Anwendung in der Praxis

Szenarien

1. Zertifikate

Eines der Grundprobleme bei der Authentisierung ist, dass man die Echtheit einer Nachricht nur auf die Echtheit einer digitalen Unterschrift (Signatur) zurückgeführt hat. Die Echtheit der Signatur hängt an der Echtheit des öffentlichen Schl&umml;ssels. Diesem könnte man sicher vertrauen, wenn man ihn zum Beispiel persönlich auf Diskette bekommen hat; das würde aber die Anwendung von Signaturen entscheidend einschränken.

Zur Lösung dieses Problems dienen Zertifikate. Sie werden von einer vertrauenswürdigen Stelle (was immer das heißt) ausgestellt und bescheinigen mit deren Signatur, dass

ein bestimmter (öffentlicher) Schlüssel
zu einer bestimmten Zeit
einer bestimmten Person (oder Gruppe) gehört.

Die Zertifizierungsstelle (ZS, engl. CA = certifying authority) muss vor der Ausstellung des Zertifikats die Identität des Antragstellers überprüfen.

Es lassen sich ganze Hierarchien von Zertifikaten aufbauen, indem ZSen die Signaturen untergeordneter (zum Beispiel lokaler) ZAs beglaubigen. Große ZSen werden ihre Schlüssel gegenseitig beglaubigen. Es genügt dann, wenn jeder Teilnehmer am System den öffentlichen Schlüssel einer einzigen ZS verlässlich kennt. Zur Sicherheit sollte sie in einem nicht manipulierbaren Speicher gehalten werden, etwa in einer Chip-Karte, die durch ein PIN (persönliche Identifizierungnummer) gesichert ist. Diese Chip-Karte hält natürlich auch den privaten Schlüssel des Eigentümers, mit dem er Nachrichten signiert und empfangene Nachrichten entschlüsselt.

2. Signaturen

Wer eine Nachricht digital signiert, schickt zweckmäßigerweise sein Zertifikat mit. Der Empfänger benötigt dann zur Überprüfung der Signatur nur den öffentlichen Schlüssel der ZS. Mit ihm überprüft er die Echtheit des Zertifikats und dann mit diesem die Echtheit der Signatur.

Eine Signatur kann alles beglaubigen, was im Papierverkehr unterschrieben wird: einen Vertrag, einen Scheck, eine Überweisung, einen Brief. Lediglich einem Zweck kann sie, im Gegensatz zur traditionellen Unterschrift, nicht dienen: Der Bestätigung einer Änderung an einem bereits signierten Dokument. Der Grund dafür ist, dass dieses signierte Dokument bereits kopiert worden sein könnte, und auf die Kopien hat die Änderung natürlich keinen Einfluss. Ein Beispiel: Wäre der Personalausweis ein digitales, von der Behörde digital signiertes Dokument, so könnte man darauf bei einem Umzug keinen neuen Wohnsitz eintragen; der Besitzer hätte dann zwei Personalausweise, einen mit dem alten und einen mit dem neuen Wohnsitz. Aus demselben Grund könnte man jemandem nicht, um ihm wirksam die Fahrerlaubnis zu entziehen, den digitalen Führerschein wegnehmen.

Die perfekte Kopierbarkeit digitaler Nachrichten muss auch an anderen Stellen berücksichtigt werden. Wenn ein digitaler Scheck eingelöst wird, muss geprüft werden, ob eine Kopie davon nicht bereits eingelöst wurde. Das ist nur durch Rückfrage bei einer gut erreichbaren Zentrale möglich. Digitale Barschecks sind daher nicht sehr praktisch; bei Verrechnungsschecks hat man mehr Zeit zum Prüfen, aber auch dabei besteht das Problem herauszufinden, wer der rechtmäße Vorleger ist. Idealerweise verwendet man daher keine digitalen Schecks, sondern digitale Überweisungen mit eingetragenem Empfänger, fortlaufender Nummer sowie Datum und Uhrzeit. Auch solche Überweisungen können dem Empfänger als Zahlungsmittel übergeben oder übersandt werden, der sie dann seiner Bank zur Gutschrift vorlegen kann.

Das Problem digitalen Bargelds wird weiter unten behandelt.

3. Verschlüsselung

Um jemandem eine vertrauliche Nachricht zu schicken, muss man sich zunächst dessen öffentlichen Schlüssel beschaffen. Er kann in einer Nachricht enthalten sein, die man vom Empfänger bekommen hat, oder in dessen WWW-Seite; sie kann aber auch öffentlichen Verzeichnissen entnommen werden. Entscheidend ist, dass der Schlüssel nicht aufgrund seiner Herkunft als echt akzeptiert wird, sondern aufgrund eines Zertifikats, von dem er begleitet wird. Ansonsten könnte nämlich ein Eindringling (X), der wissen möchte, welche Nachricht A an B schickt, A einen falschen B-Schlüssel unterschieben und die Nachricht dann lesen.

4. Authentifizierung

Es gibt Situationen, in denen man nicht eine Nachricht signieren, sondern seine eigene Identität beweisen möchte. Üblich ist der Fall, dass man für einen längeren Kommunikationsvorgang, etwa eine Rechnersitzung, einen Sitzungsschlüssel vereinbaren möchte.

Das ist im Prinzip möglich, indem man eine Nachricht, die der Partner schickt, mit seinem privaten Schlüssel chiffriert, was der Partner dann mit dem öffentlichen Schlüssel überprüfen kann. Weil diese Nachricht sozusagen eine Herausforderung darstellt, die man entsprechend beantworten muss, heißt ein solches Verfahren englisch challenge and response.

Ganz unproblematisch ist dieses Szenario nicht, denn wenn man blindlings signiert, was der Partner schickt, könnte dieser Nachrichten schicken, aus deren Signatur er Vorteil ziehen könnte; beispielsweise könnte er einen Scheck signieren lassen. Man wird daher gewöhnlich etwas Unverfängliches signieren, etwa Datum und Uhrzeit. Zumindest sollten solche Nachrichten einen vom Signierer bestimmten Vorspann enthalten und in der Länge begrenzt sein.

Ein besseres Verfahren ist weiter unten beschrieben.

5. Nachweis gegenüber Dritten

Ableugnung, Fälschung, Vortäuschung

Durch den öffentlichen Schlüssel lassen sich Signaturen auch gegenüber Dritten benutzen; denn jeder kann anhand des öffentlichen Schlüssels überprüfen, dass eine Nachricht von A an B wirklich von A signiert wurde. Das ist entscheidend im Fall der Ableugnung durch A oder der Vortäuschung durch B: Im ersten Fall kann A nicht erklären, wieso die Nachricht seine Signatur trägt; im zweiten Fall kann B nicht die Signatur von A vorweisen.

6. Widerruf eines Schlüssels

Trotz aller Sorgfalt bei der Behandlung eines privaten Schlüssels (Chipkarte, PIN, usw.) kann es vorkommen, dass ein solcher Schlüssel kompromittiert wird. Im Extremfall könnte es sein, dass unter Gewaltanwendung eine Chipkarte geraubt und die Preisgabe des PIN erpresst wird.

In so einem Fall muss der private Schlüssel in der Chipkarte widerrufen werden, da Nachrichten, die ab diesem Zeitpunkt damit signiert wurden, nicht mehr sicher dem Eigentümer des Schlüssels zugeschrieben werden können.

Leider sieht man einer Nachricht nicht so einfach an, wann sie signiert wurde, insbesondere also vor oder nach der Kompromittierung des Schlüssels. Daher werden mit dem Widerruf des Schlüssels eigentlich alle, auch früher, mit dem Schlüssel erzeugten Signaturen wertlos. Sie könnten ja, gegebenenfalls mit falscher Zeitangabe, später mit der geraubten Signatur erzeugt worden sein.

Dieser Sachverhalt ist sehr unangenehm, denn er bedroht alle bestehenden Signaturen mit der jederzeitigen Möglichkeit, wertlos zu werden. Daher sollten wichtige Signaturen, zum Beispiel an Verträgen mit längerfristiger Bedeutung, gesichert werden, und zwar durch eine Art notarielle Beglaubigung. Diese geschieht dadurch, dass eine vertrauenswürdige Stelle, gewöhnlich eine ZS, mit ihrem Schlüssel die signierte Nachricht zusammen mit Datum und Uhrzeit signiert. Damit lässt sich im Bedarfsfall beweisen, dass eine Signatur vor dem Widerruf des Schlüssels erzeugt wurde, also gültig ist.

Außerordentlich unangenehm wäre es natürlich, wenn der Schlüssel einer ZS widerrufen werden müsste. Solche Schlüssel sollten natürlich besonders gut gesichert werden und möglichst ein gesichertes Firmengelände oder Rechenzentrum nicht verlassen. Zur besonderen Sicherheit kann man eine Nachricht von mehreren ZSen beglaubigen lassen. Zur Schadensbegrenzung könnte man die Schlüssel einer ZS noch regelmäßig wechseln und dabei den privaten Schlüssel vernichten; das würde jedoch jedesmal die Verteilung eines neuen öffentlichen Schlüssels erfordern und wäre daher unpraktisch.

7. Digitales Bargeld

Die problemlose Kopierbarkeit digitaler Nachrichten ist für digitales Bargeld ein besonderes Hindernis: Aus einem einzigen digitalen Fünfmarkstück ließe sich ganz leicht ein Vermögen herstellen, wenn es nicht besondere Maßnahmen dagegen gäbe. Im Gegensatz zu Scheck oder Überweisung ist es kennzeichnend für Bargeld, dass es anonym ist, man es also unerkannt und ohne Spuren zu hinterlassen ausgeben kann.

Wie lässt sich solches anonymes Bargeld überhaupt herstellen? Es muss ja irgendwo gegen andere Werte einlösbar sein, und das kann nicht beim Ausgeber sein, der ja anonym bleiben will. Es muss eine Art Notenbank geben, die digitales Bargeld ausgibt und bei Bedarf auch wieder einlöst. Dieses Bargeld gibt sie natürlich nur gegen eine Abbuchung auf einem Konto her. Wie kann der Abheber aber sicher sein, dass die Bank nicht die Nummer der digitalen Banknote (die ja letztlich nichts weiter als eine Nummer ist) notiert, so dass sie später nach dem Ausgeben zu ihm zurückzuverfolgen ist?

Um das zu verstehen, denken wir uns ein etwas seltsames Land, in dem die Notenbank die Geldscheine auf Papier druckt, das der Bankkunde mitbringt. Wenn die Bank dieses Papier sehen könnte, könnte sie sine Fasermuster usw. registrieren und die Banknote wiedererkennen. Legt der Kunde aber das Papier zusammen mit einem Kohlepapier in einen Umschlag, so kann die Notenbank durch den Umschlag und das Kohlepapier hindurchdrucken, ohne das Papier jemals zu sehen.

Dieses ziemlich unrealistische Szenario gewinnt sofort an Realisierbarkeit, wenn man es ins Digitale überträgt. Die Notenbank (oder eine andere Bank) stellt Bargeld dadurch aus, dass sie riesig große Phantasiezahlen mit einer speziellen Geld-Signatur signiert. Wird die so signierte Zahl der Bank wieder vorgelegt, so zahlt sie den Betrag aus. (Zum Problem des doppelten Vorlegens weiter unten.)

Anstatt nun eine Zahl offen vorzulegen, so dass die Bank sie zusammen mit dem Namen des Abhebers registrieren könnte, verschlüsselt dieser die Zahl zusammen mit seinem öffentlichen Schlüssel. Da zum Entschlüsseln der private Schlüssel nötig ist, kann die Bank die ursprüngliche Zahl nicht kennen; sie signiert nun die verschlüsselte Zahl mit dem Geld-Schlüssel. Nun kommt der Clou: Bei bestimmten Verschlüsselungen spielt die Reihenfolge der Chiffrierungen keine Rolle! Der Abheber entschlüsselt nun die Banknote mit seinem privaten Schlüssel, wobei die Geld-Signatur nicht verlorengeht! Er hat nun eine geld-signierte Zahl, die niemand kennt als er, und kann sie ausgeben, ohne dass die Note zu ihm zurückverfolgt werden kann. (Man müsste versuchsweise alle ausgegebenen Noten mit seinem öffentlichen Schlüssel verschlüsseln, um gerade seine zu finden.)

In dieser Form ist das Verfahren natürlich undurchführbar, denn wenn der Abheber die Note mehrfach ausgibt, könnte man ihn ja nicht ertappen, außer man überprüft jede Note sofort beim Geldtransfer. Es gibt aber Tricks, Abhebe- und Bezahlvorgang so zu gestalten, dass ein doppeltes Ausgeben der Note doch eine Feststellung des Ausgebers erlauben würde.

Solche Konzepte für digitales Bargeld sind kaum gegen den Fall zu schützen, dass ein Betrüger sich in ein Land zurückzieht, das Wirtschaftsverbrecher nicht ausliefert. Zieht man andererseits in Betracht, dass Kreditkartenbetrüger bereits heutzutage kaum ein Risiko eingehen und trotzdem das Geschäft mit Kreditkarten floriert, so muss das kein Hindernis für die Einführung digitalen Bargelds darstellen.

8. Fälschungssicheres Papiergeld

Es mag seltsam klingen, aber die Kryptografie kann das Problem der Banknotenfälschung lösen, das durch massenhaft verfügbare hochwertige Farbkopierer so akut geworden ist. Dazu müssten die Notenbanken auf die Noten bestimmte Nummern drucken, die nicht fortlaufend wären, sondern digitale Signaturen darstellen. Diese Signaturen signieren bestimmte Muster, die im Banknotenpapier auftauchen, aber bei dessen Herstellung nicht willkürlich beeinflussbar sind. Ein Beispiel sind die eingemischten fluoreszierenden Fasern, die bereits im heutigen Banknotenpapier enthalten sind.

Solche Fasern müssen optisch, magnetisch oder wie auch immer erfasst und in digitale Form gebracht werden; dabei muss eine gewisse Toleranz walten, damit Abnutzungen am Papier die Werte nicht verfälschen. Das digitale Resultat wird mit dem privaten Schlüssel der Notenbank verschlüsselt und das Ergebnis auf die Note aufgedruckt. Zur Prüfung der Echtheit dechiffriert man die aufgedruckte Nummer und vergleicht sie mit dem erneut gemessenen Fasermuster.

Wurde die Note einfach gefälscht, also mit einer Fantasiesignatur versehen, so ist scheitert diese natürlich an der Prüfung (außer bei astronomisch viel Glück). Wurde die Note aber samt Signatur kopiert, so hat das Papier der Kopie ein anderes Fasermuster, so dass die Signatur ebenfalls nicht stimmt. Da sich das Fasermuster nur in Grenzen willkürlich beeinflussen lässt, kann der Fälscher das Originalpapier nicht bis ins Fasermuster hinein kopieren.

9. Null-Wissen-Verfahren

Wie oben beschrieben, kann der Besitzer B eines privaten Schlüssels diesen Besitz dadurch beweisen, dass er Nachrichten dechriffriert, die mit dem öffentlichen Schlüssel chiffriert wurden. Es wurde aber erwähnt, dass dies sehr vorsichtig geschehen muss; schließlich könnte ja ein Bösewicht X als Herausforderung Testnachrichten schicken, die jemand anders an B geschickt hatte. Damit würde B ahnungslos diese Nachrichten für X entschlüsseln.

Eine bessere Möglichkeit stellen sog. Null-Wissen-Beweise (zero knowledge proof) dar. Dabei kann sich ein Herausforderer A zwar überzeugen, dass der Herausgeforderte B tatsächlich im Besitz eines Geheimnisses ist, gewinnt dabei jedoch keinerlei Einblick in das Geheimnis und kann auch gegenüber Dritten nicht beweisen, dass B sich ihm ausgewiesen hat. B hat in diesem Sinne eine Art Anonymität gewahrt.

Ohne auf mathematische Verfahren einzugehen, kann man die Null-Wissen-Beweise durch ein seltsames Haus veranschaulichen, das aus zwei Zimmern (ohne Fenster) besteht. Jedes hat eine Eingangstür E_i zur Vorder- und eine Ausgangstür A_i zur Hinterseite. Die Eingangstüren lassen sich von außen verriegeln. Außerdem gibt es eine Verbindungstür V, die ein Geheimschloss besitzt.

B beweist A, dass er das Geheimschloss öffnen kann, ohne ihn dabei zusehen zu lassen: A bleibt vor dem Haus stehen, während B ungesehen durch eine der hinteren Türen hineingeht. Anschließend verriegelt A die Eingangstüren, wählt eine der beiden Vordertüren und ruft B die Wahl hinein; B hat nun die Aufgabe, durch diese Tür herauszukommen. Wenn er das Geheimschloss öffnen kann, ist das kein Problem für ihn; sonst kann er es nur mit 50 % Wahrscheinlichkeit. Nach mehreren erfolgreichen Versuchen wird A überzeugt sein, dass B das Geheimnis kennt. Aber selbst wenn A den ganzen Vorgang auf Video aufnimmt, kann er niemandem Beweisen, dass B das Geheimnis wirklich kennt; denn die Szene würde genauso aussehen, wenn er sich mit B vorher abgesprochen hätte, wann er welche Tür wählt.

Interessantes zu diesen Themen bietet der Kryptografiekurs von Gerard Tel.