Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

280 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 279 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Wird im folgenden ein Pseudonym genauer angesprochen, etwa als das Pseudonym, das eine Person X bei einer Transaktion t, in der sie in der Rolle R (z.B. Kunde) auftritt, gegenüber einer anderen Person, die in einer Rolle S (z.B. als Dienstanbieter) auftritt, verwendet, so wird dies mit p S R (X,t) bezeichnet. Im Einzelfall überflüssige Teile einer solchen Bezeichnung, z.B. die Transaktion bei Geschäftsbeziehungspseudonymen, werden weggelassen. Geschäfts, sondern vor allem durch eigens gewählte Kennzeichen wie Kennummern oder Testschlüssel für digitale Signaturen (§3.1.1.2), sogenannte Pseudonyme. Eine aus praktischer Sicht zweckmäßige grobe Einteilung von Pseudonymen nach der Stärke der durch sie realisierten Anonymität ist in Bild 6-1 dargestellt. Kommunikation zwischen solchermaßen voreinander anonymen Partnern ist über ein Verkehrsdaten schützendes Kommunikationsnetz ohne weiteres möglich, denn es gestattet, Nachrichten ohne Absenderangabe zu senden und unter beliebigen Pseudonymen zu empfangen, die nicht (wie sonst Adressen) den physischen Ort des Benutzers oder gar ihn selbst bezeichnen. Ebensowenig wird die Verwendung eines kryptographischen Systems erschwert, da die Schlüssel eines asymmetrischen kryptographischen Systems, das entweder selbst zum Verschlüsseln oder zum Schlüsselaustausch für ein symmetrisches System verwendet wird, statt identifizierbaren Benutzern auch Pseudonymen zugeordnet sein können. Pseudonyme Personenpseudonyme Rollenpseudonyme Transaktionspseudonym Geschäftsbeziehungspseudonym anonymes Personenpseudonym nichtöffentliches Personenpseudonym öffentliches Personenpseudonym Nachdem in diesem Abschnitt daran erinnert wurde, daß Anonymität für überprüfbaren Datenschutz in offenen digitalen Systemen notwendig und technisch realisierbar ist, soll in den folgenden Abschnitten behandelt werden, wie die gewünschte Rechtssicherheit erreicht werden kann, ohne die Anonymität etwa bei der Authentikation wieder aufzugeben. A n o n y m i t ä t 6.2 Rechtssicherheit von Geschäftsabläufen unter Wahrung der Anonymität Bild 6-1: Einteilung der Pseudonyme nach ihrem Personenbezug In diesem Abschnitt wird allgemein untersucht, was bei der Gestaltung von Geschäftsabläufen zu beachten ist, um Rechtssicherheit trotz Anonymität zu garantieren, ohne hierbei auf die derzeitige juristische Situation näher einzugehen (siehe hierzu [Rede_84, Clem_85, Köhl_86, Rede_86]). Dazu wird in der Reihenfolge vorgegangen, in der auch die Abwicklung des Rechtsgeschäfts mitsamt eventueller Schadensregulierung erfolgt. Vieles im folgenden Gesagte gilt auch für nicht anonyme Geschäftsabläufe in offenen digitalen Systemen, da auch dort davon auszugehen ist, daß sich Geschäftspartner am Anfang weder persönlich kennen noch in üblicher Weise voreinander ausweisen können, so daß anfänglich Anonymität (wenn auch nicht Unbeobachtbarkeit) herrscht. 6.2.1 Willenserklärungen 6.2.1.1 Anonymes Abgeben und Empfangen Die Möglichkeit, Erklärungen anonym abzugeben und zu empfangen, ist bereits durch das Verkehrsdaten schützende Kommunikationsnetz gegeben. Wenn korrespondierende Erklärungen abgegeben werden sollen, bei denen man wünscht, daß entweder alle Beteiligten diese signieren oder keiner (was bei den meisten für offene Systeme vorgesehenen Geschäften nicht der Fall ist), kann man dies wie einen kompletten Geschäftsablauf zum Austausch signierter Erklärungen auffassen und etwa so abwickeln wie den nachher ausführlicher behandelten Austausch von Ware gegen Geld. Wo gewünscht, können spezielle Vertragsabschlußprotokolle [BGMR_85, EvGL_85] verwendet werden, die einen fast gleichzeitigen Austausch der Erklärungen erlauben, ohne dabei die Dienste eines Dritten in Anspruch nehmen zu müssen. Allerdings erhöhen solche Vertragsabschlußprotokolle den Kommunikationsaufwand stark. Ein Pseudonym wird als Personenpseudonym bezeichnet, wenn sein Inhaber es für viele verschiedene Geschäftsbeziehungen über lange Zeit hinweg verwendet, es somit einen Namensersatz darstellt. Hinsichtlich der Verkettungsmöglichkeiten mit der Person seines Inhabers können grob drei Arten von Personenpseudonymen unterschieden werden. Betrachtet man den Zeitpunkt, zu dem ein Personenpseudonym erstmals verwendet wird, so ist bei öffentlichen Personenpseudonymen die Zuordnung zu einer Person zumindest im Prinzip allgemein bekannt (z.B. Telefonnummern), bei nichtöffentlichen Personenpseudonymen ist diese Zuordnung nur wenigen Stellen bekannt (z.B. Kontonummern ohne Nennung des Namens oder nicht im Teilnehmerverzeichnis aufgeführte Telefonnummern) und bei anonymen Personenpseudonymen ist diese Zuordnung nur dem Inhaber bekannt (z.B. biometrische Merkmale des Inhabers oder gar seine DNA). Bei Verwendung von Personenpseudonymen sammelt sich bei einem Beobachter laufend personenbezogene Information an, so daß nach einer gewissen Zeit der Inhaber eines nichtöffentlichen oder anonymen Personenpseudonyms deanonymisiert werden kann. Jedes Personenpseudonym ist also ein potentielles Personenkennzeichen. Diesen Nachteil vermeiden Rollenpseudonyme, die im Gegensatz zu Personenpseudonymen nicht der Person, sondern nur ihrer momentan ausgeübten Rolle zugeordnet sind. Geschäftsbeziehungspseudonyme sind solche Rollenpseudonyme, die für viele Transaktionen verwendet werden, z.B. eine Kontonummer bei den vielen Buchungen eines Kontos oder ein Künstlername. Transaktionspseudonyme hingegen werden nur für eine Transaktion verwendet, z.B. Kennwörter bei anonym aufgegebenen Chiffreanzeigen. Bei Verwendung von Rollenpseudonymen können verschiedene Parteien über den Pseudonymträger gesammelte Information zumindest nicht einfach über die Gleichheit von Pseudonymen, sondern allenfalls über Korrelation von Zeiten, Geldbeträgen etc. verketten. Aber trotzdem besteht bei Geschäftsbeziehungspseudonymen die Gefahr, daß bei intensiv genutzten Beziehungen der Partner genügend pseudonymbezogene Information zur Deanonymisierung erhält. Aus der Sicht der Vertraulichkeit sollten daher, wenn immer möglich, Transaktionspseudonyme verwendet werden.
282 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 281 A. Pfitzmann: Datensicherheit und Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Signieren der Nachricht N: s (N) A 6.2.1.2 Authentikation von Erklärungen Häufig muß der eine Erklärung Abgebende eine Berechtigung zur Abgabe vorweisen. Ein wesentliches Hilfsmittel, um dies über ein Kommunikationsnetz tun zu können, sind digitale Signaturen. Dokument X N, s (N) A Y 6.2.1.2.1 Digitale Signaturen N p A Empfänger Y Abgebender X Testen der Signatur: t (N, s (N)) ? A A Bild 6-2: Übergabe einer signierten Nachricht von X an Y, in funktionaler Schreibweise links, in graphischer rechts Anstelle der eigenhändigen Unterschrift soll in Rechtsgeschäften über offene digitale Systeme eine sogenannte digitale Signatur (vgl. §3.1.1.2) dazu dienen, sicherzustellen, daß eine bestimmte Erklärung von einer bestimmten Person (oder auch Personengemeinschaft etc.), gekennzeichnet durch ein Pseudonym, abgegeben wurde. Die Grundforderungen an eine digitale Signatur sind daher: 1. Niemand außer dem Inhaber eines Pseudonyms sollte fähig sein, ein Dokument mit der zu diesem Pseudonym gehörenden Signatur zu versehen. 2. Jeder kann nachprüfen, ob eine bestimmte Erklärung mit einer zu einem bestimmten Pseudonym gehörenden Signatur versehen ist. Für manche Anwendungen ist es sinnvoll, für digitale Signatursysteme zusätzliche Eigenschaften zu fordern: Der Empfänger z.B. einer mit GMR signierten Nachricht kann diese jedem anderen Teilnehmer zeigen und ihn damit von der Authentizität der Nachricht überzeugen. Der Unterzeichner hat über das Weitergeben seiner Signatur keine Kontrolle. Dieser Mangel wird durch nicht herumzeigbare Signaturen (undeniable signatures, §3.1.1.2 und §3.9.4) behoben: Damit ein anderer Teilnehmer die Echtheit der Signatur glaubt, muß der angebliche Unterzeichner befragt werden; dieser kann von ihm tatsächlich geleistete Signaturen nicht ableugnen. Jedes Signatursystem (wie auch jedes asymmetrische Konzelationssystem) kann mit hinreichend großem Aufwand gebrochen werden. In üblichen Signatursystemen trägt das Risiko hierfür der Unterzeichner. Durch ein Fail-Stop-Signatursystem (§3.9.2) kann dieses Risiko auf den Empfänger verlagert werden: Wird eine Signatur gefälscht, so kann der angebliche Unterzeichner diese Fälschung jedem Dritten nachweisen. Eine weitere und im folgenden auch wirklich benötigte Variante, die blind geleisteten Signaturen, werden in §6.2.1.2.2 beschrieben. Nicht zu verwechseln mit digitalen Signatursystemen sind sogenannte digitale Identifikationssysteme. Während der Empfänger einer signierten Nachricht auch einem Dritten gegenüber die Signatur (und damit evtl. die Authentikation einer Erklärung) nachweisen kann, erlaubt ein Identifikationssystem dem Empfänger lediglich, den Abgebenden einer Erklärung zum Zeitpunkt der Abgabe als Besitzer eines bestimmten Pseudonyms zu identifizieren [WeCa_79, Bras_83, FiSh_87, Simm_88]. Ein Identifikationssystem ist also ein symmetrisches Authentikationssystem für nur eine Nachricht. Der Einfachheit halber wird der Abgebende hierzu ein (möglicherweise speziell geformtes) Pseudonym der Erklärung beilegen oder die Erklärung mit einem nur ihm und dem ihn Identifizierenden bekannten Schlüssel eines symmetrischen kryptographischen Systems verschlüsseln. Nach Empfang der Erklärung kann ein Dritter die Authentikation der Erklärung jedoch nicht mehr überprüfen (wie schon oben erwähnt), so daß digitale Identifikationssysteme aus Gründen der Rechtssicherheit zur Authentikation einer Erklärung ungeeignet erscheinen. Die erste Forderung bezieht sich dabei nur auf den Willen des Benutzers: Natürlich kann in einem rein digitalen System niemand einen Benutzer daran hindern, einem anderen Benutzer zu gestatten, unter einem von ihm verwendeten Pseudonym zu handeln. Dies entspricht der auch heute gegebenen Möglichkeit, einem anderen beliebig viele Blankounterschriften zur Verfügung zu stellen, und kann höchstens dem Benutzer selbst schaden, da man auch hier davon ausgehen muß, daß die so zustandegekommenen Erklärungen dem Inhaber des Pseudonyms als seine eigenen zugerechnet werden. Der einfache Ansatz, auf die Einzigartigkeit der Pseudonyme zu vertrauen und diese wie herkömmliche Unterschriften der Erklärung beizufügen, genügt obigen Anforderungen leider nicht, denn jeder, der einmal eine unterschriebene Erklärung von einem Benutzer erhalten hätte, könnte das beigefügte digitale Pseudonym auf beliebig viele weitere Erklärungen kopieren. Insbesondere zählt zu diesem ungenügenden Ansatz die bisweilen diskutierte Möglichkeit, eine digitalisierte Kopie der handgeschriebenen Unterschrift zur Authentikation von Erklärungen zu verwenden, denn auch diese läßt sich, selbst wenn sie quer über eine Papierversion der Erklärung geschrieben war, in der digitalen Version mühelos von der Erklärung trennen und weiterkopieren. (Die Gedanken aus [Köhl_86] sind hier nicht anwendbar, da dort die Faksimileunterschriften wie bei Banknoten mit speziellen Papierformularen kombiniert werden, die nicht im digitalen System verschickt werden können. Außerdem ist schon beim heutigen Stand der Kopiertechnik der Aufdruck solcher Formulare nicht sicherer als die eigenhändige Unterschrift, höchstens noch die Papierstruktur o.ä.). Deswegen benötigt man auch im nichtanonymen Fall ein vom Namen verschiedenes digitales Pseudonym (öffentliches Personenpseudonym), was einer der Gründe ist, ihn als Spezialfall des anonymen aufzufassen. Abhilfe gegen obiges Problem schafft ein digitales Signatursystem. In Bild 6-2 ist die Übergabe einer signierten Nachricht vom Benutzer X an den Benutzer Y dargestellt, wobei X das Pseudonym pA (für Abgebender) verwendet; links in einer funktionalen Schreibweise, rechts in der für den Rest des Kapitels gewählten graphischen Notation, in der Nachrichten als Dokumente und Signaturen als Siegel dargestellt werden. 6.2.1.2.2 Formen der Authentikation Je nachdem, woher die Berechtigung zur Abgabe der Erklärung bezogen wird, kann man zwischen Eigenauthentikation und Fremdauthentikation unterscheiden.
Seite 1 und 2:
A. Pfitzmann: Datensicherheit und K
Seite 3 und 4:
VI A. Pfitzmann: Datensicherheit un
Seite 5 und 6:
X A. Pfitzmann: Datensicherheit und
Seite 7 und 8:
2 A. Pfitzmann: Datensicherheit und
Seite 9 und 10:
6 A. Pfitzmann: Datensicherheit und
Seite 11 und 12:
10 A. Pfitzmann: Datensicherheit un
Seite 13 und 14:
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38:
Seite 39 und 40:
Seite 41 und 42:
Seite 43 und 44:
Seite 45 und 46:
Seite 47 und 48:
Seite 49 und 50:
Seite 51 und 52:
Seite 53 und 54:
Seite 55 und 56:
Seite 57 und 58:
102 A. Pfitzmann: Datensicherheit u
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96: 178 A. Pfitzmann: Datensicherheit u
Seite 145: 278 A. Pfitzmann: Datensicherheit u
Seite 197 und 198:
Seite 199 und 200:
Seite 201 und 202:
Seite 203 und 204:
Seite 205 und 206:
Seite 207 und 208:
Seite 209 und 210:
Seite 211 und 212:
Seite 213 und 214:
Seite 215 und 216:
Seite 217 und 218:
Seite 219 und 220:
Seite 221 und 222:
Seite 223 und 224:
Seite 225 und 226:
Seite 227 und 228:
Seite 229 und 230:
Seite 231 und 232:
A. Pfitzmann: Datensicherheit und K
Seite 233 und 234:
Seite 235 und 236:
Seite 237 und 238:
Seite 239 und 240:
Seite 241 und 242:
Seite 243 und 244:
Seite 245 und 246:
Seite 247 und 248:
Alle anzeigen

Sicherheit in Rechnernetzen: - Professur Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?