Sicherheit in Rechnernetzen - Professur Datenschutz und ...

3.1 Systematik
Ihr Hauptvorteil ist aber ein anderer: Jener ist, daß nun der Empfänger B einer signierten
Nachricht von A jedem anderen, der auch A’s Schlüssel tA kennt, beweisen kann, daß er diese
Nachricht von A bekam. Dies geht bei einem symmetrischen Authentikationssystem nicht,
selbst wenn z. B. vor Gericht die Schlüsselverteilzentrale bestätigen würde, welchen Schlüssel
A und B hatten: Bei symmetrischen Authentikationssystemen kann ja B den MAC genausogut
selbst erzeugt haben. Bei digitalen Signatursystemen ist jedoch A der einzige, der die Signatur
erzeugen kann.
Deswegen sind digitale Signatursysteme unumgänglich, wenn man rechtlich relevante Dinge
digital in sicherer Weise abwickeln will, z. B. bei digitalen Zahlungssystemen. Sie entsprechen
dort der Funktion der handgeschriebenen Unterschrift in heutigen Rechtsgeschäften (daher
natürlich der Name). Im Folgenden verwende ich die Begriffe „Unterschrift“ und „Signatur“
weitgehend synonym.
Dem gerade beschriebenen Hauptvorteil digitaler Signatursysteme bzgl. Integrität steht ein
prinzipieller Nachteil bzgl. Vertraulichkeit gegenüber: Der Empfänger einer digitalen Signatur
kann Nachricht und Signatur herumzeigen - und wenn der Schlüssel zum Testen der Signatur
öffentlich ist, kann jeder die Gültigkeit der Signatur testen. Je nach Nachrichteninhalt kann dies
demjenigen, der die Nachricht signiert hat, wesentlich unangenehmer sein, als wenn hinter seinem
Rücken nur einfach seine Nachricht herumgezeigt werden könnte - beliebige Nachrichten
erfinden und als nicht nachprüfbares Gerücht verbreiten kann jeder. Diese Prüfung der Integrität
einer Nachricht hinter dem Rücken des Senders ist bei symmetrischen Authentikationssystemen
nicht möglich: Bei ihnen könnte ja auch der Empfänger der Nachricht den Prüfteil (MAC) generiert
haben, so daß Dritte die Authentizität der Nachricht bei symmetrischen Authentikationssystemen
nicht prüfen können. Es sei hier schon darauf hingewiesen, daß es Authentikationssysteme
gibt, die beide Vorteile kombinieren: Bei nicht herumzeigbaren Signaturen (undeniable 6
signatures) ist zur Prüfung der Signatur die aktive Mithilfe des Signierers nötig, so daß ein Prüfen
hinter seinem Rücken nicht möglich ist. Andererseits muß dann festgelegt werden, unter
welchen Umständen der (vorgebliche) Signierer zur aktiven Mithilfe bei der Prüfung „seiner“
Signatur verpflichtet ist. Denn sonst könnte der Empfänger der signierten Nachricht im Konfliktfall
mit dem Sender daraus, daß die Nachricht signiert ist, keine Vorteile ziehen, da er niemand
hiervon überzeugen könnte. Mehr über diesen Typ digitaler Signatursysteme steht in §3.9.4.
Anmerkung 1: In ausführlicher Schreibweise könnten die Signier- und Testalgorithmen sign und
test heißen. Dann ist die Signatur S ig := sign(s, x), und der Empfänger einer Nachricht
(x, S ig) berechnet test(t, x, S ig) ∈ {ok, f alsch}.
Anmerkung 2: Die Zufallszahl unten rechts im Bild 3.7 wird unabhängig von der Zufallszahl
oben gewählt. Wozu man sie braucht, wird erst in §3.5 einsichtig.
Man beachte, daß hier im Gegensatz zur symmetrischen Authentikation ein eigener Testalgorithmus
benötigt wird, weil der Empfänger dort den Schlüssel k hat, mit dem er aus x selbst den
korrekten Wert MAC bestimmen kann; hier hat er aber s nicht.
6 Da jede digitale Signatur „undeniable“, d. h. unleugbar, nicht abstreitbar, sein soll, da sie andernfalls für den
Rechtsverkehr unbrauchbar ist, halte ich den vom Erfinder dieses Signatursystemtyps - David Chaum - gewählten
Namen für ungeschickt. Wenigstens im Deutschen möchte ich einen aussagekräftigen etablieren.
61