Elektronische Zahlungssysteme - Verbreitung und Akzeptanz im B2C Bereich

Inhaltsverzeichnis

Inhaltsverzeichnis   III

  Abbildungsverzeichnis  VII

  Glossar  VIII

1  Einleitung  1

2  Technologie der Zahlungssysteme  2

2.1  Verschlüsselungsverfahren  2

2.1.1  Symmetrische Verschlüsselungsverfahren  3

2.1.2  Asymmetrische Verschlüsselungsverfahren  4

2.1.3  Hybride Verschlüsselungsverfahren  5

2.1.4  RSA  6

2.1.4.1  RSA- Algorithmus  6

2.1.4.2  RSA- Verschlüsselung  7

2.1.4.3  RSA- Entschlüsselung  8

2.1.5  Public Key Infrastructure - PKI  9

2.1.5.1  Zertifizierungsstellen  10

2.1.5.2  Kerberos  11

2.2  Authentifizierungsverfahren  12

2.2.1  Digitale Signaturen  13

2.2.2  Challenge Response  14

2.2.3  Persönliche Identifikationsnummer - PIN  15

2.3  Elektronische Zahlungssysteme mit Terminals  15

2.3.1  Electronic Cash  16

2.3.2  Point of Sale ohne Zahlungsgarantie - POZ  17

2.3.3  Elektronisches Lastschriftverfahren  18

2.3.4  Geldkarte  20

2.3.4.1  Zahlungen im Handel  21

2.3.4.2  Zahlungen im Internet  21

2.3.4.3  Verbreitung  22

2.3.4.4  Kosten  23

2.3.5  Kreditkarte  23

2.3.5.1  Technische Voraussetzungen  24

2.3.5.2  Kosten  24

2.3.5.3  Authentifizierung  25

2.4  Elektronische Zahlungssysteme im Internet  26

2.4.1  Kreditkarte  26

2.4.1.1  Secure Socket Layer - SSL  27

2.4.1.1.1  Technische Voraussetzungen und Kosten  27

2.4.1.1.2  Kommunikation  28

2.4.1.1.3  Authentifizierung  28

III

2.4.1.2  Secure Electronic Transaction - SET  29

2.4.1.2.1  Technische Voraussetzungen und Registrierung  30

2.4.1.2.2  Kommunikation  32

2.4.1.2.3  Authentifizierung  34

2.4.2  Lastschriftverfahren  34

2.4.2.1  Virtuelle Terminals  35

2.4.2.2  Automatisierte Anwendungen  36

3  Rechtlicher Rahmen  37

3.1  Elektronische Signatur  37

3.1.1  Herkömmliche elektronische Signatur  38

3.1.2  Fortgeschrittene elektronische Signatur  38

3.1.3  Qualifizierte elektronische Signatur  38

3.1.4  Beweiskraft von elektronischen Signaturen  39

3.2  Datenschutz  39

3.2.1  Grenzüberschreitender Datenaustausch  40

3.2.2  Bundesdatenschutzgesetz - BDSG  40

3.2.2.1  Begriffserklärungen  41

3.2.2.1.1  Personenbezogene Daten § 3 Abs. 1 BDSG  41

3.2.2.1.2  Dateien § 3 Abs. 2 BDSG  41

3.2.2.1.3  Datenerhebung § 3 Abs. 4 BDSG  41

3.2.2.1.4  Speichern, Verändern, Übermitteln, Löschen,  

  Sperren und Nutzen von Daten § 3 Abs. 5  6

  BDSG  42

3.2.2.1.5  Anonymisieren und Pseudonymisieren § 3 Abs.  7

  BDSG  42

3.2.2.1.6  Verantwortliche Stelle, Empfänger, Dritte § 3 Abs  

8  9 BDSG  42

3.2.2.2  Wichtige Paragraphen für elektronische Zahlungssysteme  43

3.2.2.2.1  Vorschriften für mobile Speicher- und  

Verarbeitungsmedien   43

3.2.2.2.2  Automatische Verarbeitung personenbezogener  

  Daten  44

3.2.2.2.3  Verantwortliche für die Einhaltung des  

  Datenschutzes  44

3.3  Elektronische Zahlungssysteme  44

3.3.1  Rechtsgrundlagen für Kreditkarten  45

3.3.2  Rechtsgrundlagen für Lastschriftverfahren  45

3.3.3  Rechtsgrundlagen für die Geldkarte  46

4  Wirtschaftliche Bedeutung  47

4.1  Unternehmen  47

4.1.1  Rationalisierung  48

4.1.2  Umsatzsteigerung  48

4.1.3  Kosteneinsparungen  49

4.1.3.1  Transaktionskosten  49

IV

4.1.3.2  Kostenreduzierung durch Virtuelle Terminals  50

4.1.3.3  Kosteneinsparungen durch automatisierte Prozesse  50

4.1.4  Sicherheit  51

4.1.4.1  Magnetstreifenkarten  52

4.1.4.2  Persönliche Identifikationsnummer - PIN  53

4.1.4.3  Geldkarte  53

4.1.5  Verlässlichkeit  54

4.1.6  Steigerung der Serviceleistungen  54

4.2  Kunden  55

4.2.1  Flexibilität  55

4.2.2  Verfügbarkeit  55

4.2.3  Anonymität  56

5  Akzeptanz und Affinität  57

5.1  Anforderungen an elektronische Zahlungssysteme  58

5.1.1  Verbreitung und Marktdurchdringung  59

5.1.2  Sicherheit  59

5.1.3  Zahlungszeitpunkt  59

5.1.4  Zahlungsbereich  60

5.1.5  Kosten  60

5.1.6  Anonymität  60

5.1.7  Bedienbarkeit  60

5.1.8  Geschwindigkeit  61

5.1.9  Skalierbarkeit  61

5.1.10  Stornierungsmöglichkeiten  61

5.1.11  Absicherung im Schadensfall  61

5.2  Bewertung elektronischer Zahlungssysteme  62

5.2.1  Kreditkartenzahlung  62

5.2.1.1  Verbreitung und Marktdurchdringung  62

5.2.1.2  Sicherheit  63

5.2.1.3  Zahlungszeitpunkt  64

5.2.1.4  Zahlungsbereich  64

5.2.1.5  Kosten  64

5.2.1.6  Anonymität  65

5.2.1.7  Bedienbarkeit Geschwindigkeit  65

5.2.1.8  Skalierbarkeit  65

5.2.1.9  Stornierungsmöglichkeiten  65

5.2.1.10  Absicherung im Schadensfall  66

5.2.1.11  Zusammenfassung  66

5.2.2  Lastschriftverfahren  67

5.2.2.1  Verbreitung und Marktdurchdringung  67

5.2.2.2  Sicherheit  68

5.2.2.3  Zahlungszeitpunkt  68

5.2.2.4  Zahlungsbereich  69

V

5.2.2.5  Kosten  69

5.2.2.6  Anonymität  69

5.2.2.7  Bedienbarkeit Geschwindigkeit  69

5.2.2.8  Skalierbarkeit  70

5.2.2.9  Stornierungsmöglichkeiten  70

5.2.2.10  Absicherung im Schadensfall  70

5.2.2.11  Zusammenfassung  70

5.2.3  Geldkarte  71

5.2.3.1  Verbreitung und Marktdurchdringung  71

5.2.3.2  Sicherheit  71

5.2.3.3  Zahlungszeitpunkt  72

5.2.3.4  Zahlungsbereich  72

5.2.3.5  Kosten  72

5.2.3.6  Anonymität  73

5.2.3.7  Bedienbarkeit Geschwindigkeit  73

5.2.3.8  Skalierbarkeit  73

5.2.3.9  Stornierungsmöglichkeiten  73

5.2.3.10  Absicherung im Schadensfall  73

5.2.3.11  Zusammenfassung  74

5.2.4  Vergleich elektronischer Zahlungssysteme  74

5.3  Umfrageergebnis  76

5.3.1  Aufbau der Umfrage  76

5.3.2  Ergebnisse der Umfrage  77

5.3.3  Zusammenfassung  83

6  Fazit  84

  Literaturverzeichnis  86

VI

  Abbildungsverzeichnis  

  Abbildung 1 : Symmetrische Verschlüsselung  

  Abbildung 2 : Asymmetrische Verschlüsselung  

  Abbildung 3 : Hybride Verschlüsselungsverfahren  

  Abbildung 4 : Public Key Infrastructure mit Zertifizierungsstellen  

  Abbildung 5 : Public Key Infrastructure mit Kerberos Server  

  Abbildung 6 : Digitale Signatur  

  Abbildung 7 : Challenge Response  

  Abbildung 8 : Electronic Cash, altes Logo  

  Abbildung 9 : Electronic Cash, neues Logo  

  Abbildung 10 : MASTERCARD Logo  

  Abbildung 11 : Point of Sale ohne Zahlungsgarantie Logo  

  Abbildung 12 : Elektronisches Lastschriftverfahren Logo  

  Abbildung 13 : Geldkarte Logo  

  Abbildung 14 : Geldkartenzahlung im Internet  

  Abbildung 15 : VISA Logo  

  Abbildung 16 : MASTERCARD Logo  

  Abbildung 17 : VISA/ MASTERCARD Classic  

  Abbildung 18 : VISA/ MASTERCARD Gold  

  Abbildung 19 : SET - Kundenregistrierung  

  Abbildung 20 : SET - Händlerregistrierung  

  Abbildung 21 : SET - Bestellabwicklung  

  Abbildung 22 : Aufteilung der Befragten nach Geschlecht und Alter  

  Abbildung 23 : Bekanntheitsgrad und Nutzung im Handel  

  Abbildung 24 : Bekanntheitsgrad und Internetnutzung  

  Abbildung 25 : Vorteile elektronischer Zahlungssysteme  

  Abbildung 26 : Nachteile elektronischer Zahlungssysteme  

VII

Glossar

Acquirer Vertragsunternehmen eines Händlers, welches die Kartendaten autorisiert, erfasst und Zahlungen transferiert.

Authentifizierung Verfahren zur Überprüfung der Identität, dies kann mit Hilfe von

Asymmetrische Verschlüsselungsverfahren, bei dem zwei Schlüssel verwendet Verschlüsselung werden; ein Schlüssel zum Verschlüsseln und einer zum Entschlüsseln.

B2C Kurzform von Business-to-Consumer, bezeichnet Geschäftsbeziehungen zwischen Händlern und Privatkunden.

Challenge Verfahren, bei dem die Autorisierung über persönliches Response Geheimnis erfolgt; wird unter anderem bei EC-Karten mit PIN eingesetzt.

Digitale Signatur Daten, die elektronischen Nachrichten hinzugefügt werden und der Authentifizierung dienen.

Disagio Gebühr, die ein Händler für Kartentransaktionen an Acquirer oder entsprechendes Vertragsunternehmen zahlt.

Hash- Funktion Verfahren, welches zur Komprimierung von Nachrichten und

Hybride Kombination aus symmetrischer und asymmetrischer Verschlüsselung Verschlüsselung. Eine Nachricht wird symmetrisch verschlüsselt.

Kerberos Dienst der auf einem Server aktiviert ist und die Authentifizierung

Persönliche Persönliches Geheimnis, welches aus Zahlen- und/ oder Identifikations- Buchstabenkombinationenbesteht und der Authentifizierung nummer (PIN) dient.

Public Key Methode für die Erstellung, Ausgabe und Verwaltung von Infrastructure Zertifikaten und digitalen Signaturen. (PKI)

Random Access Speicher, der lesbar, adressierbar und beschreibbar ist; speichert Memory (RAM) die Daten nur solange eine Stromversorgung vorhanden ist.

Read Only Speicher, der lesbar, aber nicht wieder beschreibbar ist. Memory (ROM)

RSA Asymmetrisches Verschlüsselungsverfahren, 1978 veröffentlicht

Secure Electronic Protokoll zur sicheren Datenübertragung im Internet, speziell für Transaction sensible Daten entwickelt. Verwendet Zertifikate bei allen (SET) Vertragspartnern und garantiert die eindeutige Identifizierung.

IX

Secure Socket Protokoll zur sicheren Datenübertragung im Internet. Vor einer Layer (SSL) Kommunikation wird eine verschlüsselte Verbindung aufgebaut, über die die Daten ausgetauscht werden.

Server Physikalische Maschine, die in einem Netzwerk Daten und Applikationen für andere Rechner zur Verfügung stellt.

Symmetrische Verschlüsselungsverfahren, bei dem ein Schlüssel für die Ver- Verschlüsselung und Entschlüsselung verwendet wird. Der Schlüssel muss im Vorfeld über ein sicheres Medium ausgetauscht werden.

Verschlüsselung Transformation einer lesbaren Nachricht (Klartext) in eine nicht

Zertifikat Öffentlicher Schlüssel, der von einer Zertifizierungsstelle ausgestellt wird und den Inhaber eindeutig identifiziert.

Zertifizierungs- Organisation,die für die Erstellung, Ausgabe und Verwaltung von stelle Zertifikaten und digitalen Signaturen zuständig ist. Auch Certificate Authority oder Trust Center genannt.

Elektronische Zahlungssysteme

1 Einleitung

Elektronische Zahlungssysteme spielen heutzutage eine entscheidende Rolle. Neben Flexibilität und Verfügbarkeit geben sie dem Kunden im B2C Bereich ein gewisses Maß an Freiheit. Mit der freien Entscheidung, aus verschiedenen elektronischen Zahlungssystemen wählen zu können, stellt sich nicht nur für Kunden, sondern auch für Händler die Frage nach dem geeignetsten Zahlungssystem. Welches der elektronischen Zahlungssysteme ist aber das sicherste und beste? Gibt es überhaupt ein bestes Zahlungssystem oder macht nur die richtige Kombination verschiedener Zahlungssysteme das beste Zahlungssystem aus? Spielt es bei der Auswahl des besten Zahlungssystems eine Rolle, ob der Händler seine Ware in einem Geschäft mit Öffnungszeiten oder über das Internet verkauft?

Mittlerweile gibt es ein breites Spektrum an verschiedenen Zahlungssystemen. Einige können sich durchsetzen, andere nicht. Warum ist dies so? Warum genießen einige Zahlungssysteme weltweite Akzeptanz und andere verschwinden eine Woche nach der Einführung wieder?

Ziel dieser Arbeit ist es, herauszufinden, welche Anforderungen ein elektronisches Zahlungssystem erfüllen muss, um weltweite Akzeptanz im B2C Bereich zu bekommen. In diesem Rahmen werden klassische elektronische Zahlungssysteme vorgestellt, bewertet und verglichen. Dabei wird auf rechtliche Grundlagen und die wirtschaftliche Bedeutung für Händler und Kunden eingegangen. Die Bewertung erfolgt anhand vorher festgelegter Kriterien, so dass sich Kunden, Händler und Portalbetreiber ein Bild von den verschiedenen elektronischen Zahlungssystemen machen können. So kann jeder individuell nach seinen Bedürfnissen entscheiden, welches das geeignetste Zahlungssystem für ihn ist.

Gang der Untersuchung:

Diese Arbeit besteht aus 6 Kapiteln, beginnend mit Kapitel 1, das die Zielsetzung und die Motivation beschreibt. Anschließend erfolgt der Ablauf der Umsetzung.

Kapitel 2 erläutert die Grundlagen elektronischer Zahlungssysteme und deren Funktionen. Des Weiteren werden die klassischen Zahlungssysteme, um die es in dieser Arbeit geht, vorgestellt und erklärt.

1

Elektronische Zahlungssysteme

Kapitel 3 beschäftigt sich mit den Rechtsgrundlagen elektronischer Zahlungssysteme, wobei hier besonderer Wert auf die entsprechenden Datenschutzrichtlinien gelegt wird. Zum Schluss des Kapitels werden die einzelnen elektronischen Zahlungssysteme nach Bereichen aufgeteilt und noch einmal im Hinblick auf die Rechtsgrundlagen analysiert.

Kapitel 4 befasst sich mit der wirtschaftlichen Bedeutung elektronischer Zahlungssysteme für Händler und Kunden. Hierbei werden vor allem die Vor- und Nachteile für Händler und Kunden behandelt.

Kapitel 5 betrachtet die Anforderungen an elektronische Zahlungssysteme. Hierfür werden die elektronischen Zahlungssysteme, gegliedert nach Bereichen, in den einzelnen Anforderungen bewertet. Nach der Bewertung erfolgen ein Vergleich aller genannten elektronischen Zahlungssysteme und die Auswertung einer für diese Arbeit angefertigten Umfrage.

Kapitel 6 enthält eine kurze Zusammenfassung der Ergebnisse dieser Arbeit.

2 Technologie der Zahlungssysteme

In der heutigen Zeit gibt es viele verschiedene elektronische Zahlungssysteme, die in der Regel auf unterschiedliche Techniken zurückgreifen. Allerdings haben alle elektronischen Zahlungssysteme einen gemeinsamen Nenner, die Verschlüsselung. Um die Sicherheit von elektronischen Zahlungssystemen gewährleisten zu können, finden verschiedene Verschlüsselungsverfahren Anwendung. Neben den Verschlüsselungsverfahren ist die Authentifizierung ein zweiter wichtiger Sicherheitsaspekt. Aus diesem Grunde werden im Folgenden erst einige Verschlüsselungs- und Authentifizierungsverfahren erklärt und danach die klassischen elektronischen Zahlungssysteme. 1

2.1 Verschlüsselungsverfahren

Eine Nachricht durchläuft im Internet viele Knotenpunkte, an denen sie problemlos abgefangen, eingesehen und manipuliert werden kann. Um dies zu verhindern, sind symmetrische und asymmetrische Verschlüsselungsverfahren entwickelt worden. Die Nachrichten können zwar immer noch abgefangen, aber nicht mehr gelesen werden. Erst

¹ Vgl. Weber 2002, S.8f.

2

Elektronische Zahlungssysteme

durch das Entschlüsseln einer Nachricht ist das Lesen wieder möglich. Ohne einen entsprechenden Schlüssel ist dies allerdings nicht so ohne weiteres realisierbar. Eine 100% Garantie, gegen unbefugtes Einsehen der Daten, gibt es bei Verschlüsselungsverfahren nicht, da mit einer entsprechend hohen Rechenleistung und genügend Zeit jeder Schlüssel entschlüsselt werden kann. 2

2.1.1 Symmetrische Verschlüsselungsverfahren

Die symmetrische Verschlüsselung benutzt einen Schlüssel für die Ver- und Entschlüsselung. Dafür ist es wichtig, dass der Schlüssel im Vorfeld über ein sicheres Medium an den Empfänger der Nachricht gesendet wird. Der Nachteil bei der symmetrischen Verschlüsselung besteht darin, dass der Verwaltungsaufwand für die hohe Anzahl der Schlüssel recht hoch ist. 3

Zwei der bekanntesten Verfahren, die auf der symmetrischen Verschlüsselung aufbauen, sind der Data Encryption Standard, kurz (DES), und der International Data Encryption Algorithm, kurz IDEA. Der Data Encryption Standard ist in den siebziger Jahren von IBM entwickelt worden und verwendet eine 56 Bit Verschlüsselungstiefe. Mit einer Verschlüsselungstiefe von 128 Bit ist der International Data Encryption Algorithm wesentlich sicherer als der Data

² Vgl. Höft 2002, S. 11f.

³ Vgl. ebenda.

3

Elektronische Zahlungssysteme

Encryption Standard. Der International Data Encryption Algorithm ist von den Schweizern Lay und Massey entwickelt und 1990 veröffentlicht worden. Das Patent für den International Data Encryption Algorithm besitzt im europäischen Raum die Schweizer Firma Ascom. 4

2.1.2 Asymmetrische Verschlüsselungsverfahren

Die asymmetrische Verschlüsselung verwendet zwei Schlüssel -einen privaten und einen öffentlichen. Bei der asymmetrischen Verschlüsselung stellt der Händler seinen öffentlichen Schlüssel den Kunden zur Verfügung. Diese können dann Nachrichten, mit Hilfe des öffentlichen Schlüssels, verschlüsselt an den Händler übertragen. In diesem Fall ist nur der Händler im Besitz des privaten Schlüssels, dementsprechend kann auch nur der Händler die Nachrichten entschlüsseln. 5

Das am häufigsten verwendete asymmetrische Verschlüsselungsverfahren ist RSA. Es ist 1978 veröffentlicht worden und nach seinen Erfindern Ron Rivest, Adi Shamir und Leonard Adleman benannt. Da asymmetrische Verschlüsselungsverfahren eine hohe Rechenleistung voraussetzen, werden oft hybride Verschlüsselungsverfahren eingesetzt. 6

⁴ Vgl. Lauert 1999, (17.02.2005)

⁵ Vgl. Lepschies 2000, S.14f.

⁶ Vgl. Lauert 1999, (17.02.2005)

4

Elektronische Zahlungssysteme

2.1.3 Hybride Verschlüsselungsverfahren

Bei den hybriden Verschlüsselungsverfahren werden die Vorteile von symmetrischer und asymmetrischer Verschlüsselung genutzt. Die entsprechende Nachricht wird mit einem zufällig generierten symmetrischen Schlüssel verschlüsselt. Dieser wird mit dem öffentlichen Schlüssel des Empfängers asymmetrisch verschlüsselt. Die Nachricht und der verschlüsselte Schlüssel werden dann zusammen an den Empfänger gesendet. Der Empfänger ist in der Lage, mit seinem privaten Schlüssel den asymmetrisch verschlüsselten Schlüssel zu entschlüsseln. Mit diesem entschlüsselten Schlüssel kann der Empfänger die Nachricht entschlüsseln. 7

Pretty Good Privacy, kurz PGP, ist eines der bekanntesten Verfahren, welches auf der hybriden Verschlüsselung aufsetzt. Pretty Good Privacy verwendet für das Verschlüsseln von Nachrichten den International Data Encryption Algorithm und für den Schlüssel das RSA Verfahren. 8

⁷ Vgl. Höft 2002, S. 12.

⁸ Vgl. Zöppig, (17.02.2005)

5

Elektronische Zahlungssysteme

2.1.4 RSA

Wie oben schon erwähnt ist RSA das am häufigsten verwendete asymmetrische Verschlüsselungsverfahren, welches 1978 veröffentlicht worden und nach seinen Erfindern Ron Rivest, Adi Shamir und Leonard Adleman benannt worden ist.

2.1.4.1 RSA- Algorithmus

RSA basiert auf der Faktorisierung von Primzahlen. Hierbei gilt für die natürlichen Zahlen m

≤ n und k, wenn ein Produkt n von zwei verschiedenen Primzahlen p und q ist, die folgende Gleichung:

m k ^{(p-1) (q-1)+1} mod n = m

Für die Erzeugung eines Schlüsselpaares mittels RSA werden demnach zwei möglichst große

Primzahlen p und q bestimmt. Aus diesen Primzahlen wird das Produkt n und die Zahl  (n) = (p-1)(q-1) errechnet. Danach wird eine natürliche Zahl e, die teilerfremd zu  (n) ist, ermittelt. Mit dieser natürlichen Zahl kann die Zahl d mit

e ∙ d = k(p-1)(q-1 ) + 1 , k ε N

errechnet werden. Die Zahlen e und n bilden den öffentlichen Schlüssel und d bildet den

geheimen Schlüssel. Die Zahlen p, q und  (n) werden nicht mehr benötigt, sollten aber ebenfalls nicht weitergegeben werden. 9

Am leichtesten lässt sich das RSA Verfahren an einem Beispiel verdeutlichen. Zur Vereinfachung werden zwei sehr kleine Primzahlen p = 33 und q = 47 verwendet. Aus den

Primzahlen werden das Produkt n = 1.551 und die Zahl  (n) = 1.472 berechnet. Die teilerfremde Zahl zu  (n) ist e = 3. Diese Zahlen können in die folgende Gleichung eingesetzt werden:

In diesem Beispiel ist die Ermittlung von d relativ einfach, da auf den ersten Blick ersichtlich ist, dass bei k = 1 und demnach d = 491 die Gleichung ausgeglichen ist. Bei der Nutzung von

⁹ Vgl. Beutelspacher/ Schwenk/ Wolfenstetter 2004, S. 20.

6

Elektronische Zahlungssysteme

größeren Primzahlen werden geeignete mathematische Berechnungen, zum Beispiel der erweiterte euklidische Algorithmus, für die Ermittlung von d verwendet.

Je größer die verwendeten Primzahlen bei RSA sind, umso schwieriger wird die Entschlüsselung. Momentan werden bei RSA überwiegend Schlüssel mit einer Länge von 1024 Bit verwendet. Bis jetzt ist diese Schlüssellänge noch nicht entschlüsselt. Um zu verdeutlichen, wie sicher RSA ist und um neue Erkenntnisse im Bereich der Verschlüsselung und Zahlentheorie zu erlangen, hat die RSA Security Inc. 1991 die Primfaktorzerlegungsaufgaben ins Leben gerufen. In jeder Aufgabe wird ein Schlüssel mit einer entsprechenden Länge vorgegeben, der entschlüsselt werden soll. Die letzte Primfaktorzerlegungsaufgabe RSA- 576 ist am 3. Dezember 2003 gelöst worden. Hierbei handelt es sich um einen 576 Bit langen Schlüssel. Für die Entschlüsselung sind drei Monate und über 100 Rechner benötigt worden. Weitere sieben Aufgaben von RSA- 640 bis RSA-2048 können auf den Seiten der RSA Security Inc. nachgeschlagen werden. Erfolgreiche Lösungen werden mit einem Honorar belohnt, im Falle von RSA- 2048 beträgt das Honorar 200.000 Dollar. 10

2.1.4.2 RSA- Verschlüsselung

Bei RSA wird die Blockchiffre verwendet. Dies bedeutet, dass der Klartext m in ganze Zahlen umgewandelt werden muss. Hierfür wird der Klartext in Blöcke aufgeteilt, die dann als Zahlen zwischen 0 und n-1 interpretiert werden. 11

Für die RSA- Verschlüsselung wird der öffentliche Schlüssel benötigt. Wie beschrieben wird der öffentliche Schlüssel aus dem Produkt n und der Zahl e gebildet. Der öffentliche Schlüssel in dem Beispiel ist (1.551,3). Mit diesem Schlüssel kann der Klartext m = 199 gemäß der folgenden Gleichung verschlüsselt werden:

c = m e mod n

Asymmetrische Verschlüsselungsverfahren besitzen die Eigenschaft, dass die Zahl d nur berechnet werden kann, wenn das Produkt n und die Zahl e bekannt sind. 12

¹⁰ Vgl. RSA Security 2004, (17.02.2005)

¹¹ Vgl. Popall 1996/97, (18.02.2005)

7

Elektronische Zahlungssysteme

Für die Verschlüsselung wird m³ mod 1.551 berechnet.

199² 39.601 826 mod 1.551 199³ 826 ∙ 199 164.374 1.519 mod 1.551 Der Klartext m = 199 wird zu dem verschlüsselten Text c = 1.519. Exkurs: Euklidischer Algorithmus

Die Berechnung im vorangegangenen Beispiel ist über den euklidischen Algorithmus erfolgt. Über den euklidischen Algorithmus kann der größte gemeinsame Teiler (ggT) von zwei Zahlen errechnet werden. Für die Berechnung gilt:

 m > n, ist dies nicht der Fall, werden m und n getauscht  berechne Rest r = m -n  ersetze m durch n und n durch r (m = n, n = r)  ist m 0 dann weiter mit Punkt 1 13

Im vorangegangenen Beispiel wird die Schleife nicht bis m = 0 durchlaufen, sondern endet mit der Erreichung des Exponenten e.

2.1.4.3 RSA- Entschlüsselung

Für die Entschlüsselung wird der private Schlüssel d = 491 und das Produkt n = 1.551 benötigt. Mit Hilfe des privaten Schlüssels kann gemäß der folgenden Formel der Klartext berechnet werden: m = c d mod n

Die Berechnung kann analog zur Verschlüsselung mit m ⁴⁹¹ mod 1551 erfolgen. 1519 ⁴⁹¹ 1.519 mod 1.551

Womit der Klartext m = 1.519 wiederhergestellt ist. ¹² Vgl. Beutelspacher/ Schwenk/ Wolfenstetter 2004, S. 20.

¹³ Vgl. RTC 2003, (18.02.2005)

8

Elektronische Zahlungssysteme

2.1.5 Public Key Infrastructure - PKI

Bei den vorher genannten Verschlüsselungsverfahren ist es wichtig, dass mit Hilfe der entsprechenden Schlüssel eine Authentifizierung, Identifizierung, Vertraulichkeit und Nichtabstreitbarkeit gegeben ist. Dies ist allerdings nur der Fall, wenn einer Person ein bestimmter Schlüssel zugeordnet werden kann und nur diese Person Nachrichten mit diesem Schlüssel erstellen kann. Um dies zu gewährleisten, ist es notwendig, unabhängige Organisationen mit der Schlüsselüberwachung zu beauftragen. Dieses so genannte Schlüsselmanagement, auch Public Key Infrastructure, kurz PKI genannt, hat die folgenden Aufgaben: 14

 Benutzerregistrierung

 Zertifikaterstellung  Zertifikatverwaltung  Zertifikatzuordnung  Zertifikatbeglaubigung  Zertifikatausgabe  Pflege der Zertifizierungsverzeichnisse  Festlegung der Gültigkeit von Zertifikaten 15

Die Verwaltung von Schlüsseln erfolgt demnach über Zertifikate. Die Public Key Infrastructure kann durch verschiedene Instanzen realisiert werden.

¹⁴ Vgl. Chief Information Office 2004, (27.02.2005)

¹⁵ Vgl. Rebstock/ Hildebrand 1999, S. 264.

9

Elektronische Zahlungssysteme

2.1.5.1 Zertifizierungsstellen

Zertifizierungsstellen sind staatliche, staatlich überwachte oder private Organisationen. Sie werden Certificate Authority, kurz CA oder Trust Center genannt.

Für die Ausstellung eines Zertifikates identifiziert sich der Antragsteller bei einer Zertifizierungsstelle. Nach erfolgreicher Identifikation wird der öffentliche Schlüssel des Antragstellers an die Zertifizierungsstelle übertragen. Mit diesem öffentlichen Schlüssel des Antragstellers und dem privaten Schlüssel der Zertifizierungsstelle wird das Zertifikat für den Antragsteller gebildet. Jeder Empfänger dieses Zertifikates kann die Echtheit durch den öffentlichen Schlüssel der Zertifizierungsstelle überprüfen. 16

¹⁶ Vgl. Höft 2002, S. 17.

10