[ vorherige ][ nächste ][ Übersicht Pressemitteilungen ]

Verschluesselung schafft Sicherheit und Vertrauen



Bochum, 09.12.1998
Nr. 273

Verschlüsselte Schlüssel
Sicherheit schafft Vertrauen in digitale Kommunikation
"Public-Key-Infrastrukturen": Stand, Perspektiven, Forschung


Ob der nächste Lohnsteuerjahresausgleich vielleicht schon "online"
abgewickelt werden kann, Arztpraxen Diagnosedaten elektronisch
austauschen oder den Kauf der Immobilie zukünftig ein Mausklick
besiegelt, entscheidet letztlich die Frage: Wie sicher ist
"elektronische Datenübermittlung"? Public-Key-Infrastrukturen (PKI)
sollen den Weg frei machen zu neuen Märkten, Vertriebswegen und neuen
Kommunikationsstrukturen zwischen Bürgern und Behörden; groß ist daher
das Interesse von Wirtschaft, Politik und Wissenschaft. Deren
Experten, die "creme de la creme" der Kryptographie aus Deutschland,
Österreich, der Schweiz und der Europäischen Kommission in Brüssel
trafen sich Mitte November auf dem Workshop
"Public-Key-Infrastrukturen: Stand, Perspektiven und
Forschungsaspekte" zu einem Erfahrungsaustausch über rechtliche
Perspektiven, den gegenwärtigen Stand des Aufbaus von PKI und die
Herausforderungen für Forschung und Lehre. Organisiert wurde diese
zweite Veranstaltung der Krypto-Initiative, die im Frühjahr 1998 vom
Ministerium für Schule und Weiterbildung, Wissenschaft und Forschung
NRW (MSWWF) auf Anregung der Ruhr-Universität Bochum gestartet wurde,
von Petra Henseler (Leiterin des Dezernats für Internationale
Angelegenheiten, Forschungs- und Studierendenförderung der RUB), Dr.
Tomas Sander vom International Computer Science Institute (ICSI),
Berkeley, USA, und der Siemens AG in Essen.

Digitale Unterschriften benötigen besondere Schlüssel

Eine der zentralen Technologien für sichere elektronische
Datenübermittlung ist das digitale Signieren. Hierzu hält jeder
Benutzer einen "geheimen Schlüssel'', den nur er kennt, und einen
öffentlichen Schlüssel, den jeder kennen soll. Mit dem geheimen
Schlüssel kann der Benutzer elektronisch unterschreiben. Mit dem
öffentlichen Schlüssel kann jeder diese digitale Unterschrift
verifizieren. Damit dies funktioniert, müssen Benutzer und deren
öffentliche Schlüssel zuverlässig einander zugeordnet werden können.
Hierzu stellen Zertifizierungsinstanzen sogenannte Zertifikate aus,
auf denen bescheinigt wird, daß ein bestimmter öffentlicher Schlüssel
zu einem bestimmten Benutzernamen gehört. Das Zertifikat selbst ist
wieder ein elektronisches Dokument, unterschrieben mit dem geheimen
Schlüssel der Zertifizierungsinstanz. Dies (und mehr) soll von
Public-Key-Infrastrukturen geleistet werden.

Rechtliche Perspektiven

(Fern)Ziel ist es, digital signierte Dokumente gleichwertig zu
handschriftlichen Dokumenten zu behandeln, sowohl im geschäftlichen
und privaten Alltag als auch vor Gericht. Dafür bedarf es neuer
rechtlicher Regelungen. Dem 1997 in Deutschland verabschiedeten Gesetz
zur digitalen Signatur (SigG) steht nun ein Richtli-nien-entwurf der
Europäischen Kommission gegenüber, der die Rahmenbedingungen für
elektronische Signaturen festlegen soll. Nach einer politischen
Einigung im Europäischen Parlament und im Rat der Europäischen
Gemeinschaften könnte diese Richtlinie im Jahre 2001 für alle
Mitgliedsländer rechtswirksam werden. Doch Deutschland und die
Kommission gehen von verschiedenen Konzepten aus. Die Philosophie der
deutschen Gesetzgebung ist, mit einem hohen Sicherheitsstandard zu
beginnen - das betrifft sowohl die Technik der Verschlüsselung selbst,
als auch die Zertifizierungshierarchie. Sie soll zweistufig sein mit
einer nationalen Wurzel-Zertifizierungsstelle der Regulierungsbehörde
für Post und Telekommunikation als Dachorganisation und mit
untergeordneten privaten oder von öffentlicher Hand geführten
Zertifizierungsstellen. Digitale Unterschriften, die auf
geset-zeskonforme Weise erzeugt werden, genießen vor Gericht den
Vorteil der ,Rechtsvermutung', sicher zu sein. Dagegen werden im
Europäischen Entwurf keine expliziten Sicherheitskriterien
(Eingangsüberprüfungen) bei der Zertifizierung festgeschrieben, aber
Rechtswirkung und Haftung von Anfang an betont.

Harmonisierung versus Sicherheitsverlust?

Vorträge und Diskussion machten die unterschiedlichen Positionen der
Referenten zu beiden Regelungen deutlich. Der Europäische Entwurf
wurde als Versuch beschrieben, den Rahmen für  digitale Signaturen
technologieoffen und grenzüberschreitend zu harmonisieren. Als
Vertreter einer strikten Sicherheitspolitik erwiesen sich
Wissenschaftler und Behörden, während die Industrie einen
pragmatischen Ansatz favorisiert und eher relativ sichere, aber
kostengünstige Lösungen anstrebt, um im bereits harten internationalen
Wettbewerb um Internet-Märkte bestehen zu können.

PKI's - wer sie hat und wer sie aufbaut

Vertreter aus Industrie, Wirtschaft und Hochschulen stellten
verschiedene Konzepte und Lösungsansätze vor, PKIs aufzubauen. Dabei
reicht die Bandbreite vom sicheren (?) mobilen Endgerät, vorgestellt
von Prof. Dr. Andreas Pfitzmann, TU Dresden, mit eigener
Schlüsselgenerierung nach dem Motto "Man erzeugt und verwahrt  seine
Geheimnisse selbst" bis zu PKI's, die bereits intern eingesetzt werden
(z.B. Deutsche Bank und Siemens). Während die Deutsche Bank (Bernhard
Esslinger) 70 000 Mitarbeiter und Mitarbeiterinnen mit Smart Cards und
Readern versorgte und eine zunächst bankinterne PKI konzipierte, die
aber gleitend auch extern eingesetzt werden kann, berichtete Dr.
Heribert Peuckert, Siemens AG, München, vom "Trust Center im Hause
Siemens".  Es umfaßt Schlüsselgene-rie-rung, Zertifizierung und
Archivierung. Wenngleich das Trustcenter nach Erprobung im vergangenen
Jahr von Siemens nun weltweit eingesetzt wird, handelt es sich dennoch
um ein ,Siemens-internes' (geschlossenes) System und fällt damit nicht
unter das Signaturgesetz. Im Gegensatz zum Bundesamt für Sicherheit in
der Informationstechnik (BSI), vertreten durch Dr. Ansgar Heuser, das
für die Erfüllung aller Auflagen des SigG plädiert, favorisieren
Banken- und Industrievertreter eine kurzfristig realisierbare Lösung,
die nicht alle Sicherheitsbedingungen erfüllt. Das verbleibende Risiko
soll über Versicherungen abgedeckt werden.

Deutsche Kryptologieforschung: Heraus aus dem Schatten

Schließlich ging es auch um die Herausforderungen für Forschung und
Lehre im Zusammenhang mit dem Aufbau von PKI's.  Es genüge nicht, sich
mit den heute bekannten Verschlüsselungsverfahren zu begnügen, so
Prof. Dr. Johannes Buchmann, TU Darmstadt. Die Forschung müsse nach
Alternativen suchen, möglicherweise könne dies der Einsatz
elliptischer und hyperelliptischer Kurven sein. Der allgemeine Tenor
ging dahin, daß die Anstrengungen in Forschung und Lehre deutlich
gesteigert werden müssen, um die Erfordernisse der Gesellschaft im
Hinblick auf sichere elektronische Kommunikation in den kommenden
Jahren zu erfüllen. Deutschland hat ein hervorragendes Potential an
Know-how und Personen; die deutsche Sicherheitsforschung ist dennoch
zu national ausgerichtet und wird international nicht genügend
wahrgenommen.

Ein Kompetenzzentrum muß her

Die Mehrheit der Teilnehmer plädierte für die Einrichtung eines
international ausgerichteten Kompetenzzentrums für Sicherheit in der
Informationstechnik (IT), das die Zusammenarbeit von Kryptographie-
bzw. IT-Sicherheitsforschern aus verschiedenen Fachrichtungen
verbessern und die Aktivitäten auf dem Gebiet der Aus- und
Weiterbildung bündeln soll.

Weitere Informationen

Petra Henseler, Ruhr-Universität Bochum, Dezernat für internationale
Angelegenheiten, Forschungs- und Studierendenförderung, Tel.:
0234/700-3024, Fax: 0234/7094-684, E-Mail:
Petra.Henseler@ruhr-uni-bochum.de





RUB - RUB - RUB - RUB - RUB - RUB - RUB - RUB - RUB - RUB

Mit freundlichen Gruessen

Dr. Josef Koenig
RUB - Ruhr-Universitaet Bochum
- Pressestelle -
44780 Bochum
Tel: + 49 234 700-2830, -3930
Fax: + 49 234 7094-136
Josef.Koenig@ruhr-uni-bochum.de

Schauen Sie doch bei uns mal rein:
http://www.rz.ruhr-uni-bochum.de/pressestelle

RUB - RUB - RUB - RUB - RUB - RUB - RUB - RUB - RUB - RUB