Electronic Cash und Kryptologie

Vorwort Einkaufen und Bezahlen per Electronic Cash Mehr Sicherheit durch Verschl├╝sselung Smartcards mit Kryptoprozessor Elektronisches Geld auf der Chipkarte Sicherheitpaket f├╝r das Internet Sicherheit bei Electronic Cash Zuverl├Ąssigkeit bei Electronic Cash Das Sicherheitsproblem der Secret-Key-Svsteme bei Smart-Cards CyberCash PGP, eine ├ťbersicht Wozu PGP Die Funktionsweise von PGP Die Funktionsweise des RSA-Verfahrens Zahlenbeispiel Das IDEA-Verfahren Der Schutz von ├Âffentlichen Schl├╝sseln Der Schutz von geheimen Schl├╝sseln Angreifbarkeit Schlusswort Quellenangabe

Vorwort

Die Bezahlung via Kreditkarte war im Internet bisher ein unsicheres Unterfangen, denn es gab keine Sicherheit gegen unbefugtes Kopieren der Kartennummer. Neue Verfahren sollen das Internet sicherer machen und damit das virtuelle Kaufhaus beziehungsweise Electronic Cash ├╝berhaupt erst erm├Âglichen.

Einkaufen und Bezahlen per Electronic Cash

Das Internet entwickelt sich immer st├Ąrker zu einem internationalen Marktplatz, auf dem Dienstleistungen und Produkte rund um die Uhr und weltweit erreichbar angeboten werden. Banken und Kaufh├Ąuser entdecken nun auch das Internet, Beispiele sind in den USA die Internet-Plaza, die Huntington Bancshares Inc. oder die Security First Network Bank. Ein gro├čer deutscher Kaufhauskonzern will nun das erste virtuelle Kaufhaus er├Âffnen.

"Im Jahr 2000 werden im Internet und ├╝ber Online-Dienste weltweitFinanztransaktionen mit einem Volumen von mehr als 500 Mrd. Dollar ab gewickelt", meint G├╝nter Br├Âcking, Gesch├Ąftsf├╝hrer des auf Bankensoftware spezialisierten Softwareherstellers Management Data, eine Tochtergesellschaft der ├ľsterreichischen Creditanstalt. In Deutschland werden bei der Bayerischen Vereinsbank rund 60.000 Konten bereits online gef├╝hrt. Bisher konnten die Online-Konten nur ├╝ber T-Online gef├╝hrt werden, weil nur dieses Medium die hohen Sicherheitsanforderungen erf├╝llte. "Nun ist auch AOL soweit. Via PC k├Ânnen Vereinsbank-Kunden weltweit zum Ortstarif ihren Kontostand abfragen, die Ums├Ątze der letzten 90 Tage ansehen oder ├ťberweisungen t├Ątigen", erl├Ąutert Vorstandsmitglied Dr. Stephan Sch├╝ller.

Im ersten Halbjahr 1997 sollen auch die notwendigen Sicherheitsstandards f├╝r die Abwicklung von Bankgesch├Ąften im Internet verf├╝gbar sein. "Schon heute bieten wir im Internet ein umfangreiches Angebot zu unseren Produkten und Dienstleistungen. Immobilien-Interessenten finden nicht nur eine Wohnung oder ein Haus nach ihren Vorstellungen. Sie k├Ânnen auch die Finanzierung gleich berechnen lassen. Geldanleger finden interessante Produkte mit aktuellen Konditionen und individuellen Renditeberechnungen. B├Ârsen-Einsteiger macht unser B├Ârsensimulator fit f├╝r den Aktienmarkt.

Man findet auch aktuelle Zahlen oder gar Stellenangebote unserer Bank", so Sch├╝ller. Allein im September verzeichnete die Bank 380.000 Zugriffe auf das Internet-Programm, im Juni waren es knapp 200.000. Die Tendenz ist weiterhin stark steigend.

Rushhour auf dem Vereinsbank-Server ist montags bis freitags zwischen 10 und 16 Uhr. Die meisten Zugriffe werden daher w├Ąhrend der Arbeitszeit vom B├╝ro aus get├Ątigt. Das deutet zum einen darauf hin, dass die Durchdringung der privaten Haushalte mit Online-Anschl├╝ssen noch nicht so hoch ist. Zum anderen beweist es, dass es sich nicht mehr nur nachtschw├Ąrmende Surfer im Internet handelt, sondern auch der Normalverbraucher immer mehr dieses Medium nutzt.

Allen diesen Anwendungen ist jedoch gemein, dass letztendlich G├╝ter bewegt werden, deren Bestellung und Bezahlung gegen kriminellen Mi├čbrauch zu sch├╝tzen ist. Und da das Internet per se offen und damit von sich aus keine sicheren Transaktionen garantiert, m├╝ssen entsprechende Sicherheitsmechanismen implementiert werden. Als einen Durchbruch f├╝r Internet und Online-Banking stuft Br├Âcking daher die Vereinbarung zwischen Master Card und Visa ein, einen gemeinsamen technischen Standard f├╝r die Sicherheit von Online-Finanztransaktionen zu forcieren. Der "Druck zur Einigung" sei im wesentlichen von Banken und Handelsketten in den USA ausgegangen, die die Unterst├╝tzung zweier konkurrierender Standards abgelehnt h├Ątten. Der SET-Standard (Secure Electronic Transactions) basiert auf einer eigens daf├╝r entwickelten Verschl├╝sselungstechnologie von RSA Data Security.

Der RSA-Verschl├╝sselungsalgorithmus wurde bereits 1978 beschrieben. Er beruht auf dem Problem der Faktorisierung gro├čer Zahlen. Es ist zwar relativ einfach, zwei Primzahlen aus mehr als hundert Dezimalstellen zu finden, aber selbst Gro├črechner k├Ânnen in angemessener Zeit nicht aus dem Produkt der Primzahlen die entsprechenden Faktoren errechnen. Das Produkt gro├čer Primzahlen l├Ąsst sich daher als ├Âffentlicher Schl├╝ssel verwenden und die dazugeh├Ârige Faktorisierung als geheimer Schl├╝ssel.

Der Standard wird von f├╝hrenden Softwareherstellern im Markt f├╝r Finanzsoftware unterst├╝tzt. "Das elektronische Kaufhaus ist kein Versandhandel im Internet, denn die Privatsph├Ąre der Nutzer in Online-Diensten erfordere den h├Âchstm├Âglichen Schutz durch Verschl├╝sselung", stellt RSA-Pr├Ąsident Jim Bidzos fest.

Mitte Juli stellte Netscape in Zusammenarbeit mit RSA den ersten Verschl├╝sselungsalgorithmus mit 128 bit L├Ąnge vor. Dieses Verfahren ist auf grund amerikanischer Exportbestimmungen nur auf die USA beschr├Ąnkt, internationale Versionen des Netscape-Internet-Navigators werden mit einer Schl├╝ssell├Ąnge von "nur" 40 bit ausgeliefert. Je gr├Â├čer die Schl├╝ssell├Ąnge, umso h├Âher der Rechenaufwand zum "Knacken" des Codes. "Dieses h├Âhere Sicherheitsniveau wird die Verbreitung des Internet als Medium f├╝r Online-Gesch├Ąfte sicher beschleunigen", erwartet der technische Leiter von Netscape, Marc Andreesen. Das Unternehmen will auch darauf hinwirken, dass die US-Regierung ihre bisherige restriktive Haltung aufgibt und Schl├╝ssell├Ąngen oberhalb 40 bit auch f├╝r den Export freigibt.

"Das Interesse in 128 bit sowohl in den USA als auch international sollte die US-Regierung dazu veranlassen, im Interesse st├Ąrkerer weltweiter Konkurrenzf├Ąhigkeit amerikanischer Unternehmen sicherere Algorithmen in Produkten wie dem Netscape Navigator exportieren zu d├╝rfen", fordert Marketingchef Mike Homer.

Mehr Sicherheit durch Verschl├╝sselung

Bei Bestellungen oder anderen Transaktionen im Internet kommt es darauf an, dass der Empf├Ąnger verifizieren kann, ob der Absender echt ist und die Informationen unterwegs nicht manipuliert wurden. Dies erreicht man mit Hilfe digitaler Unterschriften. Bevor er eine Nachricht ├╝ber das Netz sendet, f├╝gt der Absender eine kurze zus├Ątzliche Datensequenz hinzu, die als digitale Unterschrift bezeichnet wird. Anschlie├čend wird die Nachricht mit einem bestimmten Schl├╝ssel chiffriert. Die so verschl├╝sselte Nachricht wird gemeinsam mit der unverschl├╝sselten Nachricht an den Adressaten ├╝bertragen, der die digitale Unterschrift mit seinem Schl├╝ssel dechiffriert und beide Versionen miteinander vergleicht.

Ergibt sich keine ├ťbereinstimmung, so m├╝ssen die Daten als verd├Ąchtig angesehen und zur├╝ckgewiesen werden. Entweder wurden an der Datei Manipulationen vorgenommen, oder der echte Absender hat es vers├Ąumt, die Unterschrift zu erzeugen. Eine einwandfreie Unterschrift dagegen ist ein hinreichender Beleg daf├╝r, dass die Daten nicht modifiziert wurden und von der richtigen Quelle stammen.

Es gibt zwei Hauptgruppen kryptographischer Funktionen. Eine verwendet einen einzigen Schl├╝ssel f├╝r Ver- und Entschl├╝sselung (SecretKey-Kryptographie), w├Ąhrend die andere zwei Schl├╝ssel benutzt (PublicKey-Kryptographie). Bei der letzteren k├Ânnen Meldungen, die mit dem einen Schl├╝ssel chiffriert wurden, nur mit dem jeweils anderen wieder entschl├╝sselt werden. Um die SecretKey-Kryptographie im Zusammenhang mit digitalen Unterschriften effizient einsetzen zu k├Ânnen m├╝sste der Absender seinen privaten Schl├╝ssel an jeden ├╝bergeben, mit dem er zu kommunizieren beabsichtigt. Nun versteht es sich aber von selbst, dass man einen privaten Schl├╝ssel unm├Âglich an jeden Internet-Anbieter ├╝bergeben kann. Bei der PublicKey-Kryptographie kann der Absender seinen ├Âffentlichen Schl├╝ssel freiz├╝gig bekanntgeben und ihn sogar auf seiner Visitenkarte abdrucken. Nur mit diesem Schl├╝ssel lassen sich Meldungen dechiffrieren, die zuvor mit dem privaten Schl├╝ssel verschl├╝sselt wurden. Da aber dieser private Schl├╝ssel sicher auf einem Datentr├Ąger (beispielsweise in der Smartcard) verwahrt und nicht einmal dem Eigent├╝mer bekannt ist, l├Ąsst sich die Echtheit der digitalen Unterschrift und damit die des Absenders zweifelsfrei feststellen.

Um den komplexen Algorithmus f├╝r eine elektronische Unterschrift nur auf m├Âglichst wenige Daten anwenden zu m├╝ssen und somit Zeit zu sparen, wird auf die zu unterschreibenden Daten zun├Ąchst ein sogenannter Hash-Algorithmus angewendet, der die Daten im Umfang reduziert. Sie werden dann mit dem privaten Schl├╝ssel des Absenders "signiert". Signatur und Daten werden zum Empf├Ąnger ├╝bertragen, dieser wendet auf die Daten den Hash-Algorithmus an und dekodiert die Signatur mit dem ├Âffentlichen Schl├╝ssel des Absenders. Sind die beiden so erhaltenen Werte gleich, ist die Authentizit├Ąt und Integrit├Ąt der Daten sichergestellt. Die Zertifizierung eines solchen ├Âffentlichen Schl├╝ssels, vergleichbar mit einem Ausweis, f├Ârdert in Deutschland der 1989 gegr├╝ndete Verein Teletrust. Die Arbeitsgruppe Mailtrust will mit achtzehn Partnerfirmen und der Telekom AG eine entsprechende Infrastruktur aufbauen. Anl├Ą├člich der CeBIT '97 ist eine erste Vorf├╝hrung geplant. "Im europ├Ąischen Rahmen l├Ąuft bereits ein Projekt zur Sicherung von Transaktionen im Internet. Eine oberste europ├Ąische Zertifizierungsinstanz wird mit unseren Techniken arbeiten", so Teletrust-Vorsitzender Prof. Dr. Helmut Reimer. Diese Aktivit├Ąten dienen nicht zuletzt dem Zweck, die Abh├Ąngigkeit von amerikanischer Technologie zu verringern.

Die Geschwindigkeit ist bei der Kryptographie selbstverst├Ąndlich wichtig, denn niemand m├Âchte bei der Abwicklung seiner Transaktionen lange Wartezeiten in Kauf nehmen. Ohne einen hardwarem├Ą├čigen Krypto-Coprozessor k├Ânnte dieser Vorgang zehn Sekunden oder l├Ąnger dauern. Netscape beispielsweise will hardwaregest├╝tzte Sicherheitsverfahren in die Browser integrieren. Dieser Meinung ist auch Robert Schneider, Chef der deutschen Chipkarten-Firma SCM Microsystems. "Cybercash und andere Software-gest├╝tzte Verfahren haben Sicherheitsl├╝cken, da eine Authentifizierung des Benutzers nicht vorgesehen ist. Besser sind Hardware-gest├╝tzte Verfahren auf PCMCIA-Basis (PC-Cards) oder Smartcards". F├╝r PCMCIA (spezielle Schnittstelle f├╝r Zusatzkarten vorwiegend in Notebook-Rechnern) spreche der hohe Datentransfer.

Ein wesentlicher Vorteil des PC-Card-Formats ist die gro├če Verbreitung von PCMCIA-Slots, die 1995 bereits in ├╝ber 10 Millionen Systemen installiert waren. Die meisten Notebook-PCs verf├╝gen ├╝ber mindestens einen PCMCIA-Steckplatz vom Typ II. Zudem geh├Ârt diese Technologie bereits zur Standardausstattung in vielen neuen Desktop-PCs, und ├Ąltere PCs k├Ânnen problemlos mit einem Adapter-Kit aufger├╝stet werden.

Smartcards mit Kryptoprozessor

Smartcards sind kreditkartengro├če Plastikkarten, die einen Mikrocontroller zur Verwaltung und Speicherung der Daten enthalten. Nachteil gegen├╝ber PC-Cards sind die relativ geringe Datenrate und Rechenleistung sowie das spezielle Leseger├Ąt. Dennoch, diese intelligenten Chipkarten lassen sich mit PC-Cards kombinieren und haben sich bereits in puncto Datensicherheit gegen├╝ber Kredit, Scheck und Bankkarten-Magnetstreifen bew├Ąhrt. Statistiken der "Cartes Bancaires" zeigen, dass die franz├Âsischen Banken beispielsweise den Betrugsanteil von 0,3 Prozent des gesamten Transaktionswertes auf 0,04 Prozent seit der weitgestreuten Einf├╝hrung der Smartcard senkten.

Die Smartcard-Technologie wurde bereits Mitte der siebziger Jahre entwickelt, ihre gro├če Verbreitung begann jedoch erst Mitte der Achtziger in den Bereichen Gesundheitswesen, Personentransport und elektronischer Geldverkehr. Verschiedene Faktoren sprechen laut Schneider f├╝r die schnelle Verbreitung der Smartcards in Europa: mehr Sicherheitsfunktionen bei zunehmender Anzahl von Ferntransaktionen, Mi├čbrauch duch mangelnde Sicherheit bei Magnetstreifenkarten sowie sinkende Herstellungskosten f├╝r Smartcards. In Europa werden bereits landesweite Programme, die auf der Smartcard-Technologie basieren, eingef├╝hrt. Ein Beispiel ist die Krankenversicherungkarte f├╝r alle 80 Millionen Versicherten in Deutschland. ├ähnliche ├ťberlegungen gibt es auch in anderen europ├Ąischen L├Ąndern.

Smartcards sind daher mit 37 Prozent j├Ąhrlich das am st├Ąrksten wachsende Marktsegment f├╝r Mikrochips. ├ťbereinstimmend erwarten die Chiphersteller Motorola und Siemens bis zur Jahrtausendwende ein Volumen von 1,5 Mrd. Mark weltweit. So will Motorola laut Allan Hughes, weltweitverantwortlich f├╝r dieses Gesch├Ąft, ab dem Jahr 2000 durchschnittlich 10 Millionen Smartcard-Mikrocontroller pro Woche ├╝berwiegend in Gro├čbritannien produzieren.

"Smart Cards stellen ein ideales Medium zur Speicherung des ├Âffentlichen/privaten Schl├╝ssels f├╝r Sicherheitsl├Âsungen auf Basis von RSA dar", erl├Ąutert Schneider. Die derzeitige dynamische Entwicklung des Internet und der wachsende Bedarf an sicheren Transaktionen habe neue Einsatzbereiche geschaffen, insbesondere f├╝r die Vergabe von Zugriffsrechten und die Abrechnung. Die Smartcards k├Ânnten mit Merkmalen wie der elektronischen Unterschrift und Verschl├╝sselung dazu beitragen, die Transaktionen zwischen Verbrauchern und Banken, dem Einzelhandel und Dienstleistern sicherer zu gestalten.

Die im Oktober '96 vorgestellten sogenannten "FastCrypto"-Chips von Motorola sind in der Lage, komplexe Verschl├╝sselungsfunktionen bis zu 200 mal schneller auszuf├╝hren als konventionelle Smartcard-Chips. Laut Mike Inglis, Worldwide Smartcard Operations Manager bei Motorola, eignen sich die FastCrypto-Chips f├╝r den Einsatz in Smartcards, die sowohl eine hohe Verschl├╝sselungsgeschwindigkeit als auch ein hohes Ma├č an Datensicherheit verlangen. Anwendungen sind daher die "elektronische Geldb├Ârse" sowie elektronische Handelskonzepte. Bei den Chips k├Ânnen "Public Key"-Kryptographietechniken angewandt werden, die als die sicherste Verschl├╝sselungsmethode anerkannt sind.

Als einer der f├╝hrenden Anbieter von Smartcard-L├Âsungen hat die Firma Schlumberger die FastCrypto-Chips f├╝r die Smartcards der "Cryptoflex"Reihe ausgew├Ąhlt. In diesen Karten verarbeiten die FastCrypto-Chips den RSA-Algorithmus, der bei der "PublicKey"-Verschl├╝sselungsmethode den neuesten Stand der Technik darstellt. Jerome Traisnel, Marketing Director bei der Smartcard Division von Schlumberger, bezeichnet die Produkte der "Cryptoflex"Reihe als die "sichersten Smartcards im heutigen Angebot". Nach seinen Worten sind sie f├╝r Applikationen geeignet, die eine sichere Informations├╝bertragung ├╝ber Datennetzwerke erfordern, wie beim elektronischen Handel, elektronischen Banktransaktionen, EMail und Werksschutz.

Die beiden neuen FastCrypto-Chips SC49A und SC50 sind mit einem 8bit Mikrocontroller, einem modularen arithmetischen Coprozessor in 1024 Bit Technik,20 KB ROM,4 KB EEPROM und 896 Bytes RAM ausgestattet. Die modulare 1024 Bit-Verschl├╝sselungseinheit kann auch 512 und 786 Bit-Schl├╝ssel effizient verarbeiten. Die neuen Chips erm├Âglichen dar├╝ber hinaus die Entwicklung von Multifunktions-Smartcards, da zum Beispiel der 8 KB gro├če EEPROM-Speicher (Electrically Erasable Programmable Read Only Memory) beim SC50 f├╝r mehr als nur eine Applikation genutzt werden kann. So ist eine einzige Smartcard als Kredit und Guthabenkarte, elektronische Geldb├Ârse und Kundenkarte einsetzbar.

Elektronisches Geld auf der Chipkarte

Neben dem Internet als elektronischem Marktplatz gibt es bereits zahlreiche andere Beispiele f├╝r sogenannte ElectronicPurse-Systeme (elektronische Geldb├Ârse) in Europa. Im Feldversuch "Electronic Purse" von Danmont in D├Ąnemark wurde eine landesweit nutzbare PrepaidCard (Karte, auf der ein Guthaben gespeichert ist) eingesetzt, die von ├Âffentlichen Telefonen, Verkaufsautomaten, Waschsalons und Parkuhren akzeptiert wird. Das Projekt war nach Startschwierigkeiten erfolgreich, obwohl es sich um ein hoch komplexes offenes System handelt, da die Karte eines Anbieters von jedem Reader-System bei anderen Anbietern akzeptiert werden muss.

MONDEX in Gro├čbritannien ist das bisher wahrscheinlich erfolgreichste Electronic-PurseSystem. Seit 1995 erhalten Verbraucher PrepaidCards, die als Bargeldersatz f├╝r Transaktionen jeder H├Âhe verwendet werden k├Ânnen. Die MONDEX Card wird im Einzelhandel und bei Dienstleistern akzeptiert und eignet sich auch f├╝r Transaktionen zwischen Privatpersonen. Das Guthaben auf der Karte kann mit Hilfe speziell angepa├čter Geldautomaten, die mit dem MONDEX Symbol gekennzeichnet sind, wieder aufgef├╝llt werden (zu dem gibt es f├╝r diesen Zweck einen neu entwickelten Telefonautomaten). Das MONDEX System wurde f├╝r den internationalen Einsatz konzipiert und kann bis zu f├╝nf verschiedene W├Ąhrungen auf einer Karte speichern. Die Benutzerf├╝hrung f├╝r Transaktionen erfolgt zudem mit Hilfe von Symbolen, so dass keine Probleme durch Sprachbarrieren entstehen.

Mastercard, VISA und Europay International entwickeln seit kurzem gemeinsam ein offenes System f├╝r den Einsatz von Smart Cards im elektronischen Handel. Im Rahmen ihrer Initiative EUROPAY planen Sie die Entwicklung eines kombinierten Electronic Purse/Kreditkartensystems, das Interoperabilit├Ąt und Sicherheit im internationalen Einsatz erm├Âglicht. Der Sicherheitsaspekt steht im Vordergrund und wird von den meisten Unternehmen derzeit als gr├Â├čte H├╝rde f├╝r die Implementierung des elektronischen Handels angesehen. Die Zukunftspl├Ąne verschiedener Branchenexperten basieren jedoch auf den kryptographischen M├Âglichkeiten von Smart Cards.

Abgesehen von diesen Projekten erfreuen sich ElectronicPurse-Systeme seit ihrer Einf├╝hrung wachsender Beliebtheit in Europa. Auch in den USA wird f├╝r das n├Ąchste Jahr ein rapider Anstieg der Nachfrage erwartet. "F├╝r das Jahr 2000 liegt der gesch├Ątzte Anteil dieser Systeme an allen finanziellen Transaktionen bei 16 Prozent, das entspricht einem Volumen von 1,7 Milliarden Dollar", erl├Ąutert Robert Schneider von SCM. "Die Einf├╝hrung von Multifunktionskarten f├╝r verschiedene Einsatzbereiche (verschiedene Anwendungen, die auf einer einzelnen Smart Card unter einem einheitlichen Betriebssystem laufen) werden die Nachfrage nach Smart Cards zus├Ątzlich erh├Âhen".

Sicherheitpaket f├╝r das Internet

Das Internet wird sicherer, so sicher, dass Handel und Geldwirtschaft dieses effektive Kommunikationsnetz nutzen k├Ânnen, um Gesch├Ąfte und Transaktionen abzuwickeln. Diese Meinung vertritt die deutsche Tochter der israelischen Firma AR Algorithmic Research (Dietzenbach).

Das neue Gesamtpaket ARISF (AR Internet Security Framework) ist jetzt f├╝r alle g├Ąngigen Computersysteme verf├╝gbar und enth├Ąlt Sicherheits-Soft und Hardware, die Handelsunternehmen oder Banken ihren Kunden zur Verf├╝gung stellen k├Ânnen. Unverf├Ąlschbare digitale Unterschrift, sichere Internet TCP/IP-Kommunikation und einfache Datenhandhabung, bei der ein Nutzer sich nicht weiter um die Verschl├╝sselung und Datensicherheit k├╝mmern muss, sind wichtige Eigenschaften des Sicherheitspaketes. Hardwaremodule tragen dazu bei, das erforderliche hohe Sicherheitsniveau zu erreichen.

Die Anwendung beim Endkunden ist verf├╝gbar auf allen g├Ąngigen Plattformen (einschlie├člich Windows 3.x). Eingesetzt werden kann das System ohne weitere Anpassungen mit jedem Standard-Internet-Browser oder anderen TCP/IP-Anwendungen des Internets.

F├╝r den Serviceanbieter werden Filter und andere Funktionen bereitgestellt, wodurch sowohl Authentifizierung wie verschl├╝sselte Kommunikation mit dem System erm├Âglicht werden. Bestellformulare, ├ťberweisungen o.├Ą. k├Ânnen digital unterschrieben werden. So entsteht die M├Âglichkeit, mit Hilfe von WWW Internet-Anwendungen sichere Dienstleistungen wie Home Banking bereitzustellen. F├╝r den Anbieter enth├Ąlt das Paket ein Managementsystem zum Aufbau einer Infrastruktur f├╝r das Public/PrivateKey-Verfahren und die Zertifizierung von elektronischen Schl├╝sseln nach dem X.509-Standard.

Kryptographische Server im Unternehmen sowie eine preisg├╝nstige L├Âsung mit RSA-Chipkarten oder RSA-Standalone-Prozessoren beim Endanwender bilden den HardwareTeil des Sicherheitskonzeptes. F├╝r das zentrale System, bei dem sowohl Sicherheit als auch Performance f├╝r den Einsatz entscheidend sind, wird ein kryptographischer Hochsicherheits-Server angeboten, der physikalisch und logisch abgesichert ist.

Sicherheit bei Electronic Cash

Das Transaktionsprotokoll muss zeigen, dass Sicherheit auf h├Âchster Stufe erreicht wird, indem h├Âchstentwickelte Verschl├╝sselungstechniken - z.B. die RSA-Verschl├╝sselung - zur Anwendung kommen.

Dem User muss versichert werden, dass seine elektronischen Token und sein Speicherger├Ąt nicht leicht gef├Ąlscht oder ver├Ąndert werden k├Ânnen. Wenn kriminelle Aktivit├Ąten erfolgen, so sollte es sofort zur Inspektion der Token oder der verwendeten Speichermedien kommen. Der Austausch elektronischer Token erfordert, dass der Empf├Ąnger (z.B. der H├Ąndler) ein Zertifikat ├╝ber die Authentizit├Ąt der Token bekommt. Die Authentifikation kann durch eine dritte Partei (Bank) oder wechselseitig durch die miteinander korrespondierenden Parteien nachgewiesen werden. Der User muss auch imstande sein, zu verifizieren, dass der Austausch zwischen den erw├╝nschten Parteien tats├Ąchlich erfolgt ist.

Die empfangene und bezahlte Information muss unwiderlegbar sein, unabh├Ąngig von jeglichen Komplikationen, die durch die Lieferung von Diensten ├╝ber l├Ąngere Zeitspannen entstehen, sei es durch Unterbrechungen des Dienstes oder durch momentane Differenzen aufgrund von unterschiedlichen Verrechnungsmethoden verschiedenster Firmen. Alle Sicherheitsanforderungen sollen f├╝r jede Partei garantiert sein, ohne dass eine Partei einer anderen vertrauen muss.

Zuverl├Ąssigkeit bei Electronic Cash

Die den Geldaustausch unterst├╝tzende Infrastruktur muss zuverl├Ąssig sein. Wann auch immer der User eine Transaktion durchf├╝hren will, muss das System verf├╝gbar sein.Dem User muss garantiert werden, dass das System trotz Komponentenfehler oder Hochlast zuverl├Ąssig die geforderten Dienste erbringt.

Durch die zunehmende H├Ąufigkeit der Abwicklung von Gesch├Ąften via Internet ger├Ąt die Wirtschaft in hohe Abh├Ąngigkeit von der Verf├╝gbarkeit des Systems.Wiederum sei erw├Ąhnt, dass ein System fehlerhaft sein oder zur Zielscheibe f├╝r Angriffe werden kann. Der Schaden, der durch einen Angriff, durch einen Design-Fehler, durch einen Implementierungsfehler, durch einen tempor├Ąren Fehler etc. entstehen k├Ânnte, h├Ątte katastrophale Auswirkungen f├╝r die Netzwerkinfrastruktur. Aus diesem Grund muss jene Infrastruktur ein hohes Ma├č an Verf├╝gbarkeit repr├Ąsentieren und auftretende Fehler durch Fehlertoleranz transparent machen. Darunter versteht man z.B., dass bei einem Fehler an einem Server ein anderer Server seine Aufgabe ├╝bernimmt. Dem User wird aber dieser Fehler nicht pr├Ąsentiert.

Das Sicherheitsproblem der Secret-Key-Svsteme bei Smart-Cards

Secret-Key Bezahlungssysteme sind trivial. Da gibt es nur einen Schl├╝ssel, den sogenannten Master-Schl├╝ssel (master key), der ├╝ber das gesamte System verteilt wird. Die Smart-Card des K├Ąufers produziert eine Unterschrift auf die Transaktionsdaten durch Verwendung des Master-Schl├╝ssels. Die Unterschrift wird vom Terminal des H├Ąndlers verifiziert, indem der MasterSchl├╝ssel verwendet wird. Die Sicherheit baut vollst├Ąndig auf der strengen Vertraulichkeit des Master-Schl├╝ssels auf. Da der Schl├╝ssel auf das gesamte System verteilt wird, ist es sehr schwierig, diesen geheimzuhalten. Somit sind jene Systeme nicht f├╝r gro├če, offene, verteilte Systeme geeignet. Die Sicherheit von Secret-Key--Systemen kann durch unterschiedliche Schl├╝ssel erreicht werden.

In jenen Systemen wird der Master-Schl├╝ssel durch eindeutige geheime Schl├╝ssel in der SmartCard ersetzt, die mit Hilfe der eindeutigen Smart-Card-Identifikationsnummer aufgebaut werden. Zur Verifikation von Unterschriften, die durch einen geheimen, kartenspezifischen Schl├╝ssel geschaffen wurden, braucht das Terminal des H├Ąndlers auf jeden Fall den Master-Schl├╝ssel. Aus Effizienzgr├╝nden wird keine Liste von kartenspezifischen Schl├╝sseln gehalten, sondern das Terminal h├Ąlt nur den Master-Schl├╝ssel. Der Proze├č des H├Ąndlers nimmt den Master-Schl├╝ssel und entwickelt den kartenspezifischen Schl├╝ssel aus der Smart-Card-ID-Nummer des Users so wie der User es schon zuvor machte.

Dieses System ist etwas sicherer als das Basissystem, weil die geschaffenen Unterschriften ├╝ber den kartenspezifischen Schl├╝ssel entstanden sind. Wenn der Mi├čbrauch des Schl├╝ssels erkannt wird, erfolgt ein Ausschlu├č (der User wird auf eine schwarze Liste gesetzt). Der MasterSchl├╝ssel ist weniger weit ├╝ber das System verbreitet. Doch das ganze System ist gef├Ąhrdet, wenn der Master-Schl├╝ssel gestohlen wird. Dann k├Ânnte etwa der User Geld selbst produzieren. Er hat den Master-Schl├╝ssel der Bank und kann jetzt selbst unterschreiben. Seine Unterschrift ist von jener der Bank nicht mehr unterscheidbar. Und der Master-Schl├╝ssel ist immer noch auf allen Terminals der Service-Provider vorhanden. Dieses Problem ├╝berwindet man durch Public-Key-Systeme. Hier h├Ąlt jedes Terminal einen ├Âffentlichen Verifikationsschl├╝ssel, um die digitalen Unterschriften der Karte zu ├╝berpr├╝fen. Mit dem ├Âffentlichen Schl├╝ssel k├Ânnen die Anwender aber keine Unterschrift leisten.

CyberCash

Die Firma CyberCash Inc. in Reston (Virginia) wurde im August 1994 von Bill Melton, Steve Crocker und Donald Eastlake gegr├╝ndet und erm├Âglicht die kreditkartenbasierende Bezahlung am Internet (Beginn: 12 Dezember 1994).

Das sichere Internet Payment Service veranlasst den Kunden zur Kontoer├Âffnung auf einem CyberCash-Server, von dem aus die Geldtransaktionen via Kreditkarte oder ├╝ber das Bankkonto erfolgen. Es ist ein auf Windows basierendes System. Auch soll es Mac- bzw. Unix-Versionen geben. Konsumenten mit einem Personal-Computer, einem Internet-Browser und einen Netzanschlu├č sind in der Lage, sichere Bezahlungen durchzuf├╝hren. Es verwendet laut den Herausgebern zwei verschiedene Verschl├╝sselungssysteme (RSA: 768 BIT Schl├╝ssell├Ąnge, DES: 56 BIT Schl├╝ssell├Ąnge).

Die Transaktionen werden durch digitale Unterschriften (RSA) authentifiziert und durch den DES-Algorithmus verschl├╝sselt. CyberCash ist ebenfalls ein experimentelles Cash-System und zus├Ątzlich noch ein kreditbasierendes System. Im E-Cash-System bauen die User ein Konto mit der Bank auf. Dann verwenden Sie eine Software, die von CyberCash gratis zur Verf├╝gung gestellt wird. Am Ende des Tages wird CyberCash alle E-Cash Transaktionen einl├Âsen. Die E-Cash-Kontost├Ąnde werden in Dollar konvertiert. Das CyberCash-System operiert auf der Spitze jedes allgemeinen Sicherheitssystems (wie es etwa das sichere HTTP ist) und verwendet RSA und DES Sicherheitstandards f├╝r die Verschl├╝sselung.

Beim Kauf werden die Kreditkartendaten verschl├╝sselt und elektronisch unterschrieben zum H├Ąndler transferiert. Der H├Ąndler entschl├╝sselt die Daten nicht. Statt dessen f├╝gt er weitere Informationen (u.a. Zahlungsbetrag) zur Datenstruktur hinzu und ├╝bertr├Ągt die Daten an den CyberCash-Server. Nach ├ťberpr├╝fung der Unterschrift wird die Kartennummer in das Kreditkarten-Netzwerk ├╝bertragen.

PGP, eine ├ťbersicht

Pretty Good(tm) Privacy (PGP), von Philip Zimmermann's Pretty Good Software ist eine hochsichere kryptografische Software f├╝r MSDOS, Unix, VAX/VMS und andere Computer. PGP erlaubt es, geheime Dateien oder Nachrichten bequem und mit Authentizit├Ąt auszutauschen. Geheim bedeutet, nur die Personen, die eine Nachricht lesen sollen, k├Ânnen sie auch lesen. Authentizit├Ąt bedeutet, wenn eine Nachricht von einer bestimmten Person zu kommen scheint, kann sie nur von dieser Person kommen. Bequem hei├čt, Sicherheit und Authentizit├Ąt ohne die Schwierigkeiten wie z.B. der Schl├╝sselverwaltung herk├Âmmlicher kryptografischer Programme. Es werden keine 'sicheren' Kan├Ąle ben├Âtigt, um die Schl├╝ssel auszutauschen, und dies macht PGP wesentlich einfacher in der Benutzung. Dies kommt daher, das PGP auf einer neuen Technologie basiert, die RSA-Verschl├╝sselung hei├čt. PGP kombiniert die Bequemlichkeit des Rivest-Shamir-Adleman (RSA) Kryptosystems mit der Geschwindigkeit herk├Âmmlicher Verschl├╝sselungsmethoden, digitalen Unterschriften, Datenkompression vor der Verschl├╝sselung, gute Ergonomie und hervorragende Schl├╝sselverwaltung. Und PGP f├╝hrt die RSA-Funktionen schneller durch als die meisten anderen Software-L├Âsungen. PGP ist RSA-Verschl├╝sselung f├╝r Jedermann. PGP stellt keine eingebauten Modem-Funktionen zur Verf├╝gung. Sie m├╝ssen eine eigene Software daf├╝r benutzen.

Wozu PGP

Es ist pers├Ânlich. Es ist privat. Und es geht niemanden au├čer Sie etwas an. Vielleicht planen Sie eine politische Kampagne, ihre Steuern oder eine unerlaubte Aff├Ąre. Oder vielleicht tun Sie etwas, von dem Sie denken das es nicht illegal sein sollte, aber es ist. Wasauchimmer es ist, Sie wollen nicht, das ihre private elektronische Post (E-mail) oder ihre vertraulichen Dokumente von irgend jemand anders gelesen werden. Es ist nichts falsch daran, Privatsph├Ąre zu verlangen. Vielleicht denken Sie, ihre E-mail ist legitim genug um ohne Verschl├╝sselung auszukommen. Wenn Sie ein so gesetzestreuer B├╝rger sind, der nichts zu verstecken hat, warum schreiben Sie ihre Briefe nicht auf Postkarten ? Warum verweigern Sie einen Drogentest wenn er verlangt wird ? Warum verlangen Sie einen Durchsuchungsbefehl wenn die Polizei vor der T├╝r steht ? Versuchen Sie etwas zu verstecken ? Sie m├╝ssen ein Drogendealer sein, wenn Sie ihre Post in Umschl├Ągen verstecken. M├╝ssen gesetzestreue B├╝rger ihre E-mail verschl├╝sseln ?

Was, wenn jeder glauben w├╝rde, gesetzestreue B├╝rger m├╝ssten Postkarten f├╝r ihre Post benutzen ? Wenn irgendjemand seine Privatsph├Ąre gelten machen und seine Post in Umschl├Ąge stecken w├╝rde, w├╝rde das sofort Verdacht erregen. Vielleicht w├╝rden die Beh├Ârden seine Umschl├Ąge ├Âffnen um zu sehen was er versteckt. Gl├╝cklicherweise leben wir nicht in einer solchen Welt, weil jeder seine meiste Post mit Umschl├Ągen sch├╝tzt. So erregt niemand Verdacht, wenn er seine Privatsph├Ąre mit Umschl├Ągen geltend macht. Analog dazu w├Ąre es sch├Ân, wenn jeder, unschuldig oder nicht, seine E-mail verschl├╝sseln w├╝rde, denn dann w├╝rde niemand Verdacht erregen, wenn er seine private E-mail mit (Verschl├╝sselungs-) Umschl├Ągen sch├╝tzt. Sehen Sie es als eine Form der Solidarit├Ąt.

Wenn die Regierung heute die Privatsph├Ąre von normalen Leuten verletzen will, muss sie eine ganze Menge Geld ausgeben und Aufwand treiben um die Post abzufangen, mit Dampf zu ├Âffnen und zu lesen, oder um Telefongespr├Ąche mitzuh├Âren oder aufzuzeichnen. Diese Art aufwandsintensive Beobachtung ist im gro├čen Stile unpraktikabel. Sie wird nur in wichtigen F├Ąllen betrieben, wenn es lohnend erscheint. Mehr und mehr unserer privaten Kommunikation geht durch elektronische Kan├Ąle. E-mail ersetzt immer mehr die Briefpost. Aber E-mail-Nachrichten sind zu einfach abzufangen und nach interessanten Stichw├Ârtern zu durchsuchen. Das kann im gro├čen Stile sehr einfach, routinem├Ą├čig, automatisch und unerkennbar gemacht werden. Internationale Kabelnetze werden jetzt schon von der NSA (National Security Agency/USA- Beh├Ârde) im gro├čen Stile gescannt.

Wir gehen auf eine Zukunft zu, in der die Welt ├╝berzogen sein wird von hochkapazitiven Fiber-optischen Netzwerken die unsere allgegenw├Ąrtigen Personalcomputer verbinden. E-mail wird die Norm sein, nicht die Neuigkeit, die sie heute ist. Die Regierung wird unsere E-mail mit Verschl├╝sselungsprotokollen sichern, die von der Regierung geschaffen wurden. Die meisten Menschen werden damit zufrieden sein. Aber vielleicht werden einige ihre eigenen Sicherheitsma├čst├Ąbe setzen.

Die US-Senatsverordnung 266 beinhaltet eine sehr st├Ârende Resolution. Wenn diese nicht bindende Erkl├Ąrung Realit├Ąt geworden w├Ąre, w├Ąren Hersteller von sicheren Kommunikationsmitteln dazu verpflichtet gewesen, spezielle 'Fallt├╝ren' in ihre Produkte einzubauen, damit die Regierung jedermannes verschl├╝sselte Nachrichten lesen kann. Sie lautete: 'Es liegt im Sinne des Kongresses, das Anbieter von elektronischen Kommunikationsservice und Hersteller von elektronischen Kommunikationsmitteln sicherstellen m├╝ssen, dass die Regierung unverschl├╝sselte Inhalte von Sprache, Daten und andere Kommunikationswegen erhalten kann, wenn das Gesetz es erfordert.' Diese Ma├čnahme wurde aber nach rigorosen Protesten von ziviler und industrieller Seite nicht Gesetz.

1992 wurde das 'FBI Digital Telephony wiretap proposal' im US-Kongre├č vorgestellt. Alle Hersteller von Kommunikations-Equipment sollten spezielle 'Abh├Ârports' in ihre Ger├Ąte einbauen, was es dem FBI m├Âglich machen sollte, alle Formen elektronischer Kommunikation vom B├╝ro aus abh├Âren zu k├Ânnen. Obwohl es 1992 wegen Ablehnung durch die B├╝rger niemals Unterst├╝tzung fand, wurde es 1994 wieder vorgeschlagen. Das gr├Â├čte Alarmzeichen ist aber die neue Verschl├╝sselungs-Politik des Wei├čen Hauses, die schon seit dem Beginn der Bush-Zeit von der NSA entwickelt und am 16.April 1993 bekannt wurde. Das Herzst├╝ck dieser Politik ist ein von der Regierung gebautes Verschl├╝sselungs-Ger├Ąt, der 'Clipper'-Chip, welcher einen neuen, von der NSA entwickelten geheimen Verschl├╝sselungsalgorithmus tr├Ągt. Die Regierung fordert die Privatindustrie auf, den Chip in ihre sicheren Kommunikationsger├Ąte einzubauen, wie verschl├╝sseltes Telefon, FAX, usw. AT&T baut den Clipper schon in seine 'secure voice'-Produkte ein. Das Problem: In der Produktion bekommt jeder Chip seinen einzigartigen Schl├╝ssel und die Regierung erh├Ąlt eine Kopie dieses Schl├╝ssels. Keine Problem soweit, die Regierung verspricht, den Schl├╝ssel nur zu benutzen um Ihre geheimen Nachrichten zu lesen, wenn sie durch das Gesetz dazu autorisiert wird. Aber nat├╝rlich, um Clipper erst effektiv zu machen w├Ąre der n├Ąchste logische Schritt, alle anderen Formen der Kryptografie zu illegalisieren.

Wenn Privatsph├Ąre illegal ist, werden nur Illegale Privatsph├Ąre haben. Geheimdienste haben Zugang zu guter kryptografischer Technologie. Waffenh├Ąndler und Drogendealer ebenfalls. ├ľlfirmen und andere gro├če Konzerne ebenfalls. Nur die normalen Leute und kleine politische Organisationen hatten bis jetzt keinen Zugriff auf kryptografische Technologie mit 'milit├Ąrischer Sicherheit'. Bis jetzt. PGP fordert die Menschen dazu auf, ihre Privatsph├Ąre in die eigenen H├Ąnde zu nehmen. Daf├╝r ist ein wachsender sozialer Bedarf vorhanden.

Die USA betrachten RSA-Verschl├╝sselungssysteme als Waffen (RSA-Systeme wurden f├╝r den milit├Ąrischen Einsatz entwickelt) und erlauben deren Export nicht. Frankreich und Ru├čland verbieten den Einsatz solcher Systeme durch nichtmilit├Ąrische Einrichtungen. Zum Beispiel haben anonyme Systeme und unauffindbares digitales Cash einige offensichtliche Bedeutungen f├╝r das Arrangieren von "verschl├╝sselten" Mordvertr├Ągen und ├Ąhnliches. Milit├Ąrische Anleitungen f├╝r Bombenbauer und f├╝r Waffen k├Ânnen anonym verschl├╝sselt werden und gegen Digitalgeld jenseits der Reichweite verschiedener Regierungen verkauft werden. Die Verbreitung massiver rassistischer und nationalsozialistischer Propaganda durch RSA-Krypto-Systeme ist ebenso denkbar.

Die Funktionsweise von PGP

Zuerst, einige elementare Terminologien. Nehmen wir an, ich will ihnen eine Nachricht schicken, aber ich will, das niemand au├čer ihnen Sie lesen kann. Ich kann die Nachricht 'verschl├╝sseln', was bedeutet, ich zerw├╝rfle sie auf eine hoffnungslos komplizierte Art, sodass niemand au├čer ihnen in der Lage ist, sie zu lesen. Ich benutze einen kryptografischen 'Schl├╝ssel' um die Nachricht zu verschl├╝sseln und Sie m├╝ssen den selben Schl├╝ssel verwenden um die Nachricht wieder zu entschl├╝sseln. So funktioniert es jedenfalls auf die herk├Âmmliche Weise in 'Ein-Schl├╝ssel'-Kryptosystemen.

In herk├Âmmlichen Kryptosystemen, wie z.B. dem 'US Federal Data Encryption Standard (DES)' wird ein einzelner Schl├╝ssel f├╝r Ver- und Entschl├╝sselung benutzt. Das bedeutet, der Schl├╝ssel muss zuerst ├╝ber sichere Kan├Ąle ├╝bertragen werden, sodass beide Seiten ihn kennen, bevor verschl├╝sselte Nachrichten ├╝ber 'unsichere' Kan├Ąle ├╝bertragen werden k├Ânnen. Das h├Ârt sich sinnlos an. Wenn ich einen sicheren Kanal habe, um den Schl├╝ssel zu ├╝bertragen, wozu brauche ich dann Verschl├╝sselung ?

In RSA-Kryptosystemen hat jeder zwei Schl├╝ssel, die zueinander komplement├Ąr sind, einen ├Âffentlich bekannten und einen geheimen (Auch oft Privatschl├╝ssel genannt). Jeder Schl├╝ssel ├Âffnet den Code, den der andere erzeugt. Den ├Âffentlichen Schl├╝ssel zu kennen hilft ihnen nicht, den zugeh├Ârigen geheimen zu erzeugen. Der ├Âffentliche Schl├╝ssel kann weit ├╝ber ein Kommunikations-Netz verbreitet sein. Dieses Protokoll erzeugt Privatsph├Ąre ohne die sicheren Kan├Ąle zu brauchen, die f├╝r konventionelle Kryptosysteme ben├Âtigt werden.

Jeder kann den ├Âffentlichen Schl├╝ssel des Empf├Ąngers benutzen, um eine Nachricht f├╝r ihn zu verschl├╝sseln, und dieser benutzt seinen geheimen, um sie wieder zu entschl├╝sseln. Niemand au├čer ihm kann die Nachricht entschl├╝sseln, weil niemand au├čer ihm Zugriff auf den geheimen Schl├╝ssel hat. Nicht einmal die Person welche die Nachricht verschl├╝sselt hat, kann sie entschl├╝sseln.

Authentifikation einer Nachricht ist auch m├Âglich. Der geheime Schl├╝ssel des Absenders kann benutzt werden, um eine Nachricht zu verschl├╝sseln, sie zu 'unterschreiben'. Das erzeugt eine digitale Unterschrift der Nachricht, welche der Empf├Ąnger (oder jeder andere) ├╝berpr├╝fen kann, indem er den ├Âffentlichen Schl├╝ssel benutzt, um sie zu entschl├╝sseln. Dies beweist, das der Absender wirklich der wahre Erzeuger der Nachricht ist und das die Nachricht nicht von jemand anders ver├Ąndert wurde, weil nur der Absender den geheimen Schl├╝ssel besitzt, der die Unterschrift erzeugte. Eine F├Ąlschung der Unterschrift ist unm├Âglich und der Absender kann seine Unterschrift sp├Ąter nicht leugnen.

Diese beiden Prozesse k├Ânnen kombiniert werden, um Geheimhaltung und Authentizit├Ąt zu gew├Ąhrleisten, indem Sie zuerst ihre Nachricht mit ihrem geheimen Schl├╝ssel unterschreiben und dann mit dem ├Âffentlichen Schl├╝ssel des Empf├Ąngers verschl├╝sseln. Der Empf├Ąnger kehrt dieses Schema um, indem er zuerst die Nachricht mit seinem geheimen Schl├╝ssel entschl├╝sselt und dann ihre Unterschrift mit ihrem ├Âffentlichen Schl├╝ssel pr├╝ft. Diese Schritte werden vom Programm automatisch ausgef├╝hrt.

Weil die RSA-Verschl├╝sselung wesentlich langsamer ist als konventionelle Methoden, ist es besser, ein schnelleres, hochsicheres konventionelles Verfahren zu verwenden, um den Text zu verschl├╝sseln. Dieser originale unverschl├╝sselte Text wird 'einfacher Text' genannt. In einem f├╝r den Benutzer unsichtbarem Prozess wird zuerst ein einmaliger Zufallschl├╝ssel erzeugt, mit dem der Text dann auf konventionelle Weise verschl├╝sselt wird. Der Zufallsschl├╝ssel wird jeweils nur ein einziges Mal verwendet. Dann wird dieser Zufallschl├╝ssel mit dem ├Âffentlichen Schl├╝ssel des Empf├Ąngers verschl├╝sselt und mit der Nachricht zu ihm geschickt. Er entschl├╝sselt ihn mit seinem geheimen Schl├╝ssel und benutzt ihn, um ihre Nachricht wieder mit den schnellen konventionellen Methoden zu entschl├╝sseln.

├ľffentliche Schl├╝ssel werden in individuellen 'Schl├╝ssel-Zertifikaten' aufbewahrt, welche die 'User ID' (der Name des Benutzers), die Entstehungszeit des Schl├╝ssels und das eigentliche 'Schl├╝sselmaterial' enthalten. ├ľffentliche Schl├╝sselzertifikate enthalten ├Âffentliche Schl├╝ssel, w├Ąhrend geheime Schl├╝sselzertifikate geheime Schl├╝ssel enthalten. Jeder geheime Schl├╝ssel ist nochmal mit einem Passwort verschl├╝sselt, um ihn zu sch├╝tzen, sollte er gestohlen werden. Eine Schl├╝sseldatei, oder 'Schl├╝sselbund' enth├Ąlt ein oder mehrere dieser Schl├╝sselzertifikate. ├ľffentliche und geheime Schl├╝ssel werden in getrennten Schl├╝sselbunden aufbewahrt.

Die Schl├╝ssel werden intern auch mit einer 'Key ID' referenziert, welche eine 'Abk├╝rzung' (die untersten 64 Bit) des ├Âffentlichen Schl├╝ssels ist. Wenn diese Key ID angezeigt wird, sehen Sie aber nur 32 Bit, um noch weiter abzuk├╝rzen. Viele Schl├╝ssel k├Ânnen die gleiche User ID haben, aber in der Praxis haben keine zwei Schl├╝ssel die gleiche Key ID. PGP benutzt 'Nachrichten-Extrakte' um Unterschriften zu erzeugen. Ein Nachrichtenextrakt ist eine 128 Bit lange kryptografisch sehr starke Hash-Funktion. Es funktioniert etwa wie eine Checksumme oder CRC, indem es die Nachricht in kompakter Form 'repr├Ąsentiert' und dazu benutzt wird, um Ver├Ąnderungen in der Nachricht zu entdecken. Aber im Gegensatz zu einer CRC ist es f├╝r einen Angreifer praktisch unm├Âglich, eine Nachricht zu erzeugen, aus der das gleiche Nachrichtenextrakt entsteht. Dieser Nachrichtenextrakt wird mit dem geheimen Schl├╝ssel des Absenders verschl├╝sselt um eine digitale Unterschrift zu erzeugen.

Dokumente werden unterschrieben, indem ihnen ein Unterschriftszertifikat vorangestellt wird, welches die Key ID des Schl├╝ssels enth├Ąlt, mit welchem sie unterschrieben wurde, das verschl├╝sselte Nachrichtenextrakt und eine Zeitmarke, mit der festgestellt werden kann, wann die Unterschrift erzeugt wurde. Die Key ID wird vom Empf├Ąnger benutzt, um den zum ├ťberpr├╝fen n├Âtigen ├Âffentlichen Schl├╝ssel zu finden. Das Programm des Empf├Ąngers sucht automatisch die zur Key ID passende User ID und den Schl├╝ssel im ├Âffentlichen Schl├╝sselbund.

Verschl├╝sselten Dateien wird die Key ID des ├Âffentlichen Schl├╝ssels vorangestellt, der benutzt wurde, um sie zu verschl├╝sseln. Das Programm des Empf├Ąngers sucht automatisch den zur Entschl├╝sselung n├Âtigen Schl├╝ssel im geheimen Schl├╝sselbund.

Diese zwei Schl├╝sselbunde sind die prinzipielle Methode, um ├Âffentliche und geheime Schl├╝ssel zu verwalten. Anstatt jeden einzelnen Schl├╝ssel in einzelnen Datei zu verwalten, werden sie in Schl├╝sselbunden gesammelt, um ihr Auffinden durch User ID und Key ID m├Âglich zu machen. Jeder Nutzer erh├Ąlt sein eigenes Paar Schl├╝sselbunde. Erzeugte ├Âffentliche Schl├╝ssel werden tempor├Ąr in einzelnen Dateien gehalten, damit Sie sie zu ihren Freunden senden k├Ânnen, die sie dann zu ihren ├Âffentlichen Schl├╝sselbunden hinzuf├╝gen k├Ânnen.

Die Funktionsweise des RSA-Verfahrens

phi(x) sei die Eulersche Phi-Funktion, die die Anzahl der n aus N bezeichnet, die kleiner als x und mit x teilerfremd sind. Ist nicht weiter wichtig, interessant ist nur, dass f├╝r zwei Primzahlen p und q gilt:

phi(p*q)=(p-1)*(q-1).

Es gilt

a^(phi(z)) = 1 (mod z) [ = bedeutet: ,kongruent modulo' ]

also auch:

a^(phi(z)+1) = a (mod z) (a<z)

├ťber die Umformung zu

a^x = b (mod z)

b^y = a (mod z)

Was haben wir nun davon? Nun, wenn es nicht gelingt, aus x und z y zu berechnen, dann k├Ânnen wir das Zeichen a mit dieser Rechnung in das Zeichen b verschl├╝sseln, das nicht ohne weiteres zur├╝ckverwandelt werden kann. RSA verwendet f├╝r v das Produkt zweier m├Âglichst gro├čer Primzahlen, die Sicherheit des Ganzen liegt darin, dass noch kein schneller Algorithmus bekannt ist, um Primfaktorzerlegungen durchzuf├╝hren.

Zahlenbeispiel

Mit x*y = (phi(z)+1) kommen wir zur Verschl├╝sselung: Man nehme zwei Primzahlen (als Beispiel 13 und 11), deren Produkt (143) wird als z ver├Âffentlicht (also nehmen wir besser gr├Â├čere Zahlen, dass 143=13*11 ist, l├Ąsst sich recht schnell herausfinden...), weiterhin berechnen wir (phi(z)+1) = 121, einen Teiler hiervon (da kommt wohl nur die 11 in Frage...) ver├Âffentlichen wir als x, y (in diesem Fall auch 11) behalten wir geheim.

Nun nehmen wir das zu verschl├╝sselnde Zeichen (6) und berechnen b:

6^11 = 362797056 = 50 (mod 143)

Unser verschl├╝sseltes Zeichen ist also 50. Die verschicken wir nun, der Empf├Ąnger kann leicht ausrechnen:

50^11 = 6 (mod 143)

Normalerweise sind x und y nat├╝rlich voneinander verschieden, aber gute Zahlen zu finden wird erst bei gr├Â├čeren Zahlen leichter.

Das IDEA-Verfahren

IDEA ist ein ,konventionelles' Verschl├╝sselungsverfahren, das sich als sicherer als das bekannte DES erwiesen hat. PGP benutzt eine Kombination von RSA und IDEA, weil eine komplette RSA-Verschl├╝sselung zu rechenaufwendig, sprich: langsam w├Ąre. Also erzeugt PGP einen zuf├Ąlligen Schl├╝ssel, den ,Session Key', mit dem die Information IDEA-codiert wird, und packt diesen RSA-codiert zu dem verschl├╝sselten Text dazu. Das hat au├čerdem den Vorteil, dass eine Nachricht mit wenig Aufwand f├╝r mehrere Empf├Ąnger verschl├╝sselt werden kann: PGP erweitert den verschl├╝sselten Text f├╝r jeden zus├Ątzlichen Empf├Ąnger einfach um eine eigene RSA-codierte Kopie des ,Session Key'.

Der Schutz von ├Âffentlichen Schl├╝sseln

In einem RSA-Kryptosystem m├╝ssen Sie die ├Âffentlichen Schl├╝ssel nicht vor dem bekanntwerden sch├╝tzen. Es ist sogar besser, wenn sie soweit wie m├Âglich verbreitet sind. Aber es ist sehr wichtig, ├Âffentliche Schl├╝ssel vor Ver├Ąnderungen zu sch├╝tzen, um sicher zu gehen, das ein Schl├╝ssel wirklich dem geh├Ârt, dem er zu geh├Âren scheint. Dies ist der verletzlichste Punkt eines RSA-Kryptosystems. Zuerst sehen wir uns eine m├Âgliche Katastrophe an, und dann wie man sie mit PGP sicher verhindert.

Nehmen wir an, Sie wollen eine private Nachricht an Alice schicken. Sie laden sich Alice's ├Âffentlichen Schl├╝ssel aus einer Mailbox (oder BBS) herunter. Nachdem Sie die Nachricht mit diesem Schl├╝ssel verschl├╝sselt haben, senden Sie diese ├╝ber die E-mail Station der Mailbox an Alice. Ungl├╝cklicherweise, Ihnen und Alice unbekannt, hat ein anderer Benutzer namens Charlie die BBS infiltriert. Er hat ein neues Schl├╝sselpaar generiert und Alice's User ID benutzt. Er vertauscht seinen gef├Ąlschten Schl├╝ssel mit Alice's echtem ├Âffentlichem Schl├╝ssel. Sie benutzen unwissentlich Charlies's F├Ąlschung anstatt Alice's echten. Alles sieht normal aus, weil die F├Ąlschung Alice's User ID hat. Jetzt kann Charlie die f├╝r Alice bestimmte Nachricht entschl├╝sseln, da er den passenden geheimen Schl├╝ssel hat. Er k├Ânnte sogar die Nachricht wieder mit Alices echtem ├Âffentlichen Schl├╝ssel verschl├╝sseln und an Alice senden, sodass niemand irgendetwas bemerkt. Er kann sogar augenscheinlich echte Unterschriften von Alice erzeugen, da ja jeder den gef├Ąlschten Schl├╝ssel benutzt, um die Unterschriften zu pr├╝fen.

Die einzige M├Âglichkeit, diese Katastrophe abzuwenden ist, jeden davon abzuhalten, die ├Âffentlichen Schl├╝ssel zu ver├Ąndern. Wenn Sie Alice's Schl├╝ssel direkt von Alice haben, ist das kein Problem. Aber das k├Ânnte schwierig sein, denn vielleicht lebt Alice tausend Kilometer entfernt oder ist zur Zeit nicht erreichbar. Vielleicht k├Ânnen Sie Alice's Schl├╝ssel von einem vertrauensw├╝rdigem Freund, David, bekommen. David wei├č, er hat den echten ├Âffentlichen Schl├╝ssel von Alice. David k├Ânnte Alice's Schl├╝ssel unterschreiben, um dessen Integrit├Ąt zu best├Ątigen. David w├╝rde diese Unterschrift mit seinem eigenen geheimen Schl├╝ssel erzeugen.

Das w├╝rde ein unterschriebenes ├Âffentliches Schl├╝sselzertifikat erzeugen und zeigen, das Alice's Schl├╝ssel nicht ver├Ąndert wurde. Dazu m├╝ssen Sie einen echten ├Âffentlichen Schl├╝ssel von David haben, um die Unterschrift zu pr├╝fen. Vielleicht k├Ânnte David Alice ein beglaubigtes Zertifikat ihres Schl├╝ssels ├╝bergeben. David wirkt also als ein 'Vorsteller' zwischen Ihnen und Alice.

Der beglaubigte Schl├╝ssel von Alice k├Ânnte von David oder Alice auf eine BBS geladen werden, von der Sie ihn sp├Ąter wieder herunterladen k├Ânnen. Sie k├Ânnen David's Unterschrift mit seinem ├Âffentlichen Schl├╝ssel ├╝berpr├╝fen. Niemand wird Sie dazu bringen, seinen gef├Ąlschten Schl├╝ssel als Alice's zu akzeptieren, weil niemand David's Beglaubigung f├Ąlschen kann.

Eine vertrauensw├╝rdige Person kann sich sogar darauf spezialisieren, neue Benutzer 'bekanntzumachen', indem er deren Schl├╝sselzertifikate beglaubigt. Diese Person k├Ânnte als 'Schl├╝sselverwalter' oder 'Beglaubiger' agieren. Von jedem von ihm beglaubigten Schl├╝sselzertifikat kann mit Sicherheit gesagt werden, das es wirklich demjenigen geh├Ârt, dem es zu geh├Âren scheint. Alle Benutzer, die an diesem Service teilnehmen wollen brauchen nur eine bekannt echte Kopie des ├Âffentlichen Schl├╝ssels vom 'Schl├╝sselverwalter', um dessen Unterschriften pr├╝fen zu k├Ânnen.

Ein vertrauensw├╝rdiger Schl├╝sselverwalter oder Beglaubiger ist besonders f├╝r gro├če unpersonale zentral kontrollierte Firmen oder Regierungsbeh├Ârden zu empfehlen. Einige Institutionen verwenden Hierarchien von Beglaubigern. In kleineren Umgebungen w├╝rde es besser funktionieren, wenn man allen Nutzern erlaubt, als 'Bekanntmacher' f├╝r ihre Freunde zu fungieren. PGP geht diesen 'organischen' nicht-institutionellen Weg. Er spiegelt besser die Art wieder, wie Menschen sonst miteinander umgehen, und erlaubt den Menschen die Wahl, wem Sie das Schl├╝sselmanagement anvertrauen.

Die Notwendigkeit ├Âffentliche Schl├╝ssel vor unerlaubter Ver├Ąnderung zu sch├╝tzen ist das schwierigste Problem in praktischen RSA-Applikationen. Es ist die Achillesferse der RSA-Kryptografie und ein gro├čer Teil der Software-Komplexit├Ąt wird nur gebraucht, um dieses eine Problem zu l├Âsen.

Sie sollten einen ├Âffentlichen Schl├╝ssel nur dann benutzen, wenn Sie sichergestellt haben, das er wirklich dem geh├Ârt, von dem er es behauptet. Sie k├Ânnen sich dessen sicher sein, wenn Sie ihn direkt vom Besitzer haben oder wenn er eine Unterschrift von jemandem tr├Ągt, von dem Sie schon wissen, das Sie seinen echten ├Âffentlichen Schl├╝ssel haben. Auch sollte die User ID den vollen Namen des Besitzers enthalten, nicht nur den Vornamen.

Wie verlockt Sie auch immer sein m├Âgen - und Sie werden verlockt sein-- trauen Sie niemals, NIEMALS einem ├Âffentlichen Schl├╝ssel, den Sie von einer BBS heruntergeladen haben, wenn er nicht von jemandem, dem Sie trauen unterschrieben ist. Ein nicht beglaubigter Schl├╝ssel kann von jedem ver├Ąndert worden sein, sogar vom SysOp der Mailbox.

Wenn Sie gebeten werden, einen ├Âffentlichen Schl├╝ssel zu beglaubigen, stellen Sie sicher, das er wirklich der Person geh├Ârt, die in der User ID angegeben ist, weil ihre Unterschrift auf diesem Schl├╝ssel Ihr Versprechen ist, das dieser Schl├╝ssel wirklich Ihr geh├Ârt. Andere Leute werden diesem ├Âffentlichem Schl├╝ssel vertrauen, weil Sie ihrer Unterschrift darauf vertrauen. Es w├Ąre falsch, H├Ârensagen zu glauben - unterschreiben Sie nur, wenn Sie aus erster Hand wissen, das er wirklich Ihr geh├Ârt. Vorzugsweise sollten Sie einen Schl├╝ssel nur dann unterschreiben, wenn Sie ihn direkt von der Person haben.

Um einen Schl├╝ssel zu unterschreiben, m├╝ssen Sie sich ├╝ber den Eigent├╝mer viel sicherer sein, als wenn die nur mit diesem Schl├╝ssel verschl├╝sseln. Um sicher zu sein, das ein Schl├╝ssel zur Benutzung gut genug ist, sollten die Unterschriften einiger Bekanntmacher ausreichen. Aber um ihn selbst zu unterschreiben m├╝ssen Sie aus erster Hand wissen, wem er geh├Ârt. Vielleicht k├Ânnen Sie den Eigent├╝mer anrufen und die Schl├╝sseldatei mit ihm ├╝berpr├╝fen und festzustellen, das Sie wirklich ihren Schl├╝ssel haben - und stellen Sie sicher, das Sie mit der richtigen Person reden.

Halten Sie sich vor Augen, das ihre Unterschrift auf dem ├Âffentlichen Schl├╝ssel nicht die Integrit├Ąt dieser Person garantiert, sondern nur f├╝r die Integrit├Ąt (das Eigentum) des Schl├╝ssels b├╝rgt. Sie werden nicht ihre Reputation verlieren weil Sie den Schl├╝ssel eines Psychopaten beglaubigt haben, nur weil Sie absolut sicher waren, das dieser Schl├╝ssel wirklich ihm geh├Ârt. Andere Leute werden dem Schl├╝ssel vertrauen, weil Sie ihrer Unterschrift vertrauen (angenommen Sie vertrauen Ihnen), aber Sie m├╝ssen nicht dem Besitzer des Schl├╝ssels vertrauen. Einem Schl├╝ssel zu vertrauen bedeutet nicht, dem Schl├╝sselbesitzer zu vertrauen.

Vertrauen ist nicht unbedingt ├╝bertragbar; Ich habe einen Freund, von dem ich glaube, das er nicht l├╝gt. Er ist ein leichtgl├Ąubiger Mensch, der glaubt, der Pr├Ąsident l├╝gt nicht. Das bedeutet nicht, das ich glauben muss, der Pr├Ąsident l├╝gt nicht. Das ist ganz einfach. Wenn ich Alice's Beglaubigung traue, und Alice traut Charlie's Beglaubigung, hei├čt das nicht, das ich Charlie's Beglaubigung trauen muss.

Es w├Ąre eine gute Idee, ihren eigenen Schl├╝ssel mit einer Sammlung von Unterschriften einiger Beglaubiger zu haben, in der Hoffnung, die meisten Leute werden wenigstens einem der Bekanntmacher genug trauen, f├╝r ihren Schl├╝ssel zu b├╝rgen. Sie k├Ânnen ihren beglaubigten Schl├╝ssel in einigen Mailboxen ablegen. Wenn Sie jemandes Schl├╝ssel beglaubigen, senden Sie ihm eine Kopie, damit er ihre Unterschrift in seine Schl├╝sseldatei aufnehmen kann.

Achten Sie darauf, das niemand ihren eigenen ├Âffentlichen Schl├╝sselbund ver├Ąndern kann. Das ├ťberpr├╝fen neuer Schl├╝ssel ist unbedingt von der Integrit├Ąt der Schl├╝ssel ihres Schl├╝sselbundes abh├Ąngig. Behalten Sie physikalische Kontrolle ├╝ber ihren geheimen Schl├╝sselbund, bevorzugterweise auf ihrem eigenen PC, nicht auf einem entfernten (z.B. Netzwerserver), genauso wie Sie es mit ihrem geheimen Schl├╝sselbund machen. Dies, um die Schl├╝ssel vor Ver├Ąnderung zu sch├╝tzen, nicht um sie geheimzuhalten. Behalten Sie immer Sicherheitskopien ihrer Schl├╝sselbunde auf schreibgesch├╝tzten Medien.

Weil Ihr eigener ├Âffentlicher Schl├╝ssel als 'oberste Autorit├Ąt' zum direkten oder indirekten Beglaubigen aller anderen Schl├╝ssel benutzt wird, ist er der wichtigste zu sch├╝tzende Schl├╝ssel. Um unerw├╝nschte Ver├Ąnderungen zu erkennen, k├Ânnen Sie PGP anweisen, ihren Schl├╝ssel mit einer Sicherheitskopie auf einem schreibgesch├╝tzten Medium gegenzutesten.

PGP nimmt generell an, das Sie physische Sicherheit ├╝ber Ihr Sytem, ihre Schl├╝sselbunde und nat├╝rlich PGP selbst haben. Wenn ein Angreifer PGP selbst ver├Ąndern kann, kann er eventuell die Sicherheitsma├čnahmen ausschalten, die PGP hat, ihre Schl├╝ssel zu sch├╝tzen. Ein etwas komplizierter Weg, ihren Schl├╝sselbund zu sch├╝tzen w├Ąre, wenn Sie die gesamte Schl├╝sseldatei mit ihrem geheimen Schl├╝ssel unterschreiben. Sie k├Ânnen eine separate Unterschriftsdatei mit dem Befehl '-sb' erzeugen.Ungl├╝cklicherweise brauchen Sie immer noch eine Sicherheitskopie ihres ├Âffentlichen Schl├╝ssels, um die Integrit├Ąt der Beglaubigung zu ├╝berpr├╝fen. Benutzen Sie dazu nicht den Schl├╝ssel aus der beglaubigten Unterschriftsdatei, denn diesen wollen Sie ja gerade ├╝berpr├╝fen.

Der Schutz von geheimen Schl├╝sseln

Sch├╝tzen Sie ihren geheimen Schl├╝ssel und seinen Sicherheitssatz gut. Wirklich, wirklich gut. Wenn Ihr geheimer Schl├╝ssel je bekannt wird, teilen Sie das besser jeder interessierten Partei mit (viel Gl├╝ck), bevor irgendjemand ihn benutzt, um in ihrem Namen Unterschriften zu machen. Er k├Ânnte zum Beispiel benutzt werden, um gef├Ąlschte Schl├╝sselzertifikate zu beglaubigen, was vielen Leuten Probleme bereiten k├Ânnte, speziell wenn Sie gro├čes Vertrauen genie├čen. Und nat├╝rlich, ein Bekanntwerden Ihres geheimen Schl├╝ssel gef├Ąhrdet auch alle Nachrichten, die an Sie geschickt werden.

Um ihren geheimen Schl├╝ssel zu sch├╝tzen, fangen Sie am besten damit an, immer physische Kontrolle ├╝ber ihn zu behalten. Es ist OK, ihn auf ihrem Heimcomputer zu speichern, oder Sie k├Ânnen ihn auf ihrem Notebook halten, das Sie mit sich herumtragen k├Ânnen. Wenn Sie einen B├╝rocomputer benutzen m├╝ssen, ├╝ber den Sie nicht immer die Kontrolle haben, behalten Sie den Schl├╝ssel auf einer schreibgesch├╝tzten Diskette, die Sie nicht im B├╝ro zur├╝cklassen sollten, wenn Sie gehen. Es ist keine gute Idee, ihren Schl├╝ssel auf einem Fern-PC, wie einem remote dail-in Unix-System, zu haben. Jemand k├Ânnte ihre Modem-Leitung abh├Âren, ihren Sicherheitssatz herausfinden und dann den Schl├╝ssel vom Fern-PC holen. Benutzen Sie ihren Schl├╝ssel nur auf einem PC, den Sie kontrollieren k├Ânnen.

Speichern Sie ihren Sicherheitssatz nicht auf dem gleichen Computer wie ihre geheime Schl├╝sseldatei. Das w├Ąre ungef├Ąhr so gef├Ąhrlich, wie ihre Geheimzahl in der Geldb├Ârse mit ihrer Scheckkarte aufzubewahren. Niemand anders sollte die Diskette mit der geheimen Schl├╝sseldatei in die H├Ąnde bekommen. Am besten w├Ąre es, Sie merken sich den Sicherheitssatz gut und schreiben ihn nirgends auf. Wenn Sie ihn sich aufschreiben m├╝ssen, sch├╝tzen Sie ihn gut, vielleicht sogar besser als ihre geheime Schl├╝sseldatei.

Behalten Sie Sicherungsdateien ihrer geheimen Schl├╝sseldatei -- denken Sie daran, dass nur Sie die geheimen Schl├╝ssel besitzen. Wenn Sie diese verlieren werden alle von ihnen verteilten ├Âffentlichen Schl├╝ssel nutzlos.

Das dezentralisierte Schl├╝sselmanagement hat seine Vorteile, aber das bedeutet auch, das wir uns nicht auf eine zentrale Liste ung├╝ltig gemachter Schl├╝ssel verlassen k├Ânnen. Das macht es ein wenig schwieriger, den Schaden gering zu halten, wenn der geheime Schl├╝ssel bekannt wird. Sie m├╝ssen einfach in den Wald rufen und hoffen, das jeder es h├Ârt.

Wenn der schlimmste Fall eintritt-- Ihr geheimer Schl├╝ssel und Ihr Sicherheitssatz fallen in falsche H├Ąnde (hoffentlich finden Sie das irgendwie heraus) -- m├╝ssen Sie ein 'Schl├╝ssel bekannt geworden'- Zertifikat ausgeben. Dieses Zertifikat warnt andere Leute vor der Benutzung ihres ├Âffentlichen Schl├╝ssels. PGP kann mit dem Befehl '-kd' ein solches Zertifikat f├╝r Sie erstellen. Sie m├╝ssen es dann irgendwie zu jedem auf diesem Planeten schicken, oder wenigstens zu ihren Freunden und deren Freunden, usw. Deren PGP wird dieses Zertifikat in die ├Âffentlichen Schl├╝sselringe einbauen und Sie automatisch davon abhalten, ihren ├Âffentlichen Schl├╝ssel zu benutzen. Sie k├Ânnen jetzt ein neues Schl├╝sselpaar erzeugen und den neuen ├Âffentlichen Schl├╝ssel mit dem Ung├╝ltigkeitszertifikat absenden.

Angreifbarkeit

Kein Datensicherheitssystem ist unangreifbar. PGP kann auf verschiedenen Wegen hintergangen werden. M├Âgliche Angreifbarkeiten schlie├čen ein: Bekanntwerden ihres geheimen Schl├╝ssels oder des Schutzsatzes, Ver├Ąnderung ├Âffentlicher Schl├╝ssel, gel├Âschte Dateien, die immer noch auf ihrer Festplatte sind, Viren und Trojanische Pferde, L├╝cken in der physikalischen Sicherheit, elektromagnetische Emmissionen, ungesch├╝tzte multi-user Systeme, Datenverkehranalyse oder sogar direkte Kryptoanalyse.

Manchmal benutzen kommerzielle Produkte den 'Federal Data Encryption Standard' (DES), einen ziemlich guten Algorithmus, der von der US-Regierung f├╝r kommerzielle Anwendung empfohlen wird (allerdings nicht f├╝r geheime Regierungsdaten, naja...). Es gibt mehrere Arbeitsmodi, die DES benutzen kann, wovon einige besser als andere sind. Die US-Regierung empfiehlt, nicht den schw├Ąchsten Modus f├╝r Nachrichten zu verwenden, den 'Elektronisches Codebuch' (ECB) Modus. Aber Sie empfehlen die st├Ąrkeren und komplexeren Modi 'Chiffratr├╝ckf├╝hrung' (Chiper-Feedback - CFB) oder Chiffratblockverkettung (Chiperblock-Chaining - CBC).

Sogar die wirklich guten Softwarepackete, die DES in korrekter Weise verwenden, haben immer noch Probleme. Das Standard-DES benutzt einen 56-bit Schl├╝ssel, der f├╝r heutige Anforderungen zu klein ist, und jetzt auch leicht mit simplem 'Durchprobieren' aller Schl├╝ssel auf Hochgeschwindigkeitsmaschinen knackbar ist. DES ist am Ende seines n├╝tzlichen Lebens angelangt, und somit auch alle Software, die es benutzen.

Es gibt eine Firma, genannt AccessData (87 East 600 South, Orem, Utah 84058, Telefon 1-800-658-5199) welche ein Softwarepacket f├╝r $185 verkauft, das die eingebauten Verschl├╝sselungen von Lotus 1-2-3, MS Excel, Symphony, Quattro Pro, Paradox, und MS Word 2.0 knackt. Es r├Ąt nicht einfach Passw├Ârter -- es macht echte Kryptoanalyse. Einige Leute kaufen es, wenn Sie die Passworte zu ihren eigenen Dateien vergessen haben. Beh├Ârden kaufen es auch, damit sie die Dateien lesen k├Ânnen, die sie beschlagnahmen. Eric Thompson sagt, sein Programm braucht nur Bruchteile einer Sekunde, um sie zu knacken, aber er hat ein paar Warteschleifen eingebaut, damit es f├╝r den K├Ąufer nicht zu einfach aussieht. Er sagte mir auch, das die Passwort- Option von PKZIP auch oft einfach geknackt werden kann, und seine beh├Ârdlichen Kunden haben diesen Service schon von einem anderen Anbieter.

Schlusswort

Israelische Forscher haben eine Methode entwickelt, die so gut wie jedes Verschl├╝sselungssystem knackt, auch das bei sensiblen Daten von Banken meistverwendete, DES. Es gilt als sicher, weil es mit Primzahlen arbeitet und "Einbrecher" mit extrem langen, schwer zu findenden Zahlen abwehrt. Gegen die Israelis hilft die Strategie nichts, sie finden Primzahlen jeder L├Ąnge, indem sie wie Verhaltensforscher die Chips beobachten, denen die Verschl├╝sselung einprogrammiert ist. ├ähnliches ist schon bei "public keys" gelungen, bei denen alle Sender einen gemeinsamen Schl├╝ssel und nur der Empf├Ąnger noch einen zweiten hat. Anstatt wie herk├Âmmliche Datendiebe diesen Schl├╝ssel zu stehlen, haben US-Forscher ├╝ber die Beobachtung der L├Ąnge seiner Entzifferung durch den Empf├Ąnger die Codes geknackt. Nun wurde der h├Ąrtere DES - ein "secret key", bei dem die Parteien den Schl├╝ssel austauschen - ├╝berlistet. Die Forscher holen sich das Verschl├╝sselungsprogramm aus der "black box" - dem versiegelten, unzug├Ąnglichen Chip -, indem sie mehrere Male dieselbe Botschaft durch den Chip schicken und ihn zwischen jedem Durchgang mit Mikrowellen bestrahlen. Dadurch richten sie kleine Sch├Ąden im Programm an, das dann immer ein wenig anders verschl├╝sselt. Aus diesen Abweichungen schlie├člich kann man mit einem speziellen Verfahren - Differential-Fehler-Analyse - den Schl├╝ssel selbst rekonstruieren.

Quellenangabe

Diplomarbeit "Electronic Cash in verteilten Systemen" von Manhard Schlifni PGP Dokumentation Version 2.6.3 Standard 11/96 Computerwelt 46/96 http://web.mit.edu/network/pgp.htm

8115 Worte in "deutsch"  als "hilfreich"  bewertet