Wie sicher ist "elektronische Datenübermittlung"? Public-Key-Infrastrukturen (PKI) sollen den Weg frei machen zu neuen Märkten, Vertriebswegen und neuen Kommunikationsstrukturen zwischen Bürgern und Behörden; groß ist daher das Interesse von Wirtschaft, Politik und Wissenschaft. Über das wie diskutierten auf Einladung der Ruhr-Universität Experten aus Wirtschaft, Wissenschaft und Verwaltung.
Bochum, 09.12.1998
Nr. 273
Verschlüsselte Schlüssel
Sicherheit schafft Vertrauen in digitale Kommunikation
"Public-Key-Infrastrukturen": Stand, Perspektiven, Forschung
Ob der nächste Lohnsteuerjahresausgleich vielleicht schon "online" abgewickelt werden kann, Arztpraxen Diagnosedaten elektronisch austauschen oder den Kauf der Immobilie zukünftig ein Mausklick besiegelt, entscheidet letztlich die Frage: Wie sicher ist "elektronische Datenübermittlung"? Public-Key-Infrastrukturen (PKI) sollen den Weg frei machen zu neuen Märkten, Vertriebswegen und neuen Kommunikationsstrukturen zwischen Bürgern und Behörden; groß ist daher das Interesse von Wirtschaft, Politik und Wissenschaft. Deren Experten, die "creme de la creme" der Kryptographie aus Deutschland, Österreich, der Schweiz und der Europäischen Kommission in Brüssel trafen sich Mitte November auf dem Workshop "Public-Key-Infrastrukturen: Stand, Perspektiven und Forschungsaspekte" zu einem Erfahrungsaustausch über rechtliche Perspektiven, den gegenwärtigen Stand des Aufbaus von PKI und die Herausforderungen für Forschung und Lehre. Organisiert wurde diese zweite Veranstaltung der Krypto-Initiative, die im Frühjahr 1998 vom Ministerium für Schule und Weiterbildung, Wissenschaft und Forschung NRW (MSWWF) auf Anregung der Ruhr-Universität Bochum gestartet wurde, von Petra Henseler (Leiterin des Dezernats für Internationale Angelegenheiten, Forschungs- und Studierendenförderung der RUB), Dr. Tomas Sander vom International Computer Science Institute (ICSI), Berkeley, USA, und der Siemens AG in Essen.
Digitale Unterschriften benötigen besondere Schlüssel
Eine der zentralen Technologien für sichere elektronische Datenübermittlung ist das digitale Signieren. Hierzu hält jeder Benutzer einen "geheimen Schlüssel'', den nur er kennt, und einen öffentlichen Schlüssel, den jeder kennen soll. Mit dem geheimen Schlüssel kann der Benutzer elektronisch unterschreiben. Mit dem öffentlichen Schlüssel kann jeder diese digitale Unterschrift verifizieren. Damit dies funktioniert, müssen Benutzer und deren öffentliche Schlüssel zuverlässig einander zugeordnet werden können. Hierzu stellen Zertifizierungsinstanzen sogenannte Zertifikate aus, auf denen bescheinigt wird, daß ein bestimmter öffentlicher Schlüssel zu einem bestimmten Benutzernamen gehört. Das Zertifikat selbst ist wieder ein elektronisches Dokument, unterschrieben mit dem geheimen Schlüssel der Zertifizierungsinstanz. Dies (und mehr) soll von Public-Key-Infrastrukturen geleistet werden.
Rechtliche Perspektiven
(Fern)Ziel ist es, digital signierte Dokumente gleichwertig zu handschriftlichen Dokumenten zu behandeln, sowohl im geschäftlichen und privaten Alltag als auch vor Gericht. Dafür bedarf es neuer rechtlicher Regelungen. Dem 1997 in Deutschland verabschiedeten Gesetz zur digitalen Signatur (SigG) steht nun ein Richtli-nien-entwurf der Europäischen Kommission gegenüber, der die Rahmenbedingungen für elektronische Signaturen festlegen soll. Nach einer politischen Einigung im Europäischen Parlament und im Rat der Europäischen Gemeinschaften könnte diese Richtlinie im Jahre 2001 für alle Mitgliedsländer rechtswirksam werden. Doch Deutschland und die Kommission gehen von verschiedenen Konzepten aus. Die Philosophie der deutschen Gesetzgebung ist, mit einem hohen Sicherheitsstandard zu beginnen - das betrifft sowohl die Technik der Verschlüsselung selbst, als auch die Zertifizierungshierarchie. Sie soll zweistufig sein mit einer nationalen Wurzel-Zertifizierungsstelle der Regulierungsbehörde für Post und Telekommunikation als Dachorganisation und mit untergeordneten privaten oder von öffentlicher Hand geführten Zertifizierungsstellen. Digitale Unterschriften, die auf geset-zeskonforme Weise erzeugt werden, genießen vor Gericht den Vorteil der 'Rechtsvermutung', sicher zu sein. Dagegen werden im Europäischen Entwurf keine expliziten Sicherheitskriterien (Eingangsüberprüfungen) bei der Zertifizierung festgeschrieben, aber Rechtswirkung und Haftung von Anfang an betont.
Harmonisierung versus Sicherheitsverlust?
Vorträge und Diskussion machten die unterschiedlichen Positionen der Referenten zu beiden Regelungen deutlich. Der Europäische Entwurf wurde als Versuch beschrieben, den Rahmen für digitale Signaturen technologieoffen und grenzüberschreitend zu harmonisieren. Als Vertreter einer strikten Sicherheitspolitik erwiesen sich Wissenschaftler und Behörden, während die Industrie einen pragmatischen Ansatz favorisiert und eher relativ sichere, aber kostengünstige Lösungen anstrebt, um im bereits harten internationalen Wettbewerb um Internet-Märkte bestehen zu können.
PKI's - wer sie hat und wer sie aufbaut
Vertreter aus Industrie, Wirtschaft und Hochschulen stellten verschiedene Konzepte und Lösungsansätze vor, PKIs aufzubauen. Dabei reicht die Bandbreite vom sicheren (?) mobilen Endgerät, vorgestellt von Prof. Dr. Andreas Pfitzmann, TU Dresden, mit eigener Schlüsselgenerierung nach dem Motto "Man erzeugt und verwahrt seine Geheimnisse selbst" bis zu PKI's, die bereits intern eingesetzt werden (z.B. Deutsche Bank und Siemens). Während die Deutsche Bank (Bernhard Esslinger) 70 000 Mitarbeiter und Mitarbeiterinnen mit Smart Cards und Readern versorgte und eine zunächst bankinterne PKI konzipierte, die aber gleitend auch extern eingesetzt werden kann, berichtete Dr. Heribert Peuckert, Siemens AG, München, vom "Trust Center im Hause Siemens". Es umfaßt Schlüsselgene-rie-rung, Zertifizierung und Archivierung. Wenngleich das Trustcenter nach Erprobung im vergangenen Jahr von Siemens nun weltweit eingesetzt wird, handelt es sich dennoch um ein 'Siemens-internes' (geschlossenes) System und fällt damit nicht unter das Signaturgesetz. Im Gegensatz zum Bundesamt für Sicherheit in der Informationstechnik (BSI), vertreten durch Dr. Ansgar Heuser, das für die Erfüllung aller Auflagen des SigG plädiert, favorisieren Banken- und Industrievertreter eine kurzfristig realisierbare Lösung, die nicht alle Sicherheitsbedingungen erfüllt. Das verbleibende Risiko soll über Versicherungen abgedeckt werden.
Deutsche Kryptologieforschung: Heraus aus dem Schatten
Schließlich ging es auch um die Herausforderungen für Forschung und Lehre im Zusammenhang mit dem Aufbau von PKI's. Es genüge nicht, sich mit den heute bekannten Verschlüsselungsverfahren zu begnügen, so Prof. Dr. Johannes Buchmann, TU Darmstadt. Die Forschung müsse nach Alternativen suchen, möglicherweise könne dies der Einsatz elliptischer und hyperelliptischer Kurven sein. Der allgemeine Tenor ging dahin, daß die Anstrengungen in Forschung und Lehre deutlich gesteigert werden müssen, um die Erfordernisse der Gesellschaft im Hinblick auf sichere elektronische Kommunikation in den kommenden Jahren zu erfüllen. Deutschland hat ein hervorragendes Potential an Know-how und Personen; die deutsche Sicherheitsforschung ist dennoch zu national ausgerichtet und wird international nicht genügend wahrgenommen.
Ein Kompetenzzentrum muß her
Die Mehrheit der Teilnehmer plädierte für die Einrichtung eines international ausgerichteten Kompetenzzentrums für Sicherheit in der Informationstechnik (IT), das die Zusammenarbeit von Kryptographie- bzw. IT-Sicherheitsforschern aus verschiedenen Fachrichtungen verbessern und die Aktivitäten auf dem Gebiet der Aus- und Weiterbildung bündeln soll.
Weitere Informationen
Petra Henseler, Ruhr-Universität Bochum, Dezernat für internationale Angelegenheiten, Forschungs- und Studierendenförderung, Tel.: 0234/700-3024, Fax: 0234/7094-684, E-Mail: Petra.Henseler@ruhr-uni-bochum.de
Merkmale dieser Pressemitteilung:
Informationstechnik, Medien- und Kommunikationswissenschaften, Politik, Recht, Wirtschaft
überregional
Buntes aus der Wissenschaft, Forschungsprojekte, Wissenschaftliche Tagungen
Deutsch
Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.
Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).
Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.
Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).
Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).