Vom 18.-19. September 1996 führte die Fachgruppe 2.5.3 "Verläßliche IT-Systeme" (berichte">VIS) gemeinsam mit der Industrievereinigung "TeleTrusT e.V." und dem Forschungszentrum für Informationstechnik GmbH (GMD) in Darmstadt die Arbeitstagung "Digitale Signaturen 96" durch. Über 100 Teilnehmer aus Industrie, Forschung und Verwaltung nutzten diesen Rahmen für eine interdisziplinäre Diskussion über die rechtlichen, technischen und organisatorischen Aspekte rechtsverbindlicher Telekooperation.
Nach einer Einführung in das Thema von Herrn Kraaibeek (CCI) stellte Herr Bieser als Vertreter des Bundesinnenministeriums die Grundzüge der aktuellen Fassung des Referentenentwurfs zum "Signaturgesetz" (SigG) vom 13. September 1996 vor, der voraussichtlich Mitte 1997 als Artikel 2 des "Informations- und Kommunikationsdienstegesetzes" (IuKDG, auch "Multimediagesetz" oder "Teledienstegesetz") geltendes Recht werden soll.
Frühfassungen dieses Entwurfs wurden 1995 auf den Tagungen "Verläßliche IT-Systeme '95" (berichte/vis95ber.html">VIS '95) und "Trust Center 95" Bericht) bereits intensiv diskutiert. Die nun vorliegende Fassung ist eine Überarbeitung des Referentenentwurfs vom 28. Juni 1996, in die Gesprächsergebnisse von Diskussionen mit BDI, DIHT, Banken, TeleTrusT, Vertretern der entsprechenden Fachgruppen der GI, potentiellen "Trust Center"-Diensteanbietern aus der Industrie, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der "Projektgruppe verfassungsverträgliche Telekooperation" (provet e.V., Darmstadt), die im Februar 1996 im Auftrag des Bundesforschungsministeriums einen eigenen Gesetzentwurf vorgelegt hatten, eingearbeitet wurden.
Kernpunkt des aktuellen Entwurfs, der auf 15 Paragraphen angewachsen und durch einen Verordnungsentwurf ergänzt worden ist, ist die Einrichtung einer zentralen Regulierungsbehörde voraussichtlich zum 1. Januar 1998, die sich aus Teilen des Bundesamtes für Post und Telekommunikation (BAPT) und des Bundespostministeriums zusammensetzen soll. Diese Behörde wird für die Erteilung gebührenpflichtiger Lizenzen für Zertifizierungsstellen zuständig sein, die als "vertrauenswürdige Dritte" (Trust Center) die Ausstellung von Zertifikaten für öffentliche Schlüssel von Digitalen Signatursystemen übernehmen wollen. Die Zuordnung der Schlüssel kann dabei auch über ein (eindeutiges) Pseudonym erfolgen und ermöglicht damit eine anonyme Nutzung. Die Identität des Schlüsselinhabers muß allerdings von der Zertifizierungsstelle auf Ersuchen von Strafverfolgungsbehörden, Verfassungsschutz und Nachrichtendiensten offengelegt werden.
Die Regulierungsbehörde wird die Anforderungen an Zuverlässigkeit und Fachkunde solcher Trust Center, an die verwendeten kryptographischen Verfahren sowie die technischen Komponenten festlegen; die Einhaltung dieser Auflagen und Verpflichtungen der Trust Center werden von ihr regelmäßig kontrolliert. Weiter wird sie selbst die Rolle einer "Wurzelinstanz" für eine zentrale Zertifikatshierarchie übernehmen. Bei Ausfall einer Instanz wird sie für die weitere Aufrechterhaltung oder ordnungsgemäße Beendigung deren Zertifizierungsdienstes Sorge tragen müssen.
Die Bedeutung eines Signaturgesetzes für die Praxis hob Herr Rieß (debis Systemhaus) hervor, nachdem Herr Herda (SHUR) technische Anforderungen zur Gewährleistung eines hohen Beweiswertes Digitaler Signaturen formuliert hatte. Kritik erntete der Gesetzentwurf von Herrn Bizer (provet) für das Fehlen einer risikoadäquaten Regelung von Haftungsfragen und die Bestimmung, daß eine Aufhebung von Pseudonymen gegenüber Strafverfolgungsbehörden und Nachrichtendiensten nicht unter einen Richtervorbehalt gestellt wurde.
Der Entwurf des Signaturgesetzes fordert weiter die Verwendung nachgewiesen sicherer Komponenten für die Erzeugung und Prüfung Digitaler Signaturen (Chipkarten, PC-Zusatzkar- ten etc.). Die Erfüllung hoher Mechanismenstärke nach den europäischen Sicherheitskriterien ITSEC setzt jedoch die Offenlegung von Entwurf und Code sowie die Anwendung formaler Entwurfsmethoden voraus, und davor schrecken derzeit noch viele Anbieter von Sicherheitslösungen zurück. Einen Weg, den Anforderungen Genüge zu tun, wies Herr Henn (TÜVIT) anhand der Praxiserfahrungen einer vom BSI akkreditierten Prüfstelle.
Aus juristischer Sicht ist es für die Zuverlässigkeit Digitaler Signaturen wesentlich, daß sicher- gestellt ist, daß der geheime Signierschlüssel ausschließlich von seinem Inhaber zur Erzeugung Digitaler Signaturen genutzt werden kann. Dazu sind technische Maßnahmen erforderlich, die verhindern, daß der geheime Schlüssel Dritten bekannt wird. Eine Erzeugung oder gar Speicherung des geheimen Schlüssels bei einer Zertifizierungsinstanz muß ausgeschlossen werden; und auch dem Signierer selbst darf der Schlüssel nicht bekannt sein, um eine willentliche Weitergabe zu verhindern. Daher wurde vorgeschlagen, den Schlüssel auf einer Krypto-Chipkarte zu erzeugen und dort auch unzugänglich aufzubewahren; die Aktivierung der Signierfunktion erfolgt dann über ein separates PIN-Eingabegerät.
Die Industrie jedenfalls bietet bereits derartige Lösungen: Frau Meister (G&D) stellte den Stand der ISO-Normung von Chipkartenprotokollen auf der Basis asymmetrischer Kryptoverfahren vor, der an Spezifikationen für den Einsatz von SmartCards in Zahlungssystemen wie Europay angelehnt wurde. Die Standardisierung der ISO/IEC-Norm 7816-8 soll Mitte 1997 abgeschlossen werden.
Allerdings lauern auch bei Chipkarten mit Kryptoprozessoren Fußangeln: Herr Posch (TU Graz) zeigte, wie anfällig die meisten Prozessorchipkarten gegen mögliche Analyseangriffe sind - und daß daher auch ein auf einer Chipkarte gespeicherter geheimer Signierschlüssel mit vergleichsweise geringem technischen Aufwand zugänglich sein kann. Er stellte ein skalierbares Krypto-Coprozessordesign vor, das solche Analyseversuche erheblich erschwert.
Die Beiträge der Tagung deckten eine Reihe weiterer Schwierigkeiten im Umgang mit Digitalen Signatursystemen auf. So stellte Herr Zieschang (Kobil GmbH) eine lange Liste von Möglichkeiten vor, wie Zertifikatsketten gefälscht, Zertifikate erschwindelt und so Empfänger von Signaturen über deren Authentizität getäuscht werden kännen. Zwar lassen sich die geschilderten Angriffe durch technische Maßnahmen erschweren. Gegen Nutzer, die ohne Prüfung in die Korrektheit und Gültigkeit von Zertifikaten und Signaturen vertrauen, helfen solche Vorkehrungen allerdings nicht.
Nicht zuletzt muß auch die Umgebung, in der eine Digitale Signatur geleistet wird, vertrauenswürdig sein. Selbst wenn der geheime Schlüssel und die Signierfunktion in einer PIN-geschützten Krypto-Chipkarte vor Zugriff und Modifikation geschützt sind, ist das zu signierende Dokument meist Teil einer Applikation, bspw. einer Textverarbeitung oder eines EMail-Editors. Daher muß strenggenommen sichergestellt sein, daß weder Software noch Hardware des Rechners, auf dem die Signatur erzeugt wird, Programmfehler oder -modifikationen enthält. Wie aufwendig es ist, dies sicherzustellen, zeigte Herr Weck (infodas) in seinem Vortrag.
Und nicht zuletzt müssen die verwendeten Kryptoverfahren und -protokolle tatsächlich sicher sein. Herr Dobbertin (BSI) stellte den aktuellen Stand der Kryptoanalyse verbreiteter Hashfunktionen vor. Danach muß von der Nutzung des verbreiteten Hashalgorithmus MD4 schärfstens abgeraten werden; innerhalb von einer Stunde können auf einem PC Kollisionen berechnet werden. Auch der Nachfolgealgorithmus MD5 gilt nicht mehr als kollisionsresistent. Der in den USA standardisierte SHS-1 und RIPEMD 160 gelten allerdings wegen der hohen internen Rundenzahl derzeit als unbedenklich.
Eine bereits in der Praxis erprobte Anwendung Digitaler Signaturen in Electronic-Mail-Systemen im Rahmen des MailTrusT-Projektes stellte Herr Reimer (TeleTrusT) vor. Herr Meinhold wies aus Sicht eines praktizierenden Arztes auf die Wichtigkeit vertrauenswürdiger Signaturen mit Zeitstempel hin und stellte einen Lösungsansatz vor.
Ähnlich wie den Message Digest Funktionen erging es einem auf der Tagung vorgestellten neuen Schlüsselaustauschprotokoll von Frau Zwissler (Uni Karlsruhe) mit einigen für die Praxis interessanten Eigenschaften: Es wurde innerhalb einer knappen Stunde von Herrn Petersen (TU Chemnitz/ENS Paris) gebrochen (siehe auch: Man-in-the-Middle-Angriff auf ein Schlüsselaustauschprotokoll).
Daß der Blick auf die Digitalen Signatursysteme RSA und DSS oft die Größe des Forschungsgebietes "Digitale Signaturen" verkennt, wurde von Herrn Petersen (TU Chemnitz/ENS Paris) durch eine Klassifikation ganz unterschiedlicher Digitaler Signatursysteme, die Vorträge von Herrn Röhm (Universität Essen) und Herrn Hühnlein (GMD Darmstadt) zu Signatursystemen auf der Basis Elliptischer Kurven und die Vorstellung eines unkonventionellen Schlüsselaustauschprotokolls mit undeniable signatures von Herrn Thiehl (Universität Saarbrücken) gezeigt. Eine ebenfalls an der Universität Saarbrücken entwickelte objektorientierte Bibliothek unterschiedlicher Kryptoverfahren wurde abschließend von Herrn Kenn vorgestellt.
Die Tagung wurde von den Teilnehmern, von denen viele bereits die Tagung "berichte/tc95bericht.html">Trust Center 95" besucht hatten, einmütig als eine hervorragende Fortsetzung der im Herbst 95 begonnenen interdisziplinären Diskussion gewürdigt - und das nicht zuletzt wegen der reibungslosen und perfekten Organisation, für die Frau Wohlmacher (GMD Darmstadt) verantwortlich zeichnete.
Die in Darmstadt intensivierte Diskussion wird im Herbst 1997 auf der GI-Fachtagung "Verläßliche IT-Systeme 97" (berichte97">VIS 97) unter dem Motto "Zwischen Electronic Commerce und Key Escrowing" fortgeführt (30. September bis 2. Oktober 1997, Freiburg; EMail: vis97@iig.uni-freiburg.de). Wahrscheinlich liegen zu diesem Zeitpunkt bereits erste Erfahrungen mit dem Signaturgesetz vor.
ab 09.00 Uhr Registrierung, Kaffee und Tee
10.00 Uhr Begrüßung und Einführung
Verbindlichkeit und Gesetzgebung
10.05 Uhr Grundüberlegungen zu digitalen Signaturen
P. Horster, P. Kraaibeek; TU Chemnitz, CCI
10.25 Uhr Sachstand der Gesetzgebung zur Digitalen Signatur
W. Bieser; BMI
10.45 Uhr Kriterium zur Gewährleistung eines ausreichenden
Beweiswertes digital signierter Dokumente im
elektronischen Rechtsverkehr
J. Bizer, S. Herda; Provet, SHUR
11.15 Uhr Kommunikationspause
Regulierungsbedarf
11.45 Uhr Regelungsbedarf für eine Digitale Signatur aus
Anwendersicht
J. Rieß; debis Systemhaus
12.15 Uhr Regulierungsbedarf für die Sicherungsinfrastrukturen
Öffentlicher Schlüssel
J. Bizer; Provet
12.45 Uhr Gemeinsame Mittagspause (Imbiss)
Sicherheitsinfrastrukturen
13.45 Uhr Evaluation und Akkreditierung von Systemen zur
Digitalen Signatur und deren Infrastruktur
R. Baumgart, F. Beuting, T. Henn; RWTÜV Essen
14.15 Uhr An Analysis of Key Certification Infrastructures
T. Zieschang; KOBIL Computer Systeme
14.45 Uhr DEDICA Directory based EDI Certificate Access
and Management (abgesagt)
F. Bauspieß; r3 Security Engineering
15.15 Uhr Kommunikationspause
Konzepte und Realisierungen
15.45 Uhr Vertrauenswürdige digitale Signaturen
G. Weck; Infodas
16.15 Uhr Taxonomie digitaler Signaturkonzepte
H. Petersen, M. Michels, P. Horster; TU Chemnitz
16.45 Uhr Welche Hashfunktionen sind für Digitale
Signaturen geeignet?
H. Dobbertin; BSI
17.15 Uhr Ende erster Konferenztag
19.30 Uhr Gemeinsames Abendessen
Anwendungen
09.00 Uhr Die MailTrusT-Spezifikationen - eine Grundlage
für die Anwendung digitaler Signaturen in offenen
IT-Systemen
H. Reimer; TeleTrusT Deutschland
09.30 Uhr Die Zeitstempelung der Digitalen Signatur
in der ärztlichen Praxis
M. Meinhold; Praktischer Arzt
Chipkarten
10.00 Uhr Digitale Signaturfunktionen für Smart Cards
G. Meister; Giesecke und Devrient
10.30 Uhr CO-Prozessorstrukturen für schnelle und sichere
Chipkarten
R. Posch; TU Graz
11.00 Uhr Kommunikationspause
Protokolle
11.30 Uhr Authentisierter und vertraulicher Datenaustausch
für den elektronischen Handel
S. Zwissler; Universität Karlsruhe
12.00 Uhr Authentisierter Schlüsselaustausch basierend auf
Undeniable Signatures
I. Biehl, B. Meyer, C. Thiel; Universität des Saarlandes Saarbrücken
12.30 Uhr Gemeinsame Mittagspause (Imbiss)
Kryptographische Verfahren
13.30 Uhr Effiziente Digitale Signatursysteme auf der Basis
Elliptischer Kurven
D. Fox, A. Röhm;
Universität - GH Siegen, Universität - GH Essen
14.00 Uhr Effiziente Exponentiation und optimale Punktdarstellung
für Signatursysteme auf Basis elliptischer Kurven
D. Hühnlein
14.30 Uhr LiSA - Eine C++ Bibliothek für kryptographische Verfahren
I. Biehl, H. Kenn, B. Meyer, B. Müller, J. Schwarz, C. Thiel;
Universität des Saarlandes Saarbrücken
15.00 Uhr Konferenzende
W. Bieser, BMI J. Bizer, Provet D. Fox, Uni-GH Siegen F.-P. Heider, debis Systemhaus GEI S. Herda, SHUR P. Horster, TU Chemnitz (Vorsitz) P. Kraaibeek, CCI E. O. Liebetrau, BSI G. Meister, G&D H. Petersen, TU Chemnitz/ENS Paris H. Reimer, TeleTrusT B. Struif, GMD G. Weck, Infodas P. Wohlmacher, GMD
D. Fox, Uni-GH Siegen P. Kraaibeek, CCI P. Sonntag, TU Chemnitz P. Wohlmacher, GMD/
Die Beiträge wurden in einem Tagungsband veröffentlicht und sind im Buchhandel erhältlich:
Horster, P. (Hrsg.): Digitale Signaturen. Grundlagen, Realisierungen, Rechtliche Aspekte, Anwendungen. DuD Fachbeiträge, Verlag Vieweg, Braunschweig 1996, ISBN 3-528-05548-0.
© Alexander W. Röhm, Dirk Fox