Politische Restriktionen gefährden den internationalen Web-Handel

Kryptografie bringt sensible Daten unter Verschluß

17.04.1998

Ohne zuverlässige Verschlüsselungstechniken hat der noch junge E-Commerce-Markt kaum eine Chance, sich erfolgreich zu entwickeln. Kryptografische Verfahren wandeln elektronische Informationen in sinnlose Zeichenfolgen um. Nur der Inhaber eines geeigneten Schlüssels kann die Daten wieder entschlüsseln und lesen.

Alle Hersteller von E-Commerce-Lösungen versehen ihre Produkte deshalb mit Codierfunktionen.Allerdings dürfen nicht alle Anbieter ihre Erzeugnisse auch weltweit exportieren.Beispielsweise können US-amerikanische Firmen Verschlüsselungstechnik nur dann ohne Auflagen nach Deutschland ausführen, wenn sie mit relativ leicht zu knackenden 40-Bit-Schlüsseln arbeiten.

Beim Export von Kryptotechnik mit 40 bis 56 Bit langen Keys verlangt die US-Regierung vom Hersteller, daß er innerhalb von zwei Jahren ein sogenanntes "Key Recovery" (Schlüssel-Wiedergewinnung) einführt.Auf diese Weise halten sich US-Sicherheitsbehörden die Möglichkeit offen, zum Zweck der Strafverfolgung verschlüsselte Daten einzusehen.Technisch wird dies über einen digitalen Nachschlüssel realisiert, den die Hersteller bei einer von den Behörden autorisierten Instanz hinterlegen müssen.Will eine US-Firma Verschlüsselungstechnik exportieren, die mit mehr als 56 Bit arbeitet, muß der Anbieter sogar bereits vor der Ausfuhr Vorkehrungen für ein Key Recovery treffen.

Unter diesen Auflagen erhielt jüngst Hewlett-Packard die Genehmigung, sein Kryptografie-Framework "Versecure" in fünf Ländern zu vertreiben, nämlich Deutschland, Dänemark, Frankreich, Großbritannien und Australien.Mit HPs Sicherheitsarchitektur können Anbieter weltweit Sicherheitsprodukte entwickeln.Da es sich dabei nicht um ein geschlossenes System handelt, sind die Firmen in der Lage, die jeweiligen nationalen Kryptografie-Vorschriften zu berücksichtigen.Die Verschlüsselungstechnik selbst muß aber von HP bezogen werden und unterliegt den Exportregelungen der USA.Experten bezeichnen daher diese Lösung als ein Toolkit zum Realisieren von Key Recovery.

Zwar wäre es technisch machbar, in Europa entwickelte Verschlüsselungstechnik mit amerikanischen Erzeugnissen einzu- setzen, doch auch hier greifen die US-Ausfuhrbestimmungen.

"Wenn wir in unseren Produkten beispielsweise das in der Schweiz entwickelte Kryptoverfahren "International Data Encryption Algorithm" (IDEA) einsetzen, müssen wir den Anordnungen des Bureau of Export Administration folgen", erklärt Mohan Da Silva, Geschäftsführer der deutschen Niederlassung der US-Firma Internet Smartware in Aachen.

Allerdings brauchen Kunden von Internet Smartware die entsprechenden Nachschlüssel weder beim US-Geheimdienst noch bei einer unabhängigen dritten Instanz zu hinterlegen.Der Hersteller hat gerade ein Pilotprojekt bei einer deutschen Bank für ein "Trusted-First-Party"-Verfahren gestartet.Dabei sorgt das Anwenderunternehmen selbst für die Schlüsselhinterlegung.Doch ob der Markt wirklich akzeptiert, daß eigentlich geheimzuhalten- de Daten unter Umständen doch gelesen werden können, ist fraglich.

Relativ unbehelligt von den Klauen der US-Geheimdienste bleiben Finanztransaktionen.Der Grund: Verfahren wie "Secure Electronic Transaction" (SET) lassen sich nicht manipulieren.Außerdem lassen sich mit diesem Verfahren nur Kreditkarteninformationen übertragen.So erhielt die IBM für ihre Implementierung des SET-Protokolls inklusive Verschlüsselung eine Exportfreigabe.Die Software "SET 1.0" wird in einem Pilotprojekt der IBM und der Commerzbank eingesetzt.Partner des Versuchs sind die "Electronic Mall Bodensee" http://www.emb.net sowie Karstadts Internet Shopping Mall "My-World" http://www.my-world.de .

Mit SET bezahlt der Kunde per Kreditkarte, die er zuvor für den Gebrauch im Internet registrieren lassen muß.Über ein Einmal-Paßwort erteilt das Kreditkartenunternehmen dann ein Echtheitszertifikat.Diese Bescheinigung stellt das elektronische Äquivalent seiner Plastikkarte dar.Außerdem benötigt der User eine "Wallet" (elektronische Geldbörse) für seinen Web-Browser.Im Zuge einer Online-Bestellung werden lediglich die Kreditkartennummer, die Gültigkeitsdauer sowie der Geldbetrag übertragen.

Bei der Nachrichtenübermittlung gemäß SET werden die Informationen zunächst mit symmetrischen 56-Bit-Schlüsseln nach dem Data Encryption Standard (DES) codiert.Anschließend wird der öffentliche Schlüssel (Public Key) des Empfängers an die Nachricht angehängt.Die Übermittlung der Schlüssel zwischen zwei Parteien erfolgt dann in einem digitalen Umschlag mit Hilfe eines asymmetrischen RSA-Verfahrens.Der Empfänger kann den DES-Key schließlich mit seinem eigenen Schlüssel dechiffrieren.Die 1024-Bit-Codierung des RSA-Verfahrens entspricht einem DES-Algorithmus, der mit 70 bis 80 Bit arbeitet.Das ist zwar besser als 40 Bit, allerdings noch weit entfernt von den 128 Bit, die Krypto-Experten als wirklich sicher ansehen.

Wer unabhängig von der amerikanischen Sicherheitspolitik seine Daten zuverlässig verschlüsseln will, hat nur eine Möglichkeit: eine außerhalb der USA entwickelte Krypto-Lösung einzusetzen.Der deutsche Hersteller von Sicherheitsprodukten Brokat aus Stuttgart beispielsweise implementierte in seine Produkte Codierverfahren mit 128 Bit langen Schlüsseln.Das Unternehmen realisiert Internet-Banking-Lösungen für Kreditinstitute in Europa und den USA.Deren Kunden laden das "Xpresso Banking Applet", ein Java-Programm, in ihren Browser und wickeln ihre Geldgeschäfte in einem geschützten Dialog ab. Eine ähnliche Lösung, "Xpay", sichert den Zahlungsverkehr im E-Commerce-Bereich.Beispielsweise realisierte Telecash, ein Anbieter von Internet-Zahlungssystemen, gemeinsam mit Brokat "Motorrad Online", einen Internet-Shop des Stuttgarter Motorpresse Verlags.

Die Europa-Niederlassung von Network Associates Inc. hat unterdessen der US-Regierung ein Schnippchen geschlagen, indem sie ihre 128-Bit-Verschlüsselungssoftware "PGP" auf Basis der frei verfügbaren Textversion des Quellcodes von einer Schweizer Firma für den hiesigen Markt neu zusammenbasteln läßt (siehe CW Nr. 13 vom 27.März 1998, Seite 4).

Sichere Verschlüsselungsverfahren sind längst keine Domäne der USA mehr - das beweisen Anbieter von Kryptografie-Produkten wie Utimaco aus Oberursel, die Aachener Kryptokom GmbH, Hisolutions aus Berlin oder Biodata, das auf der Burg Lichtenfels im Eder-Bergland zu Hause ist.Im Gegenteil gräbt die Clinton-Regierung der eigenen Software-Industrie in diesem Bereich selbst das Wasser ab.

Die restriktive Exportpolitik der USA schadet nicht nur den betroffenen Unternehmen, sie behindert zudem die dynamische Entwicklung von Sicherheitslösungen im Electronic Commerce und verhindert die Erarbeitung internationaler Standards für sichere Web-Transaktionen.Auf diese Weise wird dem Internet-Handel ein Bärendienst erwiesen.Europäische Anbieter von Verschlüsselungs- und Transaktionsprodukten sollten die Knebelung der US-Industrie allerdings auch als Chance begreifen, eigene Märkte zu erschließen.