Inhaltsverzeichnis

I.  Einleitung.  4

II.  Kryptographie  5

2.1  Grundlagen.  5

2.1.1  Geschichte  5

2.1.2  Terminologie.  6

2.1.3  Anwendungen der Kryptographie  7

2.1.3.1  Schutz von im Netz übertragenen Daten.  7

2.1.3.2  Digitale Signatur  8

2.1.3.3  "E-Cash" (digitales Geld)  8

2.1.3.4  Sonstige Anwendungsbereiche  8

2.2  Technische Seite der Kryptographie  8

2.2.1  Symmetrische Verschlüsselung (Secret-Key-Verfahren)  8

2.2.2  Asymmetrische Verschlüsselung (Public-Key-Verfahren)  9

2.2.3  Verwendung von Kryptographie am Beispiel "Pretty Good Privacy" (PGP)  11

2.3  Versuch einer staatlichen Kontrolle der Kryptographie  12

2.3.1  Die Diskussion um eine Kryptoregulierung  12

2.3.2  Kryptoverbot.  13

2.3.3  Key Recovery.  14

2.3.4  Fazit.  14

III.  Digitale Signatur  15

3.1  Eigenhändige Unterschrift und Digitale Signatur  15

3.2  Technische Seite Digitaler Signaturen.  17

3.2.1  Arten.  17

3.2.1.1  Unterzeichnen von Dokumenten mit Public-Key-Kryptographie  17

3.2.1.2  Unterzeichnen von Dokumenten mit Public-Key-Kryptographie und Einweg-  

Hashfunktionen.   18

3.2.2  Zeitstempel.  19

IV.  Digitale Zertifikate  20

4.1  Allgemeines  20

4.2  Aufbau eines Zertifikates.  20

4.3  Vertrauensmodelle  21

4.3.1  Vorbemerkung  21

4.3.2  Direct Trust (Direktes Vertrauen)  22

4.3.3  Web of Trust (Netz des Vertrauens)  23

4.3.4  Hierarchical Trust (Hierarchisches Vertrauen)  24

4.3.4.1  Vorbemerkungen.  24

4.3.4.2  Arten des Hierarchical Trust  24

4.3.4.3  Anforderungen an das Hierarchical-Trust-Modell.  25

Seite 2

4.4  Signaturgesetz (SigG) und -verordnung (SigVO)  27

4.4.1  Einleitung  27

4.4.2  Inhalt der Regelungen.  27

4.4.3  Digitale Zertifikate nach dem Signatur-Gesetz.  28

4.4.4  Probleme des Signaturgesetzes (1997)  29

4.4.5  Änderungen im neuen Signaturgesetz (2001)  31

4.4.6  Fazit  31

Literatur  - und Abbildungsverzeichnis  32

Anlagen.   33

Seite 3

I. Einleitung

In einer Chat-Diskussion im Deutschen Pavillon auf der Expo am 08.09.2000 mit dem Thema "Virtuelle Verwaltung - rasant oder riskant?" über die Chancen, die das Internet für die Verwaltung bieten kann, erklärte Bundesinnenminister Otto Schily "der moderne Beamte hat einen anderen Zugang zu Menschen und flexibleren Kommunikationsmöglichkeiten". Das Ziel der Bundesregierung sei es, bis Ende 2005 alle internetfähigen Dienstleistungen der Bundesverwaltung online zu stellen. Zur Zeit gibt es in Deutschland 20 Millionen Internetnutzern. Laut einer Umfrage wollen jedoch weit mehr Bürger - 69 Prozent - ihre Behördengänge im Internet erledigen.

Um den Wünschen der Bürger Rechnung zu tragen ist die Regierung daher bestrebt, die Einführung der "eVerwaltung" (in Anlehnung an den sog. eCommerce der Privatwirtschaft) zu beschleunigen. Bei der Erreichung dieses Vorhabens stellt sich den Verantwortlichen ein Problem in den Weg. Seit vor einigen Jahren Computer, und damit die elektronische Datenverarbeitung, Einzug in die Büros der Unternehmen und der öffentlichen Verwaltungen gehalten haben, ist eine Zukunftsvision aus den Köpfen der Verantwortlichen nicht mehr wegzudenken: der vom papie rlosen Büro; einem Büro also, in dem sämtliche Vorgänge elektronisch empfangen, bearbeitet und wieder versendet werden und auf lästige Papierausdrücke verzichtet werden kann. Doch von diesem Traum ist man heute fast genauso weit entfernt wie zu Beginn. Und das, obwohl mit der Einführung des papierlosen Büros erhebliche Einsparungen verbunden wären; man denke nur an die gigantischen Kosten für Papier. Nach einer Prognose des Stuttgarter Fraunhofer-Instituts für Arbeitswirtschaft und Organisation von 1995 hätte eine Automatisierung typischer Bürotätigkeiten wie eingehende Papierdokumente in den Rechner einzugeben, Briefe per Postweg zu verschicken oder der bürokratische Dreikampf (Knicken, Lochen, Abheften) neben erheblichen Kostenreduzierungen eine Arbeitsbeschleunigung um den Fak-tor 10 zur Folge. 1

Es stellt sich die Frage, warum der Traum vom papierlosen Büro bis vor kurzem noch nicht verwirklicht wurde bzw. verwirklichbar war. Das Haupthindernis liegt in der deutschen Rechtsordnung. Das deutsche Recht tut sich schwer mit der Anerkennung digitaler Daten als Dokumente und Beweismittel. Dateien lassen sich wesentlich leichter fälschen als Urkunden, unkontrolliert duplizieren, speichern, auswerten und verändern. Daher kann der Verzicht auf den Papierausdruck im Streitfall unangenehme Auswirkungen haben.

Eine Lösung dieses Dilemmas bieten möglicherweise elektronische Unterschriften, sogenannte Digitale Signaturen und deren Anerkennung im Rechtsverkehr.

¹ vgl. Dirk Fox, Automatsche Autogramme, c´t - Computer und Technik 10/95, S. 278 ff

Seite 4

Diese Seminararbeit beschäftigt sich daher eingehend mit dieser Form der elektronischen Authentisierung von Willenserklärungen. Es wird sowohl auf die technische Seite Digitaler Signaturen und Zertifikate wie auch auf die rechtlichen Grundlagen eingegangen. Da das Thema "Digitale Signatur" sehr eng mit Kryptographie verwandt ist und auch technisch zusammen genutzt werden können, kommt man nicht umhin, sich auch mit dem Thema "Kryptographie" zu beschäftigen.

II. Kryptographie

2.1 Grundlagen

2.1.1 Geschichte

Seit 6000 Jahren verfügt der Mensch über die Schrift, seit 3000 Jahren verschlüsselt er diese auch. In der Geschichtsschreibung hat dies wenig Beachtung gefunden, auch wenn Kriege durch sie ausgelöst oder entschieden wurden ² .

Die Überlieferung belegt, dass schon in Sparta im 5. Jh. v. Chr. eine Methode zur Verschlü sselung von militärischen Nachrichten eingesetzt wurde. Man wickelte einen Pergamentstreifen auf einen Holzstab (die Skytale) und schrieb die Nachricht längs des Stabes. Nur Generäle, die über einen Stab mit dem gleichen Durchmesser verfügten, konnten die Nachricht entziffern ³ . Die berühmteste geschichtliche Erwähnung einer Verschlüsselungsmethode stammt jedoch aus der Zeit des Römischen Reichs. Julius Cäsar vertraute keinem der Boten, die Nachrichten an seine Generäle überbrachten. Er ersetzte deshalb in seinen Nachrichten jedes A durch ein D, jedes B durch ein E usw., also jeden Buchstaben des Alphabets durch den drittnächsten. Nur ein Empfänger, der diese Regel kannte, konnte also die Nachrichten lesen ⁴ . Mit diesen einfachen (und auch sehr unsicheren) Verfahren begann die Geschichte der Verschlüsselung.

Mit der Verwendung verschlüsselter Nachrichten kamen natürlich gleichzeitig auch Bemühungen auf, diese Nachrichten wieder zu entschlüsseln. Schließlich konnte man so eventuell einen entscheidenden Informationsvorsprung erlangen. Bei Cäsars Verschlüsselung fällt dies sehr leicht, denn hat man erst bestimmte, sehr häufig vorkommende Worte in der lateinischen Sprache erkannt und entziffert, so kommt man leicht hinter den Code und kann die gesamte Nachricht lesbar machen. Ein geknacktes Telegramm, in dem die deutsche Regierung im Jahre 1916 Mexiko zum Krieg gegen die USA veranlassen wollte, löste nach seiner Veröffentlichung große Empörung in der amerikani- ² Leiberich,Otto in: "Spektrum der Wissenschaft", Juni 1999, S. 26f

³ Kopp, Wolfgang: Rechtsfragen der Kryptographie und der digitalen Signatur, Unterschleißheim 1998, S. 7

⁴ Zimmermann, Phil: Handbuch zu "Pretty Good Privacy", Version 6.5.1 Int

Seite 5

schen Öffentlichkeit aus und veranlasste die USA schließlich, in den Krieg gegen die Mittelmächte einzutreten.

Besondere Bedeutung erreichte die Verschlüsselung schließlich im zweiten Weltkrieg. Die deutsche Verschlüsselungsmaschine "Enigma" brachte zunächst einen gewaltigen Vorteil in der Kriegsführung, insbesondere beim U-Boot-Krieg. Die Alliierten starteten daraufhin große Anstrengungen, diesen Code zu knacken. Einem Team von amerikanischen und britischen Mathematikern, Physikern und anderen Fachleuten gelang es schließlich (nach bedeutender Vorarbeit von polnischen Mathematikern), eine mathematische Schwäche im Code der "Enigma" zu entdecken, der es ermöglichte, den verwendeten Schlüssel festzustellen und die Nachrichten zu entziffern. Dabei wurden Geräte eingesetzt, die als Vorstufe der modernen Computer gelten können. In der Folge verloren die Deutschen, die von der Kompromittierung der "Enigma" nichts mitbekommen hatten, den Großteil ihrer U-Boot-Flotte.

Auch Dr. Richard Sorge, ein sowjetischer Spion in Japan, spielte eine entscheidende Rolle für den Kriegsausgang. Nachdem Stalin durch ihn erfahren hatte, dass Japan nicht in den Krieg gegen die Sowjetunion eintreten würde, konnte dieser seine Truppen in den Westen verlegen und kriegsentscheidend gegen Deutschland einsetzen. Wie man nach Sorges Festnahme ermittelte, verwendete er, obwohl er nur mit Papier und Bleistift arbeitete, ein so hochwertiges Verschlüsselungsverfahren, dass es selbst heute noch nicht zu knacken wäre.

Bis in die Mitte der siebziger Jahre setzten nur staatliche Stellen Verschlüsselungsverfahren ein, zum Schutz von diplomatischen und militärischen Staatsgeheimnissen. Mit dem Siegeszug der EDV und insbesondere der Datennetze und dem damit verbundenen Aufkommen von Computerkriminalität stellten Wirtschaft und Verwaltung jedoch bald einen hohen Bedarf an solchen Verfahren fest. Die Forschung und Entwicklung, die vorher nur bei den staatlichen Sicherheitsbehörden stattgefunden hatte, wurde nun an Universitäten und Instituten durchgeführt und führte schnell zu beträchtlichen Erfolgen. Die Wissenschaft der Kryptologie war geboren ⁵ .

2.1.2 Terminologie

Ein Verschlüsselungsverfahren ist eine Methode, eine Nachricht so zu verändern, dass nur bestimmte Empfänger in der Lage sind, die ursprüngliche Nachricht wiederherzustellen. Die ursprüngliche, unverschlüsselte Nachricht wird im folgenden als Klartext bezeichnet, die verschlüsselte Nachricht als chiffrierter Text. Verschlüsselung ist demnach jede Methode, um einen Klar- ⁵ LeiberichaaO

Seite 6

text in einen chiffrierten Text umzuwandeln. Entschlüsselung ist das Gegenteil, die Umwandlung eines chiffrierten Texts in einen Klartext.

Ein Verschlüsselungssystem besteht meist aus mehreren Algorithmen zur Verschlüsselung (Verschlüsselungsverfahren), sowie aus den zugehörigen Schlüsseln, Klartexten und chiffrierten Texten. Schlüssel sind hierbei Zeichenketten, die zur Verschlüsselung genutzt bzw. zur Entschlüsselung benötigt werden.

Kryptographie ist die Kunst, Verschlüsselungssysteme zu erzeugen und zu benutzen. Kryptoanalyse ist die Kunst, chiffrierte Texte zu enthüllen, obwohl der Schlüssel nicht bekannt ist. Kryptologie ist die Wissenschaft von der Kryptographie und der Kryptoanalyse.

Beim im folgenden erläuterten Verfahren der asymmetrischen Kryptographie ist zwischen dem öffentlichen Schlüssel, der frei zugänglich gemacht wird, und dem privaten Schlüssel, der geheim gehalten werden muss, zu unterscheiden.

Um die Erläuterung der Kryptographie und der Digitaler Signatur etwas zu vereinfachen und eine gemeinsame Grundlage zu bilden, tauchen immer wieder verschiedene "Personen" auf, die bestimmte Vorgänge durchführen. In unserem Falle wären dies: Alice erste Beteiligte an allen Protokollen Bob zweiter Beteiligter an allen Protokollen Carol dritte Beteiligte an den Protokollen Trent Treuhändler und vertrauenswürdiger Vermittler

2.1.3 Anwendungen der Kryptographie

2.1.3.1 Schutz von im Netz übertragenen Daten

Nahezu alle im Internet oder ähnlichen Datennetzen übertragenen Daten durchlaufen während des Transports unzählige verschiedene Rechner, die in zahlreichen Ländern stehen. Auf jedem dieser Rechner ist es möglich, die durchlaufenden Datenpakete mitzulesen und somit z.B. E-Mails abzufangen, Telefongespräche und Videokonferenzen abzuhören, Firmengeheimnisse oder Informationen über Banktransaktionen zu erlangen. Neben der grundsätzlichen Erwägung des Schutzes des Fernmeldegeheimnisses kommen hier auch bedeutende wirtschaftliche Interessen zum tragen, da die Gefahr von Industriespionage enorm ist.

Seite 7

Ein Schutz vor dem Ausspähen oder Verändern der Daten ist deshalb unverzichtbar, wenn die Wirtschaft in Zukunft immer stärker auf das Internet zur Datenübertragung setzt. Geeignete Software, zum Beispiel PGP (s. 2.2.3) zum Verschlüsseln und digitalen Signieren von E-Mails, ist bereits verfügbar.

2.1.3.2 Digitale Signatur

Die digitale Signatur erfüllt zwei wichtige Zwecke: Den Schutz der Daten vor Veränderung und die Authentisierung des Absenders (wichtig für den Nachweis von Willenserklärungen). Darauf wird im Folgenden noch näher eingegangen.

2.1.3.3 "E-Cash" (digitales Geld)

Mittels kryptographischer Verfahren lässt sich eine Art digitales Geld verwirklichen, dass über das Netz übertragen werden kann, fälschungssicher ist, den Vorteil der Teilbarkeit größerer Einheiten bietet und, genau wie Bargeld, eine Anonymität des Zahlungsvorganges zulässt, sodass keine Profile über das Kaufverhalten einzelner Anwender erstellt werden können. Entsprechende Pilotprojekte gibt es in großer Zahl, das geeignetste Verfahren, dass derzeit in Deutschland erprobt wird, ist dabei "ecash" von der Deutschen Bank, das allen der oben angeführten Kriterien gerecht wird. Eine Verbreitung derartiger Zahlungsmittel wird in der Literatur als eine der Grundlagen für den erwarteten Siegeszug des eCommerce angesehen ⁶ .

2.1.3.4 Sonstige Anwendungsbereiche

Eine Vielzahl weiterer Probleme lässt sich mit kryptographischen Protokollen lösen, z.B. Verteilen eines Geheimnisses auf mehrere Personen, datierte Stempel, beweis von Geheimniskenntnis ohne Geheimnisenthüllung, gleichzeitiger Tausch von Geheimnissen, gleichzeitige Vertragsunterzeic hnung, sichere Wahlen und Anonymität. Damit stellt die Kryptographie eine absolute Schlüsseltechnologie für die Entwicklung des Internet und der Informationsgesellschaft dar ⁷ .

2.2 Technische Seite der Kryptographie

2.2.1 Symmetrische Verschlüsselung (Secret-Key-Verfahren)

Die ursprüngliche Form der Kryptographie ist die Verwendung von symmetrischer Verschlüsselung. Dabei werden zum Ver- und Entschlüsseln identische Schlüssel verwendet. Beispielsweise addiert man zu einem Klartext zeichenweise die Werte des Schlüssels, um so den chiffrierten Text zu erhal- ⁶ Petersenin: Datenschutz und Datensicherheit 1997, 403, 403, unter 1

⁷ Kopp aaO, S. 23

Seite 8

ten. Der Empfänger kann nun mit Kenntnis des Schlüssels durch einfache Subtraktion den Klartext wiederherstellen.

Es existieren hierbei eine Vielzahl von Verfahren, auf die nicht näher eingegangen werden soll. Einige sind sehr sicher oder sogar nachweislich nicht zu knacken, beispielsweise bei einmaliger Verwendung eines Schlüssels, der mindestens so lang wie der zu verschlüsselnde Klartext ist (sogenannter one-time pad).

Diese Verfahren haben jedoch einen gewaltigen Nachteil: Es ist erforderlich, auf einem sicheren Kommunikationsweg dem Empfänger den verwendeten Schlüssel mitzuteilen, damit dieser den chiffrierten Text auch entschlüsseln kann. Nach dieser Methode wird z.B. in geschlossenen Netzen wie dem des auswärtigen Amtes gearbeitet. Eine zentrale Stelle versorgt dabei alle Teilnehmer mit den Apparaturen und den stets wechselnden Schlüsseln.

Was aber ist, wenn jemand eine verschlüsselte Nachricht an einen Empfänger schicken will, ohne dass es vorher möglich war, auf sicheren Kanälen den Schlüssel zu übermitteln? Dieses Problem sollte erst im Jahre 1979 gelöst werden.

2.2.2 Asymmetrische Verschlüsselung (Public-Key-Verfahren)

Whitfield Diffie und Martin Hellmann gelang 1979 ein Durchbruch in der Kryptographie, die Erfindung der asymmetrischen Verschlüsselungsverfahren ⁸ .

Eine Verschlüsselung ist letztlich nichts weiter als die Anwendung einer mathematischen Funktion auf den Klartext, die zum chiffrierten Text führt. Die Entschlüsselung ist die Umkehrung der Funktion. Ziel der asymmetrischen Kryptographie ist es nun, eine mathematische Funktion zu verwenden,

⁸ Spektrum der Wissenschaft, Oktober 1979, S. 92

Seite 9

die sich in einer Richtung sehr leicht durchführen lässt, deren Umkehrung jedoch ohne die Kenntnis eines zusätzlichen Geheimnisses nahezu unmöglich ist (sogenannte Falltürfunktion). Verwendung findet im gebräuchlichsten Verfahren (RSA) die Tatsache, dass es zwar sehr leicht ist, zwei große Primzahlen zu multiplizieren, jedoch sehr schwer, eine große Zahl in ihre Primfaktoren zu zerlegen.

Der Klartext wird dabei in gleich lange Blöcke unterteilt, z.B. von 1024 Bit Länge. Dann ist jeder Block als 1024stellige Binärzahl k zu interpretieren. Verschlüsselt wird, in dem die einzelnen Blöcke hoch einer großen Zahl e genommen werden. Festgehalten wird nicht das Ergebnis der Potenzierung, sondern der Rest nach Division durch eine andere Zahl n. Diese Zahl n ist das Produkt zweier großer Primzahlen p und q. Die Formel lautet also (k ist hierbei Teil des Klartexts, g Teil des Geheimtexts): g = k^e mod n

Der Prozess der Verschlüsselung ist somit von jedem, der e und n kennt, zu vollziehen. Wer jedoch entschlüsseln will, muss eine Zahl d finden, die die Eigenschaft hat, dass

k = g^d mod n

Man wendet also im Prinzip auf den Geheimtext die selbe Operation an, mit welcher der Klartext verschlüsselt wurde, nur eben mit dem Exponenten d statt e. Welche Eigenschaft muss d haben? Setzt man die Gleichungen ineinander ein, so ergibt sich

k = k^ed mod n

und daraus, nach einem Satz der Zahlentheorie,

ed = 1 mod (p-1)(q-1)

(und nicht etwa ed = 1 mod n).

Mit der Kenntnis von e, p und q gelingt daher die Berechnung von d und somit die Entschlü sselung in kurzer Zeit. Kennt man jedoch statt p und q nur n, so ist d praktisch nicht berechenbar. Eine Entschlüsselung ist dann nach dem heutigen Kenntnisstand unmöglich.

Um dieses Verfahren einzusetzen, erzeugt man also e und die Primzahlen p und q. Diese bilden zusammen den privaten Schlüssel, der geheimgehalten wird. Multipliziert man p und q , so erhält man n. e und n bilden zusammen den öffentlichen Schlüssel. Diesen kann man nun seinem Kommunikationspartner auch auf unsicheren Kanälen mitteilen, ja sogar so weit wie möglich bekannt machen. Mit diesem öffentlichen Schlüssel kann jetzt jeder einen Klartext verschlüsseln, der entstehende chiffrierte Text ist nur mit Kenntnis des privaten Schlüssels wieder zu entschlü sseln

Seite 10

2.2.3 Verwendung von Kryptographie am Beispiel "Pretty Good Privacy" (PGP)

Das erläuterte Verfahren der asynchronen Kryptographie hat einen bedeutenden Nachteil gegenüber der synchronen Kryptographie: Die Algorithmen wie z.B. RSA sind sehr langsam. Daher eignet sich eine direkte Anwendung nicht für größere Dokumente, da Ver- und Entschlüsselung mehrere Minuten oder gar Stunden dauern können. Man behilft sich daher bei den verbreiteten Programmen wie z.B. PGP mit einer Kombination aus synchroner und asynchroner Kryptographie.

Dazu verschlüsselt Alice den Klartext mit einem sogenannten Sitzungsschlüssel in einem synchronen Verfahren (z.B. IDEA), wodurch sie einen chiffrierten Text erhält. Dann verschlüsselt Alice den verwendeten Sitzungsschlüssel mittels des asynchronen Verfahrens (z.B. RSA) mit Bobs öffentlichem Schlüssel und fügt den chiffrierten Sitzungsschlüssel dem chiffrierten Text bei.

Bob erhält also einen mit einem synchronen Verfahren chiffrierten Text und einen mit einem asynchronen Verfahren chiffrierten Schlüssel dazu. Bob muss nun zunächst den Sitzungsschlüssel entschlüsseln, wozu er seinem privaten Schlüssel verwendet. Dies geht sehr schnell, da der Schlüssel nicht lang ist. In der Regel besteht ein Schlüssel aus 128 Bit, d.h. lediglich 16 Zeichen. Danach kann Bob mittels des Sitzungsschlüssels den chiffrierten Text in den Kla rtext umwandeln.

Bei den verbreiteten Programmen wie PGP geschieht all dies im Hintergrund, der Benutzer muss sich also nicht weiter um die Handhabung des Sitzungsschlüssels kümmern.

2.3 Versuch einer staatlichen Kontrolle der Kryptographie

2.3.1 Die Diskussion um eine Kryptoregulierung

Seit Kryptographie, und insbesondere sehr sichere Verfahren (starke Kryptographie), weite Verbreitung gefunden haben, durch öffentliche Forschung und die Verbreitung geeigneter Software über das Internet, hat sich ein Konfliktfeld zwischen Ermittlungsbehörden und Datenschützern aufgetan. Die sogenannten Bedarfsträger, das sind Bundesnachrichtendienst, Verfassungsschutz, Militärischer Abschirmdienst, Bundeskriminalamt und die entsprechenden Behörden der Länder, äußern die Befürchtung, dass es durch den Siegeszug der Kryptographie erhebliche Schwierigkeiten bei der Bekämpfung von organisierter Kriminalität und Terrorismus geben wird.

Der Präsident des Bundesamtes für Verfassungsschutz, Peter Fritsch, sagte dazu in der Hannoverschen Allgemeinen Zeitung vom 18.12.1996, er würde über das Multimediagesetz hinaus "ein Krypto-Gesetz sehr begrüßen, das es den Sicherheitsbehörden ermöglichen würde, verschlüsselte Botschaften in den elektronischen Datennetzen mitzulesen." Andernfalls müsse der Staat "hilflos zusehen,

Seite 12

wenn Extremisten auf diesem Weg zu Gewalt aufrufen". Im SPIEGEL vom 17.03.1997 mahnt er erneut: "Wir müssen verschlüsselte Botschaften lesen können." 9

2.3.2 Kryptoverbot

Die Extremposition in dieser Frage ist sicherlich die gelegentlich geäußerte Forderung nach einem Verbot der Kryptographie, oder zumindest der starken Kryptographie. In Frankreich war der Einsatz von Kryptographie von 1990-1996 de facto verboten, nunmehr ist Verschlüsselung unter der Maßgabe zulässig, dass Behörden die Nachrichten bei Bedarf entschlüsseln können. Werner Paul, Sachgebietsleiter Computerkriminalität beim Bayerischen LKA, behauptet: "Die ganz heißen Geschäfte wie Waffen- oder Rauschgifthandel laufen nicht mehr über Telefon, sondern werden verschlüsselt über die weltweiten Datennetze abgewickelt." Von einem Kryptoverbot hält er jedoch nichts: Es sei wohl "irrelevant": Wenn jemand eine Straftat begehen wolle, werde er sich "davon auch nicht abhalten lassen, weil es ein Gesetz gibt, dass die Verschlüsselung verbietet" (SPIEGEL special 3/1997, S. 100ff.) 10

Damit äußert Werner Paul ein wesentliches Argument der Datenschützer, die sich vehement gegen ein Verbot oder eine strenge Reglementierung der Kryptographie aussprechen. Ein solches Verbot hindere nach dieser Auffassung nur die gesetzestreuen Bürger daran, ihre Kommunikation zu sichern, die organisierte Kriminalität lasse sich dagegen nicht abschrecken.

Auch das Risiko, beim Einsatz verbotener kryptographischer Produkte erwischt zu werden, ist gering. Eine Möglichkeit ist z.B. der Einsatz der sogenannten Steganographie. Dabei werden chiffrierte Texte in anderen Daten versteckt, z.B. in Bild- oder Audiodateien oder sogar in anderen Texten. Der Empfänger kann die geheime Botschaft lesen, für Außenstehende lässt sich nicht einmal ihre Existenz erahnen, erst recht nicht nachweisen. Auch hierfür existiert bereits geeignete Software, die aus dem Internet bezogen werden kann.

Des weiteren kann man bei Einsatz starker Kryptographie nicht beweisen, dass eine Zeichenfolge wirklich ein chiffrierter Text ist. Gerade dadurch, dass bei der Verschlüsselung ein Klartext in möglichst zufällig aussehende Zeichenfolgen überführt wird, kann man keinen Unterschied zu tatsächlich zufällig entstandenen Daten oder Datenmüll erkennen. Damit ist eine Durchsetzbarkeit eines solchen Verbotes nicht gegeben.

⁹ aus: Keller, Susanne: Elektronische Unterschrift: Rechtliche Bedeutung, gesetzliche Regelungen, Zürich 1997,

S. 11f.

¹⁰ Keller aaO

Seite 13

Aus den gleichen Gründen muss auch ein Versuch scheitern, nur starke Kryptographie zu verbieten, bestimmte, mit geeigneter Ausstattung zu brechende Verfahren jedoch zuzulassen.

2.3.3 Key Recovery

Eines der diskutierten Verfahren, sicherzustellen, dass Strafverfolgungsbehörden und andere Bedarfsträger Zugriff auf verschlüsselte Daten erlangen können, ist das sogenannte Key Recovery. Dabei wären kryptographische Anwendungen nur erlaubt, wenn die Benutzer ihre Schlüssel so hinterlegen, dass staatliche Stellen darauf Zugriff haben (z.B. im Trust Center). Diese könnten dann im Bedarfsfall vom Benutzer unbemerkt Nachrichten entschlüsseln.

Geeignet wäre eine solche Regelung allerdings nur, wenn sie technisch durchführbar ist. Ein Aufbau eines umfassenden Systems zur Key Recovery könnte sich als nicht umsetzbar erweisen. Doch selbst, wenn die Probleme im Zusammenhang mit einer enormen Zahl von zu hinterlegenden Schlüsseln lösbar sein sollten, sind von einer solchen Regelung keine großen Erfolge zu erwarten. Zunächst ist hier weiterhin die Frage zu stellen, was Kriminelle von der Nutzung nicht hinterlegter Schlüssel oder nicht zugelassener Verfahren abhalten sollte. Zum anderen besteht die Möglichkeit, bereits mit einem nicht hinterlegten Schlüssel verschlüsselte Nachrichten zusätzlich mit dem hinterlegten Schlüssel zu verschlüsseln. Dadurch würde der Einsatz eines nicht hinterlegten Schlüssels verschleiert.

Aber auch Sicherheitsaspekte sprechen gegen eine solche Regelung. Bei der Hinterlegung von Schlüsseldaten bei einer zentralen Behörde oder in einigen wenigen Trust Centern schafft man einen Angriffspunkt. Für ausländische Geheimdienste, Konzerne oder die Organisierte Kriminalität wäre der Nutzen des Ausspähens dieser Schlüsseldaten enorm. Daher ist mit großen Gefahren für die Sicherheit der Daten in den Hinterlegungsstellen zu rechnen, z.B. durch Bestechung, aber auch durch Bedrohung des Personals und der Familienmitglieder. Ergebnis einer Ausspähung von Schlüsseldaten könnten gewaltige wirtschaftliche Schäden, aber auch Bedrohung der inneren und äußeren Sicherheit sein.

2.3.4 Fazit

Die angesprochenen Maßnahmen zur Kontrolle von Kryptographie dienen dem öffentlichen Interesse der Kriminalitätsbekämpfung. Demgegenüber steht jedoch stets ein Eingriff in Grundrechte der Bürger, hier vor allem Art. 10 GG (Fernmeldegeheimnis). Soweit gar ein Verbot bestimmter Verfahren ausgesprochen wird, käme auch ein Eingriff in Art. 12 GG (Berufsfreiheit) in Betracht.

Seite 14

Die Einführung eines Systems zur Hinterlegung von Schlüsseldaten ist aus den angesprochenen Gründen nur sehr beschränkt geeignet, die Zielsetzung zu erreichen, da es leicht unterla ufen werden kann. Die entgegenstehenden Sicherheitsbedenken allein sollten schon dazu führen, dass der Gesetzgeber von einem solchen Versuch absieht.

Prüft man die Angemessenheit der erwähnten Maßnahmen, so stellt sich heraus, dass das Mittel, das am wenigsten stark in die Grundrechte der Bürger eingreift, die Einführung von Key Recovery, als nur wenig geeignet anzusehen ist. In Anbetracht der Tatsache, dass den Interessen der Strafverfolgung und der öffentlichen Sicherheit kein genereller Vorrang gegenüber dem Fernmeldegeheimnis zukommt (vgl. § 100a StPO) und die Nachteile einer solchen Regelung gravierend sind, ist diese Maßnahme daher als unverhältnismäßig zu verwerfen. 11

Dies gilt umso mehr für die weitergehenden Maßnahmen eines teilweisen oder völligen Verbotes von Kryptographie. Auch diese sind nicht in höherem Maße geeignet, das Ziel zu erreichen, stellen aber einen noch schwereren Eingriff in Grundrechte dar. Die Aushöhlung des Fernmeldegeheimnisses und die Beschränkung der Berufsfreiheit gewerblicher Anbieter von kryptographischen Produkten lässt sich daher nicht rechtfertigen.

Die Bundesregierung handelt also insofern richtig, als sie, nach den langen Debatten der vergangenen Jahre, derzeit keine gesetzliche Beschränkung der Kryptographie plant. Damit bestehen auch keine Beschränkungen für die Wirtschaft, die durch Entwicklung neuer Sicherheitssoftware ein wichtiges Marktsegment der Zukunft erobern kann.

III. Digitale Signatur

3.1 Eigenhändige Unters chrift und Digitale Signatur

Eigenhändige Unterschriften werden seit langem als Beweis für die Urheberschaft eines Dokumentes oder zumindest des Einverständnisses mit seinem Inhalt verwendet.

Nach der Definition des Brockhauses ist eine Unterschrift im Allgemeinen der Namenszug, im Recht der zum Zeichen des Einverständnisses mit dem Inhalt unter eine Urkunde gesetzte, eigenhändig geschriebene Name einer Person. Abkürzungen werden nicht als Unterschrift angesehen. Zwar ist es nicht erforderlich, dass eine Unterschrift lesbar ist, sie muss aber individuelle Züge tragen. Soweit vom Gesetz nicht als Ausnahme zugelassen, sind nicht eigenhändig vollzogene Unterschriften, z.B. Stempel-Unterschriften keine Unterschriften. Blanko-Unterschriften. sind zwar zulässig, aber die

¹¹ Kopp aaO S. 40f.

Seite 15

abredewillige Ausfüllung des Blanketts berechtigt zur Anfechtung. Keine beweiskräftige Unterschriften ist die "Oberschrift". 12

Bei eigenhändigen Unterschriften unterscheidet man zwischen 5 Funktionen, an denen sich die Digitale Signatur messen lassen muss:

a) Abschlussfunktion:

Eine Unterschrift bezeichnet den Abschluss einer Willenserklärung und beendet damit das Entwurfsstadium des Dokuments. Hier stellt die digitale Signatur einen Gewinn dar: Da sie aus den Zeichen des Dokuments resultiert, ist eine nachträgliche Veränderung der signierten Daten feststellbar.

b) Warnfunktion:

Sie soll den Unterzeichner vor Übereilung schützen und erfüllt damit eine für einige Willenserklärungen konstitutive Warnfunktion. Diese erbringt eine digitale Signatur nicht direkt, sondern nur bei geeigneter Gestaltung der Anwendung (zum Beispiel eine Rückfrage des Programms, die ein Innehalten des Signierers erzwingt ).

c) Echtheits- und der Identitätsfunktion:

Sie sollen die Herkunft einer Erklärung und die Identität des Ausstellers beweisen. Hier bereitet es Schwierigkeiten, dass die Fähigkeit des 'Unterschreibens' mit digitaler Signatur nicht mehr unlöslich an die Person gebunden ist, sondern 'delegiert' werden kann. In Pilotversuchen kam es vor, dass Vorgesetzte zu ihrer Entlastung Chipkarte und PIN ihren Mitarbeitern aushändigten und jene damit ermächtigten, beliebige Dokumente in ihrem Namen zu unterschreiben. 13

d) Beweisfunktion:

Im Streitfall soll eine Unterschrift eine Beweisführung vor Gericht vereinfachen. Ein Blick in die Zivilprozessordnung (ZPO), in der Fragen der Beweislast (Wer muss eine behauptete Tatsache beweisen?), zulässige Beweismittel und spezielle gesetzliche Beweisregeln festgelegt sind, zeigt den hohen Rang eigenhändiger Unterschriften. Inwieweit Digitale Signaturen hie rbei die Vorraussetzungen erfüllen, wird sich zeigen, wenn sich erste Gerichtsurteile mit diesem Thema beschäftigen. Die rechtlichen Grundlagen wurden jedoch bereits im Signaturgesetz und in der Signaturverordnung gelegt.

¹² siehe Brockhaus Enzyklopädie, 19. Auflage, Band 20, S. 678

¹³ vgl. Dirk Fox, Automatsche Autogramme, c´t 10/95, S. 278 ff

Seite 16

Mittlerweile sollte klar sein, dass man unter Digitaler Signatur nicht das Kopieren einer Grafik-Datei mit der Unterschrift des Signierenden versteht. Selbst wenn es eine "ausgefallene" Unterschrift wäre, so ist es doch trivial, sie durch copy & paste zwischen 2 Dokumenten zu bewegen. Das bloße Vor-handensein einer solchen Unterschrift bedeutet noch gar nichts. Zudem wäre es ein leichtes, das unterzeichnete Dokument nach dem Unterschreiben nachträglich zu ändern. Deshalb beschäftigt sich das nächste Kapitel mit der technischen Umsetzung Digitaler Signaturen.

3.2 Technische Seite Digitaler Signaturen

3.2.1 Arten

Die technische Umsetzung Digitaler Signaturen hat viel mit den Verfahren der Kryptographie gemein. Daher wird in diesen Ausführungen, wenn überhaupt, nur am Rande auf Kryptosysteme eingegangen. Wie auch bei der Kryptographie gibt es hierbei symmetrische Verfahren (mit einem Schlüssel und einem vertrauenswürdigen Vermittler [Trent]) und asymmetrische Verfahren mit einem öffentlichen (public key) und einem privaten (private key) Schlüssel. Da die symmetrische Signatur jedoch sehr zeitaufwendig ist, wird auf sie kaum zurückgegriffen. Bei asymmetrischen Signatursystemen unterscheidet man zwischen 2 Typen:

• Unterzeichnen von Dokumenten mit Public -Key-Kryptographie

• Unterzeichnen von Dokumenten mit Public -Key-Kryptographie und Einweg-Hashfunktionen 3.2.1.1 Unterzeichnen von Dokumenten mit Public-Key-Kryptographie

Grundlagen des Protokolls: 14

1. Alice chiffriert das Dokument mit ihrem privaten Schlüssel, wodurch sie das Dokument unterzeichnet.

2. Alice sendet das unterzeichnete Dokument an Bob.

3. Bob dechiffriert das Dokument mit Alices öffentlichem Schlüssel, wodurch er die Echtheit der Unterschrift überprüft. Lässt sich die Nachricht nicht von Bob dechiffrieren, so weiß er, dass die Nachricht nicht von Alice kam.

Für längere Dokumente ist diese Methode jedoch nicht sonderlich effektiv. Sie ist langsam und produziert eine große Datenmenge., mindestens das Doppelte der ursprünglichen Dateigröße. Eine Verbesserung wird durch Hinzufügen einer Einweg-Hash-Funktion erzielt.

3.2.1.2 Unterzeichnen von Dokumenten mit Public-Key-Kryptographie und Einweg-

Hashfunktionen

Hash-Funktionen sind ein zentraler Bestandteil der modernen Kryptographie. Unter einer Hash-Funktion versteht man in der Informatik eine mathematische Funktion, die einen Eingabestring variabler Länge, beispielsweise den Text eines Dokuments, in einen meist bedeutend kürzeren Ausgabestring fester Länge (den sog. Hash-Wert) umwandelt. Sie haben den Zweck, eine Art einmaligen Fingerabdruck der Datei zu erzeugen

In der Kryptographie verwendet man sog. Einweg-Hashfunktionen, also Funktionen, die nur in eine Richtung funktionieren, was bedeutet, dass es zwar einfach i st, zu einem beliebigen Dokument den Hash-Wert zu erzeugen, es aber unmöglich ist, aus dem Hash-Wert wieder das Dokument zu rekonstruieren. Des weiteren ist es hierbei nahezu unmöglich, zwei Nachrichten mit dem gleichen Hash-Wert zu erzeugen. 15

¹⁴ siehe Bruce Schneier, Angewandte Kryptographie - Protokolle, Algorithmen und Sourcecode in C, Seite 44

¹⁵ Die Wahrscheinlichkeit, für zwei Dokumente denselben 160 Bit langen Hashwert zu erhalten, liegt bei

1 zu 2 ¹⁶⁰ , also einer Zahl mit 48 Nullen.

Seite 18

Abbildung 6: Unterzeichnen von Dokumenten mit Public -Key-Kryptographie und Einweg-Hashfunktionen Grundlagen des Protokolls: ¹⁶ 1. Alice berechnet den Einweg-Hashwert des Dokuments.

2. Alice chiffriert den Hashwert mit ihrem privaten Schlüssel, wobei sie das Dokument unterzeichnet.

3. Alice sendet das Dokument und den signierten Hashwert an Bob.

4. Bob erstellt den Einweg-Hashwert des von Alice gesendeten Dokuments. Mit Alices öffentlichem Schlüssel und dem Algorithmus des für elektronische Unterschriften dechiffriert er den signierten Hashwert. Stimmt dieser mit dem von ihm generierten Wert überein, ist die Unterschrift gültig. Stimmt er nicht mit ihm überein, stammt das Dokument entweder nicht von Alice oder es wurde auf dem Übertragungswert verändert.

3.2.2 Zeitstempel

Im Protokoll des Unterzeichnens von Dokumenten mit Public -Key-Kryptographie liegt jedoch die Gefahr, dass Alice von Bob betrogen wird. So könnte Bob das signierte Dokument mehrfach verwenden. Was bei normalen elektronischen Briefen harmlos klingt, könnte beispielsweise bei unterschriebenen elektronischen Schecks problematisch werden. So könnte Bob einen von Alice unterzeichneten Scheck einfach kopieren und ihn mehrfach bei der Bank geltend machen. Da digitale Kopien nicht

¹⁶ siehe Bruce Schneier, Angewandte Kryptographie - Protokolle, Algorithmen und Sourcecode in C, Seite 45

Seite 19

vom Original zu unterscheiden sind, würde der Betrug funktionieren. Digital signierte Dokumente enthalten deshalb häufig einen sogenannten Zeitstempel.

An das Dokument werden einfach Datum und Uhrzeit der Unterschrift angehangen und diese Informationen zusammen mit dem Dokument unterzeichnet. Beim ersten Einlösen des elektronischen Schecks speichert die Bank eine Kopie des Schecks in einer Datenbank. Versucht Bob nun erneut, den Scheck einzulösen, wird die Bank dies bemerken. Sie vergleicht den Scheck mit dem in ihrer Datenbank vorhandenen Scheck und wird feststellen, dass er zum gleichen Zeitpunkt unterschrieben wurde und der Scheck bereits ausgezahlt wurde. Nun hat Bob nichts mehr zu lachen.

IV. Digitale Zertifikate

4.1 Allgemeines

Wie bereits vorhin angesprochen, ist eine der wichtigsten Funktionen der Unterschrift die des Identitätsnachweises des jeweiligen Unterzeichners.

Durch Digitale Signatur kann man zweifellos die Echtheit eines signierten Dokuments bestimmen, allerdings nicht zwangsläufig die Echtheit des verwendeten Schlüssels.

Da die Schlüssel meist über öffentliche (Internet) oder zumindest halb-öffentliche Netzwerke (Intranet mit einer Verbindung nach "draußen") ausgetauscht werden, besteht die Möglichkeit eines Schlü sselabfangens durch einen Dritten. Bei der Verwendung eines Signatursystems mit öffentlichen Schlüsseln ist es daher extrem wichtig, dass der zur Verifizierung verwendete Schlüssel tatsächlich dem Absender gehört und keine Fälschung ist. Bei Schlüsselaustausch mit bekannten Personen mag dies kein Problem darstellen, wohl aber, wenn man mit einer Person, der man noch nie zuvor begegnet ist, Daten austauschen möchte. ¹⁷ Eine Lösung für dieses Problem bieten Digitale Zertifikate. Auf diese und ihre Vertrauenswürdigkeit soll in diesem Abschnitt eingegangen werden.

4.2 Aufbau eines Zertifikates

Ein Digitales Zertifikat ist Identitätsnachweis, quasi eine Art Personalausweis im Internet. Wie ein Personalausweis enthält auch ein Digitales Zertifikat Informationen, die die Identität nachweisen, sowie eine Beglaubigung einer Einrichtung, die die Identität bestätigt (sozusagen eine Art Dienstsiegel).

¹⁷ vgl. Zimmermann, Phil: Handbuch zu "Pretty Good Privacy", Version 6.5.1 Int, Seite 13

Seite 20

Grundsätzlich besteht ein Digitales Zertifikat also aus den folgenden Bestandteilen:

Mit der Digitale Signatur eines vertrauenswürdigen Dritten wird allerdings nicht die Echtheit des gesamten Zertifikats beglaubigt, sondern vielmehr das Zusammengehören der Zertifikationsdaten zum öffentlichen Schlüssel.

4.3 Vertrauensmodelle

4.3.1 Vorbemerkung

Ob ein Digitales Zertifikat genauso vertrauenswürdig wie ein "realer" Personalausweis ist, hängt von der Frage ab, wer es ausstellt bzw. signiert. Ein Personalausweis, den man sich selber ausstellt, oder der vom Edeka-Markt um die Ecke ist, ist weniger vertrauenswürdig als ein Personalausweis, der vom Einwohnermeldeamt ausgestellt worden ist. Je nach dem, wer das Zertifikat ausstellt, hat es unterschiedliche Beweiskraft.

Man unterscheidet zwischen 3 verschiedenen Modellen, die jeweils davon abhängen, welches Vertrauen man dem Signierer des Zertifikates entgegenbringt ¹⁸ :

Jedes dieser 3 Verfahren benötigt eine unterschiedliche Infrastruktur der Schlüsselverwaltung, auch Publik-Key-Infrastruktur (oder kurz: PKI) genannt. Unter Infrastruktur versteht man hier die frage, ob für die Schlüsselverwaltung zentrale Server benötigt werden, auf denen die Zertifikate gespeichert sind Ein wichtiges Merkmal der PKI ist die Durchsetzbarkeit einer sogenannten Policy. Dazu zählen konsequente Sicherheitsstandards (Aufbewahrung von Schlüsseln, Passwortrichtlinien, u.ä.) und strikte Richtlinien für den Umgang und die Verwendung der Schlüssel (welche Voraussetzungen muss ein Antragsteller für ein Zertifikat erfüllen, wer darf die Schlüssel signieren, wer erhält Zugang zu den

¹⁸ daher der Begriff Vertrauensmodelle

Seite 21

Schlüsseln). Des weiteren muss sich bei Verlust oder Kompromittierung des Schlüssels derselbe auch wieder einfach sperren lassen können.

4.3.2 Direct Trust (Direktes Vertrauen)

Dies ist das einfachste Vertrauensmodell. Jeder Anwender signiert hierbei sein eigenes Zertifikat. Wie bei einem Personalausweis, der von derjenigen Person selbst ausgestellt wird, hat diese Vertrauensmodell keinerlei Beweiskraft. Daher wird bei diesem Modell meist komplett auf Zertifikate verzichtet. Das Vertrauen in diese Schlüssel beruht auf der bekannten Herkunft. Will Alice wirklich sicher sein, dass sie Bobs öffentlichen Schlüssel hat, so muss sie ihn sich persönlich von Bob besorgen. Die Übergabe des Schlüssels kann hierbei über das Internet erfolgen, die Überprüfung des Schlüssels auf seine Authentizität jedoch nicht. 19

Mag dieses Verfahren bei einer kleinen Benutzergruppe im Bekanntenkreis noch praktikabel sein, so ist sie es bei unbekannten oder weit entfernten Personen nicht. Außerdem wird der Verwaltungsauf-wand für die jeweiligen Benutzer umso größer, je mehr Benutzer an diesem verfahren teilnehmen, da die Schlüssel vom jeweiligen Benutzer selbst verwaltet werden.

Direct Trust benötigt so gut wie keine Infrastruktur. Jeder Teilnehmer benötigt nur eine Verschlüsselungslösung, die den Import und Export von Schlüsseln erlaubt.

Sicherheitsrichtlinien (Policies) lassen sich beim Modell des Direct Trust nur schwer durchsetzen. Wer bei diesem Modell wem vertraut, entzieht sich weitgehend der Kontrolle. Das sich aufgrund der Selbstverwaltung der Schlüssel bei dem jeweiligen Benutzer dieselben nicht von heute auf morgen aus dem Verkehr lassen ziehen, wird die Sperrung eines kompromittierten Schlüssels unnötig bis sehr stark erschwert.

¹⁹ Bei der Authentifizierung wird der sogenannte Fingerprint des Schlüssels, eine Art Hash-Funktion, überprüft.

Dies kann beispielsweise über Telefon erfolgen.

Seite 22

Direct Trust wird auch der Rechtssprechung nach nicht als vertrauenswürdig angesehen, da jeder Benutzer nach eigenem wohlwollen Schlüsselpaare erstellen und verteilen kann.

4.3.3 Web of Trust (Netz des Vertrauens)

Ein besseres Verfahren als Direct Trust ist das sogenannte Web of Trust. Hierbei darf jeder Benutzer Zertifikate des anderen signieren. ²⁰ Da mit den Schlüsseln der Zertifikate wiederum signiert werden kann, entsteht eine Kette von Zertifikaten.

Angenommen, Alice möchte überprüfen, ob das Zertifikat von Carol wirklich ihr gehört. Dazu fordert sie Carols Zertifikat an. Dieses Zertifikat ist von Bob signiert. Da Alice Bobs Schlüssel kennt und ihm vertraut (dies ist Voraussetzung), weiß sie, das Carols Zertifikat wirklich Carol gehört. Eine spezielle Infrastruktur ist für das Web-of-Trust-Modell nicht zwingend erforderlich, jedoch gibt es meist einen zentralen Server, der die Zertifikate aller Benutzer verwaltet und sie für sie zur Verfügung stellt.

Es ist sehr schwierig, bei diesem Modell gewisse Richtlinien für die Signierung von Zertifikaten durchzusetzen, da die Signierung dezentral durch die Beteiligten erfolgt. Den hohen Sicherheitsstandart, den eine Person in die Signierung von Zertifikaten verlangt, ist einer anderen Person eher egal. Sie signiert beispielsweise alle Zertifikate, "die ihr über den Weg laufen". Ein anderes Problem entsteht bei der Kompromittierung eines Schlüssels und der damit verbundenen Sperrung des Zertifika-

²⁰ DieÜbergabe und Überprüfung des Zertifikats von Carol durch Bob verläuft wie beim Direct Trust, also

durch Vergleich des Fingerprints und der Schlüssellänge auf einem anderen Nachrichtenkanal als dem Internet.

Seite 23

tes. Geht der private Schlüssel einer Person verloren oder wird aufgedeckt, so muss die Person dies allen Benutzern des Web of Trust mitteilen. Ob diese Mitteilung jedoch überall ankommt, ist fraglich, und selbst wenn dies der Fall wäre, so ist noch nicht sichergestellt, dass alle anderer Benutzer dies beachten.

4.3.4 Hierarchical Trust (Hierarchisches Vertrauen)

4.3.4.1 Vorbemerkungen

Hierarchical Trust ist das wohl anspruchsvollste und leistungsfähigste Vertrauensmodell. Die Digitalen Zertifikaten werden hier von einer unabhängigen, zentralen und vertrauenswürdigen Stelle signiert. Diese Zertifizierungsstelle wird Zertifizierungsinstanz (Certification Authority, kurz CA) genannt. Sie erstellt die Schlüssel und signiert diese mit ihrem eigenen Schlüssel. Vertrauenswürdige Stellen wären zum Beispiel Behörden oder Unternehmen. Grundsätzlich kann man sagen, dass das Zertifikat um so vertrauenswürdiger ist, je vertrauenswürdiger die Zertifizierungsstelle ist. Signiert etwas eine staatliche Behörde ein Zertifikat, bekommt es dadurch eine ähnliche Stellung wie ein Ausweis.

4.3.4.2 Arten des Hierarchical Trust 21

Bei Hierarchical-Trust-Modell unterscheidet man zwischen verschiedenen Varianten. Der Grundtyp des Hierarchical Trust ist die flache oder einstufige Zertifizierungshierarchie. Jeder Benutzer ist hier bei der selben CA registriert (vgl. Abb. 5)

²¹ vgl. Matthias Niesing, Klaus Schmeh - Schlüssel des Vertrauens, c´t Heft 04/2001, S. 225 ff

Seite 24

Eine weitere Form ist das mehrstufige Zertifizierungshierarchische (siehe Abb. 6). Jeder Benutzer ist hierbei nur bei einer einzelnen CA registriert. Die Zertifikate der einzelnen CA selbst (also die "Ausweise" der CAs) sind von einer übergeordneten Stelle, der sogenannten Wurzel-Zertifizierungsinstanz (Root-Certification-Authority, kurz Root-CA) signiert. Alle Digitalen Zertifikate der Nutzer lassen sich daher, unabhängig bei welcher CA sie registriert sind, auf die Root-CA zurückführen.

Stellen sich zwei Zertifizierungsinstanzen gegenseitig Digitale Zertifikate aus, also ohne den Umweg über eine Wurzel-CA, spricht man von Crosszertifizierung.

Daneben gibt es noch das sogenannte Web-Modell, bei dem viele unabhängige Zertifizierungsinstanzen nicht durch eine Crosszertifizierung miteinander verbunden sind.

4.3.4.3 Anforderungen an das Hierarchical-Trust-Modell

Neben der Zertifizierungsinstanz (CA), die sich, wie bereits beschrieben, um die Erstellung und Signierung der Schlüssel kümmert, gibt es beim Hierarchical-Trust-Modell notwendigermaßen eine weitere Instanz: die Registrierungsinstanz.

Die Registrierungsinstanz (Registration Authority, kurz RA) erfüllt die Aufgabe, die in der "realen Welt" dem Einwohnermeldeamt zukommen würde. Möchte eine Person ein ihren öffentlichen Schlü ssel von der jeweiligen Zertifizierungsstelle signieren lassen, so wird zunächst von der Registrierungsinstanz die Identität des Antragstellers geprüft. Meist muss sich dieser hierfür durch Vorlage seines Personalausweises identifizieren.

Seite 25

Um das Hierarchical-Trust-Modell für den Benutzer zu vereinfachen, ist es notwendig eine Datenbank für die Benutzer einzurichten, die es ihnen ermöglicht, Digitale Zertifikate zu übermitteln und abzurufen. Diese Datenbank wird Schlüsselserver (Certificate Server oder Cert Server, kurz CS) genannt ²² . Zusammengefasst werden diese 3 Dienste zumeist als Trust-Center bezeichnet, wobei die Registrierungsinstanz auch räumlich ausgelagert sein kann.

Das Hierarchical-Trust-Modell unter Verwendung von Trust-Centern dient unter anderem der Zentralisierung der verschiedenen Dienste. Daraus ergeben sich einige Vorteile. So lassen sich im hierarchischen Vertrauensmodell die sogenannten Policies besser als in den anderen Modellen durchsetzen. Da es eine zentrale Stelle für die Ausstellung von Zertifikaten gibt, kann der Betreiber des Trust-Centers feste Richtlinien festlegen, welche Voraussetzungen für die Ausstellung vorliegen müssen. Diese Voraussetzungen sind für jeden gleich, daher sind hier auch alle Zertifikate gleicht hoch vertrauenswürdig.

Die Verpflichtung der Benutzer des Trust-Centers, die Zertifikate auf ihre Gültigkeit zu überprüfen und die Zentralität, die durch den einen Schlüsselserver garantiert wird sorgt dafür, dass sich Sperrungen von Schlüsseln sehr leicht durchsetzten lassen.

Der wahrscheinlich größte Vorteil liegt jedoch darin, dass von Trust-Centern ausgestellte Digitale Zertifikate eine sehr hohe (auch rechtliche) Beweiskraft haben. Da eine persönliche Identifizierung verlangt wird ist es sehr schwierig für jemanden, seine Unterschrift abzustreiten. Ein Nachteil des hierarchischen Vertrauensmodells ist die Kostenfrage. Die Unterhaltung von Zertifizierungs- und Registrierungsinstanzen, sowie die Unterhaltung der Schlüsselserver ist sehr kostenintensiv. diese Kosten werden auf die Teilnehmer des Systems weitergegeben, indem die Zertifikate verkauft werden. Die Preise für Digitale Zertifikate liegen pro Jahr bei ca. 50,- bis 60,- DM. ²³ Da sich der technische Fortschritt mit rasender Geschwindigkeit entwickelt ²⁴ , besteht die Gefahr, das möglicherweise heute noch sichere Schlüssel es morgen nicht mehr sind. Deshalb enthalten Digitale Zertifikate häufig Informationen über den Gültigkeitszeitraum. Ist dieser Gültigkeitszeitraum abgela ufen, überprüft die Zertifizierungsstelle nach Ablauf der Gültigkeit die Zertifikate auf Schwachstellen und eventuelle Kompromittierungsmöglichkeiten. Sollte das alte Zertifikat noch sicher sein, signiert es die Zertifizierungsstelle erneut, falls nicht, wird ein neues Zertifikat erstellt. Nach §7 SigVO von 1997 darf die Gültigkeit eines Zertifikates 5 Jahre nicht überschreiten.

²² vgl. Zimmermann, Phil: Handbuch zu "Pretty Good Privacy", Version 6.5.1 Int, Seite 15

²³ Übersicht: Matthias Niesing, Klaus Schmeh - Schlüssel des Vertrauens, c´t Heft 04/2001, S. 230

²⁴ Faustregel: Verdoppelung der Rechenleistung alle 18-24 Monate

Seite 26

4.4 Signaturgesetz (SigG) und -verordnung (SigVO)

4.4.1 Einleitung

Im Gegensatz zur Verschlüsselung, die weitgehend ungeregelt verbleibt, hat sich bei der zweiten wichtigen Anwendung der Kryptographie, der sogenannten "digitalen Signatur" in den letzten fünf Jahren erhebliche Gesetzgebungsaktivität entfaltet. In Artikel 3 des Gesetzes zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste (Informations- und Kommunikationsdienste-Gesetz, IuKDG) vom 22. Juli 1997 ²⁵ ist das Gesetz zur digitalen Signatur (Signaturgesetz, SigG) enthalten, das am 1. August 1997 in Kraft getreten ist. Eine Neufassung des Signaturgesetzes, dass hauptsächlich zur Umsetzung einer EU-Richtlinie ²⁶ dient, aber auch die Erfahrungen mit dem alten Gesetz berücksichtigen soll, wurde am 15.02.2001 vom Bundestag beschlossen. Die Verordnung zur digitalen Signatur (Signaturverordnung, SigVO) vom 8. Oktober 1997, die auf-grund des § 16 SigG vom 22. Juli 1997 beschlossen wurde und in der technische Vorschriften sowie Verfahrens- und Kostenregelungen enthalten sind, muss daher nun überarbeitet und der neuen Rechts-grundlage angepasst werden.

4.4.2 Inhalt der Regelungen

Der Zweck des Signaturgesetzes ist es nach § 1 Abs. 1, "Rahmenbedingungen für digitale Signaturen zu schaffen, unter denen diese als sicher gelten und Fälschungen digitaler Signaturen oder Verfälschungen von signierten Daten zuverlässig festgestellt werden können". Es wurden mit Einführung des Signaturgesetzes keine Änderungen im Beweisrecht oder bei den Vorschriften über die Schriftform vorgenommen, d.h. die digitale Signatur ist der gesetzlichen Schrift-form nach § 126 BGB nicht gleichgestellt.

Durch die Verwendung von digitalen Signaturen soll zunächst das notwendige Vertrauen in diese Technik geschaffen werden, damit sie im Rechtsverkehr akzeptiert wird und Gerichte ihr im Rahmen der freien Beweiswürdigung die nötige Beweiskraft zuerkennen können. Später sollen in bestimmten Fällen, in denen heute die Schriftform verlangt wird, auch die digitale Signatur zugelassen sowie das Beweisrecht entsprechend geändert werden. 27

Andere Verfahren als die im SigG geregelten dürfen ebenfalls verwendet werden (§ 1 Abs. 2 SigG).

²⁵ BGBl. I S. 1870

²⁶ 1999/93/EG

²⁷ Begründung zu Art. 3 IuKDG, BT-Drs. 13/7385

Seite 27

Der hauptsächliche Regelungsinhalt des SigG betrifft die Rahmenbedingungen für die Arbeit der Zertifizierungsstellen, sogenannter Certification Authorities (CA). Zum Betrieb einer solchen Zertifizierungsstelle ist eine Lizenz erforderlich, sowie eine Zertifizierung durch die zuständige Behörde. Nach verbreiteter Auffassung ist es jedoch auch möglich, Zertifizierungsstellen ohne Lizenz zu betreiben, die dann allerdings keine Zertifikate nach dem SigG ausstellen können. Dies betrifft vor allem die Zertifizierungsstellen, die im Rahmen des ehemaligen Individual Network e.V. in einigen Städten entstanden sind. Auch das "Web of Trust", die dezentrale Zertifizierungsstruktur von PGP, fällt damit nicht unter das SigG. Allerdings wird auch die gegenteilige Auslegung vertreten, was zu gewisser Unruhe unter den Benutzern von PGP und den Betreibern der bestehenden, nicht SigG-konformen Zertifizierungsstellen führt.

Aufgabe der Zertifizierungsstelle ist es, die Identität einer Person, die ein Zertifikat beantragt, durch Überprüfung des Personalausweises festzustellen (§ 5 Abs. 1 SigG, § 3 Abs. 1 SigVO). Entweder erzeugt sie dann für den Antragssteller ein Schlüsselpaar aus privatem und öffentlichem Schlüssel (Trust Center), oder sie überzeugt sich davon, dass der vom Antragssteller mitgebrachte öffentliche Schlüssel unter Verwendung geeigneter technischer Komponenten erzeugt wurde (§ 5 SigVO). Sie stellt ein Zertifikat aus, aus dem die Identität des Antragsstellers hervorgeht, dabei sind jedoch aus Pseudonyme zulässig. Des weiteren kann sie zusätzliche Daten in das Zertifikat aufnehmen, z.B. Vertretungsvollmachten etc. (§ 5 Abs. 2 SigG). Sie hat den Antragsteller über Sicherheitsfragen zu bele hren (§ 6 SigG, § 4 SigVO).

Weiterhin enthalten SigG (1997) und SigVO sehr weitgehende Regelungen, die die Sicherheit beim Betrieb der Zertifizierungsstelle garantieren sollen.

4.4.3 Digitale Zertifikate nach dem Signatur-Gesetz

Das deutsche Signaturgesetz sieht ein zweistufiges hierarchisches Vertrauensmodell vor. Die Wurzel-Zertifizierungsinstanz (Root-CA), also für die Signierung der Schlüssel der Trust-Center selber verantwortlich, ist hierbei gemäß § 3 SigG i.V.m. § 66 Telekommunikationsgesetz (TKG) die Regulierungsbehörde für Telekommunikation und Post, kurz RegTP.

Rechtsgültige Digitale Zertifikate dürfen dabei nur von lizenzierten Trust-Centern ausgestellt werden, die einem Sicherheitskonzept, ähnlich wie im IT-Grundschutzhandbuches ²⁸ vorgegeben, entsprechen. Darin werden nicht nur detaillierte Anforderungen an die verwendete Technik und das Personal ge-

²⁸ Bundesamtfür Sicherheit in der Informationstechnik BSI - IT-Grundschutzhandbuch , Online-Version unter:

http://www.bsi.bund.de/gshb/deutsch/menue.htm

Seite 28

stellt, sondern auch die Absicherung der "Umgebung" der Zertifizierungsstellen (z.B. gegen höhere Gewalt, Organisatorische Mängel) geregelt. Diesen Ansprüchen genügen bis zum jetzigen Zeitpunkt nur 3 Stellen:

• Telesec (das Trust-Center der Deutschen Telekom)

• Signtrust (das Trust-Center der Deutschen Post)

• das Trust-Center der Bundesnotarkammer.

Andere Zertifizierungsstellen streben jedoch zur Zeit Konformität zum Signaturgesetz an.

4.4.4 Probleme des Signaturgesetzes (1997)

Mit der Festlegung, dass alle Zertifizierungsstellen von der zentralen Behörde zu zertifizieren sind, wird ein zentrales Sicherheitsrisiko geschaffen. Sollte der Schlüssel der Behörde kompromittiert werden, so ist die gesamte Zertifizierungshierarchie und damit der gesamte elektronische Rechtsverkehr gefährdet. Daneben wird auch verhindert, dass Zertifizierungsstellen in verschiedenen Städten Zweigstellen gründen können und somit eine mehrstufige Hierarchie entsteht. Es ist fraglich, ob dies zweckmäßig ist. 29

Wie schon erwähnt führt auch die teilweise vertretene Auslegung des Gesetzes, nach der auch jeder PGP-Anwender, der Schlüssel zertifiziert, eine Zertifizierungsstelle im Sinne des Gesetzes ist, zu erheblichen rechtlichen Problemen für diese Anwender.

Die nach dem Gesetz möglichen pseudonymen Zertifikate dürften im Rechtsverkehr kaum anerkannt werden, da es für Privatpersonen unmöglich ist, die Identität des Kommunikationspartners in Erfahrung zu bringen. Damit ist die Klage im Schadensfall nicht möglich.

Ein weiteres Problem ist die nicht gelöste Haftungsfrage. Nach § 278 BGB haftet die Zertifizierungsstelle gegenüber dem zertifizierten Kunden für ein Verschulden aus positiver Forderungsverletzung. Der Schlüsselinhaber muss dabei die Pflichtverletzung beweisen. Gegenüber Dritten haftet sie nur bei vorsätzlichen Manipulationen (§ 823 Abs. 2 BGB, § 831 i.V.m. § 826 BGB), dabei gelten die üblichen Exkulpationsmöglichkeiten. 30

²⁹ Kopp aaO, S. 25

³⁰ Timm in: Datenschutz und Datensicherheit 1997, 525, 526f

Seite 29

Damit ergibt sich eine Haftungslücke zumindest für Schäden aus fahrlässigem Verhalten der Mitarbeiter oder Handlungen Dritter, die bei einem anderen als dem Vertragspartner einen Vermögensschaden verursacht haben. 31

Mit das größte Problem für den Betrieb der Zertifizierungsstellen ist neben der Haftungsfrage die Einhaltung der technischen Anforderungen, da von ihnen verlangt wird, dass sie ihre Daten atombombensicher aufbewahren.

Auch für den Anwender der digitalen Signatur ergibt sich jedoch ein rechtliches Problem, dass so gravierend ist, dass von der Verwendung für Vertragsabschlüsse derzeit nur abgeraten werden kann. Ein Schlüssel kann Dritten bekannt werden. Dann ist er vom Anwender zu sperren, die Zertifizierungsstelle hat ihr Zertifikat zurückzuziehen. § 8 Abs. 1 Satz 3 SigG bestimmt, dass eine rückwirkende Sperrung eines Signaturschlüssels nicht möglich ist. Da jedoch eine Regelung fehlt, die sinngemäß enthält: "Wer die Gültigkeit einer Signatur nachweisen will, hat selbst den Beweis für Zeitpunkt der Übermittlung anzutreten.", führt diese Regelung dazu, dass der Endanwender beweisen muss, dass die mit einem kompromittierten Schlüssel erstellten Signaturen nach der Kompromittierung vom Händler erzeugt wurden. Da es einem Dritten, der an den Schlüssel gelangt, jedoch problemlos möglich ist, seine Uhr auf dem verwendeten EDV-System zurückzustellen und damit Signaturen zu erzeugen, die anscheinend vor der Sperrung des Schlüssels entstanden sind, wird er diesen Beweis nicht erbringen können.

Eine korrekte Regelung wäre hier, dem Händler die Pflicht aufzuerlegen, bei Vertragsabschluß einen Zeitstempel von einer Zertifizierungsstelle einzuholen, da dann eindeutig festzustellen ist, ob eine Signatur vor Bekanntwerden des Schlüssels erzeugt wurde und damit als gültig anzusehen ist, oder ob sie danach erzeugt wurde und somit als Fälschung gelten muss.

Auch wenn der Anwender zur Sicherheit stets selbst einen solchen Zeitstempel einholt, ist dieses Problem nicht gelöst. Dazu Lutz Donnerhacke: "Das BSI (Bundesamt für Sicherheit in der Informationstechnik, Anm. des Autors) hat mir auf explizite Nachfrage erklärt, man möge doch beim Signieren immer einen (kostenpflichtigen) Zeitstempel einholen. Auf meine Rückfrage, ob dann Signaturen ohne diesen Zeitstempel ungültig würden, war die (erwartete) Antwort: 'Nein, die sind auch gültig.'" 32

³¹ Kopp aaO, S. 30

³² news://de.comp.security.misc,

Seite 30

4.4.5 Änderungen im neuen Signaturgesetz (2001)

Das Signaturgesetz in der Fassung vom 15. Februar 2001 versucht zwei der angesprochenen Probleme zu lösen. Die technischen Anforderungen wurden erheblich zurückgeschraubt, insbesondere ist die atombombensicher Aufbewahrung nicht mehr erforderlich. Dafür wurde eine klare Haftungsregelung für die Auskunftspflicht der Zertifizierungsstelle über die zertifizierte Person sowie für Fehler bei Zertifikatausstellung oder Vergabe von Zeitstempeln geschaffen. Zusätzlich wurde eine Versicherungspflicht eingeführt, bei der die Versicherungssumme bei mindestens 500.000 DM liegen muss. Damit soll im Falle der Unmöglichkeit einer Auskunft oder Eintritt eines sonstigen Schadensfalles die Haftung gegenüber dem Geschädigten gedeckt werden. Allerdings äußern Kritiker, dass diese Versicherungssumme für kleine Zertifizierungsstellen zu groß ist (da die notwendigen Beiträge wegen des nichtkalkulierbaren Risikos faktisch unbezahlbar sind); aus Sicht des Geschädigten kann sie aber möglicherweise auch zu niedrig sein. 33

4.4.6 Fazit

Da auch in der Neufassung des Signaturgesetzes das Hauptproblem für den Anwender, die fehlerhaft festgelegte Beweislast für den Zeitpunkt der Signierung, nicht gelöst wurde, kann auf Grundlage dieses Gesetzes nicht mit einem Siegeszug der digitalen Signatur im Geschäftsverkehr gerechnet werden. Die finanziellen Risiken sind unabschätzbar hoch, eine Verwendung wäre Leichtsinn. Die Zertifizierungsstellen selbst unterliegen ebenfalls einem hohen finanziellen Risiko, daher ist damit zu rechnen, dass nur sehr wenige große Einrichtungen am Markt bestehen können. Derzeit sind dies drei.

Damit ist das deutsche Signaturgesetz tatsächlich eher ein "Signaturverhinderungsgesetz" als eine wirklich moderne gesetzliche Regelung zu Gunsten des eCommerce. Kunden sollten auf die Verwendung solcher Signaturen verzichten und bis zu einer weiteren Überarbeitung des Gesetzes, mit der die angesprochenen Probleme beseitigt werden, lieber auf andere Verfahren ausweichen - z.B. die Zahlung per Bankeinzug bei kleineren Online-Geschäften - bzw. größere Geschäfte erst gar nicht über Datennetze abwickeln.

³³ news://de.comp.security.misc, unter "Deutsche Signatur wertlos ?", <96jp21$ga$05$1@news.t-online.com>

ff

Seite 31

Literatur:

Donnerhacke, Lutz: http://www.iks-jena.de/mitarb/lutz/security/ Fox, Dirk: Automatische Autogramme, in: c´t 10/95

Keller, Susanne: Elektronische Unterschrift: Rechtliche Bedeutung, gesetzliche Regelungen, Zürich 1997

Kopp, Wolfgang: Rechtsfragen der Kryptographie und der digitalen Signatur, Unterschleißheim 1998 Leiberich, Otto: Vom diplomatischen Code zur Falltürfunktion, in: Spektrum der Wissenschaft, Juni 1999

Niesing, Matthias und Schmeh, Klaus - Schlüssel des Vertrauens, in: c´t 04/2001, Schneier, Bruce: Angewandte Kryptographie - Protokolle, Algorithmen und Sourcecode in C, Bonn 1996

Verschiedene Autoren: Cryptography FAQ, news://sci.crypt

Zimmermann, Phil: Handbuch zu "Pretty Good Privacy", Version 6.5.1 Int, http://www.pgpi.com/

Abbildungen:

Sämtliche Abbildungen, mit Ausnahme der Abbildungen 8, 9, 10 stammen aus Zimmermann, Phil: Handbuch zu "Pretty Good Privacy", Version 6.5.1 Int, http://www.pgpi.com/. Die Abbildungen 8, 9, 10 sowie die Anlagen sind selbstgefertigt.

Seite 32

Anlagen