Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
282<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
281<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
Signieren<br />
der Nachricht N:<br />
s (N)<br />
A<br />
6.2.1.2 Authentikation von Erklärungen<br />
Häufig muß der e<strong>in</strong>e Erklärung Abgebende e<strong>in</strong>e Berechtigung zur Abgabe vorweisen. E<strong>in</strong> wesentliches<br />
Hilfsmittel, um dies über e<strong>in</strong> Kommunikationsnetz tun zu können, s<strong>in</strong>d digitale Signaturen.<br />
Dokument<br />
X N, s (N)<br />
A Y<br />
6.2.1.2.1 Digitale Signaturen<br />
N<br />
p A<br />
Empfänger<br />
Y<br />
Abgebender<br />
X<br />
Testen der<br />
Signatur:<br />
t (N, s (N)) ?<br />
A A<br />
Bild 6-2: Übergabe e<strong>in</strong>er signierten Nachricht von X an Y, <strong>in</strong> funktionaler Schreibweise l<strong>in</strong>ks, <strong>in</strong><br />
graphischer rechts<br />
Anstelle der eigenhändigen Unterschrift soll <strong>in</strong> Rechtsgeschäften über offene digitale Systeme e<strong>in</strong>e<br />
sogenannte digitale Signatur (vgl. §3.1.1.2) dazu dienen, sicherzustellen, daß e<strong>in</strong>e bestimmte Erklärung<br />
von e<strong>in</strong>er bestimmten Person (oder auch Personengeme<strong>in</strong>schaft etc.), gekennzeichnet durch e<strong>in</strong><br />
Pseudonym, abgegeben wurde.<br />
Die Gr<strong>und</strong>forderungen an e<strong>in</strong>e digitale Signatur s<strong>in</strong>d daher:<br />
1. Niemand außer dem Inhaber e<strong>in</strong>es Pseudonyms sollte fähig se<strong>in</strong>, e<strong>in</strong> Dokument mit der zu<br />
diesem Pseudonym gehörenden Signatur zu versehen.<br />
2. Jeder kann nachprüfen, ob e<strong>in</strong>e bestimmte Erklärung mit e<strong>in</strong>er zu e<strong>in</strong>em bestimmten<br />
Pseudonym gehörenden Signatur versehen ist.<br />
Für manche Anwendungen ist es s<strong>in</strong>nvoll, für digitale Signatursysteme zusätzliche Eigenschaften zu<br />
fordern:<br />
Der Empfänger z.B. e<strong>in</strong>er mit GMR signierten Nachricht kann diese jedem anderen Teilnehmer<br />
zeigen <strong>und</strong> ihn damit von der Authentizität der Nachricht überzeugen. Der Unterzeichner hat über das<br />
Weitergeben se<strong>in</strong>er Signatur ke<strong>in</strong>e Kontrolle. Dieser Mangel wird durch nicht herumzeigbare<br />
Signaturen (<strong>und</strong>eniable signatures, §3.1.1.2 <strong>und</strong> §3.9.4) behoben: Damit e<strong>in</strong> anderer Teilnehmer<br />
die Echtheit der Signatur glaubt, muß der angebliche Unterzeichner befragt werden; dieser kann von<br />
ihm tatsächlich geleistete Signaturen nicht ableugnen.<br />
Jedes Signatursystem (wie auch jedes asymmetrische Konzelationssystem) kann mit h<strong>in</strong>reichend<br />
großem Aufwand gebrochen werden. In üblichen Signatursystemen trägt das Risiko hierfür der<br />
Unterzeichner. Durch e<strong>in</strong> Fail-Stop-Signatursystem (§3.9.2) kann dieses Risiko auf den<br />
Empfänger verlagert werden: Wird e<strong>in</strong>e Signatur gefälscht, so kann der angebliche Unterzeichner<br />
diese Fälschung jedem Dritten nachweisen.<br />
E<strong>in</strong>e weitere <strong>und</strong> im folgenden auch wirklich benötigte Variante, die bl<strong>in</strong>d geleisteten<br />
Signaturen, werden <strong>in</strong> §6.2.1.2.2 beschrieben.<br />
Nicht zu verwechseln mit digitalen Signatursystemen s<strong>in</strong>d sogenannte digitale Identifikationssysteme.<br />
Während der Empfänger e<strong>in</strong>er signierten Nachricht auch e<strong>in</strong>em Dritten gegenüber die Signatur<br />
(<strong>und</strong> damit evtl. die Authentikation e<strong>in</strong>er Erklärung) nachweisen kann, erlaubt e<strong>in</strong> Identifikationssystem<br />
dem Empfänger lediglich, den Abgebenden e<strong>in</strong>er Erklärung zum Zeitpunkt der Abgabe als<br />
Besitzer e<strong>in</strong>es bestimmten Pseudonyms zu identifizieren [WeCa_79, Bras_83, FiSh_87, Simm_88].<br />
E<strong>in</strong> Identifikationssystem ist also e<strong>in</strong> symmetrisches Authentikationssystem für nur e<strong>in</strong>e Nachricht.<br />
Der E<strong>in</strong>fachheit halber wird der Abgebende hierzu e<strong>in</strong> (möglicherweise speziell geformtes)<br />
Pseudonym der Erklärung beilegen oder die Erklärung mit e<strong>in</strong>em nur ihm <strong>und</strong> dem ihn Identifizierenden<br />
bekannten Schlüssel e<strong>in</strong>es symmetrischen kryptographischen Systems verschlüsseln. Nach<br />
Empfang der Erklärung kann e<strong>in</strong> Dritter die Authentikation der Erklärung jedoch nicht mehr überprüfen<br />
(wie schon oben erwähnt), so daß digitale Identifikationssysteme aus Gründen der<br />
Rechtssicherheit zur Authentikation e<strong>in</strong>er Erklärung ungeeignet ersche<strong>in</strong>en.<br />
Die erste Forderung bezieht sich dabei nur auf den Willen des Benutzers: Natürlich kann <strong>in</strong> e<strong>in</strong>em re<strong>in</strong><br />
digitalen System niemand e<strong>in</strong>en Benutzer daran h<strong>in</strong>dern, e<strong>in</strong>em anderen Benutzer zu gestatten, unter<br />
e<strong>in</strong>em von ihm verwendeten Pseudonym zu handeln. Dies entspricht der auch heute gegebenen Möglichkeit,<br />
e<strong>in</strong>em anderen beliebig viele Blankounterschriften zur Verfügung zu stellen, <strong>und</strong> kann<br />
höchstens dem Benutzer selbst schaden, da man auch hier davon ausgehen muß, daß die so zustandegekommenen<br />
Erklärungen dem Inhaber des Pseudonyms als se<strong>in</strong>e eigenen zugerechnet werden.<br />
Der e<strong>in</strong>fache Ansatz, auf die E<strong>in</strong>zigartigkeit der Pseudonyme zu vertrauen <strong>und</strong> diese wie herkömmliche<br />
Unterschriften der Erklärung beizufügen, genügt obigen Anforderungen leider nicht, denn<br />
jeder, der e<strong>in</strong>mal e<strong>in</strong>e unterschriebene Erklärung von e<strong>in</strong>em Benutzer erhalten hätte, könnte das<br />
beigefügte digitale Pseudonym auf beliebig viele weitere Erklärungen kopieren. Insbesondere zählt zu<br />
diesem ungenügenden Ansatz die bisweilen diskutierte Möglichkeit, e<strong>in</strong>e digitalisierte Kopie der<br />
handgeschriebenen Unterschrift zur Authentikation von Erklärungen zu verwenden, denn auch diese<br />
läßt sich, selbst wenn sie quer über e<strong>in</strong>e Papierversion der Erklärung geschrieben war, <strong>in</strong> der digitalen<br />
Version mühelos von der Erklärung trennen <strong>und</strong> weiterkopieren. (Die Gedanken aus [Köhl_86] s<strong>in</strong>d<br />
hier nicht anwendbar, da dort die Faksimileunterschriften wie bei Banknoten mit speziellen<br />
Papierformularen komb<strong>in</strong>iert werden, die nicht im digitalen System verschickt werden können.<br />
Außerdem ist schon beim heutigen Stand der Kopiertechnik der Aufdruck solcher Formulare nicht<br />
sicherer als die eigenhändige Unterschrift, höchstens noch die Papierstruktur o.ä.).<br />
Deswegen benötigt man auch im nichtanonymen Fall e<strong>in</strong> vom Namen verschiedenes digitales<br />
Pseudonym (öffentliches Personenpseudonym), was e<strong>in</strong>er der Gründe ist, ihn als Spezialfall des<br />
anonymen aufzufassen.<br />
Abhilfe gegen obiges Problem schafft e<strong>in</strong> digitales Signatursystem.<br />
In Bild 6-2 ist die Übergabe e<strong>in</strong>er signierten Nachricht vom Benutzer X an den Benutzer Y<br />
dargestellt, wobei X das Pseudonym pA (für Abgebender) verwendet; l<strong>in</strong>ks <strong>in</strong> e<strong>in</strong>er funktionalen<br />
Schreibweise, rechts <strong>in</strong> der für den Rest des Kapitels gewählten graphischen Notation, <strong>in</strong> der<br />
Nachrichten als Dokumente <strong>und</strong> Signaturen als Siegel dargestellt werden.<br />
6.2.1.2.2 Formen der Authentikation<br />
Je nachdem, woher die Berechtigung zur Abgabe der Erklärung bezogen wird, kann man zwischen<br />
Eigenauthentikation <strong>und</strong> Fremdauthentikation unterscheiden.