Technische Universität München

MBA Managementorientiertes Betriebswirtschaftliches Aufbaustudium

Erklärung

Lutzenberger Thomas N a m e V o r n a m e

Ich erkläre hiermit, dass ich die vorliegende Diplomarbeit selbständig verfasst und noch nicht anderweitig für Prüfungszwecke vorgelegt habe.

Sämtliche benutzte Quellen und Hilfsmittel sind angegeben, wörtliche und sinngemäße Zitate sind als solche gekennzeichnet.

München, 20. Februar 2002

Ort, Datum Unterschrift

Quelle Titelbild : [TeleTrust-02, S.1]

Unterschriften sind Handschellen aus Tinte. 1

¹ Rumänische Spruchweisheit - Anita Ludwig [http://www.aphorismen.de/ am 6.1.2002]

Inhaltsverzeichnis

Inhaltsverzeichnis   

1  Einleitung  1

2  Technische Aspekte der digitalen Signatur  3

2.1  Terminologie.  4

2.2  Kryptographie.  6

2.2.1  Symmetrische Verschlüsselung.  7

2.2.2  Asymmetrische Verschlüsselung.  11

2.3.  Das Prinzip der digitalen Signatur.  18

2.3.1  Erzeugung der Schlüssel.  18

2.3.2  Erzeugung und Prüfung der digitalen Signatur.  20

2.4  Anwendungsgebiete der digitalen Signatur.  24

2.5  Angriffe in der Kryptologie.  27

3.  Rechtliche Aspekte der digitalen Signatur  31

3.1  Vertragsschluss über das Internet.  31

3.1.1  Die elektronische Willenserklärung.  31

3.1.2  Angebot und Annahme der elektronischen Willenserklärung.  33

3.1.3  Zugang und Anfechtung der elektronischen Willenserklärung.  34

3.1.4  Allgemeinen Geschäftsbedingungen.  36

3.2  Rechtliche Einordnung elektronischer Dokumente.  37

3.2.1  Allgemeines zur Form des Rechtsgeschäftes.  37

3.2.2  Zweck der Formvorschriften.  39

3.2.3  Arten der Formen.  41

3.2.3.1  Schriftform.  41

3.2.3.2  Öffentliche Beglaubigung.  51

3.2.3.3  Notarielle Beurkundung.  51

3.2.3.4  Besondere Formerfordernisse.  51

3.2.4  Rechtsfolgen der Nichtbeachtung der Form.  51

3.2.5  Beweiswert der digitalen Signatur.  52

3.3  Das deutsche Signaturgesetz.  55

3.3.1  Rechtliche Grundlagen des Signaturgesetzes.  55

3.3.2  Das Signaturgesetz die neue Signaturverordnung.  59

3.3.2.1  Begriffsbestimmung.  59

3.3.2.2  Zertifizierungsdienstanbieter.  63

3.3.2.3  Qualifizierte Zertifikate und Attributzertifikate.  73

3.3.2.4  Die Regulierungsbehörde.  76

3.3.2.5  Prüf- und Beratungsstellen.  79

3.3.2.6  Technische Komponenten.  80

3.3.2.7  Internationale Anerkennung.  81

3.3.2.8  Haftung.  82

I

Inhaltsverzeichnis

4.  Zusammenfassung  85

5.  Abkürzungen Begriffe  91

6.  Literaturverzeichnis  95

7.  Anhang  101

A  Moderne symmetrische Verfahren in der Kryptographie.  101

B  RICHTLINIE 1999/93/EG.  109

C  Zertifizierungsdiensteanbieter (ZDA)  117

D  Anerkannte Prüf- und Bestätigungsstellen.  119

E  Links.  121

F  Inhalt der CD-Rom CD-Rom hier nicht enthalten  123

II

1 Einleitung

Seit Menschengedenken besteht der Wunsch, die Abgabe von Willenserklärungen verbindlich zu gestalten. Das Ziel ist es, nachträglich zu beweisen, dass eine Willenserklärung tatsächlich und endgültig abgegeben wurde. Das Wort Signatur stammt vom lateinischen Begriff Signum und bedeutet Zeichen. Die Signatur schließt den Vorgang der Willenserklärung ab und dient der späteren Beweisbarkeit. Heutzutage ist die Unterschrift die gängigste Form der Signatur, früher waren Siegel weit verbreitet. Anfangs wurden Siegel nur zum Verschließen von Brie-

ren Kfz-Kennzeichen bezeichnet werden. ¹ Um beim Übergang vom Siegel zur handschriftlichen Unterschrift in der Bevölkerung die notwendige Akzeptanz zu erreichen, musste für die neue Art der Signierung erst einmal Vertrauen geschafft werden. Damit das neue System Vertrauen gewinnen konnte, musste es eine hinreichende Sicherheit - sowohl als System, als auch in der Anwendung- bieten. Heute, viele hundert Jahre später, stehen wir bei der Etablierung der digitalen Signatur vor einem ähnlichen Problem.

Im globalen Handel wird es immer häufiger notwendig, Verträge mit Personen abzuschließen, die in weit entfernten Ländern leben und die persönlich nicht näher bekannt sind. Der Vertragsschluss, bei denen sich beide Parteien gegenübersitzen, wird immer weniger zur Regel. Die Zustellung handschriftlich unterschriebener Dokumente dauert im globalen Geschäftsverkehr oft zulange. Durch den ständig Wechsel der Vertragsparteien ist es auch gar nicht möglich, die Echtheit der Unterschrift zu prüfen. Natürlich besteht auch im globalen Handel der Wunsch, die Verbindlichkeit von Willenserklärungen zu gewährleisten. Dieser soll durch die digitale Signatur erfüllt werden, die künftig in digitalen Medien die Authentizität und Integrität von Willenserklärung sicherstellen soll. Wie schnell und wie umfassend sich die digitale Signatur durchsetzen wird, hängt entscheidend von ihrer Sicherheit und ihrer rechtlichen Anerkennung ab. Mit dieser Diplomarbeit möchte ich die technischen und rechtlichen Aspekte der digitalen Signatur durchleuchten, um ein besseres Verständnis für dieses neue System zu schaffen. Um das System der elektronischen Signatur verstehen zu können, ist es unumgänglich, seine technischen Grundlagen und seine praktische Funktionsweise vorzustellen.

¹ http://www.uni-konstanz.de/FuF/Philo/Geschichte/Tutorium/Themenkomplexe/Quellen/Hilfswissenschaften/Sphragistik/sphragistik.html

1

Im zweiten Kapitel werde ich dazu näher auf die technischen Aspekte der digitalen Signatur eingehen. Zuerst werde ich die verschiedenen Verschlüsselungsverfahren darstellen, da sie die technischen Grundlagen der digitalen Signatur bilden. Danach werde ich verschiedene Möglichkeiten aufzeigen, mit denen Verschlüsselungssysteme und damit auch digitale Signaturen, angriffen werden können. Anschließend werden prinzipielle Funktionsweise, praktischer Ablauf und mögliche Anwendungsgebiete der digitalen Signatur diskutiert.

Im dritten Kapitel werden die rechtlichen Aspekte der digitalen Signatur erörtert. Dazu werde ich zuerst auf die Besonderheiten von Vertragsschlüssen in digitalen Medien eingehen. Anschließend wird die rechtliche Einordnung elektronischer Dokumente behandelt und dabei werde ich besonders auf die Veränderungen eingehen, die sich durch das Gesetz zur Anpassung der Formvorschriften ergeben haben. Abschließend wird das neue Signaturgesetz, die neue Signaturverordnung und deren Veränderung im Zuge der Richtlinie über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen erläutert. Im Rahmen dieser Diplomarbeit werde ich mich ausschließlich auf das deutsche Recht beschränken. Auf Haftungsfragen und Fragen zu Anerkennung ausländischer Zertifikate wird am Ende des Kapitels nur kurz eingegangen, da es sich hierbei um ein Randgebiet digitaler Signaturen handelt, für die entsprechende Literatur ausreichend verfügbar ist.

Im vierten Kapitel werden die wichtigsten technischen und rechtlichen Aspekte zusammengefasst und diskutiert. Das fünfte Kapitel gibt einen Überblick über die wichtigsten Abkürzungen und Begriffe. Im sechsten Kapitel wird die verwendete Literatur aufgeführt. Das siebte Kapitel bildet den Anhang; darin ist das Inhaltsverzeichnis der CD-Rom, das Gesetz zur Anpassung der Formvorschriften, das Signaturgesetz, die Signaturverordnung und die Richtlinie über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen abgedruckt.

Herzlichen Dank

all denjenigen, die mir bei der Anfertigung der Diplomarbeit mit Rat und Tat zur Seite gestanden sind. Besonders möchte ich mich bedanken bei meinen Eltern für die Unterstützung und Motivation während meiner ganzen Ausbildung.

2

2 Technische Aspekte der digitalen Signatur

Die „elektronische Unterschrift“ wird im Neudeutschen auch als „digitale Signatur“ bezeichnet; unter beiden Schlagwörtern versteht man ein und dasselbe. Hört man den Begriff zum ersten Mal, könnte man meinen, es handele sich um eine Art von digitalisierter handschriftlicher Unterschrift, welche oft bei Serienbriefen benutzt wird. In diesem Anwendungsfall wird die handschriftliche Unterschrift einer Person durch einen Scanner eindigitalisiert und als Unterschriftenkopie auf ein Seriendokument benutzt. Eine solche Art der eindigitalisierten Unterschrift hat keine rechtliche Beweiskraft, da sie beliebig von einem zum anderen Dokument kopiert werden kann. Mit dieser Anwendung hat die „elektronische Unterschrift“ nichts zu tun!

Bei der elektronischen Unterschrift geht es um den Wunsch, die Rechtsverbindlichkeit, die ht, auch für digitale Dokumente zu gewährleis-von einer handschriftlichen Unterschrift ausge

Bild 2- 1 E-Commerce-Prognose für Westeuropa 2

Der Formzwang zur handschriftlichen Unterschrift, der gesetzlich vorgeschrieben ist oder at eine Abschluss-, eine Perpetuierungs-, eine auch individuell vereinbart werden kann, h

Identitäts-, eine Echtheits-, eine Verifikations-, eine Beweis-, eine Warn- und eine Kontrollfunktion. Auf die einzelnen Funktionen wird detailliert im Kapitel 3 eingegangen. Die elektronische Unterschrift muss dieselben Funktionen wie die handschriftliche Unterschrift gewährleisten. Um diese Ziele der „elektronischen Unterschrift“ umzusetzen, sind eine Reihe von kryptologischen Techniken notwendig, die ich nun der Reihe nach Schritt für Schritt in den folgenden Abschnitten vorstellen möchte. Im folgenden Abschnitt werden zuerst die Grundbegriffe und die Geschichte der Kryptologie dargelegt.

² Das Diagramm zeigt die Prognose von IDC bezüglich des Umsatzvolumens im Bereich des elektronischen Handels zwischen Unternehmen b2b (Business-to-Business) und b2c (Business-to-Consumer). [http://www.intel.com/deutsch/pressroom/archive/releases/Eb_direc.htm download am 19.Januar 2002] Eine Reihe weiterer interessanter Fakten zum Thema „Rahmenbedingungen des Internetmarketing und des Electronic Business“ können sie dem Vortrag Liegenfeld_Internetmarketing.ppt auf der CD entnehmen.

3

2.1 Terminologie

Kryptanalyse ⁵ . Diese zwei Teilgebieten Kryptographie ⁴ und Kryptologie besteht aus den

egriffe stammen aus dem (alt-)Griechischen und setzen sich aus den Worten kryptós (grie-B

chisch verstecken) und lógos (griechisch das Wort, der Sinn), bzw. gráphein (griechisch schreiben) und analýsein (griechisch auflösen, entziffern) zusammen. ⁶ Sie war über Jahrtausende hinweg eine von Diplomatie, Militär und Geheimdienst gepflegte Geheimwissenschaft. Bedeutende Persönlichkeiten der Geschichte sind mit ihr verknüpft, wie z.B. Cäsar ⁷ , Karl der Große und Casanova. Die älteste bekannte Verschlüsselungsmethode ist das Skytale 8 . Die bekannteste Anwendung der Verschlüsselungstechnik ist wohl die legendäre Enigma 9 , die

³ Szene Hexenküche von Mephisto

⁴ Von ihrem ursprünglich Gebiet der Geheimwissenschaft, die den Schwerpunkt in der Vertraulichkeit von Nachrichten hatte, hat sich die Kryptographie inzwischen weiterentwickelt. Sie ist zu einer Wissenschaft geword ondere mathematische Methoden stützt, um gesicherte Ablagemöglichkeiten en, die sich auf algorithmische bes

zu schaffen, vertrauliche Kommunikation zu ermöglichen und Authentizität und Integrität der Nachrichten zu gewährleisten. [Gerold-01]

⁵ Die Kryptanalyse bzw. die Kryptoanalyse ist die zur Kryptographie komplementäre Wissenschaft. Hier geht es um das "Brechen" der kryptographischen Methoden, was in der Forschung unter dem Titel "konstruktive rt wird. [Gerold-01] Schwachstellenanalyse" gefüh

⁶ [www-rnks.informatik.tu-cottbus.de/de/materials/ss2001psSicherheit/ file2_1.pdf am 27.Januar 2002]

⁷ Von Julius Cäsar stammt die „Cäsar cipher“, bei der je der Buchstabe des Klartextes um drei Buchstaben im Alphabet verschoben wird. [Ertel-01, S.29], [Simm-92,6-7]

⁸ Diese wurde bereits im antiken Griechenland verwendet. Die Skytale ist ein Stab aus Holz, um den ein Band g ewickelt wird. Auf dem aufgewickelten Band wird die geheime Nachricht geschrieben. Um die Nachricht zu mselben Durchmesser. entschlüsseln braucht der Empfänger lediglich einen Stab mit de

⁹ Die Enigma ist eine elektromechanische Maschine, die vom Aussehen und der Bedienung einer Schreibmaschine ähnelt. Sie wurde von Arthus Scherbius ursprünglich für den zivilen Einsatz entwickelt. Bis zum Ende als 100´000 Exemplare des zweiten Weltkrieges wurde die Enigma mehrfach weiterentwickelt. Es wurden mehr

hergestellt. Die Enigma hat einen für die damalig Zeit riesigen Schlüsselraum von 1,06*10 ¹⁷ möglichen Schlü sseln. Der derzeitige Weltstandard DES hat einen kleineren Schlüsselraum von nur 7,2*10 ¹⁶ Schlüsseln. Ein technisch bedingter Entwicklungsfehler der Enigma besteht jedoch darin, dass der zu verschlüsselnde Buchstabe nie auf sich selber abgebildet wird, d.h. ein zu verschlüsselndes „e“ wird nie zu einem „e“ verschlüsselt. Durch a zu diesen Entwicklungsfehler und diverse Bedienungsfehler ist es den Alliierten mehrfach gelungen, die Enigm knacken. [Ertel-01, S.43-44]

4

von der deutschen Wehrmacht im zweiten Weltkrieg eingesetzt wurde. Die Kryptologie ist seit der Mitte der siebziger Jahre mehr in das öffentliche Interesse der Forschung getreten. Von großer Bedeutung war die Entwicklung des Data Encryption Standard DES im Jahre 1977 und die Erfindung der Public-Key-Kryptographie im Jahre 1976. Die Kryptologie bekommt einen besonderen Antrieb durch die weltweite Vernetzung und die verstärkte kommerzielle Nutzung der Netze. 10

Aus Gründen der Vollständigkeit soll an dieser Stelle noch eine Verwandte der Kryptographie, die Steganographie, erwähnt werden. Während es bei der Kryptographie darum, geht Nachrichten so zu verändern, dass ein fremder Dritter diese nicht lesen kann, ist das Ziel der Steganographie Nachrichten zu verstecken, um dadurch eine verdeckte Kommunikation zu ermöglichen. Bei der Steganographie geht es darum, dass die Nachricht vom Dritten erst gar nicht entdeckt wird. Moderne Verfahren der Steganographie verstecken Nachrichten z.B. in digitalen Bildern oder digitalen Tonaufnahmen. Die Kryptographie zählt deshalb zu der Wissenschaft der "offenen" Geheimschriften, während die Steganographie in die Wissenschaft der "verdeckten" Geheimschriften gehört. Beide Verfahren können einzeln oder gemeinsam verwendet werden. 11

Das Ziel der Kryptographie ist es, Nachrichten so zu verändern, dass nur Berechtigte, aber keine Dritten, diese lesen können. Die ursprüngliche Nachricht wird Klartext oder Plaintext, die veränderte Nachricht Chiffretext oder Geheimtext, genannt. Das Geheimnis, das den Klartext in den Chiffretext verwandelt, heißt Schlüssel. Der Chiffretext kann nun auf einem unsicheren Kanal transportiert werden, da ein Angreifer nicht aus dem Chiffretext ohne den zugehörigen Schlüssel den Klartext bilden kann.

Bei dem klassischen symmetrischen Verschlüsselungsverfahren wird der gleiche Schlüssel für Verschlüsseln und Entschlüsseln benutzt. Beim symmetrischen Verfahren muss deshalb der Schlüssel geheim bleiben und darf nur auf einem sicheren Kanal trans-portiert werden. Diese Prämisse des „sicheren Kanals“ für den Schlüsseltransport gilt nicht für asymmetrische Verfahren, die für die digitale Signatur eingesetzt werden. Hierauf werde ich aber später noch im Detail eingehen. Der beschriebene Zusammenhang zwischen Klartext, Schlüssel und Chiffretext wird im Bild 2-2 noch einmal veranschaulicht.

¹⁰ [Gerold-01]

¹¹ [Gerold-01]

5

Bild 2- 2 Zusammenhang zwischen Klartext, Chiffretext und Schlüssel 12

g vom Klartext zum Chiffretext wird durch die mathematische Ver- DieVeränderun erschlüsselung (encryption) schlüsselungsfunktionen f erreicht. Dieser Vorgang wird als V

oder auch als Chiffrierung bezeichnet. Dabei gilt die Formel c=f(k,m). Dies bedeutet, dass sich der Chiffretext c als Funktion f des Klartextes m und des Schlüssels k ergibt. Die Verschlüsselungsfunktion f muss eindeutig umkehrbar sein, damit später der berechtigte Empfänger aus dem Chiffretext und dem Schlüssel den Klartext bilden kann. Das heißt, es muss einen mathematischen Zusammenhang geben, der mit Hilfe der Umkehrfunktion f*, dem Schlüssel k und dem Chiffretext c den Klartext m bildet. Dieser Zusammenhang wird durch die Formel f*(k,c)=m beschrieben. Dieser Vorgang wird als Entschlüsselung (decryption) oder auch als Dechiffrierung bezeichnet. Es wird in der Kryptologie grundsätzlich davon ausgegangen, dass die Verschlüsselungsverfahren und die Entschlüsselungsverfahren bekannt sind (Kerckhoffsches Prinzip ¹³ ). 14

2.2 Kryptographie

tographie die symmetrische und die asymmetrische Verschlüs-Grundsätzlich wird in der Kryp

elung unterschieden. Der grundlegende Unterschied besteht in der Anzahl von Schlüsseln. s

Bei der symmetrischen Verschlüsselung haben Sender und Empfänger einen identischen

¹² [Walt-02]

¹³ A.Kerckhoff (1835-1903) war der erste Kryptologe, der forderte, dass die Resistenz eines kryptischen Verfahrens einzig und allein im geheimen Schlüssel liegen darf. Er ging davon aus, dass der feindliche Kryptanalyst alles bis auf den geheimen Schlüssel wisse. Dies ist dadurch begründet, dass bei jedem kommerziell eingesetzten Verschlüsselungsalgorithmus in der Entwicklung, Spezifizierung, Normung, Prüfung und Umsetzung so viele Personen involviert sind, dass eine Geheimhaltung fast unmöglich ist. [Simm-92, S.4, S.388]

¹⁴ [Ertel-01, S.6-7], [BSW-01, S.17-18]

6

Schlüssel, bei der asymmetrischen Verschlüsselung gibt es zwei Schlüssel, einen privaten und einen öffentlichen Schlüssel.

2.2.1 Symmetrische Verschlüsselung

Bei der symmetrischen Verschlüsselung wird der Klartext m mit demselben Schlüssel k t wird. Bild 2-3 soll den Ablauf bei einer chiffriert, mit dem später der Chiffretext c dechiffrier ymmetrischen Verschlüsselung verdeutlichen. s

Bild 2- 3 Schema zur symmetrischen Verschlüsselung 15

Wichtig ist hier zu wissen, dass nur der Schlüssel k auf einem sicheren Kanal vom Sender schickt werden muss, der Chiffretext c dagegen kann auf einem unsicheren zum Empfänger ge Verfahren, Klartexte symmetrisch zu ver-Kanal transportiert werden. Es gibt verschiedene

schlüsseln. Dabei kommen sogenannte Transpositionschiffre ¹⁶ und Substitutionschiffre ¹⁷ zum Einsatz. Bei den Substitutionschiffren werden die Arten monoalphabetisch und polyalphabetisch unterschieden. Bei monoalphabetischen Substitutionschiffren werden die Klartextzeichen immer mit demselben Geheimtextzeichen ersetzt, während bei der polyalphabetischen Substitutionschiffre die Klartextzeichen immer wieder durch andere Geheimtextzeichen ersetzt werden. Von der Art und Weise wie der Klartext abgearbeitet wird, werden Stromchiffrier- und Blockchiffrierverfahren unterschieden. Beim Stromchiffrierverfahren wird ein Zeichen nach dem anderen verschlüsselt, dagegen werden beim Blockchiffrierverfahren

¹⁵ [Walt-02]

¹⁶ Bei der Transpositionschiffre oder Permutationchiffre werden die Geheimzeichen durch eine Permutation der Klartextzeichen erzeugt, d.h. die Klartextzeichen werden in eine andere Reihenfolge gebracht. Dabei bleiben die Zeichen gleich, es werden nur die Plätze vertauscht. Aus „thomas“ wird z.B. „hmstoa“. [BSW-01, S.28]

¹⁷ Bei den Substitutionschiffre wird jedes Zeichen des Klartextes durch ein anderes ersetzt. Die Plätze der Zeichen bleiben jedoch nach wie vor gleich. [BSW-01, S.28]

7

ganze Zeichenblöcke am Stück verschlüsselt. Exemplarisch möchte ich nun einige wichtige klassische Bausteine der symmetrischen Verschlüsselungsverfahren aufzeigen. Diese Bausteine werden bei den modernen Verfahren z.B. bei der digitalen Signatur in Kombination angewandt.

• Bei der monoalphabetischen Chiffre oder Einfachen Substitution wird jeder einzelne Buchstabe des Klartextes eindeutig durch einen anderen Buchstaben ersetzt. Die Position der Buchstaben bleiben gleich. Bild 2-4 stellt exemplarisch eine mögliche Umwandlungstabelle dar. Hat man beispielsweise den Klartext „einfache Substitution“ wird dieser durch den Chiffretext „HSGZBXDH WUCWESEUESOG“ ersetzt.

B e n e a n m a lu s e b d E a en u i o ild 2- 4 Beispi l ei er inf che U w nd ng tab lle ei er inf ch S bst tuti n e t e e h s e e m Di kombinatorische Komplexitä di ses V rfa rens i t b i ine Alphabet von N=26 bei ungefähr 4,03*10 ²⁶ und damit höher als bei modernen Verfahren wie dem DES. Trotzdem kann der Code durch eine einfache Häufigkeitsanalyse ¹⁸ gebroch en werden,

d.h. die kombinatorische Komplexität allein reicht nicht aus, um ein Verfahren sicher zu gestalten. ¹⁹ Zu dieser Kategorie von Verfahren zählte die von Julius Caesar angewandte Verschiebechiffre 6 .

• Bei der werden mehrere Einzelzeichen in einem Schritt polyalphabetischen Chiffre

h möchte man die kombinatorische Komplexität erhöhen und die umgewandet. Dadurc

Einzelzeichen-Häufigkeit verdecken. Eine polyalphabetische Chiffre, bei dem die Geheimtextzeichen ungefähr gleich oft vorkommen, wird Homophone Chiffre genannt. Aber auch bei einer statistischen Gleichverteilung der Buchstaben sind Angriffe mit statistischen Methoden möglich. So kann beispielsweise die Häufigkeitsverteilungen von Buchstabenpaaren untersucht werden; um eine Analyse zu ermöglichen, sind hierzu aber wesentlich längere Geheimtexte erforderlich. Ein klassischer Vertreter der polyalphabeti-

¹⁸ DerAnsatzpunkt bei der Häufigkeitsanalyse liegt in der unterschiedlichen statistischen Verteilung der Buchstaben in der Sprache. So liegt die durchschnittliche Häufigkeit des Buchstabens e bei 17,4%, die des Buchstaben q bei 0,02%. Diese stochastischen Verteilungen bleiben auch beim Verschlüsseln erhalten, somit kann man annehmen, dass der Buchstabe, der am häufigsten im Chiffretext vorkommt, dem Buchstaben e im Klartext entspricht. Ein ausführliches Beispiel findet sich im Buch „Moderne Verfahren der Kryptographie“ [BSW-01, S.29 ff.] Die Einfache Substitution kann verbessert werden, indem man die Häufigkeiten etwas verwischt, so können beispielsweise die häufiger vorkommenden Buchstaben durch mehrere Chiffrezeichen ersetzt werden.

¹⁹ [Gerold-01]

8

schen Chiffre ist die Vigenère Chiffre ²⁰ . Hier wird zwischen Sender und Empfänger ein Schlüsselwort k vereinbart. Nun wird jedes Zeichen des Klartextes m in Abhängigkeit vom Schlüsselwort k und des Klartextzeichens m verschlüsselt. Das folgende Beispiel soll den Zusammenhang besser verdeutlichen. Das Schlüsselwort sei „geheim“.

s Schlüsselwort wird wiederho t a einan er ge chrieben, da it der Da k l n d s m Schlüssel genauo lang ist wie der Klartext m. Mit Hilfe des Vigenère Quadrates - Bild 2-5 - wird nun je-s

des Zeichen des Klartextes chiffriert. Das Schlüsselwortzeichen gibt die Spalte des Quad-

Bild2- 5 Vigenère-Chiffre Quadrat 21

²² • Das sogenannte One-Time-Pad ist das einzige Verfahren, welches eine perfekte Silt sich hierbei um ein Vigenère-Chiffre mit einem un-cherheit garantieren kann. Es hande

endlich langen Schlüsselwort. Damit dieses Verfahren tatsächlich unangreifbar ist, müssen zwei Forderungen erfüllt sein:

²⁰ Wurde im 16. Jahrhundert von dem Franzosen Blaise de Vigenère erfunden. Vom Prinzip her handelt es sich hierbei um eine Verschiebechiffre ähnlich wie der von Julius Caesar, nur ist hier zusätzlich das Geheimzeichen von der Position des Klartextzeichens abhängig. [BSW-01, S.35-45], [Gerold-01]

²¹ [BSW-01, S.36]

²² Das One-Time-Pad wurde 1917 von Major J. Mauborgne und G. Vernam von AT&T erfunden. [BSW-01, S.47]

9

Das i-te Schlüsselzeichen k i muss unabhängig von den anderen Schlüsselzei- o

chen zufällig gewählt werden.

Der Schlüssel darf nur ein einziges Mal verwendet werden. o Sind beide atisch nachgewiesen werden, dass das Ver-Forderungen erfüllt, kann mathem gung findet inzwi-fahren eine perfekte Sicherheit bieten. Der Grossteil der Datenübertra schen digital statt. Aus diesem Grunde erfolgt eine binäre Verschlüsselung, d.h. der Klartext, der auf DV-Anlagen schon binär vorliegt, wird mit einer binären Schlüsselzeichenfolge verschlüsselt. Hierzu werden einfach beide binären Werte mit XOR „⊕“ ²³ kombi-

Bild2- 6 Funktionsschema eines One-Time-Pad 24

Obwohl dieses Verfahren theoretisch eine perfekte Sicherheit garantieren kann, wird es e liegt zum einen daran, dass man sehr lange nur bei sehr wichtigen Fällen eingesetzt. Di s

Schlüssel - mindestens so lange wie die eigentliche Nachricht - auf einem sicheren Wege vom Sender zum Empfänger transportieren muss. Ein anderes Problem besteht darin, eine echte unabhängige Zufallszahl mit Gleichverteilung zu erzeugen. Praktische Bedeutung hat dieses Verfahren deshalb nur bei militärischen und geheimdienstlichen Anwendungen. ²⁵ Eine interessante Variante ²⁶ des One-Time-Pad, die fast ohne Schlüsselaustausch auskommt, könnte in Zukunft zu einem breiteren Einsatz des One-Time-Pad führen. Die vorgestellten Methoden bilden die Grundlage der heutigen Verfahren. Die wichtigsten modernen symmetrischen Verschlüsselungsverfahren sind im Anhang enthalten. Dort wird detailliert deren Funktionsweise und Sicherheit vorgestellt. Um einen Überblick in der Kryptographie zu bekommen und deren Sicherheit beurteilen zu können, kann ich nur empfehlen, sich mit diesen Methoden näher

²³ XOR „⊕“ stellt eine logische Operation dar. Die Operation liefert dann die logische 1 wenn einer der beiden Eingangswerte 1 ist, ansonsten wird die logische 0 geliefert, d.h. 0 ⊕ 0 = 0; 0 ⊕ 1 = 1; 1 ⊕ 0 = 1; 1 ⊕ 1 = 0.

²⁴ [BSW-01, S.48]

²⁵ [BSW-01, S.47-51], [Gerold-01]

²⁶ Michael Rabin und Yan Zong Ding haben vorgeschlagen, das Schlüsselwort von einem unverschlüsselten durch einen Satelliten ausgestrahlten Datenstrom zu verschlüsseln. Der Datenstrom sollte aus einer physikalischen Zufallsquelle stammen und wäre mit 10 ¹⁰ Bit pro Sekunde so groß, dass er von einem Angreifer nicht gespeichert werden kann. Der Empfänger und der Sender müssten sich nur noch absprechen, ab welchem Startzeitpunkt der Datenstrom entnommen wird. [BSW-01, S.50-51]

10

zu beschäftigen. Im nächsten Abschnitt wird das Verfahren beschrieben, welches derzeit bei der digitalen Signatur angewendet wird - das asymmetrische Verschlüsselungsverfahren.

.2 Asymmetrisc 2.2 he Verschlüsselung

en, bei denen beide Partner den selben Bisher haben wir über synchrone Verfahren gesproch

chlüssel benötigen. Will man nun aber nicht nur mit dieser Person, sondern auch noch mit S

anderen Personen geschützte Daten austauschen, wächst beim synchronen Verfahren die Schlüsselanzahl quadratisch an ²⁷ , falls man davon ausgeht, dass jeder die Möglichkeit haben will, mit jedem in Kontakt zu treten. Jeder neue Teilnehmer muss für jeden bereits vorhandenen Teilnehmer einen eigenen geheimen Schlüssel vereinbaren. Das Bild 2-7 zeigt die Zunahme der Schlüsselanzahl bei steigender Teilnehmerzahl.

Bild 2- 7 Schlüsselproblem

äftsverkehr ist dieses Verfahren daher nicht geeignet, da es viel zu Für den normalen Gesch

ufwändig wäre, Tausende von Schlüssel geheim zu verwalten und diese auf Aktualität zu a

prüfen. Die Frage war nun, wie es möglich sei, das Schlüsselproblem zu umgehen. Es wurde lange Zeit eine Möglichkeit gesucht, den Schlüssel ebenfalls auf einem unsicheren Kanal zu transportieren. Es dauerte aber bis Mitte der 70er Jahre, bis man eine Lösung zu diesem Prob-

²⁷ DieSchlüsselanzahl steigt nach der Funktion n/2*(n-1) quadratisch mit der Anzahl Teilnehmer n an. So werden beispielsweise bei 4 Teilnehmern 6 Schlüssel benötigt, bei 5 Teilnehmern bereits 10 Schlüssel und bei 50 Teilnehmern schon 1225 Schlüssel. [Schm-01, S.94] Bei asymmetrischen Verfahren steigt die Schlüsselzahl nur mit s=n*2 an, d.h. jeder Teilnehmer braucht nur zwei Schlüssel, einen öffentlichen und einen privaten.

11

lem fand. Die Lösung heißt asymmetrische Verfahren oder Public Key Konzept und wurde 1976 von den Mathematikern Withfield Diffie und Martin Hellman entwickelt ²⁸ .

Hier ist es nun nicht mehr nötig, eine Nachricht mit demselben Schlüssel zu verschlüsseln und zu entschlüsseln, sondern es gibt zwei unterschiedliche Schlüssel. Einen öffentlichen Schlüssel oder public key, mit dem Nachrichten zwar verschlüsselt, aber nicht mehr entschlüsselt werden können und einen privaten Schlüssel oder privat key, der sowohl Verschlüsselung als auch Entschlüsselung ermöglicht. Das asymmetrische Verschlüsselungsverfahren kann man sich als eine Art elektronischen Briefkasten (öffentlicher Schlüssel) vorstellen, in den zwar jeder etwas hineinwerfen kann, aber nur der Besitzer des privaten Schlüssels kann den Inhalt herausnehmen. Bild 2 - 8 soll den Ablauf des asymmetrischen Verfahrens veranschaulichen. 29

Bild 2- 8 Schema zur asymmetrischen Verschlüsselung 30

ie lässt sich nun das asymmetrische Verfahren technisch realisieren? W

m diese Frage zu klären, müssen erst ein paar Begriffe und Zusammenhänge geklärt werden. U

Für asymmetrische Verfahren werden sogenannte Einwegfunktionen gebraucht. Diese sind einfach auszuführen, aber schwer - praktisch unmöglich - umzukehren. Als Beispiel aus dem alltäglichen Leben kann man das Telephonbuch nennen. Hier ist es auch sehr einfach möglich einer Person eine Telephonnummer zuzuweisen, will man jedoch eine Person anhand einer

²⁸ Die beiden Mathematiker Withfield Diffie und Martin Hellman veröffentlichten 1976 ihre Forschungsarbeit mit dem Titel „New Directions in Cryptography“ [IEEE Transaction of Information Theory, Nov. 1976, Seite 644-654] Sie schlugen als Verfahren die diskrete Expotentialfunktion als Einwegfunktion vor.

²⁹ [Schm-01, S.94 ff.], [Ertel-01, S.73 ff.]

³⁰ [Walt-02]

12

Bild 2- 9 Einwegfunktion im Straßenverkehr 31

In der Mathematik konnte bisher noch nicht bewiesen werden, ob es Einwegfunktionen überhaupt gibt. Es wird jedoch davon ausgegangen, dass die diskrete Exponentialfunktion ³² , die Multiplikation ganzer Zahlen ³³ , sowie das „NP vollständigen Problem“ ³⁴ Einwegfunktionen darstellen. Einwegfunktionen werden kollisionsfrei bezeichnet, wenn es praktisch unmöglich ist, zwei Werte x 1 und x 2 in der Urbildmenge f(x 1 )=f(x 2 ) zu finden. Besondere Bedeutung hat die Einwegfunktion für die kryptographische Hashfunktion, die in der digitalen Signatur gebraucht wird und auf die später detailliert eingegangen wird. Für die asymmetrischen Verfahren sind besonders Trapdoor Einwegfunktionen von Bedeutung. Hier handelt es sich um eine Einwegfunktion, bei der es eine Geheiminformation gibt, mit der sie invertiert werden kann. Diese Geheiminformation wird als „Geheimtür“ oder „trapdoor“ bezeichnet. Jeder der das Geheimnis nicht kennt, kann die Funktion nicht oder nur sehr schwer invertieren. Derjenige jedoch, der die Geheiminformation kennt, ist in der Lage die Funktion relativ leicht zu invertieren. 35

³¹ [http://www.polizei.bayern.de/ppobb/verkehr/stvo/par41.htm#top am 4.1.2002]

³² Dieses Verfahren wurde von Withfield Diffie und Martin Hellman vorgeschlagen. Es gilt f:XYfür f(x)=a ^x mod p mit hinreichend großen Werten für a und p als echte Einwegfunktion. Wobei p eine Primzahl sein muss. [Gerold-01] Die mod-Funktion gibt den Rest einer ganzzahligen Division zurück. Beispielsweise ist der ganzzahlige Rest der Division 13 mod 5 = 3.

³³ Es ist relativ einfach, zwei große Primzahlen p 1 und p 2 (>250 Dezimalstellen) zu multiplizieren, umgekehrt ist es jedoch fast nicht möglich aus dem Produkt die zwei Primzahlen zu berechnen. f:XYfür f(x)=p 1 *p 2

³⁴ „Mit NP wird die Klasse von Problemen bezeichnet, die nur ein nichtdeterministischer Algorithmus in polynomineller Zeit lösen kann. Ein deterministischer Algorithmus braucht dazu mindestens exponentiell viel Zeit, soweit der bisherige Kenntnisstand in der Informatik.“ [http://rw7.de/ralf/inffaq/npcomp.html am 5.2.2002] (Nach Webster bedeutet Determinismus: Die Lehre, dass alle Ereignisse in der Natur bestimmt sind durch (a) vorhergehende Ursachen oder (b) sich nach Naturgesetzen vollziehen.) [http://users.pandora.be/nicvroom/ deterministic_de.htm am 5.2.2002] Es gibt in der Mathematik verschiedene Komplexitätsklassen, bei denen Problemlösungen unterschiedlich viel Zeit brauchen. So werden konstante, lineare, polynominale und expotentielle Abhängigkeiten unterschieden.

³⁵ [BSW-01, S.12-18]

13

Verfahrens ist die Potenzierfunktion modulo n, welche nach bisherigem Wissensstand eine Einwegfunktion darstellt. Um diese Einwegbedingung zu erfüllen, müssen jedoch geeignete Module und Hochzahlen gewählt werden; n darf nicht prim sein und die Zerlegung von n in Primzahlen darf nur dem Berechtigten bekannt sein. Die Schlüsselerzeugung ist ein kritischer Faktor des Verfahrens, da falsch gewählte Parameter die Sicherheit stark beeinträchtigen kann.

Schlüsselerzeugung:

1. Es werden zwei geeignete Primzahlen p und q gewählt, wobei gelten muss, dass p ungleich q ist. Je nach gewünschter Sicherheit muss p und q die Zeichenlänge 384, 512 oder 1024 Bit betragen. 2. Es wird n=p*q und ϕ(n)=(p-1)*(q-1) berechnet.

3. Auswahl einer natürlichen Zahl e, wobei 1 ϕ(n))=1 gelten muss. 38

4. d:=e ^-1 mod ϕ(n) wird mit Hilfe des erweiterten Euklidischen Algorithmus berechnet. 39

5. Das Paar P=(e,n) bildet den öffentlichen Schlüssel.

6. Das Paar S=(d,n) bildet den geheimen Schlüssel.

³⁶ [www.airtrend.home.pl/ Anyware.htm am 6.1.2002]

³⁷ Die Abkürzung RSA entseht aus der Kombination der ersten Buchstaben der Nachnahmen der Erfinder. (R. Rivest, A. Shamir und L. Adleman)

³⁸ „ggT“ ist der größten gemeinsame Teiler. Beispielsweise ist der ggT(14, 21) = 7

³⁹ Der Euklidische Algorithmus berechnet den größten gemeinsamen Teiler von zwei ganzen Zahlen. Der Algorithmus wurde bereits ca. 300 v.Chr. von EUKLID beschrieben. Seien a ∈ 0 , b ∈ . Dann gilt ggt(a, b) = ggt(b, a mod b). [http://www.iti.fh-flensburg.de/lang/algorithmen/code/krypto/euklid.htm, 5.2.2002] Siehe auch

14

Bild 2- 10 RSA - Programm zum Kennenlernen des Algorithmus 41

Das Programm stellt eine Microsoft Excel Arbeitsmappe dar und wurde mit Hilfe von Visual Basic for Application entwickelt. Der Anwender kann den RSA-Algorithmus kennenlernen, indem er öffentliche und private Schlüssel erzeugt und anschließend Nachrichten verschlüsseln und entschlüsseln. 42

Sicherheit:

Die Sicherheit von RSA basiert auf der Tatsache, dass es sehr zeitaufwendig ist, große Zahlen in Primfaktoren zu zerlegen. Die Rechenzeit, die für die Zerlegung in Primfaktoren benötigt wird, wächst je nach Algorithmus expotentiell oder proportional mit der Bitlänge der Zahl an. ⁴³ Wichtig zu wissen ist, dass keines der bekannten Verfahren auch nur annähernd in der Lage wäre, mit realistischem Aufwand eine 1024 Bit Zahl zu faktorisieren. Zur Zeit liegt der

⁴⁰ [Ertel-01, S.73-83]

⁴¹ Mathematischer Algorithmus für RSA [http://delphi.zsg-rottenburg.de/krypt.html#aiii, 5.2.2002]

⁴² Das Programm heißt RSA.XLS und ist auf der CD, enthalten die der Diplomarbeit beiliegt. Sie benötigen eine installierte Version von Microsoft Excel, um das Programm starten zu können. Außerdem muss das Add-Ins „Analyse Funktionen“ im Menü Extra installiert werden.

⁴³ Gängige Faktorisierungsverfahren sind das „Sieb des Eratosthenes“ und der „Zahlenkörpersieb“. [Ertel-01, S.78]

15

Rekord einer Faktorisierung in Primfaktoren bei 512 Bit, dies entspricht 155 Dezimalstellen. ⁴⁴ Wer die Faktorisierungserfolge seit 1970 betrachtet, stellt ungefähr einen linearen Zusammenhang zwischen Zeit und Schlüssellänge fest. Wird dieser Zusammenhang in die Zukunft extrapoliert, so ist anzunehmen, dass ca. im Jahr 2040 eine 1024 Bit-Zahl faktorisiert werden könnte. Die Firma RSA Security bietet demjenigen, der die 643-Bit-Zahl ⁴⁵ in die Primfaktoren zerlegt 10´000 US Dollar. Dadurch ist es möglich, eine ständige weltweite Überprüfung des Faktorisierungsfortschrittes zu erreichen und die momentane Sicherheit des System zu testen. Die vollständige Schlüsselsuche, die beim DES einen effektiven Angriff ermöglicht hat, ist beim RSA nicht sinnvoll anwendbar. Schon bei einer Schlüssellänge von 256 Bit müssten 10 ⁷⁶ Schlüssel durchprobiert werden. Bei den zur Zeit gängigen Schlüssellängen von 1024 Bit bzw. 2048 Bit ist eine vollständige Schlüsselsuche sinnlos. RSA Security empfiehlt eine Mindestschlüssellänge von 768 Bit, das Signaturgesetz schreibt eine Mindestschlüssellänge von 1024 Bit vor. Zusammenfassend ist festzustellen, dass RSA ein sicheres Verfahren darstellt, wenn man mit genügend großer Schlüssellänge arbeitet und bei der Parameterauswahl die Prämissen ⁴⁶ berücksichtigt. 47

Bei der digitalen Signatur wird nicht der gesamte Klartext verschlüsselt, sondern nur der sogenannte Hashwert. Der Hashwert wird aus einer kryptographischen Hashfunktion gebildet, die auf den gesamten Klartext angewendet wird. Die Hashfunktion wandelt einen beliebig langen Text in einen Hashwert fester Länge um. Dieses Verfahren wird angewendet, da die asymmetrische Verschlüsselung sehr rechenintensiv ist und daher bei langen Klartexten viel Zeit in Anspruch nehmen würde. Bild 2-11 stellt die Funktionsweise der Hashfunktion dar. Das Signieren des Hashwertes bringt jedoch die Gefahr der Manipulation mit sich. So stehen einer endlichen Anzahl möglicher Hashwerte eine unendliche Anzahl möglicher Texte gegenüber. Diese Tatsache macht man sich bei der sogenannten Substitutionsattacke zunutze. Zu einem bereits signierten Hashwert wird ein Klartext gesucht, der denselben Hashwert besitzt. Es wird in der Literatur die starke und die schwache Kollisionssicherheit unterschieden. Ein Verfahren hat eine starke Kollisionssicherheit, wenn es nur schwer möglich ist, freie Kollisionen zu finden, d.h. es wird ein zweiter Klartext zu einem gegebenen Hashwert gesucht,

⁴⁴ Dies wurde im August 1999 mit Hilfe von 292 PCs in 4 Monaten erreicht. [Ertel-01, S.78]

⁴⁵ Factoring Challenge der Firma RSA Security Inc : (643-Bit-Zahl entspricht einer Dezimalzahl mit 193 Stellen) 310741824049004372135075003588856793003734602284272754572016194882320644051808150455634682 967172328678243791627283803341547107310850191954852900733772482278352574238645401469173660 2477652346609 [http://delphi.zsg-rottenburg.de/krypt.html#aiii am 6.1.2002]

⁴⁶ Für den Parameter e wurde lange 3 oder 17 benutzt, hier gibt es allerdings effektive Angriffsmöglichkeiten „Low-Exponent-Attacke“. Wird für e 65537 gewählt, funktioniert die „Low-Exponent-Attacke“ nicht mehr; der Rechenaufwand wird allerdings auch etwas größer. [Schm-01, S.112]

⁴⁷ [Ertel-01, S.78-S.85], [Schm-01, S.110-S.113]

16

wobei der Klartext keinerlei Vorgaben hat. Bei der schwachen Kollisionssicherheit wird eine gebundene Kollision gesucht, d.h. der gesuchte Klartext zum gegebene Hashwert hat bestimmte Vorgaben. Das Problem der Substitution wird abgeschwächt durch die Redundanz der natürlichen Sprache. ⁴⁸ Dies bedeutet, es gibt zwar unendlich viele Möglichkeiten, Zeichen zu kombinieren, aber bedeutend weniger Zeichenkombinationen, ergeben einen Sinn. Die Suche eines Klartextes mit bestimmtem Sinn zu einer gegebenen Hashfunktion ist nahezu aussichtslos.

Bild 2- 11 Funktionsweise der Hashfunktion 49

Bei der Hashfunktion handelt es sich um eine Einwegfunktion, die verschiedenen Anforderungen genügen muss:

• Jeder Hashwert sollte etwa gleich oft vorkommen.

• Kleine Änderungen des Klartextes müssen den Hashwert verändern.

• Es darf nicht möglich sein, in realistischer Zeit einen zweiten sinnvollen Klartext zu finden, der denselben Hashwert hat.

Es gibt eine Reihe von Hashverfahren; die Gängigsten sind MD4, MD5, SHA und RIPE-MD. ⁵⁰ Da es auf Hashwerte effektivere Angriffsmöglichkeiten als auf symmetrische Verfahren gibt, ist es empfehlenswert, ein Verfahren mit 160 Bit Länge zu wählen. Bisher wurden die technischen Bausteine der digitalen Signatur beschrieben. Im nächsten Abschnitt werden diese Bausteine zusammengeführt und die Funktionsweise und der prinzipiellen Ablauf beim Signieren erklärt.

⁴⁸ Die Redundanz D der Sprache ist als Differenz der maximalen Informationsrate der Sprache R und der tatsächlichen Informationsrate r definiert. (D=R-r) Wobei die maximale Informationsrate aus der Anzahl Zeichen L der Sprache definiert ist. (R=log 2 L) Die englische Sprache hat ein R von 4,7 Bit pro Buchstabe und die tatsächliche Informationsrate ist ca. 1,3 Bit, somit ist die Redundanz 3,4 Bit. Man kann somit davon ausgehen, dass in der englischen Sprache 80% Redundanz vorhanden sind. [http://home.t-online.de/home/poisoner/krypto /minidict.htm am 7.1.2002]

⁴⁹ [Walt-02]

⁵⁰ MD4 und MD6 sind Entwicklungen von Ron Rivest und haben 128 Bit Länge. SHA (Secure-Hash-Algorithm) hat 160 Bit Länge und wurde 1993 von der NSA und der NIST vorgestellt. RIPE-MD ist aus einem EU-Projekt entstanden es gilt als sehr sicher und hat 160 Bit Länge.

17

2.3 Das Prinzip der digitalen Signatur

Die digitale Signatur wird im Signaturgesetz (SigG) 51 gesetzlich geregelt. Das SigG ist am 1.8.1997 als Art. 3 des Informations- und Kommunikationsdienste Gesetz (IuKDG) in Kraft getreten. Bild 2-12 zeigt den prinzipiellen Ablauf der Unterzeichnung eines Dokumentes mit Hilfe der digitalen Signatur. Der Unterzeichner (Sender) nimmt sein Dokument (Klartext) und bildet mit Hilfe der Hash-Funktion den Hashwert (Fingerabdruck) des Dokuments. Anschließend verschlüsselt er den Hashwert mit einem asymmetrischen Verschlüsselungsverfahren unter Anwendung seines privaten Schlüssels. Die daraus gewonnene Signatur wird an das Dokument angehängt. Das nun signierte Dokument wird zum Empfänger geschickt.

Bild 2- 12 Funktionsweise der digitalen Signatur 52

Der Empfänger prüft die Echtheit der Signatur, indem er die empfangene Signatur mit dem öffentlichen Schlüssel dechiffriert. Er erhält daraus den Hashwert (Fingerabdruck) der mitgeschickten Signatur. Anschließend berechnet er mit Hilfe der Hashfunktion aus dem mitgeschickten Dokument den Hashwert. Stimmen nun beide Hashwerte überein, so wurde das Dokument ordnungsgemäß unterzeichnet. Das gerade geschilderte Vorgehen zeigt den theoretischen Funktionsablauf. Im folgenden möchte ich den praktischen Ablauf schildern.

2.3.1 Erzeugung der Schlüssel

Die Sicherheit der digitalen Signatur steht und fällt mit der Vertrauenswürdigkeit der Schlüssel. So muss zum einen sichergestellt sein, dass ein öffentlicher Schlüssel wirklich zu einer bestimmten Person gehört, zum anderen muss sichergestellt sein, dass die Schlüssel aktuell und nicht manipulierbar sind. Der Berechtigte muss sicher sein, dass nur er einen privaten

⁵¹ „Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz - SigG)“ ist im Anhang A am Ende der Diplomarbeit abgedruckt. Das Signaturgesetz befindet sich ebenfalls auf der CD-ROM PDF-File

⁵² [Walt-02]

18

Schlüssel besitzt, d.h. es dürfen keine unberechtigten Kopien des Schlüssels erstellt werden. Nach dem SigG sind sogenannte Zertifizierungsdienstanbieter ⁵³ für die Authentifizierung der Teilnehmer und die Integrität der Schlüssel verantwortlich. Bei den Zertifizierungsdienstanbietern handelt es sich um anerkannte Institutionen, Organisationen, Firmen oder Vereine. Diese prüfen die Identität der Teilnehmer, erzeugen die öffentlichen und privaten Schlüssel, zertifizieren diese Schlüssel, übertragen den privaten Schlüssel auf eine Chipkarte, führen einen Verzeichnis- und einen Zeitstempeldienst.

Am besten kann das Zertifikat mit einem digitalen Ausweis verglichen werden. Dieses beinhaltet neben dem Schlüsselpaar Daten über den Zertifikatinhaber und den Zertifizierungsdienstanbieter. Jeder, der mit einer digitalen Signatur unterschreiben möchte, muss bei einem Zertifizierungsdienstanbieter ein Zertifikat beantragen. Im sogenannten Prüfungs- und Kontrollverfahren wird durch den Zertifizierungsdienstanbieter die Identität der antragstellenden Personen geprüft. Hierzu ist im Normalfall ein persönliches Erscheinen mit Personalausweis beim Zertifizierungsdienstanbieter notwendig. ⁵⁴ Der Zertifizierungsdienstanbieter erzeugt den öffentlichen und den privaten Schlüssel für den Antragsteller. Anschließend zertifiziert der Zertifizierungsdienstanbieter den öffentlichen Schlüssel des Antragstellers, indem er diesen mit seinem eigenen privaten Schlüssel signiert. Es handelt sich um eine zweistufige hierarchische Zertifizierungsstruktur, bei der die öffentlichen Schlüssel der genehmigten Zertifizierungsdienstanbieter durch die Regulierungsbehörde RegTP ⁵⁵ zertifiziert werden. Der private Schlüssel wird auf Chipkarte ⁵⁶ gespeichert, anschließend wird er gelöscht. Die

⁵³ Zertifizierungsdienstanbieter werden auch als Trust-Center, Trusted Third Party oder Certification Authority bezeichnet. [Pudack-00]

⁵⁴ Die Zertifizierungsdienstanbieter müssen nach den vorgeschriebenen Sicherheitsrichtlinien aufgebaut sein. Der Sicherheitsbereich darf nur von Berechtigten durch eine Sicherheitsschleuse betreten werden. Der Antragsteller kommt gar nicht erst in den Sicherheitsbereich, da Annahme und Ausgabe des Zertifikates außerhalb des Sicherheitsbereichs stattfinden.

⁵⁵ RegTP (Regulierungsbehörde der Telekommunikation und Post) ist eine Bundesoberbehörde im Geschäftsbereich des Bundesministeriums für Wirtschaft. Sie ist nach dem §3 SigG i.V.m. §66 Abs. 1 TKG Telekommunikationsgesetz als Wurzelinstanz zuständig. [www.regtp.de] „§66 TKG (1) Zur Wahrnehmung der sich aus diesem Gesetz und anderen Gesetzen ergebenden Aufgaben wird die Regulierungsbehörde für Telekommunikation und Post als Bundesoberbehörde im Geschäftsbereich des Bundesministeriums für Wirtschaft mit Sitz in Bonn errichtet.“ [http://www.datenschutz-bayern.de/recht/tkg.htm#nr66 am 8.1.2002]

⁵⁶ Das Signaturgesetz schreib vor, dass der private Schlüssel nicht ausgelesen oder dupliziert werden darf. Der Signaturprozess findet deshalb auf der Chipkarte (Smart Card) statt. Hierzu werden hochwertige Kryptoprozes-soren benutzt. Siehe auch „DIN Specification of chipcard interface with digital signature application/function acc. to SigG and SigV DIN NI-17.4” die auf der CD-ROM enthalten ist.

19

Zertifizierungsdienstanbieter dürfen keine Kopie des privaten Schlüssels anfertigen ⁵⁷ . Bild 2-13 zeigt eine Signaturkarte mit passendem Lesegerät der eTrust, dem Zertifizierungsdienst der Deutschen Post AG.

Die Chipkarte mit dem privaten Schlüssel und der PIN ⁵⁸ wird dem Antragsteller persönlich

Bild 2- 13 Signaturkarte und Chipkartenleser 61

2.3.2 Erzeugung und Prüfung der digitalen Signatur

Die Erzeugung der digitalen Signatur wird durch die modernen Programme sehr komfortabel und einfach. Der Signierende braucht vom kryptologischen Kern der Programme nichts zu verstehen. Er kann wie gewohnt seine Texte oder e-Mails schreiben, kann Daten, Tabellen, Grafiken, Bilder, Videos oder Tondokumente einfügen; anschließend signiert er sein Dokument mit der speziellen Software, die er von seinem Zertifizierungsdienstanbieter bekommen hat. Viele Hersteller erzeugen sogenannte Makros in bereits vorhandenen Anwendungen wie Word, Outlook oder Excel, mit dessen Hilfe direkt in diesen Programmen signiert werden kann. Bild 2-14 zeigt ein solches Makro, welches von der Software der deutschen Post AG in Outlook erzeugt wurde. Nachdem man seine e-Mail wie gewohnt in Outlook geschrieben hat,

⁵⁷ Der privaten Schlüssel befindet sich auf dem Prozessor der Signaturkarte, er kann von diesem nicht mehr ausgelesen werden. Auch beim Signiervorgang bleibt der private Schlüssel im Prozessor der Signaturkarte verborgen. Es werden nur die zu signierenden Daten zur Karte geschickt und auf dieser signiert.

⁵⁸ Der PIN „Personal Identification Number” sorgt, wie im Kreditkartenverkehr, dafür dass mit gestohlenen oder verlorenen Karten kein Unberechtigter Geschäfte tätigen kann.

⁵⁹ Neben dem PIN gibt es noch die Möglichkeit, die Identität des Signaturkarteninhabers durch Biometrik zu überprüfen. Bei der Biometrik werden unverwechselbare persönliche Merkmale überprüft, wie z.B. Fingerabdruck, Iris, Gesichtsstruktur, Handschrift oder Sprache. Der Vorteil biometrischer Merkmale ist, dass sie nicht von Unbefugten verwendet werden können und das sie nicht wie die PIN-Codes vergessen werden können

⁶⁰ Anhang F gibt einen Überblick über die momentan akkreditierten Zertifizierungsdienstanbieter.

⁶¹ [Informationsmaterial www.regtp.de]

20

klickt man auf das Signatur Icon „Nachricht signieren“. Es wird nun die Signier-Software aufgerufen. Man wird dazu aufgefordert, seine Signaturkarte in den Chipkartenleser zu stecken.

4 Signier Software in Outlook 62 Bild 2- 1

zeichnenden vom Signaturprogramm abschließend Der zu signierende Text wird dem Unter

angezeigt, wodurch er genau sieht auf welchen Text sich seine Signatur bezieht. Er wird nun vom Programm informiert, dass er eine rechtsverbindliche Unterschrift leistet und er wird aufgefordert, seinen persönlichen PIN einzugeben. Im Hintergrund bildet nun die Software den Hashwert, der auf der Chipkarte signiert wird. Der Unterzeichnende wird nun über die erfolgreiche Signierung informiert. Anschließend kann er die signierte Mail direkt an den Empfänger verschicken. Wenn der Unterzeichnende es wünscht, kann zusätzlich ein Zeitstempel ⁶³ des Dokuments durch den Zertifizierungsdienstanbieter erzeugt werden. Dies ist empfehlenswert, wenn es eventuell später zu beweisen gilt, wann ein Dokument unterzeichnet wurde ⁶⁴ . Es ist zusätzlich möglich, das signierte Dokument zu verschlüsseln und dadurch

⁶² [Informationsmaterial www.regtp.de]

⁶³ Wird ein Zeitstempel gewünscht, wird der Hashwert, bevor er signiert wird, zum Zertifizierungsdienstanbieter geschickt. Der Zertifizierungsdienstanbieter erzeugt eine Zeitstempeldatei, in der die Uhrzeit, das Datum und der Hashwert geschrieben werden. Anschließend signiert der Zertifizierungsdienstanbieter den Hashwert dieser Zeitstempeldatei mit ihrem privaten Schlüssel und schickt sie zurück an den Unterzeichnenden. Dadurch ist das Dokument unwiderruflich mit Datum und Uhrzeit verbunden. Damit wird lediglich bestätig, dass ein bestimmtes Dokument zu einem bestimmten Zeitpunkt beim Zertifizierungsdienstanbieter vorgelegen hat. Im Dokument sollte das Datum stehen, da ansonst nur die Rückdatierung, aber nicht die Vordatierung verhindert werden kann. Der Unterzeichnende könnte später den gleichen Hashwert noch einmal vom Zertifizierungsdienstanbieter mit einem Zeitstempel versehen lassen.

⁶⁴ Dies kann notwendig sein, da die Systemzeit im Computer sehr leicht manipuliert werden kann. Dadurch ist ein leichtes Vor- oder Rückdatieren von Dokumenten und Signaturen möglich. Besonders relevant ist dies im Zusammenhang von Fristen oder der Sperrung von Zertifikaten.

21

neben der Authentizität und Integrität der Daten die Geheimhaltung zu gewährleisten. Hierzu wird das sogenannte Hybrid-Verschlüsselungsverfahren ⁶⁵ eingesetzt.

Bild 2- 15 Prüfsoftware für die digitale Signatur 66

Der hier vorgestellte prinzipielle Ablauf der Signaturerstellung und der Signaturprüfung anhand der Software der „Deutschen Post“ ist bei allen Anbietern gleich. Die graphische Gestaltung und die Bedienung der jeweiligen Software anderer Anbieter sind natürlich individuell. Der Anwender muss von der Kryptologie nichts verstehen, um die digitale Signatur benutzen zu können.

⁶⁵ Asymmetrische Verfahren sind sehr rechenaufwendig und damit langsam, aber es gibt kein Schlüsselaustauschproblem. Symmetrische Verfahren sind schnell, aber es muss vorher auf sicherem Wege der Schlüssel ausgetauscht werden. Beim Hybrid-Verschlüsselungsverfahren werden die Vorteile der asymmetrischen und symmetrischen Verfahren kombiniert. Zur Verschlüsselung wird ein sogenannter Session-Key erzeugt. Es handelt sich um einen symmetrischen Schlüssel, der aus einer zufälligen Zeichenfolge besteht und für jeden Verschlüsselungsvorgang neu erzeugt wird. Das zu verschlüsselnde Dokument wird mit dem Session-Key symmetrisch verschlüsselt. Anschließend wird der Session-Key mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Das verschlüsselte Dokument wird zusammen mit dem verschlüsselten Session-Key an den Empfänger geschickt. Nur der Empfänger ist in der Lage, den verschlüsselten Session-Key mit seinem privaten Schlüssel zu entschlüsseln. Nun kann er das verschlüsselte Dokument mit dem Session-Key entschlüsseln. Die Sicherheit dieses Verfahrens steht und fällt mit der Erzeugung der Session-Keys. Die Session-Keys müssen zufällig und unabhängig voneinander erzeugt werden.

⁶⁶ [Informationsmaterial www.regtp.de]

22