Kryptografie und Authentifizierung/Mit Zertifizierung zum elektronischen "Personalausweis"

Trust-Center bilden die Basis für einen sicheren E-Commerce

10.07.1998

Daß niemand Dateien auf dem Weg zum Empfänger lesen oder manipulieren kann, dafür sorgen die im Internet mittlerweile natürlichen Verschlüsselungsverfahren, kombiniert mit Hash-Funktionen zu digitalen Signaturen. Allerdings bleibt damit immer noch offen, ob es sich bei dem jeweiligen Kommunikationspartner auch um die angegebene Person handelt. Das Netz ist diesbezüglich geduldig, Möglichkeiten zur Vortäuschung falscher Tatsachen gibt es viele: Das ist eigentlich noch das größte Problem beim E-Commerce. Soll tatsächlich relevanter Datenverkehr über das Internet stattfinden, muß man sich auf die Identität des Gegenübers verlassen können.

Grundlage ist das Signaturgesetz

Diese Aufgabe werden künftig Trust-Center übernehmen (vergleiche Seite 58). Sie stellen Zertifikate aus, die die Identität einer Person untrennbar mit seiner digitalen Signatur verknüpfen. Die Grundlage dafür hat das 1997 verabschiedete Digitale Signaturgesetz geschaffen. Jede Einrichtung, die die dort festgelegten Kriterien erfüllt, könnte theoretisch zum Trust-Center werden. Praktisch dürfte es darauf hinauslaufen, daß sich hauptsächlich unabhängige Dienstleister, Telekommunikationsanbieter, Internet-Provider und Banken den Markt der Vertrauenswürdigkeit teilen. Entsprechende Bemühungen sind bereits im Gange. So bauen beispielsweise die Bundesdruckerei und Debis in Berlin gemeinsam das Trust-Center D-Trust auf. Diese externen Dienstleister werden auch als Trusted Third Parties bezeichnet.

Gerade den Telekommunika- tionsunternehmen und Internet-Providern dürfte bei Verbreitung und Installation von Trust-Centern eine wichtige Rolle zukommen. Sie besitzen in der Regel schon wichtige Identitätsdaten von Personen und auch die Möglichkeit der Abrechnung, die etwa pro User oder pro Zertifikat denkbar ist. Denn Zertifikate konnen nicht nur für Personen, sondern auch für Rechner ausgestellt werden. Darüber hinaus lassen sich private Trust-Center realisieren, betrieben von Unternehmen für ihre Mitarbeiter, Kunden und Lieferanten. Grundsätzlich könnte sich hier ein interessanter Geschäftszweig ergeben, da die Gültigkeit der Zertifikate begrenzt ist und somit wiederkehrende Umsätze zu erwarten sind.

Als Vorreiter in Sachen Zertifikate läßt sich die US-Firma Verisign bezeichnen. Sie hat als öffentlicher Service unter anderem Web-Server zertifiziert, was auch von manchen Home-Banking-Lösungsanbietern in Anspruch genommen wurde. Die Authentifizierung von Anwendern anderer Länder sowie der Grad der Authentifizierung innerhalb der USA sollen jedoch nicht unproblematisch gewesen sein. Wie aus dem Internet zu erfahren war, hat Verisign sein Modell mittlerweile geändert.

Auch auf europäischer Ebene sind Trust-Center ein Thema. So realisiert Baltimore Technologies im Auftrag der Europäischen Union das Eurotrust-Projekt. "Dies ist ein paneuropäischer Trusted- Third-Party-Service, der Anwendern, basierend auf dem Produkt Unicert, aus kommerziellen Organisationen einen sicheren Web- und E-Mail-Verkehr ermöglicht", erläutert Frank Rooney, CEO von Baltimore Technologies.

Sicherheit soll den Kommunikationspartnern ein Zertifikat verschaffen, das die herkömmliche digitale Signatur um eine Art elektronischen Stempel von der Zertifizierungsstelle ergänzt. Da es plattformunabhängig beschrieben sein muß, hat sich das Standardisierungsgremium der International Telecommunications Union (ITU) der Sache angenommen. Mit dem X.509- und den erweiterten X.509-Version-3-Standard existieren hier Vorgaben, an die sich die Anbieter bislang in der Regel halten. Solche Zertifikate können die verschiedensten Informationen enthalten, etwa den Namen oder ein Pseudonym des Besitzers, seinen Beruf, seine Position innerhalb eines Unternehmens, Qualifizierungshinweise, Handlungsvollmachten, den Namen der Zertifizierungsstelle, deren öffentlichen Schlüssel und Angaben über die Gültigkeitsdauer des Zertifikats.

Auch die digitalen IDs basieren auf gängigen Public-Key-Verfahren, etwa von RSA. Es existiert immer ein Schlüsselpaar: ein öffentlicher und ein privater Schlüssel. Den privaten Schlüssel behält der Besitzer zum Codieren von Nachrichten, der öffentliche wiederum wird den Kommunikationspartnern übergeben und dient zum Entschlüsseln der Nachricht. Das Konzept besteht darin, daß allein der richtige öffentliche Schlüssel die Daten decodieren kann. Da man im elektronischen Datenverkehr nicht überprüfen kann, von wem die Informationen kommen, läßt sich nur annehmen, daß es sich um die gemeinte Person handelt. Sollen über das Internet rechtsverbindliche Geschäfte abgewickelt werden, also Zahlungen, Bestellungen etc. ist dies zuwenig.

Das Trust-Center garantiert nun, daß der öffentliche Schlüssel zu einer bestimmten Person gehört. Ihre Identität wird untrennbar mit dem elektronischen Ausweis verknüpft. Bei Kreditkartentransaktionen nach dem neuen SET-Standard (Standard dExchange et de Transfer) bilden Kartennummer und Inhaber eine Einheit. Auch die an das Zahlungsverfahren angeschlossenen Händler erhalten ein Zertifikat. Will ein Kunde etwas online bestellen, werden beider Zertifikate geprüft. So ist die Identität der Beteiligten nachvollziehbar, der Mißbrauch wird wesentlich erschwert, wenn nicht verhindert. Es gibt Zertifikate für die Internet-Dienste World Wide Web und E-Mail.

Trust-Center haben vielfältige Aufgaben: die Schlüsselgenerierung, Zertifizierung, Registrierung sowie einen Zeitstempel- und Verzeichnisdienst. Kernfunktion ist die Ausgabe der Zertifikate. Dieser Bereich wird auch als Certification Authority (CA) bezeichnet. CA-Systeme bieten Schnittstellen zu Zufallsgeneratoren, mit denen die Schlüsselpaare erzeugt werden. Schwache Schlüssel, etwa mit einigen Nullen am Anfang, sollte das System erkennen und aussortieren. Aber auch eigene digitale Signaturen können zertifiziert werden. Den privaten Schlüssel erhält der Inhaber des Zertifikats auf einer Smart Card oder Diskette. Der öffentliche wird über das Internet bereitgestellt und mit einem Zertifikat versehen.

Voraussetzung, um ein solches zu erhalten, ist jedoch eine zweifelsfreie Identität. Denn nun verlagert sich das Problem der Identitätsprüfung vom Internet-Benutzer auf die Trust-Center. Die betreiben dafür Registration Authorities, die diese Aufgabe entweder auf elektronischem Weg oder persönlich (Vier-Augen-Prinzip) erledigen. Letzteres bietet unbestritten die größere Sicherheit.

Deshalb hat sich mit der hybriden Authentifizierung ein neues Infrastrukturmodell entwickelt. Dabei wird eine Komponente der Zertifizierungsstelle, die Registrierung, etwa von den Sicherheitsabteilungen einer Organisation übernommen. Sie sind auf sicherem Weg mit einer Certification Authority eines Dienstleisters oder der Firmenzentrale verbunden, die dann die entsprechenden Zertifikate erstellt. Aber auch externe Trust-Center können dezentrale Registrierungsstellen aufbauen, etwa die bereits erwähnten TK-Anbieter, Internet-Provider oder Banken. Der ganze Vorgang läuft softwaregestützt ab.

Dabei handelt es sich meist um integrierte Systeme wie "Unicert", "Entrust" oder "GTE Cybertrust", die Funktionen für die Registrierung und die Ausgabe der Zertifikate sowie Schnittstellen etwa zu X.500-Directories bieten. Neben der Möglichkeit einer dezentralen Registrierung sollten die entsprechenden CA-Lösungen auch verschiedene Arten der Antragstellung unterstützen. Beispielsweise lassen sich auch PINs von Kreditkarten dafür verwenden. So können Banken oder Unternehmen Benutzern Zertifikate aufgrund früherer Personenfeststellungen aushändigen.

Eine Behörde, die Trust-Center zertifiziert

Die Ausgabe von Zertifikaten ist ein Punkt. Nicht weniger wichtig ist ihre Verwaltung. Sie wird über ein jedermann zugängliches Verzeichnis bereitgestellt. Auch hier hat sich mit X.500 bereits ein geprüfter Standard durchgesetzt. Das Zertifikat-Management darf nicht vernachlässigt werden. Dazu gehören Widerrufs- und Ungültigkeitslisten, wie sie sich etwa mit Unicert erzeugen lassen. Aus Sicherheitsgründen bleiben Zertifikate nur sechs, zwölf oder längstens 24 Monate gültig. Diese Information muß ein Kommunikationspartner im Verzeichnis finden. Das Versehen von Nachrichten mit Zeitstempeln und die Möglichkeiten des Key Recovery sind ebenfalls Aufgaben, denen sich das Trust-Center stellen muß.

Uneinnehmbare Trutzburgen

Die Verantwortung für die Sicherheit im E-Commerce verlagert sich so voll auf die Trust-Center. Sie müssen also uneinnehmbare Trutzburgen sein. Das beginnt bei der Gebäudesicherheit, geht über die Zugangskontrolle bis hin zur sicheren Interprozeßkommunikation der einzelnen Komponenten eines CA-Systems. Bei der Gebäudesicherheit gelten mindestens die gleichen Anforderungen wie für wichtige Rechenzentren. Für die Zugangskontrolle bieten sich Technologien wie Smart Cards an. Die Interoperabilität der Systemmodule ist durch den Standard PKIX der Internet Engineering Task Force (IETF) geregelt, der auch die sogenannte Cross-Certification, also die Zertifizierung über verschiedene CAs hinweg, ermöglicht.

Aber auch der Organisation des Schlüssel-Handling etc. gebührt besondere Aufmerksamkeit. So sollte der private Schlüssel nach Aushändigung an einen Benutzer gelöscht werden. Der Aufbau eines sicheren Trust-Centers ist ein heikles Thema - eines, dessen sich auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn angenommen hat, das eine Projektgruppe Digitale Signatur betreibt.

Die Zertifizierungsstellen starten nicht auf der grünen Wiese. Die Basis ist zum Teil schon vorhanden. Browser wie Internet Explorer und Communicator beziehungsweise Navigator unterstützen die Technologien für eine zertifikatbasierende Zugriffskontrolle und Identitätsprüfung wie Secure Socket Layer (SSL), S/Mime, SET. Einiges ist allerdings noch ungeklärt. So gestalten sich die Zeitstempel als problematisch. Doch das Thema ist wichtig und für manche Transaktionen unverzichtbar. Daß sich die Systemzeit von Computern leicht manipulieren läßt, ist allseits bekannt. Deshalb muß es eine Stelle geben, die eine definitive Zeit festlegt. Denkbar sind hier Lösungen, die etwa die Atomuhr für den Zeitstempel verwenden. Ein weiteres Thema ist die Key Recovery, also die Wiederherstellung von Schlüsseln. Auch das ist ein politisches Thema.

Und schließlich bleibt die Frage: Wer traut den Trust-Centern? Hier ist die Bundesregierung bereits dabei, eine Behörde zu schaffen, die Trust-Center zertifiziert. Es handelt sich dabei um die Nachfolgeorganisation des Bundesministeriums für Post und Telekommunikation. Angedacht ist, daß sie beispielsweise den Trust-Centern Schlüsselpaare aushändigt, die wiederum deren Identität zweifelsfrei feststellen und in die digitalen IDs mit einfließen. Nimmt diese Behörde ihren Dienst auf, dürfte die rechtsverbindliche elektronische Unterschrift ihren Siegeszug antreten.

ANGEKLICKT

E-Commerce braucht rechtsverbindliche Unterschriften. Digitale IDs könnten sich dafür eignen. Wichtig ist dabei allerdings, daß die Identität des Nutzers eindeutig feststeht. Hier kommen die Trust-Center ins Spiel. Ihnen könnte künftig die Aufgabe als eine Art elektronische Paßbehörde zufallen - inklusive der Verantwortung für die Gültigkeit der elektronischen Unterschriften.

Robert Wislsperger ist Sicherheitsspezialist der Articon Information Systems AG in Ismaning bei München.