consultants, Inc. (SSC), Seattle, WA, USA.
    [Luckhardt 1997]
    Luckhardt, Norbert: Prettier Good Privacy. PGP 5.0 - jetzt als Komplettpaket.
    c't 8/1997, S. 58, Verlag Heinz Heise GmbH & Co KG, Hannover
    [Moreau 1996]
    Moreau, Thierry: A Probabilistic Flaw in PGP Design?
    Computers & Security Vol. 15 Num. 1, S.39-43, Elsevier Science Ltd.
    [Klemm u.a. 1996] [Luckhardt/Bögeholz 1996]

    Chipkarten

    [Eisele 1995]

     

    Verschlüsselung


    Einführung und allgemeine Ausführungen

    [Schneier 1996]
    Schneier, Bruce: Angewandte Kryptographie. Protokolle, Algorithmen und Sourcecode in C.
    Addison-Wesley Publishing Company, Bonn u.a., 1996
    [Menezes/Oorschot/Vanstone 1997] [Kahn 1967] [Wobst 1997 (I)] [Bauer 1994] [Beth/Frisch/Simmons 1991] [Kippenhahn 1997] [Zimmermann 1997]
    Zimmermann, Phil: Wir alle haben etwas zu verbergen.
    Global Online 3/97, S.72, 73
    [Bizer 1996]
    Bizer, Johann: Kryptokontroverse - Der Schutz der Vertraulichkeit in der Telekommunikation.
    Datenschutz und Datensicherung (DuD) 1/1996, S.5-14, Friedrich Vieweg & Sohn Verlagsgesellschaft mbH, Braunschweig/Wiesbaden
    [Huhn/Pfitzmann 1996 (I)]
    Huhn, Michaela/Pfitzmann, Andreas: Technische Randbedingungen jeder Kryptoregulierung.
    Datenschutz und Datensicherung (DuD) 1/1996, S.3-26, Friedrich Vieweg & Sohn Verlagsgesellschaft mbH, Braunschweig/Wiesbaden
    [Huhn/Pfitzmann 1996 (II)]
    Huhn, Michaela/Pfitzmann, Andreas: Krypto(de)regulierung.
    Datenschutznachrichten (DANA) 6/1996, S. 4 ff, Deutsche Vereinigung für Datenschutz e.V. (DVD), Bonn
    [CRISIS 1996]
    Cryptography's Role In Securing The Information Society.
    Committee to Study National Cryptography Policy; Computer Science and Telecommunications Board; Commission on Physical Sciences, Mathematics, and Applications; National Research Council, National Academy Press, Washington, D.C. ,USA 1996
    [Hagemann/Rieke 1994] [Luckhardt 1996] [Holz 1996] [Kanther 1997] [Tedrick 1985]

    Rechtliche Situation

    Nationale Situation

    [Koch 1997]
    Koch, Alexander: Grundrecht auf Verschlüsselung.
    Computer und Recht (CR) 2/1997, S.106-110, ...
    [Dix 1997]
    Dix, Alexander: Gesetzliche Verschlüsselungsstandards - Möglichkeiten und Grenzen der Gesetzgebung.
    Computer und Recht (CR) 1/1997, S.38-43, ...
    [Schulzki-Haddouti 1997 (II)] [GMD-TKT 1997] [provet 1997] [ftz 199?]

    Internationale Situation

    [Günther 1997]
    Günther, Andreas: Ausfuhrkontrollen für IT-Produkte in den USA. Aktuelle Entwicklungen im Exportkontrollrecht und in der Kryptopolitik.
    Computer und Recht (CR) 4/1997, S.245-252, ...
    [Rihaczek 1996]
    Rihaczek, Karl: Die Kryptokontroverse: Das Normungsverbot.
    Datenschutz und Datensicherung (DuD) 1/1996, S.15-22, Friedrich Vieweg & Sohn Verlagsgesellschaft mbH, Braunschweig/Wiesbaden
    [Highland 1996]
    Highland, Joseph: Random Bits & Bytes. US Cryptographic Policy.
    Computers & Security Vol. 15 Num. 6, S.458ff, Elsevier Science Ltd.
    [Koops 1996] [Wright 1997]

    Verfahren, Standards, Zertifizierung

    Symmetrische Verfahren

    bei [Schneier 1996]

    bei [Menezes/Oorschot/Vanstone 1997]

    Asymmetrische Verfahren

    bei [Schneier 1996]

    bei [Menezes/Oorschot/Vanstone 1997]

    Steganographie

    [Köhntopp 1996 (II)] [Kahn 1996]

    Hashing

    [Pieprzyk/Sadeghiyan 1993]

    Einweg-Funktionen

    [Kurtz/Mahaney/Royer 1988]

    Schlüsselverwaltung, Authentifizierung und Zertifizierung

    [Jablon 1996]
    Jablon, David P.: Strong Password-Only Authenticated Key Exchange.
    Computer Communication Review Vol. 26 Num. 5, Oct. 1996, S.5ff, ACM/SIGCOMM
    [Grimm 1996]
    Grimm, Rüdiger: Kryptoverfahren und Zertifizierungsinstanzen.
    Datenschutz und Datensicherung (DuD) 1/1996, S.27-36, Friedrich Vieweg & Sohn Verlagsgesellschaft mbH, Braunschweig/Wiesbaden
    [Fumy 1995]
    Fumy, Walter: Authentifizierung und Schlüsselmanagement.
    Datenschutz und Datensicherung (DuD) 10/1995, S.607-613, Friedrich Vieweg & Sohn Verlagsgesellschaft mbH, Braunschweig/Wiesbaden
    [Borchers 1996] [Breilmann 1996] [Klein/Damm 1993] [Tsuji 1996]

    (Un-)Sicherheit der Verschlüsselungsverfahren

    [CZ 18/94] [Nentwig 1997] [c't 6/1998]

     

    (Un-)Sicherheit elektronischer Systeme


    (Un-)Sicherheit der Telekommunikation

    [Helf 1997]
    Helf, Karl-Heinz: Sicherheit in der Telekommunikation als Regulierungsaufgabe.
    Computer und Recht (CR) 6/1997, S.331-335, ..
    [Jennen u.a. 1996] [Versteegen 1997] [Ruhmann/Schulzki-Haddouti 1998]

     

    (Un-)Sicherheit der Verschlüsselung im digitalen Telefonnetz

    [WW 37/1997]
    Hacker: Wir haben den Code des D1-Netzes geknackt.
    Wirtschaftswoche 37/1996
    bei [Ruhmann/Schulzki-Haddouti 1998]


    (Un-)Sicherheit der Verschlüsselung beim digitalen Fernsehen

    [Krimm 1997]
    Krimm, Markus: Hack des Jahres.
    PC Magazin/DOS 9/1997, S.60ff, DMV-Verlag

    (Un-)Sicherheit im Bankenwesen

    [Damgard/Knudsen 1994] [OLG Hamm (31 U 72/96)]
    OLG Hamm: Mißbrauch von EC-Karten.
    Computer und Recht (CR) 6/1997, S.339-343, ...
    [Rossa 1997(I)]
    Rossa, Caroline Beatrix: Mißbrauch beim electronic cash. Eine zivilrechtliche Bewertung.
    Computer und Recht (CR) 3/1997, S.138-146, ...
    [Rossa 1997(II)]
    Rossa, Caroline Beatrix: Mißbrauch beim electronic cash. Eine strafrechtliche Bewertung.
    Computer und Recht (CR) 4/1997, S.219-229, ...
    [Pausch 1997]
    Pausch, Manfred: Die Sicherheit von Magnetstreifenkarten im automatisierten Zahlungsverkehr.
    Computer und Recht (CR) /1997, S.174-180, ...
    [Heine 1997] [SPIEGEL 36/1997]

    (Un-)Sicherheit von Chipkarten

    [SPIEGEL 47/1996]
    Einbruch ohne Spuren.
    DER SPIEGEL 47/1996, S.216, 217
    [Kruse/Peuckert 1995]
    Kruse, Dietrich/Peuckert, Heribert: Chipkarte und Sicherheit.
    Datenschutz und Datensicherung (DuD) 3/1995, Friedrich Vieweg & Sohn Verlagsgesellschaft mbH, Braunschweig/Wiesbaden
    [Kocar 1996]
    Kocar, Osman: Hardwaresicherheit von Mikrochips in Chipkarten.
    Datenschutz und Datensicherung (DuD) 7/1996, S.421-424, Friedrich Vieweg & Sohn Verlagsgesellschaft mbH, Braunschweig/Wiesbaden
    [Kiranas 1997]
    Kiranas, Argiris: Technische Sicherheitsmechanismen in Point-Of-Sale (POS)-Systemen (Teil 1).
    Datenschutz und Datensicherung (DuD) 7/1996, S.413-420, Friedrich Vieweg & Sohn Verlagsgesellschaft mbH, Braunschweig/Wiesbaden
    [Horster 1994] [CZ 44/96] [Anderson/Kuhn 1996]