308 A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 307 A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Grob funktionieren die verteilten Berechnungsprotokolle folgendermaßen: Die E<strong>in</strong>gaben werden mittels e<strong>in</strong>es Schwellwertschemas, vgl. §3.9.6, unter den Teilnehmern verteilt. Danach können die Teile sowohl addiert als auch multipliziert <strong>und</strong> so beliebige Berechnungen ausgeführt werden. T2 : I 2 T 3 : I 3 T 1 : I 1 Die genauen Details sprengen den Rahmen dieses Skripts. Wichtig ist mir die Botschaft, daß pr<strong>in</strong>zipiell alles, was mittels global vertrauenswürdiger zentraler Rechner berechnet werden kann, auch dezentral <strong>und</strong> ohne globales Vertrauen berechenbar ist – auch wenn der Aufwand der bisher bekannten verteilten Berechnungsprotokolle hoch ist. O1 = f1 (I1 , I2 , ... , In ) O2 = f2(I1, I2, ... , In) O n = f n(I 1, I 2, ... , I n) T 4: I 4 Rechner, dem alle vertrauen müssen. T n: I n Verschlüsselung zur Konzelation <strong>und</strong> Authentikation Bild 8-1: Zentralisiertes Berechnungsprotokoll zwischen Teilnehmern Ti . Jeder Ti sendet se<strong>in</strong>en Input Ii an e<strong>in</strong>en zentralen Rechner, dem alle vertrauen müssen. Dieser berechnet die Funktionen fj <strong>und</strong> sendet an jeden Ti se<strong>in</strong>en Output Oi . T2 : I 2 T 3 : I 3 T 1 : I 1 O1 = f1(I1, I2, ... , In) O2 = f2 (I1 , I2 , ... , In ) O n = f n (I 1 , I 2 , ... , I n ) T 4 : I 4 T n : I n Berechnungsprotokoll zwischen mehreren Parteien Bild 8-2: Verteiltes Berechnungsprotokoll zwischen Teilnehmern Ti . Jeder Ti br<strong>in</strong>gt se<strong>in</strong>en Input Ii <strong>in</strong> die Berechnung e<strong>in</strong> <strong>und</strong> erhält se<strong>in</strong>en Output Oi .
310 A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr 309 A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr Auf Gr<strong>und</strong>lage der Funktionspr<strong>in</strong>zipien kryptographischer <strong>und</strong> steganographischer Verfahren (§3 <strong>und</strong> §4) werden nun die wichtigsten Anforderungen <strong>und</strong> technischen Gestaltungsmöglichkeiten diskutiert, die für die aktuelle Diskussion um e<strong>in</strong>e Kryptoregulierung von Bedeutung s<strong>in</strong>d. 128 9 Regulierbarkeit von <strong>Sicherheit</strong>stechnologien 9.1 Benutzeranforderungen an Signatur- <strong>und</strong> Konzelationsschlüssel Digitale Signatursysteme werden zur Zeit für den elektronischen Rechtsverkehr129 <strong>und</strong> die elektronische Archivierung e<strong>in</strong>geführt. Für beide Anwendungsbereiche ergeben sich Zertifizierungsanforderungen an Signaturschlüssel, die neben den kryptographischen Eigenschaften des Signatursystems Voraussetzung für die Rechtsverb<strong>in</strong>dlichkeit digital signierter Dokumente s<strong>in</strong>d. So muß der Empfänger e<strong>in</strong>er signierten Nachricht nicht nur prüfen können, daß Nachricht <strong>und</strong> Signatur zum öffentlichen Testschlüssel passen, sondern er muß den öffentlichen Testschlüssel auch nachweisbar e<strong>in</strong>er Person zuordnen können130 . Hierfür sollen sogenannte TrustCenter – technisch-organisatorische E<strong>in</strong>heiten, die verschiedene vertrauenswürdige, der <strong>Sicherheit</strong> dienliche Dienstleistungen erbr<strong>in</strong>gen sollen –, auch die Funktion e<strong>in</strong>er Certification Authority wahrnehmen. Die Erzeugung der Signaturschlüsselpaare <strong>in</strong> TrustCentern131 kann zur Voraussetzung zur Teilnahme am elektronischen Rechtsverkehr gemacht werden, <strong>und</strong> damit besteht nun die Möglichkeit, alle geheimen Signierschlüssel dort zu speichern. Die Verwendbarkeit von Signatursystemen im elektronischen Rechtsverkehr beruht aber auf der Zusicherung, daß außer dem Besitzer e<strong>in</strong>es geheimen Signaturschlüssels niemand e<strong>in</strong>e entsprechende Signatur erzeugen kann. E<strong>in</strong>e Zugriffsmöglichkeit auf geheime Signaturschlüssel erlaubt das Fälschen von Beweismitteln <strong>und</strong> entwertet damit die ganze <strong>Sicherheit</strong>s<strong>in</strong>frastruktur, auf der der elektronische Rechtsverkehr beruht. Ke<strong>in</strong>er von uns lebt völlig alle<strong>in</strong>. Sie lesen gerade me<strong>in</strong>en Text – <strong>und</strong> von mir weiß ich es selbst. Außerdem setzen Rechnernetze wie auch mehrseitige <strong>Sicherheit</strong> voraus, daß es mehrere Beteiligte gibt. Und diese haben jeweils nicht nur Individualziele, sondern sie s<strong>in</strong>d auch Teil unterschiedlichster Geme<strong>in</strong>schaften. Individuen haben nicht nur legitime Rechte <strong>und</strong> Ansprüche an die Geme<strong>in</strong>schaften, sondern Geme<strong>in</strong>schaften auch an ihre Mitglieder. Und hier entsteht folgendes Problem: Die vorgestellten <strong>Sicherheit</strong>stechnologien können nicht nur zur legitimen <strong>und</strong> Demokratie fördernden Herstellung mehrseitiger <strong>Sicherheit</strong> <strong>in</strong> e<strong>in</strong>er offenen Gesellschaft benutzt werden, sondern auch zur Bildung von Subkulturen <strong>und</strong> deren Abschottung gegenüber außen. Im Grenzfall nutzen also auch organisiert Krim<strong>in</strong>elle die weit verbreitete <strong>Sicherheit</strong>stechnologie, um ihre Verbrechen zu planen, zu koord<strong>in</strong>ieren <strong>und</strong> auszuführen. Um dem vorzubeugen, fordern manche Politiker e<strong>in</strong>e Regulierung von <strong>Sicherheit</strong>stechnologie, d.h. e<strong>in</strong>e E<strong>in</strong>schränkung von Herstellung, Verbreitung <strong>und</strong> sogar Benutzung von <strong>Sicherheit</strong>smechanismen, etc. Nun möchte ich nicht versuchen zu entscheiden, was geme<strong>in</strong>schaftsförderlich, was gut, was <strong>in</strong> der Bekämpfung des Schlechten verhältnismäßig ist. Das s<strong>in</strong>d schwierige Fragen, auf die es ke<strong>in</strong>e endgültigen Antworten gibt: Auch die Demokratie begann oftmals als Anliegen e<strong>in</strong>er Subkultur, auch e<strong>in</strong>e demokratisch regierte Supermacht wie die USA verfolgt mit der Regulierung von <strong>Sicherheit</strong>stechnologie Macht- <strong>und</strong> Wirtschafts<strong>in</strong>teressen. Ich werde e<strong>in</strong>er e<strong>in</strong>facheren Frage nachgehen: Ist <strong>Sicherheit</strong>stechnologie überhaupt regulierbar, d.h. dienen regulatorische E<strong>in</strong>griffe wie Export- <strong>und</strong> Importverbote, Gestaltungs- <strong>und</strong> Benutzungsvorschriften wirklich dem angestrebten Zweck, oder s<strong>in</strong>d sie wirkungslos oder gar kontraproduktiv? Wovon ich nichts halte ist, alle<strong>in</strong> um symbolische Politik zu betreiben, den Nutzen von <strong>Sicherheit</strong>stechnologie für die Gesetzestreuen e<strong>in</strong>zuschränken, ohne die Krim<strong>in</strong>ellen signifikant zu stören. Dann lieber e<strong>in</strong> symbolisches Gesetz, daß böse Gedanken verbietet. Denn alle Krim<strong>in</strong>alität beg<strong>in</strong>nt mit bösen Gedanken – <strong>und</strong> durch solch e<strong>in</strong> Gesetz wird wenigstens ke<strong>in</strong> Guter beh<strong>in</strong>dert. Schlüsselpaare für Konzelation, also zum Vertraulichkeitsschutz, brauchen nicht <strong>in</strong> e<strong>in</strong>em rechtlich b<strong>in</strong>denden S<strong>in</strong>ne zertifiziert zu werden. Es mag s<strong>in</strong>nvoll se<strong>in</strong>, beim Aufbau e<strong>in</strong>er Infrastruktur Schlüsselzertifizierungen e<strong>in</strong>zusetzen, um die Authentizität der verwalteten Schlüssel zu sichern. Damit kann verh<strong>in</strong>dert werden, daß <strong>in</strong> e<strong>in</strong>er <strong>Sicherheit</strong>s<strong>in</strong>frastruktur Personen unter falschen Namen öffentliche Konzelationsschlüssel bereitstellen <strong>und</strong> auf diese Weise <strong>in</strong> den Besitz vertraulicher Nachrichten gelangen. Aber die Anforderung der Benutzer an Konzelationssysteme besteht dar<strong>in</strong>, daß sie sich gegenseitig der Authentizität der öffentlichen Konzelationsschlüssel sicher s<strong>in</strong>d, nicht daß sie diese vor Gericht nachweisen können. Daher können Kommunikationspartner, sobald es ihnen gelungen ist, e<strong>in</strong>mal Schlüssel auszutauschen132 , deren Authentizität sie vertrauen, jedes beliebige Konzelationssystem zur weiteren vertraulichen Kommunikation verwenden. Die Erzeugung von Schlüsselpaaren <strong>in</strong> sogenannten TrustCentern kann also für Konzelation nicht erzwungen werden, denn niemand ist beim Gebrauch der Konzelationsschlüssel auf Zertifikate von TrustCentern angewiesen. 128 Die folgenden Unterkapitel s<strong>in</strong>d teilweise kopiert aus [HuPf_96, HuPf_98]. 129 Das Gesetz zur digitalen Signatur (Art. 3 des Informations- <strong>und</strong> Kommunikationsdienste-Gesetzes (IuKDG)) trat zum 1. Aug. 1997 <strong>in</strong> Kraft. 130 Daher werden der öffentliche Testschlüssel <strong>und</strong> die Identität der <strong>in</strong>habenden Person von e<strong>in</strong>er Certification Authority digital signiert, was als Zertifizierung des öffentlichen Schlüssels bezeichnet wird. Um solche Zertifikate überprüfen zu können, muß der Empfänger e<strong>in</strong>er signierten Nachricht eventuell weitere Zertifikate e<strong>in</strong>holen. Der entstehende Zertifizierungsbaum ist beispielsweise <strong>in</strong> X.509 <strong>und</strong> <strong>in</strong> e<strong>in</strong>geschränkter Form im Gesetz zur digitalen Signatur (bzw. der zugehörigen Verordnung) beschrieben. 131 Dies ist allerd<strong>in</strong>gs nicht empfehlenswert, da zentrale Systemkomponenten, auf denen die Ausführung verschiedener vone<strong>in</strong>ander unabhängiger Teilaufgaben konzentriert wird, immer auch Schwachpunkte e<strong>in</strong>er <strong>Sicherheit</strong>sarchitektur bilden, vgl. [FJPP_95], <strong>und</strong> es vere<strong>in</strong>facht die Zertifizierung auch nicht. 132 z.B. mit Hilfe der staatlich bereitgestellten <strong>Sicherheit</strong>s<strong>in</strong>frastruktur, aber auch durch persönlichen Austausch von Schlüsseln. In den letzten 2 Jahrzehnten wurde <strong>in</strong>sbesondere versucht, die Verbreitung von sicheren Rechnern, <strong>in</strong>sbesondere sicheren Betriebssystemen, <strong>und</strong> von Kryptographie zu regulieren. In den USA hat beispielsweise DEC die Entwicklung e<strong>in</strong>es sicheren verteilten Betriebssystems [GGKL_89, GKLR_92, Wich_93] etwa 1994 mit der Begründung e<strong>in</strong>gestellt, es sei hierfür ke<strong>in</strong>e Exportgenehmigung zu erhalten <strong>und</strong> die Entwicklung von zwei Betriebssystemversionen für den Weltmarkt nicht lohnend. Über die Regulierung von Kryptographie wird, nachdem m<strong>in</strong>destens seit 1986 h<strong>in</strong>ter verschlossenen Türen darüber diskutiert wurde [WaPP_87, Riha2_96], <strong>in</strong> den USA seit 1993 unter dem Schlagwort Key escrow / Key recovery bzw. Clipper-Chip <strong>und</strong> Nachfolgevorschläge <strong>und</strong> <strong>in</strong> Deutschland unter dem Schlagwort Kryptogesetz hierüber öffentlich diskutiert [HuPf2_96, WiHP_97, HaMö_98]. Die Verbreitung von unsicheren Rechnern ist heutzutage weit fortgeschritten, denken Sie an PCs mit Betriebssystemen ohne jede Zugriffskontrolle <strong>und</strong> entsprechend empfänglich für Trojanische Pferde via Würmer <strong>und</strong> Computer-Viren. E<strong>in</strong>en politischen Streit <strong>in</strong> diesem Gebiet gibt es folglich nicht – er wird aber entstehen, sobald sichere(re) PCs marktgängig werden. Im Folgenden konzentriere ich mich auf die Regulierbarkeit von Kryptographie – denn hier kann durch Unkenntnis <strong>und</strong> symbolpolitischen Übereifer möglicherweise sehr großer Schaden nicht nur für e<strong>in</strong>zelne, sondern gerade auch die Demokratie entstehen [Pfit_98].