Größe: px
Ab Seite anzeigen:

Download ""

Transkript

1 Universität Leipzi Fakultät für Mathematik und Informatik Institut für Informatik Fraunhofer Institut für Graphische Datenverarbeitun Darmstadt Entwicklun eines Systems zur dezentralen Online-Ticketerstellun und -kontrolle Diplomarbeit Leipzi, November 1998 vorelet von Sven Türpe

2 2

3 Vorwort If you can't explain it in plain Enlish, you probably don't understand it yourself. Richard Feynman Formeln werden Sie in dieser Arbeit nur wenie nden, Sätze und Beweise überhaupt nicht. Den Durst des Lesers nach eheimnisvollen, stren formalen Zeichenfolen sollen statt dessen Quelltexte im Anhan stillen. Warum? Ich habe keine aufreenden neuen Alorithmen esucht und efunden, sondern vorhandene zusammenesetzt. Die Aufabe umfaÿt die Implementierun eines Prototypen. Die Quelltexte sind einfach da. Wo sonst sollte man sie festhalten als auf bedrucktem Papier? Papier ist nach wie vor der einzie zuleich handliche und haltbare Datenträer. Es erfordert keine besondere Dekodiervorschrift und ist selbst ohne Strom bei Kerzenschein noch lesbar. Proramme werden nicht nur für den Compiler eschrieben. Prorammiersprachen sind die formalen Ausdrucksmittel des Informatikers. Zum Schreiben ehört das Lesen. Nur wer wieder und wieder liest, kann selbst zum Autor werden. Ich habe viel aus anderer Leute Quelltext elernt. Des Prorammierens muÿ man sich nicht schämen. Geleentlich tree ich auf Informatiker, die von einer eientümlichen Phobie befallen sind. Sie zieren sich, Prorammtext anzufassen, als sei das etwas Schmutzies. Allenfalls bei leerer Kasse quälen sie sich mit Editoren und Compilern, aber eientlich haben sie das nicht nöti. Der Informatiker prorammiere nicht, meinen sie, denn dafür habe er Knechte. Hoentlich ibt es keine Mediziner mit ähnlicher Einstellun zu ihrem Fach. Und schlieÿlich eht es in der Arbeit vor allem um Sicherheit. Sie lässt sich nur dann in Formalitäten pressen, wenn man sie in einer idealen Welt betrachtet, in der Menschen nicht vorkommen. Zwar spielt sich Kryptoraphie in der Literatur oft zwischen Alice und Bob ab, doch im richtien Leben ist Bob ein freundlicher Geldautomat, Alice seine Kundin und Bösewicht Mallory ein Handtaschenräuber, der Alice beim Eintippen ihrer Geheimnummer über die Schulter schaut. Und schon ist das Konto leer, trotz M = D K (E K (M )). Um am Ende den Boen zum einleitenden Zitat zu spannen: plain Enlish oder, wie hier, nacktes Deutsch, ist nicht nur Mittel zur Selbstkontrolle, sondern auch eine Picht, die ern vernachlässit wird. Was möen Eltern denken, die als Erebnis eines Vierteljahrhunderts des Durchfütterns nichts als scheinbar sinnlose Zeichenfolen sehen? 3

4 4

5 Inhalt Vorwort 2 1 Worum es eht Reality Check Eine dramatische Problembeschreibun und eine wenier dramatische Anforderunen Notwendie Eienschaften Wünschenswerte Eienschaften Nice to have Abrechnunskontrolle der Filmverleiher Verwandte Probleme Elektronisches Geld Vorausbezahlter Strom Elektronische Briefmarken Telefonkarten Ansätze Beteilite und ihre Rollen Ein naiver Vorschla Eine Kontrollstation Mehrere Kontrollstationen Nachtedanken Parameter Binär oder Text? Zusammenfassun Sicherheit Authentikation Der Betrüer Symmetrische Verschlüsselun Codes zur Nachrichtenauthentikation Diitale Sinaturen Schlüsselverwaltun Reality Check II Unsichere EC-Karten Knapp daneben ist auch vorbei

6 Inhalt Geleenheit macht Diebe Wer hat den Schaden? Schluÿfolerunen Kryptoraphie Umebun Internet-Sicherheit Plattform Träer Die Kandidaten Disketten & Co Papier Manetstreifenkarten Chipkarten Strichkode Der Aztec-Kode Überblick Nachrichtenkodierun Fehlerkorrektur Graphik Implementierun Nachrichtenkodierun Fehlerkorrektur Graphik Weiterverarbeitun CGI-Proramm Wie kommt das Symbol zum Käufer? Experimente Implementierun Werkzeue DBM SSLeay Sicherheitsschicht Protokollmodule Schlüsselverwaltun Zufallszahlen Datenstrukturen Nachrichtenschicht Parameter Nachrichtenformate Gültikeitskontrolle Billettnummern Anwendunproramme

7 Inhalt Verkauf Kontrolle Schlüsselverwaltun Beispieltickets Und nun? Da kann man nichts tun Was fehlt Fehler und Verbesserunsmölichkeiten Ein Nebeneekt Weitere Anwendunen Schluÿwort A Quelltexte der Sicherheitsschicht 117 A.1 seclayer2h A.2 seclayer2c A.3 idea2c B Quelltexte der Nachrichtenschicht 133 B.1 mslayer2h B.2 mslayer2c C Zur beiefüten Diskette 145 Zusammenfassun 147 Literatur und andere Quellen 149 Erklärun 156 7

8 Inhalt 8

9 1 Worum es eht Anforderunsprol Was das ist bzw. sein könnte, erklärt unnachahmlich die Frankfurter Rundschau in ihrer Beilae Wer will was werden: Das Anforderunsprol eines Berufes besteht aus mehreren Einzelmerkmalen. Diese sind untereinander nicht starr, sondern recht exibel. Manche können sich eenseiti ersetzen oder ausleichen (Kompensation). So ist fehlende Farbsicherheit teilweise durch loisches Denken ausleichbar (Bei der Verkehrsampel ist Rot immer unten!) (Eckhard Henscheid: Dummdeutsch) 1.1 Reality Check Eintrittskarten Eine Eintrittskarte des Kabaretts Leipzier Pfeermühle berechtit zum Besuch einer bestimmten Vorstellun. Dafür sind Datum, Uhrzeit und Veranstaltunsort festelet. Für jeden Besucher ist ein Sitzplatz reserviert; Reihe und Platznummer werden auf der Karte aneeben. Die einzelnen Plätze sind unterschiedlichen Preisstufen zueordnet. Beim Einlaÿ zur Veranstaltun werden die Karten kontrolliert und durch Abreiÿen eines vorbereiteten Abschnittes entwertet. Studenten und andere mutmaÿlich Mittellose können een Vorlae eines Aussweises ermäÿite Eintrittskarten erwerben. Genauso verhält es sich bei einer Eintrittskarte zu einem Konzert im Gewandhaus zu Leipzi. Hier ilt die Karte jedoch zusätzlich vor und nach dem Konzert als Fahrschein in öentlichen Verkehrsmitteln. Zum jährlich stattndenden Chaos Communication Conress ibt es Taes- und Dauerkarten. Sie werden mit einem Photo des Besuchers personalisiert und müssen am Einan vorezeit sowie während des esamten Besuchs sichtbar etraen werden. Fahrscheine im Nahverkehr Eine Monatskarte der Leipzier Verkehrsbetriebe berechtit den Inhaber, beliebi viele Fahrten innerhalb eines eoraphischen Gebietes zu unternehmen. Dazu kann er alle Verkehrsmittel der LVB nutzen. Die Karte besteht aus zwei Teilen, einem Kundenpaÿ und der eientlichen Fahrkarte. Der Kundenpaÿ bestimmt das Gebiet, in dem die Karte ülti ist. Er enthält auÿerdem Namen und Adresse des Inhabers sowie eine Nummer. Der Kundenpaÿ wird kostenlos und ohne Formalitäten ausestellt; er ist kostenlos und ohne Zeitberenzun ülti. Die Karte ist an Automaten und in Verkaufsstellen erhältlich. Sie ilt vom Tae der ersten Benutzun an bis zum Monatsende. Zur ersten Benutzun muÿ die Fahrkarte durch einen Stempelaufdruck entwertet werden. Entwerter benden sich in allen Fahrzeuen der LVB; sie werden ohnehin für Einzelfahrscheine benötit. Der Inhaber trät vor der ersten 9

10 1 Worum es eht Abb. 1.1: Eintrittskarte Benutzun seine Kundenpaÿ-Nummer in ein Feld der Fahrkarte ein. So wird die Karte an den Kundenpaÿ und damit an den Inhaber ebunden, sie kann also nicht nacheinander von mehreren Personen verwendet werden. Im Geensatz dazu kann die MobiCard des Verkehrsverbundes Groÿraum Nürnber nacheinander von mehreren Personen benutzt werden. Sie ilt 7 oder 31 Tae von einem beliebien Datum an, das beim Kauf festelet und aufedruckt wird. Bahnfahrkarten Eine Fahrkarte für eine Fahrt von Leipzi nach Darmstadt ilt vier Tae lan. Der erste Geltunsta wird beim Kauf festelet. Innerhalb dieser vier Tae kann der Reisende die Fahrt beliebi oft unterbrechen. Bestimmte Umwee sind erlaubt. So ist beispielsweise die Fahrt über HalleSaale mölich. Intercity-Züe kann der Reisende nur benutzen, wenn er zum Fahrschein eine Zuschlakarte elöst hat. Für ICE-Züe ilt ein besonderer Fahrpreis. Beim Kauf des Fahrscheins wird festelet, auf welchen Teilstrecken diese Züe benutzt werden können. Ein Fahrschein mit ICE-Berechtiun für eine beliebi kurze Teilstrecke kann auf der esamten Strecke ohne Zuschla in Intercity- Züen benutzt werden. Fahrscheine werden für die erste oder für die zweite Waenklasse ausestellt. Mit einer Fahrkarte für die zweite Klasse dürfen die Waen der ersten Klasse nicht benutzt werden. Eine Sitzplatzreservierun ehört nicht zum Fahrschein, kann aber zusätzlich ekauft werden. Der Preis dafür ermäÿit sich, wenn die Reservierun zusammen mit dem Fahrkartenkauf vorenommen wird. Inhaber einer Bahncard können Fahrscheine, nicht jedoch Zuschlakarten und Reservierunen, zum halben Preis erwerben. Im Zu muÿ 10

11 1.2 Eine dramatische Problembeschreibun... Abb. 1.2: Fahrkarte dann neben dem Fahrschein auch die Bahncard vorezeit werden. Fahrkarten sind an Bahnhöfen und in Reisebüros erhältlich, sie können jedoch auch im Zu erworben werden. Ebenso een Zahlun des Aufpreises Fahrscheine verändert werden, zum Beispiel für eine Verlänerun der Fahrstrecke oder zum Überan von der zweiten in die erste Klasse. Die Fahrscheine sind nicht übertrabar, es ibt jedoch keine Mölichkeit, nach einer Fahrtunterbrechun festzustellen, ob sie noch von derselben Person benutzt werden wie vorher. Das ist aber auch nicht nöti, denn jede Teilstrecke kann trotzdem nur einmal von einer Person befahren werden. Die Fahrscheine werden in jedem Zu einmal oder mehrfach kontrolliert und durch einen Stempelabdruck entwertet. Hat ein Fahrast seine Karte nicht oder nur teilweise enutzt, kann er sich das zuviel ezahlte Geld erstatten lassen. Allemein Ein Ticket ist ein Gutschein für eine vorausbezahlte Leistun. Ein Kunde schlieÿt mit dem Anbieter einen Vertra und erfüllt seine Picht aus diesem Vertra die Bezahlun sofort. Im Geenzu erhält er zunächst nur eine Zusicherun des Anbieters, daÿ jener seine Verpichtunen zu einem späteren Zeitpunkt ebenfalls erfüllen werde. Als Nachweis bekommt der Kunde eine Eintritts- oder Fahrkarte. Sie kann er später een die Leistun einlösen, aber nur unter ewissen Randbedinunen, zum Beispiel zu einer bestimmten Zeit an einem bestimmten Ort. Das funktioniert prächti, wie ein jeder im Allta wieder und wieder erfahren kann. Tickets sind kein Thema für eine Diplomarbeit, möchte man meinen. 1.2 Eine dramatische Problembeschreibun... Nur einen kleinen Schönheitsfehler ibt es und der soll behoben werden. Fahr- oder Eintrittskarten können für die Kunden eine recht unbequeme Aneleenheit sein. 11

12 1 Worum es eht Man kann sie rechtzeiti vorher kaufen. Dazu setzt man sich in sein Auto, staut sich eine Dreiviertelstunde durch die Stadt zur Verkaufsstelle, kauft, und staut sich eine weitere Dreiviertelstunde zurück. Dann hat man sein Ticket in der Tasche, drei Liter Benzin wenier im Tank, zwei neue Beulen im Blech und die Gewiÿheit, in ein paar Taen Post vom Ordnunsamt zu bekommen, weil kein lealer Parkplatz zu nden war. Nie wieder. Beim nächsten Mal möchte man es besser machen. Vorverkauf ist ein Anebot, das man nutzen kann, aber nicht muÿ. Man hat sich also für die abendliche Theatervorstellun fein anezoen und fährt zum Veranstaltunsort. Dort wird man vom Ende einer läneren Schlane Wartender empfanen. Schnell anestellt! Lansam, aber steti kommt man der Kasse näher. Die Füÿe tun ein weni weh in den neuen Schuhen, aber was ist das schon im Verleich zu den Vorverkaufsstrapazen. Auÿerdem ist man leich dran und dann kann man sich setzen. Denkste. Nur noch zwei Kunden stehen vor einem, als die Kassiererin das Schild Ausverkauft aufhänt. Ein dritter Versuch. Diesmal soll es ins Kino ehen. Die Eintrittskarten hat man telefonisch vorbestellt. Jetzt kann nichts mehr schiefehen. Frohen Mutes läuft man also zur Straÿenbahn. Während man dort noch mit dem Fahrkartenautomaten kämpft, sieht man im Auenwinkel erst die Scheinwerfer und später die Rücklichter der ankommenden und weiterfahrenden Bahn. Einfach hineinsprinen konnte man nicht, denn seit diese Automaten an jeder Haltestelle stehen, verkauft der Fahrer keine Fahrscheine mehr. 1 Die nächste Bahn kommt zwanzi Minuten später. Aber das reicht erade noch, um rechtzeiti zur Vorstellun anzukommen. Wirklich? Nein, denn vorbestellte Karten sind spätestens eine halbe Stunde vor Beinn der Werbun abzuholen. Wurde nicht schon vor fünfzehn Jahren [Bie84, Bre85] eine wunderschöne neue Konsumwelt anekündit, in der man einfach von zu Hause aus einkaufen kann? Zu Hause steht inzwischen ein Computer mit Internetzuan, am Arbeitsplatz sowieso. Elektronisches Geld zum Einkaufen im Netz hat man auch. Wie schön wäre es doch, könnte man seine Tickets im Netz nicht nur bestellen und bezahlen, sondern auch leich eliefert bekommen, ohne herumfahren oder zeitier als rechtzeiti am Veranstaltunsort sein zu müssen und eine wenier dramatische Gesucht werden Mölichkeiten, Tickets zu diitalisieren, um sie ihrem Käufer unmittelbar während des Verkaufsvoranes im Netz übermitteln zu können. Der Käufer muÿ das erworbene Ticket auf einem physischen Träer speichern und diesen zur später Kontrolle etwa am Einan oder im Zu vorleen können. Das brint zwei rundleende Probleme mit sich. Zum einen wird ein eeineter Datenträer benötit. Zum anderen ist der Käufer a priori nicht vertrauenswürdi und diitale Daten, die ihm übermittelt werden, ohne Qualitätsverlust beliebi oft kopierbar. Zunächst soll die Aufabe noch respektvoll in ehörier Entfernun umrundet und dabei aus verschiedenen Blickwinkeln betrachtet werden. 1 In Darmstadt ist das seit einien Monaten tatsächlich so. 12

13 und eine wenier dramatische Wertrepräsentation Als Gutschein repräsentiert eine Fahr- oder Eintrittskarte einen nanziellen Wert, nämlich ihren Kaufpreis. Der Besitzer oder, in manchen Fällen, eine namentlich festelete Person kann sie een eine Leistun in diesem Wert eintauschen. Diese Mölichkeit ist jedoch an eine Reihe von Bedinunen eknüpft. Ein Fahrschein ilt nur auf bestimmten Strecken und in bestimmten Verkehrsmitteln. Eine Kinokarte kann nur für die Vorstellun verwendet werden, für die sie ekauft wurde. Die Gültikeit hänt von Parametern ab. Anders als Geld sind Tickets keine allemeinen Zahlunsmittel. Sie können nicht zur Beleichun einer beliebien Schuld verwendet werden. Die Einlösun een die bezahlte Leistun ist nur an festeleten Stellen mölich, in der Reel bei derjenien Einrichtun, von der oder in deren Auftra sie verkauft werden. Ein Ticket ist nur lokal ülti. Wenn der Verkäufer das unterstützt, können unbenutzte Tickets jedoch auch wieder in Geld umetauscht werden. Der Wert einer Eintritts- oder Fahrkarte entspricht enau dem Wert der Leistun, für die sie ekauft wurde (und die durch die Parameter näher bestimmt wird). Es ist deshalb nicht nöti, diesen Wert in kleinere Einheiten aufzuteilen und mehrere solche Einheiten zu einem anderen Wert zusammenzufüen. Tickets sind in der Reel nicht teilbar, und sollen es auch nicht sein. Die Einlösun kann jedoch in mehreren Etappen erfolen. So darf etwa eine Bahnfahrt unterbrochen und später fortesetzt werden. Genau wie (Bar-)Geld sind Tickets meist anonym und vor der Benutzun beliebi übertrabar. Geleentlich ist aber auch ausdrücklich die Bindun an eine Person ewünscht. Das kommt vor allem bei Zeitkarten vor, die innerhalb eines läneren Zeitraumes beliebi oft, aber nur von einer Person benutzt werden dürfen, zum Beispiel bei Monatskarten im Nahverkehr. Ermäÿite Tickets sind zwar nicht unbedint an eine Person ebunden, aber an eine Eienschaft des Benutzers, etwa den Besitz einer Bahncard 2 oder die Eienschaft, Student zu sein. Da eine Fahrkarte oder Eintrittskarte einen Wert repräsentiert, darf sie nicht leicht kopierbar sein. Sonst könnte sie jeder mit weni Aufwand vervielfältien und so aus dem Nichts Werte erschaen. Zu uter Letzt ist der Wert eines Tickets nicht beständi. Im Geenteil, oft ist von Anfan an ein Verfallsdatum festelet. Eisenbahnfahrkarten besitzen einen aufedruckten Geltunszeitraum; Eintrittskarten für eine Veranstaltun werden spätestens mit dem Ende dieser Veranstaltun wertlos und Fahrscheine für den Nahverkehr elten höchstens bis zur nächsten Preiserhöhun, auch wenn der Zeitpunkt dafür noch ar nicht bekannt ist. Nachrichtenübermittlun Ein Ticket kann als Nachricht betrachtet werden. Sender ist die Verkaufsstelle. Sie erzeut ein Objekt, das, in natürlicher Sprache auseschrieben, zum Beispiel den folenden Inhalt haben könnte: Für die Vorführun des Films Akte X Der Film am 12. September 1998 um 20:15 Uhr im Kino Hollywood hat jemand den Eintrittspreis für einen 2 Für Automobilisten: Das ist ein Halbpreispaÿ der Deutschen Bahn AG. 13

14 1 Worum es eht Platz in Reihe 5-7 bezahlt. Wer auch immer diese Eintrittskarte kurz vor diesem Zeitpunkt am aneebenen Ort vorlet, ist hereinzulassen. Empfäner ist die Kontrollstelle am Einan oder der Kontrolleur im Zu. Anhand der Nachricht müssen sie entscheiden, ob ein Besucher zum Betreten des Veranstaltunsortes und ein Fahrast zur Nutzun eines Verkehrsmittels berechtit ist oder nicht. Als Transportkanal für die Nachricht wird ein physischer Träer enutzt, den der Kunde von der Verkaufs- zur Kontrollstelle transportiert. Das ist nahelieend, denn der Kunde let diesen We ohnehin zurück und die Nachricht bezieht sich auf ihn und niemanden sonst. In der Reel ist die Nachricht so kodiert, dass sie von einem Menschen leicht und schnell erfaÿt werden kann. Vereinzelt sind aber auch Systeme im Einsatz, die den menschlichen Einlasser ersetzen sollen. In diesem Falle wird die Nachricht maschinenlesbar espeichert. Ein solches System benutzt zum Beispiel die Leipzier Messe auf dem neuen Messeelände. Die Eintrittskarten enthalten dort einen Manetstreifen, auf dem Daten espeichert sind. Am Einan ndet der Besucher Drehkreuze vor, die ihm den We versperren. Dort steckt er seine Karte in ein eheimnisvolles Kästchen, worauf das Drehkreuz ihm und nur ihm den We freiibt. Die Sicht auf die Nachrichtenübermittlun ist in etwa die des Veranstalters. Er benötit am Einan oder im Fahrzeu Informationen, um eine Entscheidun fällen zu können. Das Ticket als Nachricht liefert ihm diese Informationen. Authentizierun Von der Nachrichtenübermittlun ist es nur ein kleiner Schritt zur Authentizierun. Sie ist aus Sicht des Kunden bedeutsam, der eine Leistun bereits bezahlt hat und nun in Anspruch nehmen möchte. Dazu muÿ er die Bezahlun nachweisen. Sein Ticket ermölicht ihm diesen Nachweis. Voraussetzun dafür ist, daÿ Tickets nur durch ordnunsemäÿen Kauf erworben werden können. Der Besitz einer Eintritts- oder Fahrkarte zeit zweifelsfrei, daÿ zumindest irend jemand diese Karte ekauft und bezahlt hat. Das muÿ nicht derjenie sein, der sie vorlet; sie könnte beispielsweise auch dem rechtmäÿien Besitzer estohlen worden sein. In diesem Fall hat jener einfach Pech. Sein Nachweis ist we und er kann nicht ins Kino. Dem Veranstalter kann das leichülti sein, solane er nur die Sicherheit hat, daÿ zu jedem voreleten Ticket ein Verkaufsvoran stattefunden und Geld in seine Kasse ebracht hat. Sobald sich jemand ohne Kauf in den Besitz scheinbar ültier Tickets brinen kann, funktioniert das nicht mehr. Der Besitz einer Eintrittskarte ist dann nicht mehr exklusiv denen vorbehalten, die eine bezahlt haben. Damit wird dieser Besitz zum Nachweis der Bezahlun uneeinet. Die Authentikation erfolt anonym. Der Kunde möchte nicht seine Identität nachweisen, sondern ledilich die Tatsache, daÿ er zu einem früheren Zeitpunkt eine bestimmte Handlun, eben den Kauf, vollzoen hat. 14

15 1.4 Anforderunen 1.4 Anforderunen Nun ist es an der Zeit, das Ziel konkret zu beschreiben und Forderunen an die esuchten Verfahren aufzuzählen. Zunächst seien einie Voraussetzunen enannt. Zwei Parteien sind am Verkauf und der Benutzun von Tickets beteilit, der Anbieter, bei dem die Tickets später auch wieder einelöst werden, und der Kunde, der sie kauft. Der Verkauf durch Dritte erscheint im Zusammenhan mit dem Internet weni sinnvoll und soll daher nicht berücksichtit werden. Vorausesetzt wird auf der Anbieterseite ein System zur Verkaufsdurchführun im Netz sowie die Bereitschaft, neue Prozeduren und neue Technik für die Ticketkontrolle einzuführen. Das Verkaufssystem muÿ sich nicht am Veranstaltunsort benden, es kann bei einem Internet-Dienstanbieter unterebracht sein. Der Kunde möe über eine beliebie EDV-Anlae mit Internet-Anschluÿ und einem halbwes aktuellen Web-Browser verfüen. Die Anlae muÿ nicht seine eiene sein. Es kann sich auch um ein Gerät am Arbeitsplatz oder in einem Internet-Café handeln. Eine bestimmte Hard- oder Softwareplattform wird nicht verlant. Forderunen an die esuchten Verfahren sollen in drei Klassen eineteilt werden: Notwendi, wünschenswert und nice to have. 3 Kann ein Verfahren eine der notwendien Forderunen nicht erfüllen, ist es unbrauchbar. Auf wünschenswerte Eienschaften kann notfalls verzichtet werden, wenn es dafür ute Gründe ibt. Sie sind jedoch ausdrücklich als Entwurfsziele enannt und müssen ebührend berücksichtit werden. Der Klasse nice to have schlieÿlich werden Forderunen zueordnet, die keine röÿere Bedeutun haben und die etrost unerfüllt bleiben können, wenn sich nicht im Laufe des Entwurfs eine Lösun anbietet. Zudem sollten derlei Eienschaften nicht nachträlich implementiert werden. Das führt allzu leicht zu creepin featurism, 4 dem Problem der schleichenden Einführun von immer mehr Features, die eine Software röÿer, aber nicht unbedint besser machen. Auÿerhalb dieser drei Kateorien werden noch Reeln aufeführt, nach denen Kinobetreiber mit Filmverleihern abrechnen. Sie sind nicht Gottes Gesetz und lassen sich zweifellos an neue Techniken anpassen, weshalb sie hier nur erwähnt werden sollen Notwendie Eienschaften Eintrittskarten zu Veranstaltunen und Fahrkarten sollen im Internet verkauft werden. Dort soll neben dem Verkaufsvoran diese Problem ist im Grunde elöst insbesondere auch die Distribution erfolen. Der Rechner des Käufers sowie die Datenübertraun zwischen diesem und dem Verkaufssystem ist dabei nicht vertrauenswürdi, das heiÿt 3 Die Frae nach Übersetzunen im Bekanntenkreis erbrachte zwei Vorschläe: Bonus-Funktionen und sinnlose Funktionen Describes a systematic tendency to load more chrome and features onto systems at the expense of whatever eleance they may have possessed when oriinally desined. (... ) 2. More enerally, the tendency for anythin complicated to become even more complicated because people keep sayin Gee, it would be even better if it had this feature too. The result is usually a patchwork because it rew one ad-hoc step at a time, rather than bein planned. [Ray96, Ray98] 15

16 1 Worum es eht die übermittelten Daten können vom Käufer sowie von Dritten manipuliert und kopiert werden. Betrussicherheit Zu den wichtisten Entwurfszielen ehört deshalb die Betrussicherheit. Der Kunde oder Dritte dürfen nicht in der Lae sein, sich durch einfache Manipulationen unberechtit in den Besitz von Werten zu brinen. Andererseits muÿ auch der Kunde ausreichend vor Betru eschützt sein, sonst wird er seine Tickets weiter auf herkömmliche Weise erwerben. Prüfun und Unterscheidbarkeit Der Veranstalter muÿ die verkauften Fahr- oder Eintrittskarten auf Echtheit und Gültikeit prüfen können. Werden Eintrittskarten für verschiedene Veranstaltunen, Fahrkarten für unterschiedliche Strecken oder auf andere Weise Tickets mit unterschiedlichem Geltunsbereich verkauft, so muÿ eindeuti feststellbar sein, welches Ticket wofür ilt. Der Anbieter muÿ eiene Tickets von denen anderer Anbieter unterscheiden können. Entwertun Es muÿ mölich sein, benutzte Tickets zu entwerten. Dabei ist die Kopierbarkeit diitaler Daten zu berücksichtien. Weiterhin muÿ die Mölichkeit bestehen, Tickets mit dem Ablauf einer ewählten Frist automatisch unülti werden zu lassen, ohne daÿ sie dem Veranstalter vorelet werden. Reservierun Eintrittskarten reservieren häu leichzeiti einen Sitzplatz. Das sollen sie auch tun, wenn sie im Netz ekauft werden. Anonymität Herkömmliche Fahr- und Eintrittskarten sind bis auf wenie Ausnahmen anonym. Niemand kann feststellen, wer wann welches Ticket ekauft hat. Bei nicht anonymen Tickets bleibt immerhin noch die automatisierte Erfassun der Käufer und Benutzer unmölich, so daÿ nicht im roÿen Stil Nutzerprole verfertit werden können. Es ibt keinen Grund, daran etwas zu ändern. Dieser Punkt verdient besondere Beachtun, da bei der Benutzun von Computern und Netzdiensten leicht personenbezoene Daten in roÿem Umfan anfallen, wenn man sich nicht ausdrücklich um Vermeidun bemüht. Fallen Daten erst einmal an, wird sie auch jemand speichern und verwenden wollen. Zieht man die Mölichkeit böswillien Miÿbrauchs in Betracht, helfen daeen auch keine Gesetze (die zudem ständiem Wandel unterlieen). Bereits der Systementwurf sollte deshalb jede unnötie Speicherun und Verarbeitun personenbezoener Daten vermeiden. Robustheit und Zuverlässikeit Der Benutzer eines herkömmlichen Tickets kann nicht viel falsch machen. Das Billett kann verloren ehen, in der Waschmaschine landen oder zu Hause veressen werden. Wenn der Kunde es aber zum richtien Zeitpunkt unewaschen mit sich führt, kann er sich sicher sein, daÿ es akzeptiert wird. Selbst ein beschädites Ticket wird unter Umständen noch anerkannt. Eine kleine Portion Sorfalt enüt, um den Verlust von Werten zu vermeiden. Das darf sich nicht ändern, wenn 16

17 1.4 Anforderunen das Ticket online ekauft wird. Dem Käufer darf kein Verlust (oder jedenfalls kein höheres Verlustrisiko als bisher) entstehen, wenn er nur die leiche kleine Portion Sorfalt aufwendet. Der Anbieter andererseits muÿ unter allen Umständen in der Lae sein, vorelete Fahr- oder Eintrittskarten zu prüfen. Ist ihm das aus irendwelchen Gründen nicht mölich, bleibt ihm nur die Wahl, entweder alle Kunden die bereits bezahlt haben! abzuweisen oder aber jeden ohne Kontrolle einzulassen. Letzteres ist im Falle einer einmalien kurzzeitien Störun vertretbar, bietet bei häuem Auftreten jedoch eine Betrusmölichkeit. Benutzbarkeit und Eronomie Auf Kundenseite darf der Ticketkauf im Netz keine besonderen Handlunen erfordern, die weit über die Auswahl der ewünschten Karten und einie Mausklicks zum Bezahlen hinausehen. Insbesondere ist es nicht zumutbar, vor dem Kauf besondere Software zu installieren, die dann vielleicht noch von Anbieter zu Anbieter wechselt. Auch darf keine besondere Anstrenun nöti sein, die ekaufte Bitfole auf einen physischen Träer zu bannen und darauf zum Einsatzort zu transportieren. Beim Anbieter ist vor allem der Kontrolle Aufmerksamkeit zu widmen. Der Verkauf erfolt ja automatisiert durch einen Computer, so daÿ dabei keine allzu roÿen Probleme zu erwarten sind. Die Kontrolle aber muÿ schnell und einfach erfolen; sie darf keine lanwierien und fehlerträchtien Prozeduren erfordern. Am Einan eines Kinos wird die Eintrittskarte kurz aneschaut und der Abriÿabschnitt entfernt. Der Schaner im Zu liest kurz die Anaben der Fahrkarte und benutzt seine Stempelzane zum Entwerten. Das darf nicht komplizierter werden Wünschenswerte Eienschaften Unabhänikeit vom Datenträer Ein eeineter Träer, auf dem die online ekauften Tickets bis zur Benutzun espeichert und dann zur Kontrolle vorelet werden, ist noch nicht bestimmt. Falls dabei mehrere Mölichkeiten in Betracht kommen, sollte jede von ihnen prinzipiell einsetzbar sein. Oine-Betrieb Datenkommunikation ist nach wie vor teuer und auÿerdem störanfälli. Das ilt erst recht, wenn als einzier Übertraunswe Funkverbindunen zur Verfüun stehen, etwa in fahrenden Züen oder an unewöhnlichen Veranstaltunsorten. Die Ticketkontrolle sollte deshalb oine mölich sein, das heiÿt ohne Kommunikationsverbindun zur Verkaufsstelle oder woandershin. Das ist auch im stationären Einsatz wichti. Allenfalls roÿe Veranstalter sind in der Lae, das Verkaufssystem selbst zu betreiben. Alle anderen werden dafür die Dienste eines Internet-Providers in Anspruch nehmen und deshalb keinen ständien Zuri auf das Verkaufssystem haben. Geen eleentlichen kurzen Datenaustausch, zum Beispiel mittels einer ISDN-Wählleitun, ist nichts einzuwenden. 17

18 1 Worum es eht Personalisierbarkeit Wie die einführenden Beispiele (Seite 9) zeien, möchte man zuweilen ein Ticket an bestimmten Nutzer binden. Nur diese Person darf es dann benutzen. Das sollte auch für online verkaufte Fahr- und Eintrittskarten mölich sein. HTML und HTTP, sonst nichts Java ist in. Jeder will es, jeder nutzt es. Scheinbar. Applets kosten Zeit und Geld, und zwar die Zeit und das Geld des Nutzers. Sie zu übertraen dauert und ihre Ausführun auf dem Rechner ruft auch selten einen Geschwindikeitsrausch hervor. Zudem ist nach wie vor nicht für jeden Browser und jedes Betriebssystem eine brauchbare Java-Implementierun vorhanden. So kann beispielsweise der recht beliebte Browser Opera der norweischen Firma Opera Software AS keine Applets ausführen. Gerade dieses Produkt bietet aber besondere Unterstützun für Behinderte Benutzer. [Ope98] Nach Mölichkeit sollte der Ticketverkauf deshalb nicht nur ohne besondere, vom Käufer zu installierende Software, sondern auch ohne Java-Applets auf Kundenseite auskommen Nice to have Mehrfachtickets Unter den Beispielen in Abschnitt 1.1 ndet sich eines, in dem die Eintrittskarte zur einer Veranstaltun leichzeiti Fahrschein für den We zum und vom Veranstaltunsort ist. Das ist eine ute Idee, bereitet aber bereits jetzt absehbare Probleme. Im aneführten Beispiel müsste das Nahverkersunternehmen dieselben Kontrollprozeduren ausführen können wie der Konzertveranstalter. Praktisch liefe das darauf hinaus, daÿ beide zur leichen Zeit den elektronischen Ticketverkauf einführen müssen, wenn sie diesen Service anbieten möchten. Eine Karte für mehrere Personen Wenn man im Internet eine Bitfole kaufen kann, mit der man später ins Kino kommt, warum sollte man dann nicht auch eine kaufen können, die der anzen Familie den Besuch ermölicht? Fünfmal den leichen Kaufvoran zu vollziehen ist eine lanweilie Aneleenheit und ohnehin möchte man ja auch fünf zusammenhänende Plätze buchen. Wiederherstellun Im Laufe des Verkaufsvoranes erhält der Kunde irendwann eine Bitfole, die das Gekaufte darstellt. Sie wird bis zur Verwendun auf einem transportablen Träer abelet. Daÿ sich beliebi viele Kopien dieser Bitfole herstellen lassen, ist nicht nur ein Problem hinsichtlich der Betrussicherheit, sondern bietet auch die Mölichkeit, beschädite Träer zu ersetzen und erneut mit der ekauften Bitfole zu versehen. Im Verlustfall wird das nicht funktionieren, wenn das System betrussicher ist und ein anderer das verlorene Billett ndet und benutzt, doch een versehentliche Beschädiun ist man so ewappnet. Wenn das Verfahren also die einfache Herstellun von Sicherheitskopien erlaubt, kann dies dem Käufer ausdrücklich aneboten werden. 18

19 1.5 Verwandte Probleme Rückabe und Erstattun Veranstalter können ihren Kunden den Kaufpreis für unbenutzte Tickets erstatten. Das tut beispielsweise die Deutsche Bahn AG für ihre Fahrkarten. Es währe anenehm, lete der Online-Handel dem keine Steine in den We Abrechnunskontrolle der Filmverleiher Die folenden Ausführunen orientieren sich an einem Text über die Abrechnunskontrolle des Verbandes der Verleiher e.v. [WFN] Kinobetreiber erhalten die Filme zur Vorführun von einem Verleih. Welchen Betra sie dafür jeweils an den Verleiher zu entrichten haben, hänt von der Zahl der Vorführunen und der Besucher ab. Sie müssen follich mit dem Verleih abrechnen; diese Abrechnun wird vom Verband der Verleiher in Stichproben überprüft. Die Abrechnun erfolt taeweise. Für jeden Film und jeden Spielta sind neben Datum und Spielort die Vorstellunszeiten, die Besucherzahlen und die Bruttoeinnahmen anzueben. Damit Abrechnunskontrollen überhaupt mölich sind, müssen die verkauften Eintrittskarten fortlaufend numeriert sein (mindestens von 1 bis ; für Loenplätze mindestens 1 bis ) sowie einie festelete Merkmale aufweisen. Eine ordnunsemäÿe Kinokarte besteht aus einem Stammabschnitt und dem Abriÿteil. Der Stammabschnitt enthält den Namen des Kinos, den Ort, die Platzkateorie, die Firmenanschrift der Druckerei, die Kartennummer sowie ein Sieel der Spitzenoranisation der Filmwirtschaft (SPIO). Der Abriÿteil muÿ ebenfalls die Kartennummer und ein Sieel der SPIO enthalten. Weiterhin ist der Aufdruck Abriÿ, als Eintrittsausweis unülti efordert. Zusätzlich zur Abrechnun führt der Kinobetreiber einen Taeskassenrapport, der zehn Jahre aufbewahrt und eebenenfalls kontrolliert wird. Dort werden tälich zu jedem Filmtitel die Uhrzeiten, zu denen der Film aufeführt worden ist sowie der Verkauf der Eintrittskarten notiert. Der Verkauf wird nach Platzruppen, Nummern, Stückzahlen und Einnahmebeträen speziziert. Zur Abrechnunskontrolle kauft ein Kontrolleur inconito eine Eintrittskarte. Er besucht die Vorstellun und zählt dort die Zuschauer. Danach meldet er die Zuschauerzahl und die Nummer seiner Eintrittskarte an den entsprechenden Verleih. Ist in der Abrechnun des Kinos die Kartennummer vermerkt und die Zuschauerzahl korrekt aneeben, ibt es nichts zu beanstanden. Tauchen hineen Unstimmikeiten auf, muÿ der Kinobetreiber mit einer Revision rechnen, bei der sämtliche Unterlaen überprüft werden. 1.5 Verwandte Probleme Elektronisches Geld Bereits lane vor dem aktuellen Internet-Hype beschäftiten sich Kryptoloen mit der Frae, ob und wie sich Geld diitalisieren läÿt. Ideales diitales Geld hat sechs Eienschaften: [OkOh91, Schn96] Unabhänikeit von physischen Orten, Transferierbarkeit über Datennetze 19

20 1 Worum es eht Sicherheit een Kopieren und Wiederverwendun Schutz der Privatsphäre des Benutzers Oine-Fähikeit, d.h. Bezahlen ohne Netzanschluÿ Transferierbarkeit zwischen den Nutzern Teilbarkeit der diitalen Geldeinheiten Tatsächlich einesetzte Systeme bieten jeweils nur eine Auswahl daraus. Rivest stellt ar Thesen zur Diskussion, nach denen solch ein ideales System ar nicht notwendi sei und sich nicht durchsetzen werde. [Riv97] So sei etwa die Übertrabarkeit zwischen den Nutzern verzichtbar, wenn von überall problemlos eine Datenverbindun zur Bank aufebaut werden könne. Auf einie der enannten Eienschaften kann man allerdins unter keinen Umständen verzichten. In jedem Falle ist Betrussicherheit notwendi; ein Zahlunssystem, das jedem die Herstellun beliebier Geldmenen erlaubt, ist keins. Wünschenswert ist der Schutz der Privatsphäre, denn Konsumentenprole, die ar nicht erst entstehen, kann auch niemand nutzen. Die Mölichkeit, ohne Zahlunen ohne Netzverbindun zu einer Bank abzuwickeln, ist für Zahlunssysteme im richtien Leben interessant, für den Handel im Internet hineen oensichtlich unnöti. An einer diitalen Zahlun sind mindestens drei Parteien beteilit: Eine Bank, ein Händler und ein Kunde. Der Kunde besitzt anfans Geld auf einem Konto, das während des Verkaufsvoranes auf irendeine Weise auf ein Konto des Händlers übertraen werden muÿ. Die Bank soll dabei nichts über die Einkaufsewohnheiten des Kunden erfahren und dem Händler soll der Kunde seine Identität nicht oenbaren müssen, jedenfalls nicht solane er ehrlich ist. Derzeit sind im wesentlichen vier Konzepte für elektronische Geldübertraunen bekannt. [FuWr96] Am einfachsten sind Systeme auf der Basis von Überweisunen. Sie nutzen im wesentlichen eine schon läner existierende Mölichkeit des Geldtransfers. Für Zahlunen im Internet muÿ der Kunde ledilich in der Lae sein, seiner Bank über das Netz einen Überweisunsauftra zu erteilen. Ist das auf ausreichend sichere Weise mölich, steht der Zahlun nichts im Wee. Dabei erfährt die Bank jedoch - enau wie bei herkömmlichen Überweisunen - enau, wann der Kunde wem welchen Betra zahlt. Auch eenüber dem Händler bleibt der Kunde nicht anonym. Auch scheckbasierte Systeme (zu dieser Klasse ehören auch solche für Kreditkartenzahlunen) beruhen auf einem bereits seit lanem benutzen Prinzip, das den Bedürfnissen der diitalen Konsumwelt anepaÿt wird. Der Kunde überibt dem Händler einen Schuldschein. An die Stelle der Unterschrift tritt eine diitale Sinatur; die Bank arantiert die Deckun bis zu einem ewissen Höchstbetra. Der Händler reicht den Scheck bei seiner Bank ein. Die schreibt seinem Konto den entsprechenden Betra ut. Genau wie bei den Überweisunssystemen bleibt die Privatspäre des Kunden praktisch uneschützt. Münzsysteme orientieren sich am Bareld, bilden es aber nicht vollständi nach. Der Kunde besort sich von der Bank eine elektronische Münze. Das ist ein Datensatz, der 20

21 1.5 Verwandte Probleme einen ewissen Wert repräsentiert und im dem Computer des Kunden oder auf einer Chipkarte espeichert werden kann. Die Bank bucht den entsprechenden Betra vom Konto des Kunden ab. Beim Kauf überibt der Kunde dem Händler eine oder mehrere diitale Münzen im ewünschten Wert. Der Händler reicht diese bei seiner Bank ein und erhält ihren Wert auf seinem Konto uteschrieben. Diese Verfahren bieten elektronisches Geld im eneren Sinne. Eine Münze muÿ nicht an den Kunden ebunden sein, so daÿ jener eenüber dem Händler anonym bleiben und die Bank aus den rücklaufenden Münzen keine Schlüsse auf Einkäufe des Kunden ziehen kann. Die vierte Klasse schlieÿlich bilden Zahlunssysteme mit einem sicheren Zähler. Sie benötien manipulationssichere Hardware, die zwar im Besitz des Kunden ist, von ihm aber nicht anders als voresehen benutzt werden kann. Dieser Ansatz wird in Abschnitt esondert behandelt. Ein Problem, das alle Verfahren zu lösen haben, eribt sich aus der einfachen Kopierbarkeit diitaler Daten. Es ist zu verhindern, daÿ Werte vervielfältit und für mehrere Zahlunen einesetzt werden. Dafür ibt es im wesentlichen vier Ansätze. Nichtanonyme Verfahren, die sich an herkömmlichen Zahlunsmethoden orientieren, machen Betru mit (eienem) Geld einfach dadurch unmölich, daÿ die Identität des Zahlenden bekannt ist. Online-Verfahren erfordern beim Bezahlen Kommunikation mit einer Bank, die die mehrfache Verwendun von Werteinheiten durch Ableich mit einer Datenbank sofort erkennt. Anonyme Oine-Verfahren schlieÿlich arbeiten entweder mit manipulationssicheren Geräten beim Bezahlenden oder mit kryptoraphischen Protokollen, die die Identität von Betrüern oenbaren, ehrliche Nutzer aber anonym bleiben lassen. [FuWr96, Schn96, Wai88, Bra98] Vorausbezahlter Strom Wasser, Strom und Gas kommen hierzulande aus der Wand. Bezahlt wird später. Den Verbrauch ermitteln Zähler, die vor Manipulationen eschützt sind und reelmäÿi abelesen werden. Anhand der abelesenen Werte stellt das Versorunsunternehmen eine Rechnun, die vom Kunden bezahlt wird. Oder auch nicht. Kann oder will ein Kunde nicht zahlen, so bleibt ledilich die Mölichkeit, ihn von der weiteren Versorun auszuschlieÿen, damit der Schaden nicht noch röÿer wird (und um Druck auf ihn auszuüben). Eine andere Mölichkeit, beispielsweise Elektrizität zu verkaufen, sind Systeme mit Vorauszahlun. Der Kunde zahlt zunächst und erhält dafür das Recht, dem Netz die bezahlte Enerie zu entnehmen. Ist der ezahlte Betra verbraucht, wird die Versorun vom Zähler unterbrochen. Dazu könnte man Münzautomaten benutzen, aber sie zu leeren wäre ebenso aufwendi wie Zählerablesunen. Zudem provozierte das Vorhandensein von Geld Anrie auf Technik und Personal. Die Zähler sollen deshalb nicht selbst Geld einnehmen, sondern ledilich darüber informiert werden, wieviel Strom der Kunde dem Netz entnehmen darf. Anderson und Bezuidenhoudt haben die Einführun eines derartien Systems in Südafrika untersucht. [AnBe96] Schwerpunkt der Betrachtun sind die Probleme, die im Praxiseinsatz in puncto Sicherheit und Zuverlässikeit aufetreten sind. Die Kunden erwerben in einer Verkaufsstelle einen diitalen Gutschein. Das ist letzt- 21

22 1 Worum es eht lich nichts als eine Zahl, die der Zähler als Anweisun interpretiert. Zur Übermittlun an den Zähler wird diese Zahl in einem handlichen EEPROM-Gerät, einer Chipkarte oder auf einer Manetstreifenkarte espeichert oder aber einfach vom Kunden über eine Tastatur eineeben. Die Sicherheitsanforderunen sind leicht zu erkennen. Die elektronischen Gutscheine dürfen nicht fälschbar sein und nicht mehrfach verwendbar, sei es in einem Zähler oder in mehreren verschiedenen. Sie müssen also entweder manipulationssicher oder jeweils einmali sein. Als Problem erweist sich dabei der Informationsuÿ zwischen Verkaufssystem und Zähler. er kann nur in einer Richtun erfolen, denn dafür stehen als Kanal ledilich die elektronischen Gutscheine zur Verfüun. Eine Rückfrae oder ar umfanreiche Interaktion, wie sie in vielen kryptoraphischen Protokollen auftritt, ist nicht mölich. Die Lösun ist dennoch einfach. Jeder Zähler erhält eine eindeutie Nummer. Verkaufsstelle und Zähler sind auÿerdem im Besitz eines emeinsamen eheimen Schlüssels. Er kann auf der Verkäuferseite aus der Zählernummer und einem Händlerschlüssel abeleitet werden. Der Verkäufer benutzt den emeinsamen Schlüssel, um Anweisunen zum Beispiel: Erhöhe den Zähler für die bezahlten Kilowattstunden um den Wert 10 an den Zähler zu verschlüsseln. Sie sind dann nur für das Gerät lesbar, für das sie verschlüsselt wurden. Der Zähler selbst sort dafür, daÿ ihm ein und derselbe Gutschein nicht mehrfach aneboten werden kann. Die kryptoraphische Sicherun wird durch weitere Sicherheitsfunktionen eränzt, unter anderem durch Methoden zum Wechsel von Schlüsseln und zur Betruserkennun. Das beschriebene Verfahren erwies sich als taulich. Gleichwohl zeiten sich bei der Einführun Sicherheitsprobleme. Ursache waren meist Details im Desin und der Implementierun der einzelnen Geräte. Sie wurden von den Kunden zufälli entdeckt und ausenutzt. Mit länerem Einsatz traten weitere Probleme zu Tae. Neben Funktionsfehlern der Technik ehörten dazu Schwierikeiten im Verhalten der Kunden einie meldeten einen Defekt, wenn der ezahlte Betra verbraucht war und im Systembetrieb, beispielsweise beim Verleich von verbrauchten und verkauften Menen zur Betruserkennun Elektronische Briefmarken Die amerikanische Post (U.S. Postal Service) testet seit Ende März 1998 ein System der Firma E-Stamp 5, das den Verkauf von Briefporto über das Internet ermölichen soll [USPS98]. Der USA-weite Einsatz ist noch für dieses Jahr eplant. Postkunden, die das Verfahren nutzen wollen, müssen zunächst eine besondere Software erwerben, die derzeit nur für Betriebssysteme der Windows-Familie aneboten wird. Zusammen mit der Software wird ein manipulationssicheres Gerät eliefert, das an den PC des Nutzers anzuschlieÿen ist. Dieses Gerät speichert Informationen über bezahltes und verbrauchtes Porto. Es kann über das WWW-Anebot der Firma E-Stamp mit bis zu 500 Dollar aufeladen werden. Gezahlt wird mit Kreditkarte, Abbuchun vom Konto oder im Voraus mit einem Scheck

23 1.5 Verwandte Probleme Abb. 1.3: Maschinenlesbare Briefmarke. Quelle: [USPS98] Der espeicherte Betra kann nun verwendet werden, um Briefe zu frankieren. Die Software erzeut dazu mit Hilfe des Sicherheitserätes ein Etikett, das direkt auf einen Briefumschla edruckt werden kann. Es besteht im wesentlichen aus einem PDF417- Barcode, der maschinell elesen werden kann. Darin sind alle Daten kodiert, die zur Prüfun der Echtheit benötit werden, unter anderem: [ESta98] der Portobetra das Erzeuunsdatum die Seriennummer des Sicherheitserätes die Adressen von Absender und Empfäner Weiter ist eine diitale Sinatur enthalten, die Veränderunen erkennbar macht und verhindert, daÿ elektronische Briefmarken ohne Mitwirkun des Sicherheitserätes erzeut werden. Einzelheiten und Kontrollverfahren sind in [TYH96] beschrieben. Ausanspunkt der Entwicklun war nicht die Briefmarke, sondern Frankiermaschinen und die Betrusfälle, die im Zusammenhan damit auftreten. Neben der Fälschun von Wertzeichen muÿ anesichts der leichten Kopierbarkeit auch die mehrfache Verwendun verhindert werden oder wenistens erkennbar sein. Dafür soren die Parameter, die im maschinenlesbaren Symbol kodiert sind. Anhand der Seriennummer des Sicherheitserätes ist im Betrusfall die Quelle ermittelbar. Die Anaben über Absender und Empfäner erlauben die Benutzun von Kopien allenfalls für 23

24 1 Worum es eht Sendunen, die vom leichen Absender zum leichen Empfäner eschickt werden. Das Erzeuunsdatum ermölicht die Berenzun des Gültikeitszeitraumes. Um Betru zu erschweren, müssen nicht alle Briefe überprüft werden. Bereits die Kontrolle von Stichproben kann das Entdeckunsrisiko für Betrüer so weit erhöhen, daÿ sich der Betru nicht lohnt Telefonkarten Seit Ende der achtzier Jahre wurden viele Münzfernsprecher in der Bundesrepublik und in anderen Ländern durch Kartentelefone ersetzt. Die verbrauchten Telefonebühren werden bei diesen Geräten von einer Chipkarte abebucht. Es handelt sich um ein Zahlunssystem mit sicherem Zähler, das bereits in Abschnitt erwähnt wurde. Die Vorteile für den Anbieter lieen auf der Hand. Im Geensatz zu Münzfernsprechern enthält ein Kartentelefon kein Geld und bietet damit wenier Anreiz zu Vandalismus. Der Kunde hat eher Nachteile, denn er ibt der Telefonesellschaft beim Kartenkauf praktisch einen zinslosen Kredit und muÿ, will er jedes öentliche Telefon benutzen können, zwei verschiedene Zahlunsmittel mit sich herumtraen. Der Chip auf der Karte enthält einen Zähler, dessen Wert bei einer neuen Karte dem Kaufpreis entspricht. Wird die Karte benutzt, verrinert das Telefon den Wert des Zählers um den zu zahlenden Betra. Sobald der esamte Kaufpreis verbraucht ist, wird die Karte wertlos [FRW98]. Der Zähler der Karte kann nicht nur von Telefonapparaten verändert werden, sondern von jedem, der über einen Computer mit Chipkartenschnittstelle verfüt. Die Schaltun des Chips sort jedoch dafür, daÿ Veränderunen nur in einer Richtun mölich sind. Der Wert des Zählers läÿt sich nur verrinern. Das enüt zum Schutz vor Betru, denn wer den Wert seiner Telefonkarte eienmächti verrinert, füt nur sich selbst Schaden zu. Lane haben die Telefonkarten der Deutschen Telekom Anrien widerstanden. Aber Betrüer sind hartnäcki und so elan es schliÿlich doch, einen lane nur theoretisch diskutierten Anri auf das System umzusetzen. Er ist ebenso einfach wie das Funktionsrinzip der Karte: Man hält sich nicht mit Manipulationsversuchen an ekauften KarteTelefonkarte auf, sondern stellt einfach seine eienen her. Das vertraut darauf, daÿ die Kartenloik Manipulationen verhindert. Diese Bedinun wird von Kartensimulatoren verletzt und es ist keine Mölichkeit voresehen, die Echtheit der verwendeten Telefonkarten im Apparat zu prüfen. Die Umsetzun des Anris ist allerdins immer noch recht kompliziert und lohnt sich für den normalen Telefonierer kaum. 24

25 2 Ansätze Ideenproduktion Ramschvokabel aus der Nebelwelt der Zeitunsredaktionen, Werbeaenturen und PR-Gaunereien. Zentrum der Ideenproduktion ist das Brainstormin, wo alle Mann hoch beieinandersitzen und von Platons wie von Heels Idealismus aber trotzdem keine Ahnun haben. Gott sei Dank. (Eckhard Henscheid: Dummdeutsch) Der Vorbereitunen sind nun enu etan und die Arbeit kann beinnen. Zunächst soll eine ideale Welt anenommen werden, in der alles eht, was theoretisch mölich ist. Am Ende des Kapitels werden wir wissen, welche Konzepte unter welchen Voraussetzunen einsetzbar sind. Ob diese Voraussetzunen in der Realität erfüllbar sind, wird später untersucht. 2.1 Beteilite und ihre Rollen Die folenden Beriserklärunen stellen keine Denitionen im mathematischen Sinn dar. Das ist Absicht, denn die Entwicklun einer Theorie der Kinokasse ist nicht Thema dieser Arbeit. Veranstalter Der Veranstalter bietet een Entelt Leistunen an. Kunden, die eine Leistun in Anspruch nehmen möchten, müssen im Voraus zahlen und erhalten dafür ein Ticket. Der Veranstalter betreibt also eine Verkaufsstelle. Die Verkaufsstelle ist der Ort, an dem Tickets erzeut werden. Sie liet im Einuÿbereich des Veranstalters. Die Interaktion der Verkaufsstelle mit der Auÿenwelt, das heiÿt mit jedem anderen als dem Veranstalter, beschränkt sich auf Verkaufsvoräne. Da die Verkaufsstelle in unserem Fall ein Computer ist, soll sie auch als Verkaufssystem bezeichnet werden. Verkaufsvoran heiÿ der Prozeÿ, in dessen Verlauf ein Ticket erzeut und an den Kunden übereben wird. Er soll über das Internet erfolen. Die Existenz eeineter Zahlunsverfahren wird vorausesetzt. Während des Verkaufsvoranes können zwischen dem Rechner des Käufers und dem Verkaufssystem in beiden Richtunen mehrfach Daten ausetauscht werden. Das Verkaufssystem kann dabei Daten speichern. Am Ende der Verkaufsprozedur besitzt der Käufer das Billett, das ihm vom Verkaufssystem übermittelt wurde. 25

26 2 Ansätze Das Ticket kann nur eine Bitfole sein, denn nichts anderes kann das Netz übertraen. Sie wird auf einem leicht zu transportierenden Datenträer espeichert, etwa einer Chipkarte oder einem Stück Papier. Nach einem eeineten Träer werden wir später suchen. Er wird in jedem Falle maschinenlesbar sein. Aktive Träer, zum Beispiel Chipkarten, können darüber hinaus Berechnunen ausführen, während ein passiver Träer ledilich einmal mit Daten efüllt und danach nur noch elesen werden kann. Der Veranstalter tritt noch in einer zweiten Rolle auf. Er betreibt eine oder mehrere Kontrollstationen, zum Beispiel an Veranstaltunsorten oder in Fahrzeuen. Eine Kontrollstation prüft Tickets auf Echtheit und Gültikeit. Fallen beide Prüfunen positiv aus, wird die entsprechende Leistun ewährt. Andernfalls wird der Überbriner des Tickets abewiesen. Eine Kontrollstation kann mehrere Kontrollpunkte umfassen, zum Beispiel mehrere Einäne zum Veranstaltunsort, und verfüt über einen lokalen Speicher. Echt und ülti? Ticket Ticket eine Kontrollstation mehrere Kontrollstationen Abb. 2.1: Kontrollstationen und Kontrollstellen Die Kontrollpunkte einer einzelnen Station können also auf einen emeinsamen Datenbestand zureifen und auf diese Weise miteinander kommunizieren. Jede Kontrollstation aber möe autonom arbeiten, solane nicht ausdrücklich etwas anderes efordert ist. Echt sind Tickets, die von der Verkaufsstelle erzeut und danach nicht verändert wurden. Eine Prüfun der Echtheit anhand physischer Merkmale ist oensichtlich nicht mölich, denn das Ticket soll ja als Bitfole im Netz übertrabar sein. Gülti heiÿt ein Ticket, wenn es echt ist, noch nicht benutzt wurde und die Ticketparameter, die den Geltunsbereich festleen, voreebenen Forderunen enüen. Die Kontrollstation muÿ in der Lae sein, ein voreletes Ticket als benutzt zu kennzeichenen und es damit zu entwerten. 26

27 2.1 Beteilite und ihre Rollen Kunde ein. Der Kunde nimmt, wie der Veranstalter, nacheinander zwei verschiedene Rollen Als Käufer baut er eine Verbindun zum Verkaufssystem auf und erwirbt ein Ticket. Das bewahrt er sorsam auf, bis er es zu einem späteren Zeitpunkt als Besucher einer Kontrollstation vorlet und, sofern es als ülti erkannt wird, die bezahlte Leistun erhält. Als Besucher ist der Kunde ein potentieller Betrüer (möchte aber nicht als solcher behandelt werden!) Die Aufabe Gesucht sind Verfahren, nach denen eine Kontrollstation über Echtheit und Gültikeit eines voreleten Billetts entscheiden kann. Dabei sind fünf Probleme zu lösen. Kunde Veranstalter (1) Verkauf Ticket (2) Benutzun und Kontrolle Ticket Bezahlt oder nicht? Kopie Fälschun Abb. 2.2: Rollenverteilun Die Echtheit umfaÿt Authentizität und Interität. [Beu94] Für jedes Ticket muÿ festestellt werden, ob es von der Verkaufsstelle des Veranstalters erzeut und ob es danach nicht verändert wurde. Bei Verwendun eines aktiven Datenträers ist statt dessen die Authentizität des Träers festzustellen. Herkömmliche Tickets sind in jedem Fall an ihren Träer ebunden. Die Echtheit wird durch Sicherheitsmerkmale arantiert, die oft recht simpel sind (z.b. Papierfarbe und -art, Gestaltun des Aufdrucks), sich aber im Verhältnis zum Kaufpreis enüend schwer fälschen lassen. Die Gültikeit eines Tickets ist durch Parameter bestimmt. Für jede Anwendun sind eeinete Parameter zu suchen. Auf ein herkömmliches Billett sind sie in der Reel aufedruckt und werden von einem Menschen eprüft. Falls kein manipulationssicheres Gerät das Kopieren verhindert, muÿ die Verwendun mehrerer Kopien eines Tickets erkennbar emacht werden. Dieses Problem ist neu. Tickets sollen bei der Kontrolle entwertet werden. Bei kopierbaren Tickets muÿ die Entwertun für alle existierenden Kopien wirksam werden, sobald nur eine einzie von 27

28 2 Ansätze ihnen einer Kontrollstation voreleen hat. Traditionellen Eintrittskarten verfüen dafür über einen Abriÿabschnitt; zur Entwertun von Fahrkarten benutzt man häu einen Stempelaufdruck. Bei alldem sollen die Kunden anonym bleiben können, wenistens solane sie ehrlich sind. 2.2 Ein naiver Vorschla Weil er fast jedem, dem man die Idee des elektronischen Billettverkaufs unterbreitet, spontan in den Sinn kommt, sei hier zunächst der naivste aller Ansätze vorestellt. Jedes Ticket erhält beim Verkauf eine eindeutie Nummer. Sie wird so ewählt, daÿ sie von Dritten nur schwer erraten werden kann. 6 Das Verkaufssystem let alle Gültikeitsparameter (zum Beispiel Veranstaltun, Datum, Uhrzeit) unter dieser Nummer in einer Datenbank ab. Der Kunde erhält als Ticket diese Nummer in irendeiner handhabbaren Form. Dafür enüt ein passiver Datenträer. Die Kontrollstation reift mittels der Nummer auf die Datenbank zu und prüft die dort abeleten Parameter. Lieen sie in voreebenen Wertebereichen, wird das Ticket akzeptiert. Gleichzeiti wird das Ticket entwertet, indem seine Benutzun in der Datenbank vermerkt wird. Der Datensatz könnte an dieser Stelle auch einfach elöscht werden, um alle weiteren Kopien unülti zu machen. Dieser Ansatz hat Nachteile. Die Datenübertraun zwischen Verkaufs- und Kontrollsystem erfolt auf zwei etrennten Ween. Fällt einer von ihnen aus, kann ein Ticket nicht mehr eprüft werden. Insbesondere kann dem Kunden ohne eienes Verschulden ein Verlust entsstehen, denn er kontrolliert nur einen der beiden Kanäle. Der Betrieb der Datenbank ist ween der Anforderunen zum einen an die Verfübarkeit und zum anderen an die Sicherheit wer Zuri auf die Datenbank hat, kann nach Belieben Tickets erzeuen recht aufwendi. Hinzu kommen die Kommunikationskosten, wenn der Rechner mit dem Verkaufssystem an einem anderen Ort betrieben wird als die Kontrollstation(en). Diese Nachteile ilt es zu vermeiden. Die Tickets sollen im wesentlichen den einzien Kanal bilden, über den Daten von der Verkaufs- und Kontrollstelle übermittelt werden. Die Kontrolle soll auch nicht von Zustandsänderunen abhäni sein, die während des Verkaufs auf der Veranstalterseite eintreten, sondern allein das Ticket als Grundlae nehmen. Dabei hilft die Kryptoraphie. 2.3 Eine Kontrollstation Zur Vereinfachun sei zunächst nur eine einzelne Kontrollstation betrachtet. Sie erhält Nachrichten die Tickets vom Verkaufssystem, kann selbst aber keine dorthin senden. Wieder erhält jedes Billett beim Verkauf eine eindeutie Nummer. Sie dient jedoch nicht als Schlüssel zum Datenbankzuri, sondern wird einfach auf dem Ticket vermerkt. 6 Dazu muÿ man ledilich hinreichend lane Zufallszahlen benutzen. 28

29 2.4 Mehrere Kontrollstationen Nur Kopien ein und desselben Tickets traen die leiche Nummer. Hinzu kommen die Parameter, die den Geltunsbereich bestimmen. Diesen ersten Schritt könnte jeder auch ohne ordnunsemäÿen Kauf vollziehen. Damit nur das Verkaufssystem Tickets erzeuen kann, werden die Daten mittels eines kryptoraphischen Alorithmus um eine Prüfsumme eränzt, die nur vom Verkaufssystem erzeut und wenistens von der Kontrollstation (eventuell auch von jedermann) veriziert werden kann. Die Kryptoraphie hält dafür eeinete Alorithmen bereit; die Einzelheiten sollen im Moment nicht weiter interessieren. Die Prüfsumme hänt sowohl von der Nachricht ab, als auch von einem Schlüssel, der nur dem Veranstalter bekannt ist. Damit ist neben der Authentizität auch die Interität des Tickets eschützt Manipulationen an der Nachricht machen die Prüfsumme unülti. Die Kontrollstation kann damit die Echtheit eines voreleten Tickets feststellen. Mit dem Billett erhält sie auch alle Gültikeitsparameter zur Prüfun. Die eindeutie Nummer ermölicht die Entwertun. Dazu müssen ledilich die Nummern aller kontrollierten Tickets lokal in einer Liste espeichert werden. Ist eine Nummer bereits in der Liste enthalten, handelt es sich beim voreleten Ticket um ein bereits benutztes. Die Entwertun umfaÿt sämtliche Kopien, denn sie traen ja alle die leiche Nummer. Das Verfahren ermölicht den Kunden Anonymität, denn zu keinem Zeitpunkt müssen sie ihre Identität oenbaren. Darüber hinaus ist der Verkaufsvoran einfach, denn dabei wird, abesehen von der Zahlun, ledilich eine Nachricht zum Käufer übertraen und dort auf einem (passiven) Datenträer abelet. Ohne Schwierikeiten können auch personenebundene Tickets (vl. 1.1) herestellt werden. Dazu führt man einfach einen numerierten Kundenpaÿ ein, wie er zum Beispiel von Zeitkarten im öentlichen Nahverkehr bekannt ist. Seine Nummer wird beim Kauf aneeben und vom Verkaufssystem zusammen mit den anderen Daten auf dem Ticket vermerkt. Die Kontrollstation kann die Kundenpaÿnummer anzeien oder, wenn der Paÿ ebenfalls maschinenlesbar ist, selbsttäti verleichen. Dieser Ansatz ist einfach und einiermaÿen eleant, zumal er sich en an traditionelle Verfahrensweisen anlehnt. Wenn wir einen eeineten Datenträer nden und die kryptoraphischen Verfahren keine unerwarteten Schwierikeiten bereiten, wird er vorzülich funktionieren. Die Kontrollstation arbeitet autonom; die nötie Liste der kontrollierten Tickets ist bezülich des Aufwandes nicht mit der Datenbank aus dem vorien Abschnitt verleichbar. Mit einer einzelnen Kontrollstation kommen wir überall dort aus, wo nur wenie, nah beieinander lieende Kontrollstellen nöti sind, zum Beispiel in einem Kino (das auch mehrere Sääle haben kann) oder auf einem Ausstellunselände. Die Kommunikationskosten innerhalb der Station sind dann erin; mehr als einie Meter Kabel braucht man nicht. 2.4 Mehrere Kontrollstationen Mit mehr als einer Kontrollstation haben wir es zu tun, sobald ein Billett an einem beliebien von mehreren mölichen Orten einelöst werden kann und die Kommunikation 29

30 2 Ansätze zwischen diesen Orten aufwendi und teuer ist. Das beste Beispiel dafür ist die Eisenbahn. Wollte man eine Kontrollstation über mehr als einen Zu erstrecken, brauchte man eine Funkverbindun zu einem Zentralrechner, womit man wieder bei der naiven Datenbanklösun aus dem vorletzten Abschnitt anelant wäre. Wenn aber zwischen den Züen kein Datenaustausch mölich ist, wie verhindert man dann, daÿ eine vierköpe Familie statt vier verschiedener Fahrkarten vier verschiedene Zuverbindunen für die Fahrt zum Urlaubsort benutzt? Bisher haben wir nur passive Datenträer benötit, die Daten transportieren können und sonst nichts. Für sie ist die Antwort einfach: Es eht nicht. Das Problem ist ut erforscht, denn es tritt auch in elektronischen Zahlunssystemen auf. Dort wird ein nanzieller Wert durch eine Bitfole repräsentiert und man muÿ verhindern, daÿ diese Fole kopiert und mehrfach bei verschiedenen Händlern zum Bezahlen einesetzt wird. Drei Lösunen sind dafür bekannt. Erstens kann man bei jedem Bezahlvoran eine Verbindun zu einer Bank aufbauen, wo über die Verwendun der (eindeuti ekennzeichneten) diitalen Zahlunsmittel Buch eführt wird. Das wollen wir hier erade nicht. Die zweite Mölichkeit sind manipulationssichere Geräte wie etwa die Geldkarte, die seit einier Zeit von deutschen Banken aneboten wird. Sie hindern den Besitzer am Kopieren des diitalen Geldes. 7 Drittens schlieÿlich können komplizierte kryptoraphische Protokolle einesetzt werden, die Betru zwar nicht verhindern, aber erkennbar machen und die Identität des Betrüers oenbaren. Diese Idee eht auf Chaum, Fiat und Naor zurück [CFN90]. Ein passiver Datenträer enüt für keinen der drei Ansätze. Da das Problem für elektronisches Geld und unsere Fahrkarten im wesentlichen dasselbe ist, können wir uten Gewissens davon ausehen, daÿ es keine Lösun ibt, die ohne eine Chipkarte oder einen anderen transportablen Rechner auskommt. Wann immer jemand sat: Geht nicht! ret sich Protest. Man könnte doch...ja, man könnte den Geltunsbereich von Fahrkarten so weit einschränken, daÿ kein sinnvoller Gebrauch kopierter Tickets mölich ist. Möchte man aber nicht. Das hieÿe letztendlich man denke an die vierköpe Familie sich auf enau eine Zuverbindun festzuleen. Die spontane Entscheidun, etwas eher oder später zu fahren würde damit ebenso zum Problem wie jeder verpaÿte Anschluÿ. Ja, man könnte den Geltunsbereich ein weni roÿzüier estalten, wenn man persönliche Fahrscheine ausstellt. Möchte man aber nicht, wenn man sich vor Auen führt, daÿ man mit dem maschinenlesbaren Reisenden ein viel röÿeres Problem schat als man mit dem Fahrkartenverkauf via Internet löst. Bei Nahverkehrsfahrscheinen stellt sich ein weiteres Problem. Sie werden nur in Stichproben kontrolliert. Anesichts der Seltenheit von Kontrollen in Bus und Straÿenbahn hätte der Benutzer etwa einer kopierten Monatskarte ute Chancen, unentdeckt zu bleiben, sofern er sich sein Ticket nicht mit zu vielen anderen teilt. Da die Kontrolle schon bei herkömmlichen Fahrscheinen problematisch ist und sich ewöhnliches Schwarzfahren durchaus lohnen kann, Favorisieren die Verkehrsunternehmen die automatische Bezahlun mittels kontaktloser Chipkarten [Mei97]. 7 Die Geldkarte ist ein schlechtes Beispiel, denn sie basiert auf einem Schattenkonto, das auÿerhalb des Kartenchips eführt wird. [Sel97] 30

31 2.5 Nachtedanken Die elektronische Fahrkarte trät einen Chip. Das allein ist ein Grund, sie nicht zu benutzen; noch eine Karte und noch eine und noch eine möchte niemand, und eine Universalkarte ist nicht in Sicht [Riv97]. Auch stellt sich die Frae, wozu eine Fahrkartenkarte überhaupt noch nützlich ist, wenn man auch richties Geld auf dem Chip speichern kann. Nur für die Platzkarte? Weitere Nachteile der Chipkarte sind auf Seite 66 aufezählt. Es sind keine rundsätzlichen Hindernisse. Zieht man aber in Betracht, daÿ Reisende bei der Deutschen Bahn und vielen Nahverkehrsunternehmen sorlos ihre Fahrt antreten können, ohne sich vorher um eine Fahrkarte zu bemühen, erscheint die Suche nach dem elektronischen Ticket als zweifelhaftes Vernüen. 2.5 Nachtedanken Hasti einefüt und nicht anz passend noch einie Gedanken zur diitalen Fahrkarte. Mit einer Chipkarte als Helfer läÿt sich Kopiersicherheit bei leichzeitier Anonymität auf ähnliche Weise erreichen wie beim diitalen Geld. Entweder man vertraut darauf, daÿ die Chipkarte das Kopieren verhindert. Dann ist einzi der Verkaufsvoran problematisch. Oder aber man betrachtet die Chipkarte ledilich als handlichen Computer und nutzt ihre Fähikeit, jederzeit Berechnunen ausführen zu können. Will man den Verkauf een unerwünschte Einrie absichern, müssen Chipkarte und Verkaufssystem direkt miteinander kommunizieren. Der Computer des Käufers spielt in diesem Fall nur noch als Stromversorun und Internet-Anschluÿ der Karte eine Rolle. Verkaufssystem und Karte authentisieren sich zunächst beim jeweils anderen. Das ist mit Public-Key-Kryptoraphie kein röÿeres Problem. Das Verkaufssystem verkauft nur an echte Karten und die Karte nimmt nur Tickets von echten Verkaufssystemen an. Danach können beide Seiten entweder einen Schlüssel für ein symmetrisches Kryptosystem aushandeln oder aber direkt mit dem öentlichen Schlüssel des Kommunikationspartners arbeiten. Wichti ist nur, daÿ sämtliche übertraenen Informationen auch vor dem Debuer eines böswillien Käufers eschützt sind. Sind die Ticketinformationen erst auf der Karte, droht ihnen keine Gefahr mehr - es sei denn, der Karteninhaber kann eine Kontrollstation simulieren und so an die Daten elanen. Auch bei der Kontrolle ist deshalb eine eenseitie Authentisierun nöti. Die Kontrollstation akzeptiert nur echte Chipkarten und die Karte läÿt sich nur von einer echten Kontrollstation prüfen. Statt auf die Manipulationssicherheit einer Chipkarte zu setzen, kann man auch versuchen, im Betrusfall den Betrüer dinfest zu machen. Für elektronisches Geld ist dieses Problem elöst. Das Protokoll von Chaum, Fiat und Naor [CFN90, Wob97] läÿt ehrliche Kunden anonym, entlarvt jedoch Betrüer, die ihr elektronisches Geld mehrfach auseben, mit hoher Wahrscheinlichkeit. Dadurch ist es oine-fähi, das heiÿt beim Bezahlen ist keine Datenverbindun zur Bank notwendi. Der Datenaustausch fällt zwar nicht we, wird aber auf einen späteren Zeitpunkt verlaert. Unverändert übernehmen läÿt sich dieses Protokoll nicht. Es arantiert ledilich, daÿ die Bank keine Verbindun zwischen einem ausezahlten Betra und dem damit etätiten Kauf herstellen kann. Die Information, daÿ der Kunde den Betra X abehoben hat, 31

32 2 Ansätze ist nicht eschützt. Natürlich nicht, denn die Bank muÿ X vom Kontostand des Kunden abziehen. Das ist beim Geld kein Problem, beim Fahrkartenverkauf schon. Nutzte man das Protokoll von ChaumFiatNaor für Fahrkarten, so träten an die Stelle des Geldbetraes die Gültikeitsparameter des Tickets. So erhielte der diitale Verkäufer die Information, daÿ der Kunde soundso eine Fahrkarte von A nach B ekauft hat, die ab übermoren ilt. Wann die Reise mit welchem Zu anetreten wirde, könnte niemand feststellen, aber das wäre fast schon ein uninteressantes Detail der Anbieter erführe von allen seinen Kunden, von wo nach wo sie fahren, und könnte das Reisedatum auch recht weit einrenzen! Dem praktischen Einsatz dieses Protokolls steht ein weiteres Hindernis im Wee. Immer noch wären eindeutie Nummern und eine Liste bereits benutzter Tickets nöti. Zwar ele die Online-Verbindun zur Überprüfun we, doch die Datenbank selbst ist schon ein Problem. Ein nicht anz kleines Rechenzentrum nur für die Fahrkartenkontrolle? Das kauft niemand. Leen wir das Plastik zu den Akten und wenden uns anz und ar den Eintrittskarten zu, die uns noch enüend Arbeit bereiten werden. 2.6 Parameter Ein Baustein fehlt in diesem Kapitel noch. Bisher war nur anz unkonkret von Parametern die Rede, die den Gültikeitsbereich bestimmen. Wie sie ewählt sein müssen, damit die Kontrollstation über die Gültikeit benden kann, ist das Thema dieses Abschnitts. Die Gültikeitsprüfun sollte automatisch erfolen und als Erebnis eine JaNein- Entscheidun, ein einzies Bit, liefern. Das kostet den Billettabreiÿer den Arbeitsplatz, denn dieses eine Bit enüt, um eine mechanische Sperre zu önen oder eebenenfalls eben nicht. Die Alternative ist aber auch nicht besser. Werden die Parameter des Tickets ledilich auf einem Bildschirm anezeit und von einem Menschen eprüft, müÿte dessen Aufmerksamkeit abwechselnd dem Bildschirm und dem Einan elten. Abzureiÿen ibt es nichts mehr und so hätte der Kontrolleur einzi die Aufabe, auf den Schirm zu starren. Nur Betrusversuche brächten etwas Abwechslun in diese stupide Tätikeit, indem sie ihn zwänen aufzusprinen den Bösewicht zu erreifen. Welche Anaben enthält eine herkömmliche Eintrittskarte? In der Reel: den Namen des Veranstalters, die Bezeichnun der Veranstaltun, Datum und Uhrzeit des Beinns, den Preis der Karte oder die Preisklasse sowie die Nummer des reservierten Sitzplatzes. Hinzu kommen: verbale Hinweise und 32

33 2.6 Parameter Gestaltunselemente (z.b. ein Loo des Veranstalters). Sind alle Anaben vorhanden, kann die Gültikeit oensichtlich eprüft werden. Werden sie alle benötit, wenn eine Maschine die Kontrolle übernehmen soll? Nein, denn dazu muÿ ledilich die Veranstaltun, für die das Ticket ilt, eindeuti bestimmbar sein. Das kann man schon mit einer eindeutien Veranstaltunsnummer erreichen. Ohnehin muÿ sich reelmäÿi jemand hinsetzen und alle Veranstaltunen in das Verkaufssystem eineben. Eindeutie Nummern lassen sich dabei problemlos durch die Software erzeuen. Auÿerdem kann es für eine Veranstaltun Eintrittskarten zu unterschiedlichen Preisen eben. Die Berechtiun, eine Ermäÿiun in Anspruch zu nehmen, kann nur am Veranstaltunsort eprüft werden. Die Preisklasse oder der Kaufpreis muÿ deshalb ebenfalls aneeben sein. Der Veranstalter steht implizit fest, sobald die Echtheit des Tickets erfolreich überprüft wurde. Damit ist ein Parametersatz efunden, der für die Kontrolle enüt. Das Ticket enthält seine eindeutie Nummer, eine Veranstaltunsnummer sowie eine Kennzeichnun der Preisklasse. Da in praktisch jedem Fall nur wenie verschiedene Preise für eine Veranstaltun vorkommen, enüt die Einteilun in Preisklassen. Der tatsächliche Kaufpreis muÿ nicht aneeben werden; der Maschine ist eal, welche Zahlen sie verleicht. Bei falscher Anwendun ist diese Variante anfälli een Replay-Anrie, das heiÿ die Wiederverwendun eines alten, schon einmal benutzten Tickets. Die Liste der kontrollierten Tickets in der Kontrollstation kann eientlich nach der Veranstaltun elöscht werden. Tut man das aber, und ibt alsbald einer anderen Veranstaltun die leiche Nummer, können alte Tickets noch einmal verwendet werden. Die Minimallösun erlaubt zwar die automatische Kontrolle, nicht aber den weitehend automatischen Betrieb des Gesamtsystems. Für jede Veranstaltun muÿ vom Verkaufssystem eine Nummer festelet und der Kontrollstation miteteilt werden. Läÿt sich dieser Datenaustausch vermeiden? Dazu müÿen beide Seiten, Verkaufssystem und Kontrollstation, unabhäni voneinander einer Veranstaltun denselben Zahlenwert zuordnen. Das ist einfacher als es sich liest. Man benötit ledilich eine Uhr auf der Kontrollseite. Beim Verkauf ist der Zeitpunkt des Veranstaltunsbeinns bekannt, denn er wird wenistens zur Kundeninformation ebraucht. Man kann ihn also ohne Schwierikeiten als Parameter in das Billett aufnehmen. Die Kontrollstation mit Uhr kennt die aktuelle Zeit. Gülti ist ein Ticket, wenn die aktuelle Zeit innerhalb eines fest ewählten Intervalls um die Zeitanabe des Tickets liet, etwa eine Stunde vorher bis eine halbe Stunde danach. Der Kontrollstation muÿ nun nicht mehr miteteilt werden, welche Veranstaltunsnummer sie jetzt erade als ülti ansehen soll. Auch die Dateneinabe für den Verkauf vereinfacht sich, denn jetzt enüen dabei Anaben wie tälich 20:15 Uhr. Die Uhr muÿ unter allen Umständen die korrekte Zeit liefern, sonst werden echte, ültie Tickets fälschlich zurückewiesen. Die enaue Uhrzeit steht aber überall zur Verfüun, wo es einen nicht allzu teueren DCF77-Empfäner ibt. Darüber hinaus ist die Lösun unexibel. Selbst bei roÿzüi ewählten Intervallen kann eine unvorheresehene Verschiebun des Beinns Probleme bereiten. Für solche Fälle sollte es mölich sein, der Station von Hand einen Zeitpunkt mitzuteilen, den sie statt der aktuellen Zeit zur 33

34 2 Ansätze Kontrolle verwendet. Beinnen, beispielsweise in einem Kino mit mehreren Säälen, mehrere Veranstaltunen zur leichen Zeit, muÿ zusätzlich der Veranstaltunsort aneeben sein. Das ist jedoch ein fester Parameter, der bei der Installation für jeden Kontrollpunkt einestellt werden kann. Auch an dieser Stelle kann man die kryptoraphische Echtheitsprüfun zurückreifen, indem man für jeden Ort einen anderen Schlüssel benutzt. Zu uter Letzt sei noch eine eschwätzie Variante diskutiert. Wie anfans festestellt, ist die Gültikeitskontrolle mölich, wenn alle Parameter auf dem Ticket enthalten sind, die auch auf einer traditionellen Eintrittskarte vorkommen. Das ändert sich auch nicht, wenn die Tickets übers Internet vertrieben werden. Neben der Ticketnummer nimmt man die Veranstaltun und der Ort, den Preis oder die Preisklasse, die Anfanszeit sowie die reservierte Platznummer in das Ticket auf. Veranstaltun und Ort können statt numerisch auch als ASCII-Zeichenfole kodiert werden. Die Anfanszeit kann man noch um Informationen zum Zeitintervall eränzen, in dem die Eintrittskarte ülti sein soll. Die Kontrollstation prüft dann Ort und Veranstaltun auf dem Ticket durch Verleich mit voreebenen Werten und die Zeitparameter anhand ihrer Uhr. Weiter kann eprüft werden, ob die Platznummer zur Preisklasse beziehunsweise zum Preis paÿt. Bei ermäÿiten Tickets sinalisiert die Station dem letzten verbliebenen Kontrolleur, daÿ noch die Ermäÿiunsberechtiun zu prüfen ist. Diese Barockversion der diitalen Eintrittskarte dürfte sich an nahezu jede denkbare Anwendun anpassen lassen, indem man nicht benötite Parameter weläÿt. 2.7 Binär oder Text? Auf welche Weise sollen die Parameter in eine Bitfole verwandelt werden? Grundsätzlich ibt es dafür zwei Mölichkeiten, nämlich ache ASCII-Dateien auf der einen und Binärformate auf der anderen Seite [Gan95]. In einem Binärformat werden die Daten im wesentlichen so abelet, wie sie auch während der Verabreitun im Hauptspeicher vorlieen. Die Bedeutun einzelner Bits und Bytes eribt sich, enau wie bei Datenstrukturen im Speicher, implizit aus der Position in der Datei oder im Datenblock. Das spart Platz auf dem Datenträer und Bandbreite bei der Übertraun. Die so abeleten oder übertraenen Daten lassen sich leicht weiterverarbeiten; im Idealfall können sie in einem (C-)Proramm einfach in den Speicher eladen und dort mit den Datenstrukturen des Proramms identiziert werden. Das Speichern oder Senden ist natürlich enauso einfach. Problematisch wird dieser Ansatz, sobald verschiedene Rechnerplattformen oder auch nur verschiedene Compiler beteilit sind. Insbesondere Zahlen können auf unterschiedliche Weise im Speicher - und bei naiver Heranehensweise also auch in Dateien - abelet werden. Die Prorammiersprache C deniert noch nicht einmal die Zahl der Bits, die dafür verwendet werden, anz zu schweien von der Abbildun komplexer Datenstrukturen im Speicher. Ganz so einfach ist die Sache denn also doch nicht, aber bei sauberer Formatdenition und Prorammierun sind die Hürden überwindbar. Das Internet funktioniert immerhin. 34

35 2.8 Zusammenfassun Binärformate haben einen weiteren Nachteil. Ohne die Formatspezikation und entsprechenden Code zum Lesen der Daten sind sie weitehend nutzlos. Man kann sie nicht mit einem ewöhnlichen Editor bearbeiten und auch nicht mit den vielen kleinen Werkzeuen, die die Unix-Welt zu einem diitalen Schlaraenland machen. Das ist bei ASCII-Formaten anders. Hier werden Zahlen und andere Daten in lesbaren ASCII-Text umewandelt und dann espeichert oder übertraen. Das kann in Form von Name-Wert-Paaren erfolen (z.b. From: oder in starreren Strukturen, zum Beispiel mit Zeilen, die durch ein besonderes Zeichen in eine Anzahl von Feldern aufeteilt sind. Solche Formate sind leicht zu erzeuen, aber das Lesen erfordert einien Prorammieraufwand. Doch der lohnt sich, denn man erhält ein portables Datenformat, das zudem auch von Menschen elesen werden kann. Beispielhaft sind dafür einie Internet-Protokolle der Anwendunsschicht (HTTP, SMTP und andere), die vollständi von einem Menschen mit der Spezikation unterm Arm abewickelt werden können. ASCII-Formate benötien mehr Speicherplatz und Bandbreite, aber das spielt heute nur noch bei wenien Anwendunen eine Rolle. Sie können mit vielerlei Unix-Werkzeuen bearbeitet werden. Beispiele für Binärformate sind IP-Pakete und das GIF-Format für Bilddateien, ASCII- Formate ndet man bei der und XBM (X BitMap). Die Datenportabilität spielt für unsere Anwendun keine allzu roÿe Rolle. Zwar muss das Verkaufssystem Tickets erzeuen, die die Kontrollstation richti interpretiert, doch die Datenmene ist überschaubar. Für Menschen lesbar sein müssen die Daten im maschinenlesbaren Teil des Tickets nicht unbedint. Der Kunde soll sie ohnehin nicht bearbeiten. Die kryptoraphischen Methoden aus dem nächsten Kapitel, die ihn an Manipulationen hindern sollen, erzeuen ohnehin Binärdaten. Die kann man zwar auch mit dem Zeichenvorrat 8 des ASCII darstellen, aber dabei verröÿert sich ihr Umfan. Wie wir in Kapitel 4 noch sehen werden, soll das Ticket mölichst wenie Bytes beanspruchen. Aus diesen Gründen werden wir ein Binärformat verwenden. 2.8 Zusammenfassun Tickets, die nur an einem Ort ülti sind, lassen sich recht einfach diitalisieren, sofern ein eeineter Datenträer existiert und die Echtheit mit kryptoloischen Verfahren esichert werden kann. Der Datenträer kann in diesem Fall ein passiver sein, denn eine einfache Nachrichtenübertraun enüt. Damit wird auch der Verkaufsvoran sehr einfach. Nach dem Bezahlen wird das Ticket per HTTP dem Käufer übermittelt. Kryptoraphische Protokolle sind dafür nicht erforderlich. Tickets, die an mehreren unabhänien Kontrollstationen benutzt werden können, benötien manipulationssichere Geräte oder wenistens einen aktiven Datenträer. Sie bleiben in den übrien Kapiteln unberücksichtit. Die Rückabe ekaufter Tickets een Erstattun des Kaufpreises ist übriens nur mit Einschränkunen mölich. Die Entwertun der Tickets erfolt durch Speicherun ihrer Nummer in der Kontrollstation. Dort muÿ auch die Rückabe vermerkt werden, sonst 8 Eine wunderbare Einführun in die Welt der Zeichensätze und -kodierunen bietet [Kor98]. 35

36 2 Ansätze blieben Kopien des zurückeebene Tickets weiter benutzbar. Da die Kontrollstation unabhäni vom Verkaufssystem arbeiten soll, ist eine Online-Rückabe kaum schmerzfrei zu implementieren. Bemüht sich der Kunde hineen zum Veranstaltunsort, steht der Erstattun des Kaufpreises nichts im Wee. 36

37 3 Sicherheit Schadensberenzun Wird immer dann hefti versucht, wenn eh nichts mehr zu retten ist. In letzter Zeit war besonders im Fall Tiede viel von Schadensberenzun zu hören, nachdem der Mann jahrelan rumesoen und sich schlieÿlich in die DDR abesetzt hatte. Besonders perde war die Verwendun des Wortes im Zusammenhan mit der US-Bombardierun Libyens im April 1986, als nach Hunderten von Toten und Verletzten, nach zerstörten Häusern und Besitz noch irendein Schaden berenzt werden sollte. (Eckhard Henscheid: Dummdeutsch) Die eben diskutierten Ansätze setzen allesamt voraus, daÿ nur der Verkäufer in der Lae ist, Tickets zu erzeuen, und daÿ nachträliche Veränderunen nicht unbemerkt mölich sind. Wie das erreicht werden kann, untersucht dieses Kapitel. Eine Mölichkeit sind manipulationssichere Geräte. Bis auf die Frae, wie ein Ticket übers Netz in das Gerät kommt, sind sie uninteressant, denn sie verhindern per denitionem unerlaubte Zurie. Zudem enüt für Eintrittskarten oenbar ein passiver Datenträer, der ledilich eine Nachricht übermittelt und zu keiner Interaktion fähi ist. Aus diesem Grund werden hier nur Verfahren zur Nachrichtenauthentikation betrachtet. 3.1 Authentikation In the broadest sense, authentication is concerned with establishin the interity of information purely on the basis of the internal structure of the information itself, irrespective of the source of that information. [Sim92] Die Kryptoloie führt die Sicherheit von Nachrichten, sei es vor unbefuter Kenntnisnahme oder oder vor Veränderun, darauf zurück, daÿ ein kleines Geheimnis bewahrt wird, der kryptoraphische Schlüssel [MOV96]. Die Techniken der Kryptoloie benutzen dieses Geheimnis, um die Welt in zwei unleiche Hälften zu spalten. Die Besitzer des Schlüssels können mit dessen Hilfe Operationen ausführen, die allen anderen versat bleiben, etwa den Klartext einer Nachricht lesen oder eine Nachricht erzeuen, die von anderen als authentisch erkannt wird. Für Anwendunen im richtien Leben enüt praktische Sicherheit: Der We, eine kryptoraphische Operation ohne den zuehörien Schlüssel auszuführen, ist wohlbekannt, wird aber durch den Rechenaufwand versperrt, der ohne Schlüssel nicht zu bewältien ist. Symmetrische Verfahren setzen voraus, daÿ Sender und Empfäner einer Nachricht denselben Schlüssel kennen. Irendwie müssen sie es schaen, sich auf einen zu einien, ohne daÿ er Dritten zur Kenntnis elant. (Auch dafür liefert die Kryptoloie interessante Methoden, zum Beispiel das Die-Hellmann-Protokoll zum Schlüsselaustausch. [Beu94]) 37

38 3 Sicherheit Da niemand sonst den Schlüssel besitzen soll, ist der Sender sicher, daÿ seine Nachrichten nur von ihm selbst und vom beabsichtiten Empfäner elesen werden können, und der Empfäner weiÿ, daÿ nur er oder der Sender eine Nachricht erzeut haben kann. Daeen verlanen asymmetrische Verfahren die Geheimhaltun nur auf einer Seite. Schlüssel treten paarweise auf und bestehen jeweils aus einem eheimen und einem zuehörien öentlichen Teil. Der Empfäner und niemand sonst kann mit dem eheimen Schlüssel Nachrichten lesen, die der Sender mit dem dazu passenden öentlichen Schlüssel verschlüsselt hat. Nur der Sender ist mit seinem eheimen Schlüssel in der Lae, einer Nachricht Authentizitätsmerkmale hinzuzufüen, die der Empfäner mit dem zuehörien öentlichen Schlüssel prüft. Zwar hänen die Schlüssel voneinander ab, doch aus dem öentlichen Teil kann der eheime praktisch nicht ermittelt werden, so daÿ das Geheimnis ewahrt bleibt. Umfassende wie tiefschürfende Literatur zur Kryptoloie ibt es reichlich. Empfohlen seien hier die allemeinverständliche Einführun von Beutelspacher [Beu94], das Schneiers Kompendium [Schn96] sowie das Handbuch von Menezes, van Oorschot und Vanstone [MOV96]. Einen vorzülichen Überblick über Authentizierunstechniken liefert Simmons [Sim92], und mit dem Brechen von Kryptosystemen, der Kryptoanalyse, beschäftit sich das Werk von Wobst [Wob97]. Allemeine Ausführunen zur Kryptoraphie und ihren Verfahren, die nicht mit einer Quellenanabe versehen sind, haben vermutlich aus einem dieser Werke ihren We ins Hirn des Autors efunden Der Betrüer Bevor wir uns den drei Lösunsmölichkeiten widmen, die die Kryptoloie für unser Authentikationsproblem bereithält, sind einie Überleunen über den Gener nöti. Der ist eine unehrliche Person mit dem Ziel, in der Rolle des Besuchers eine Leistun zu erhalten, die sie so nicht bezahlt hat. Der Aufwand, den er für seinen Betru treiben wird, ist schwer zu schätzen. Der Ticketpreis setzt dem nanziellen Aufwand eine Grenze [Bra98], denn ein Betru, der teurer ist als Ehrlichkeit, lohnt sich allenfalls des sportlichen Ehreizes ween. Das ist jedoch mit einer ehörien Portion Vorsicht zu enieÿen, denn unser Betrüer hat mölicherweise ar nicht den nanziellen Vorteil im Aue, sondern möchte zum Beispiel unbedint das Endspiel einer Fuÿball-WM sehen, für das er keine Karte mehr bekommen hat. Es darf auch ern den dreifachen Eintrittspreis kosten, wenn er nur irendwie ins Stadion kommt. Der nanzielle Aufwand wird dadurch relativiert, daÿ dem Betrüer unter Umständen Ressourcen kostenlos zur Verfüun stehen, obwohl sie teuer sind. Wer moderne Kryptosysteme anreift, braucht vor allem Rechenleistun und Speicher. Beides bekommt heute jeder Student in roÿem Umfan für exakt 0,00 Euro. Der Autor sitzt, während er diese Sätze schreibt, in einem Raum mit 15 leistunsfähien Computern, die alle nichts tun als auf Benutzer zu warten. Über das unscheinbare Kabel, das seinen Arbeitsplatz mit dem Rest der Welt verbindet, hat er Zuan zu einer dreistellie Zahl weiterer Geräte. Zu einem Parallelrechner verbunden bieten sie ihm eine Rechenleistun, von der er vor einien Semestern noch nicht mal eträumt hat. 38

39 3.1 Authentikation Mehr noch als der nanzielle sperrt sich der Zeitaufwand een Quantizierunsversuche. Zeiten kann man aneben, aber man kann sie kaum bewerten. Vier Wochen sind viel, rechnet man sie nach üblichen Stundensätzen in Geld um. Sie sind vernachlässibar, wenn sich ein Student damit die Semesterferien vertreibt und das auch noch als Chance zum Lernen nimmt. Das wiet schwer, weil fehlende Prozessorleistun in Grenzen durch röÿeren Zeitaufwand ersetzbar ist. Bei Anrien auf kryptoraphische Schlüssel muÿ die Zeit zudem nur einmal investiert werden, während das Erebnis mehrfach enutzt werden kann [Bra98], sofern die Schlüssel nicht sehr häu eändert werden. Anrien auf kryptoraphische Schlüssel setzt die Nutzunsdauer des Schlüssels eine zeitliche Grenze, solchen auf einzelne Tickets der Zeitpunkt der Veranstaltun. Obleich sie nicht wörtlich zitiert sind, haben sich schon andere solche Gedanken emacht. Auf der sicheren Seite ist man nach derzeitiem Forschunsstand mit Schlüssellänen von 90 Bits und mehr [Bla96, Schn96], wenn der benutzte Alorithmus keine röÿeren Schwächen aufweist. Der Aufwand eines Brute-Force-Anris, bei dem säemtliche Schlüssel durchprobiert werden, bis der richtie efunden ist, liet dann in einer Gröÿenordnun, die nicht nur Eintrittskartenfälscher vor Probleme stellt. Daÿ der Gedankenan hier dennoch darestellt ist, hat einen politischen Hinterrund. Er ist ein Arument für starke Kryptoraphie und vor der hat mancher Anst. So ibt es seit einien Jahren Forderunen, dem Normalbürer Kryptoraphie nur noch dann zu erlauben, wenn sie entweder nichts taut, oder die eheimen Schlüssel bei staatlichen Stellen hinterlet werden, was ebenfalls bedeutet, daÿ die Kryptoraphie nichts taut, denn die eheimen Schlüssel müssen enau das sein: eheim. Für sich selbst und seine Geheimdienste soll der Staat selbstverständlich eine Ausnahme machen. Bis jetzt elten in der Bundesrepublik keine Einschränkunen und auch konkrete Gesetzesvorlaen sind noch nicht in der Öentlichkeit aufetaucht. Die Gefahr ist jedoch latent vorhanden, worauf der Autor ausdrücklich hinweisen möchte. Für die weitere Beschäftiun mit dem Thema bietet [Rei98] mit zahlreichen Hyperlinks einen uten Ausanspunkt. Zurück zum Betrüer. Er investiert also vielleicht deutlich mehr in seinen Anri, als man bei üchtier Betrachtun meint, und starke Kryptoraphie bietet auch daeen Schutz. Was ist noch über ihn bekannt? Dem Anreifer wird unterstellt, daÿ er alles kennt bis auf die Schlüssel, die ausdrücklich eheimehalten werden: Das Prinzip von Kerkhos. Die Sicherheit eines Kryptosystems darf nicht von der Geheimhaltun des Alorithmus abhänen. Die Sicherheit ründet sich nur auf die Geheimhaltun des Schlüssels. [Beu94] Das ilt auch für alle anderen Systemkomponenten, die zusammen mit dem Kryptosystem einesetzt werden. Warum ist diese Annahme vernünfti? Sie schadet jedenfalls nicht. 9 Weiÿ der Anreifer wenier als anenommen, macht ihm das die Arbeit jedenfalls nicht leichter. Kann er aber umekehrt etwas in Erfahrun brinen, von dessen Geheimhaltun die Sicherheit abhänt, muÿ dieses Etwas ausetauscht werden, denn das Wissen ist nicht 9 Famous last words? 39

40 3 Sicherheit rückholbar. Für die kurze Bitfole des Schlüssels ist das einfach, für andere Komponenten, etwa den Alorithmus oder seine Implementierun, ist es das nicht. Die Anwendun Eintrittskartenverkauf let eine weitere Annahme über das Wissen des Betrüers nahe. Er soll auch alle Parameter kennen, die in das Ticket einehen. Wie sie kodiert sind, ist ihm Kerkhos' Prinzip auf das Gesamtsystem anewandt ebenfalls bekannt. Auch diese Annahme ist vernünfti. Die meisten Parameter wählt der Kunde ohnehin beim Kauf selbst. Die eindeutie Ticketnummer könnte man eheimhalten, aber dann müÿte sie so erzeut werden, daÿ sie nicht leicht zu erraten ist. Eine letzte Annhame über den Betrüer betrit die Zahl der Tickets, die er sich verschaen kann. Sie ist von Bedeutun, weil Anrie auf einen Schlüssel tendenziell umso einfacher werden, je mehr damit esicherte Nachrichten einem Anreifer in die Hände fallen. Zum einen kann eine Betrüer einzelne Tickets kaufen. Dabei hat er die Mölichkeit, den Inhalt teilweise zu beeinussen, indem er Parameter wie die Veranstaltun oder das Datum wählt. Allzu viele Nachrichten wird er sich auf diese Weise nicht verschaffen, denn eientlich möchte er betrüen und nicht den Veranstalter reich machen. Auf einem anderen We kann er mit wenier Aufwand mehr erreichen: Benutzte Eintrittskarten werden weeworfen, und das oft in der Nähe des Veranstaltunsortes. Je nach Besucherzahl und seiner Geduld kann ein Betrüer einie hundert, vielleicht auch einie tausend Tickets aus Papierkörben und vom Boden aufsammeln. Vermutlich wird ihm das zu mühsam sein, doch vorsichtshalber sei anenommen, daÿ er es versucht. Wie kann der (bis jetzt nur potentielle, aber zu allem entschlossene) Betrüer nun daran ehindert werden, seine Schandtat zu vollbrinen? Symmetrische Verschlüsselun Ein symmetrisches Kryptosystem besteht aus einer Verschlüsselunsfunktion E K und einer Entschlüsselunsfunktion D K (E steht für encrypt, D für decrypt). Beide hänen vom Schlüssel (Key) K ab; jeder Schlüssel liefert ein anderes Funktionspaar. Um eine Nachricht M (wie Messae, oft auch als Klartext bezeichnet) zu verschlüsseln, wird wird der Funktionswert C = E K (M ) bestimmt. Das ist der Geheimtext (enl. Ciphertext). Der Empfäner ewinnt daraus durch Anwendun der Entschlüsselunsfunktion die Klartextnachricht M = D K (C) zurück. Es ibt zwei Arten symmetrischer Kryptosysteme, Stromchiren und Blockchiren. Stromchiren behandeln den Klartext und den Geheimtext als eine Fole von Zeichen M = m 1 m 2 :::m n und C = c 1 c 2 :::c n, meist einzelnen Bits. Der Schlüssel dient zur Initialisierun eines Pseudozufallszahlenenerators, der eine weitere Zeichenfole k 1 k 2 :::k n liefert. Zum Verschlüsseln wird diese Fole zeichenweise mit dem Klartext verknüpft, etwa durch Addition modulo 2: E K (M )=E K (m 1 m 2 :::m n )=(m 1 k 1 )(m 2 k 2 ) :::(m n k n ) = c 1 c 2 :::c n = C. Analo erfolt die Entschlüsselun D K (C) = D K (c 1 c 2 :::c n ) = (c 1 k 1 )(c 2 k 2 ) :::(c n k n )=m 1 m 2 :::m n =M Im Falle der Addition modulo 2 sind die Operationen und Bedeutun. [Beu94] identisch. Details und Variationen sind im Moment nicht von Blockchiren arbeiten mit Blöcken von mehreren Zeichen; üblich sind 64 Bit, also 8 Bytes [RLab98]. Die Nachricht M wird solche Blöcke unterteilt und auf jeden 40

41 3.1 Authentikation Block die Verschlüsselunsfunktion E K anewendet, die einen Klartextblock in einen Geheimtextblock überführt. Erebnis ist eine Fole von Geheimtextblöcken E K (M ) = E K (m 1 m 2 :::m l )=E K (m 1 )E K (m 2 ):::E K (m l ) = c 1 c 2 :::c l = C. Der Empfäner verfährt mit diesem Geheimtext C und der Blockentschlüsselunsfunktion D K enauso und erhält D K (C) = D K (c 1 c 2 :::c l ) = D K (c 1 )D K (c 2 ):::D K (c l ) = m 1 m 2 :::m l = M. Die Blockverschlüsselunsfunktion E K ist eine Bijektion, sonst wäre keine eindeutie Entschlüsselun mölich. Bei einer Blockläne von b Bits ibt es 2 b! Bijektionen, die Klartextblöcke auf Geheimtextblöcke leicher Läne abbilden. Jede davon entspricht einem mölichen Schlüssel. In der Praxis liefert ein Alorithmus eine Auswahl von beispielsweise 2 64 oder Bijektionen und ordnet jeder einen Schlüssel von 64 beziehunsweise 128 Bit Läne zu. [MOV96] Symmetrische Verschlüsselunsverfahren werden mit dem Ziel konstruiert, Informationen eheimzuhalten. Sie sind nicht dazu edacht, die Interität der übermittelten Nachrichten zu sichern. Können sie trotzdem auch dafuer ebraucht werden? M Ticket E (M) K C R3mFx D (C) K M Ticket Oriinalklartext Manipulation R4mFx C' D (C') K ab$x4x M' verfälschter Klartext Sender unsicherer Kanal Empfäner Abb. 3.1: Bemerkt der Empfäner die Manipulation? Auenscheinlich nicht, wenn der Empfäner vor dem Entschlüsseln keinerlei Informationen über den Klartext besitzt. Der Sender verschlüsselt eine Nachricht E K (M )=C und übermittelt C auf einem unsicheren Kanal. Verändert ein Auÿenstehender während der Übertraun den Geheimtext C in C 0, erhält der Empfäner beim Entschlüsseln eine modizierte Nachricht M 0 = D K (C 0 ). Das kann er aber nicht bemerken, wenn er jede beliebie Nachricht akzeptiert. In realen Anwendunen kommen selten beliebie Nachrichten vor. 10 Protokolle denieren Datenstrukturen und Menschen tauschen natürlichsprachie Nachrichten per E- Mail aus. Die Geheimhaltun wird dadurch schwierier, weil Kryptoanalytiker Anhaltspunkte bekommen, wie das Erebnis ihrer Arbeit aussehen wird. Dafür ibt es dem 10 Selten heiÿt selten und nicht niemals. Der Austausch kryptoraphischer Schlüssel ist das beste Beispiel für eine Situation, in der der Empfäner Zufallszahlen erwartet. Daÿ das zum Problem werden kann, wenn Protokolle zum Schlüsselaustausch unenau speziziert sind, zeien Mao und Boyd anhand einier ISO-Standards [MaBo94]. 41

42 3 Sicherheit Empfäner verschlüsselter Kommunikation die Mölichkeit, Modikationen zu erkennen, sofern sie die festeleten Datenstrukturen verändern und dadurch unülti machen. So könnte die Nachricht etwa eine CRC-Prüfsumme zur Fehlererkennun traen, die unezielte Veränderun mit hoher Wahrscheinlichkeit anzeit. Gezielte Manipulationen, mit denen ein Anreifer jedes einzelne Bit einer Nachricht in einen ewählten Wert ändern kann, sind ohne Schlüssel nicht mölich, denn dann wäre er im Besitz der Funktion E K und damit des eheimen Schlüssels. Muÿ der Anreifer aber überhaupt so ezielt manipulieren? Nein, und unsere Eintrittskarten sind das beste Beispiel dafür! Sie traen als Parameter eine Nummer, von der nichts verlant wird als daÿ sie noch auf keinem vorher kontrollierten Ticket estanden hat. Ein Betrüer, der eine ekaufte Karte vervielfältien möchte, muÿ dazu nur diese Nummer verändern. Er kennt nach Voraussetzun das esamte System mit Ausnahme der Schlüssel, also weiÿ er, welche Bits des Klartextes er verändern muÿ. Bei einer Stromchire kann er sie im Geheimtext lokalisieren und bei einem Blockverfahren wenistens noch den oder die Blöcke ermitteln, die die Ticketnummer oder Teile davon enthalten. Bei Stromchiren enüt ihm das. Er ersetzt die betreenden Bits im Geheimtext einfach durch zufälli ewählte Werte. Beim Entschlüsseln wird daraus eine andere, ebenfalls zufällie Bitfole und an allen anderen Parametern ändert sich nichts. Mit etwas Glück hat der Betrüer auf diese Weise eine Ticketnummer eneriert, die noch nicht in der Liste der Kontrollstation steht und besitzt nun zwei ültie Eintrittskarten zum Preis von einer. Man kann das ein weni erschweren, indem man für die Ticketnummer nur die unbedint notwendie Anzahl von Bits benutzt, aber damit landet man alsbald bei einer Numerierun, die für jede Veranstaltun bei Null beinnt. Das efällt dem Betrüer, denn wenn er als Erster am Einlaÿ erscheint, steht seine Zufallszahl sicher noch nicht in der Liste und er kann auch noch zuschauen, wie später ein ehrlicher Kunde des Betrus bezichtit wird, weil seine Ticketnummer bereits vom Betrüer verbraucht wurde. Verschlüsseln mit RC4 M: RC4(K): = C Ermitteln von RC4(K) bei bekanntem M und C: M: C: = RC4(K) Abb. 3.2: Stromchiren schützen nicht vor Manipulation Mit einer Stromchire eht es also nicht. Zwar kann man sie so estalten, daÿ der Wert eines einzelnen Bits beim Ver- oder Entschlüsseln auch die Werte nachfolender Bits 42

43 3.1 Authentikation beeinuÿt. Mit der Ticketnummer würde der Betrüer dann leichzeiti auch nachfolende Daten ändern. Doch wenn das Verfahren erst modiziert werden muÿ, um überhaupt brauchbar zu sein, kann man es etrost beiseite leen, zumal kein Manel an Alternativen besteht. Auch wurde ein anderer erheblicher Manel noch ar nicht erwähnt. Häu wird der Schlüsselstrom durch bitweise Addition modulo 2 mit dem Klartext verknüpft. Ist der Klartext bekannt, läÿt sich der benutzte Teil des Schlüsselstroms leicht ermitteln. Das liefert zwar noch nicht den Schlüssel selbst, enüt jedoch, um eine Nachricht leicher Läne zu verschlüsseln. Bleiben die Blockchiren. Da hat es der Anreifer etwas schwerer. Er kann innerhalb des Blocks keine einzelnen Bitpositionen manipulieren. Nichts hindert ihn aber daran, einzelne Blöcke einer Nachricht mit Zufallszahlen zu überschreiben. Er kann auch Blöcke innerhalb der Nachricht vertauschen. Selbst ezielte Veränderunen sind leicht mölich, wenn mehrere Nachrichten mit demselben Schlüssel esichert wurden. Dann kann der Betrüer einen Block aus einer Nachricht (deren Klartext er in unserem Fall kennt!) durch einen aus einer anderen ersetzen. M Verschlü sselun schützt nicht vo r Manipu C = E (M) K Lirhbj3uT &bceji9d kkl0w%di 0:oasljk -DG4sx*j C' Lirhbj3uT &bceji9d whf9yhi 0:oasljk -DG4sx*j M' = D (C') K Verschlü sselun l4ewaxil nicht vo r Manipu Abb. 3.3: Veränderun eines Geheimtextblockes in einer Nachricht Und was ist mit kurzen Nachrichten, so kurz, daÿ ein einzier Block ausreicht? Im 2. Kapitel wurde unter anderem ein Parametersatz voreschlaen, der neben der Ticketnummer die Anfanszeit der Veranstaltun enthält und vielleicht noch eine Preisklasse. Das paÿt ut in acht Bytes. Findet ein Betrüer keine anderen Lücken, kann er es immer noch versuchen, ein Ticket zu erraten. Das macht weni Arbeit und wenn er falsch eraten hat, muÿ er nur schnell enu welaufen. Mit welcher Wahrscheinlichkeit ist eine zufälli ewählte Nachricht dieser Läne eine ülties Eintrittskarte? Der Einfachheit halber sei anenommen, daÿ nur die Ticketnummer und die Anfanszeit verwendet werden. Für Zeitanaben kann man eine Darstellun benutzen, die in der Unix-Welt als time_t 11 bekannt ist. Bleiben vier Bytes, die die Ticketnummer enthalten sollen. 11 Der Typ time_t ist unter den änien Unices ein 32-Bit-Inteer-Wert. Er ibt einen Zeitpunkt in Sekunden an, die seit :00:00Z veranen sind. Der Wertebereich enüt bei 32 Bit bis zum Januar des Jahres

44 3 Sicherheit Bei einer Blockläne von 64 Bit ibt es 2 64 verschiedene Geheimtextblöcke c. Jedem wird durch die Entschlüsselunsfunktion ein anderer Klartextblock m c = D K (c) zueordnet. Welcher das ist, hänt vom Schlüssel ab. Der Betrüer wählt einen Block c. Schlimmstenfalls ist die Nummernliste der Kontrollstation leer. Dann wird jede Nummer akzeptiert. Die 32 Bits, die die Ticketnummer enthalten, können also beliebi sein. Das Problem reduziert sich darauf, einen Geheimtextblock c zu nden, der beim Dechirieren in den übrien 32 Bit den richtien Wert liefert. Wäre dafür enau eine Bitfole zuelassen, fände der Betrüer mit einer Wahrscheinlichkeit von 1:2 32 = 1 : durch bloÿes Raten einen eeineten Geheimtextblock. Ticket Ticketnummer Anfanszeit Bit 32 Bit aktuelle Uhrzeit t = ülti, falls Ticketnummer noch nicht benutzt und < t < Abb. 3.4: Zufälli ewähltes Ticket Die voreschlaene Kontrollprozedur für solche Tickets fordert ledilich, daÿ die aktuelle Uhrzeit bei der Kontrolle in einem Intervall um den Veranstaltunsbeinn liet, der auf dem Billett aneeben ist. Ein sinnvolles Zeitintervall kann in einem Kino beispielsweise eine halbe Stunde, 1800 Sekunden, vor Vorstellunsbeinn anfanen und eine halbe Stunde danach enden. Der ratende Betrüer erscheint zu einem bestimmten Zeitpunkt am Veranstaltunsort und muÿ eine passende Ticketnachricht nden. Passend ist das Ticket dann, wenn sich die darin enthaltene Anfanszeit um nicht mehr als 1800 Sekunden vom Kontrollzeitpunkt unterscheidet. Das ist mit Sicherheit der Fall, wenn sich die time_t-darstellunen beider Zeiten in wenistens einem der 21 höchstwertien Bits unterscheiden, denn dann ist die Dierenz auf jeden Fall rösser als = (Der Betrüer rechnet umekehrt: Unterscheiden sich ledilich die zehn niederwertien Bits, ist die Dierenz kleiner als 2 10 = 1024 und er er kann bestimmt ins Kino ehen.) Nur die 21 höchstwertien Bits muÿ der Betrüer also arantiert richti raten, um sich ein ülties Ticket zu verschaen. Bei zufällier Wahl kann er das mit einer Wahrscheinlichkeit von 1 : 2 21 = 1 : bewerkstellien. Mit einfachem Raten kommt er in der vorausesetzten Konstellation also nicht sehr weit. Die Chance, zu einer estohlenen EC-Karte die vierstellie Geheimzahl zu erraten 12 ist deutlich besser, und im Erfolsfall winkt Bareld statt eines Kinobilletts im Wert von dreizehn Mark. Die kleine Überschlasrechnun zeit zweierlei. Grundsätzlich sind symmetrische Blockchiren eeinet, eine kurze Nachricht vor Verfälschun zu schützen. Das funktio- 12 Theoretisch 1:3000 bei drei Versuchen und PINs von 1000 bis 9999, praktisch für ältere Karten 1:682 ohne und 1:150 mit Kenntnis der Daten auf dem Manetstreifen. [Moe97, Kuhn97] 44

45 3.1 Authentikation niert jedoch nur, wenn der Empfäner einie Bits der Nachricht schon kennt. Die Anzahl der bekannten Bits induziert eine obere Schranke der Manipulationssicherheit, indem sie die Erfolswahrscheinlichkeit eines Anris durch einfaches Raten festlet. Der Versuch, eine ültie Nachricht zu erraten, ist einfach und läÿt sich nicht verhindern. Welches Risikodavon auseht, kann man ausrechnen oder schätzen. Bisher haben wir anenommen, daÿ es keinen einfacheren Anri ibt. Ist diese Annahme erechtfertit? Die benutzte Blockchire muÿ unanfälli een Anrie mit ewähltem Klartext sein. Ein Betrüer kann beim Ticketkauf die Parameter zumindest teilweise selbst bestimmen. Vermutlich enüt ihm das nicht, aber sicher ist sicher und die Nebenwirkun ist ohnehin erwünscht: een Anrie mit ledilich bekanntem Klartext, die unsere Anwendun ermölicht, ist das Verfahren dann auf jeden Fall resistent [MOV96]. Moderne Alorithmen sind mit dem Ziel konstruiert, solchen Anrien standzuhalten; ein starkes Verfahren lässt nur Anrie zu, die enauso schwer sind wie das Durchsuchen des esamten Schlüsselraumes [Bla96]. unabhäni vom einesetzten Verschlüsselunsalorithmus ilt: It is also believed that forin messaes is as dicult as breakin the cipher, and that frequent key replacements increase the security of the cipher, or at least cannot reduce its strenth. In this paper we show that all these beliefs are wron. Eli Biham [Bih96]. So schlimm, wie man nach diesem Zitat lauben könnte, ist es allerdins nicht. Bihams Report befaÿt sich mit Situationen, in denen derselbe (bekannte) Klartextblock mit vielen verschiedenen Schlüsseln verschlüsselt wird. Viele sind für den dort beschriebenen Anri 2 k=2 Geheimtexte bei einer Schlüsselläne von k Bits. Der Anri liefert dann einen der 2 k=2 Schlüssel, aber nicht sicher, sondern ledilich mit hoher Wahrscheinlichkeit. Dazu sind 2 k=2 Berechnunen nöti. Auch mit wenier Geheimtexten führt er zum Erfol, aber dann steit die Komplexität. Stehen umekehrt noch mehr Geheimtexte zur Verfüun, so werden auch mehr Schlüssel aufedeckt und der Rechenaufwand je efundenem Schlüssel verrinert sich. Der Anri besteht einfach darin, daÿ ein Klartext, etwa ein immer wieder auftretender Kommunikationsheader, mit 2 k=2 zufällien Schlüsseln verschlüsselt wird. Die so erhaltenen Klartexte speichert der Anreifer zusammen mit den Schlüsseln in einer Tabelle. Jeder abefanene Geheimtext kann nun einfach in der Tabelle esucht werden. Ist er darin enthalten, liefert das sofort den zuehörien Schlüssel. Für das elektronische Billett stellt der Kollisionsanri keine wirkliche Gefahr dar. Kryptosysteme mit wenier als 64 Bit Schlüsselläne möchte man ohnehin nicht mehr benutzen 13, so daÿ ein Betrüer nicht nur 2 32 Tickets brauchte, sondern auch alle mit leichem Inhalt, aber mit verschiedenen Schlüsseln verschlüsselt. Hier aufeführt ist Bihams Anri, weil er unabhäni vom benutzten Verschlüsselunsalorithmus funktioniert. Zudem zeit er beispielhaft, wie der konkrete Einsatz eines 13 Im Juli 1998 elan es der Electronic Frontier Foundation (EFF), mit einem Spezialrechner im Wert von knapp Dollar einen 56-Bit-DES-Schlüssel in nur drei Taen zu nden [EFF98a, EFF98b]. Es wird nicht mehr lane dauern, bis die nötie Rechenleistun jedem zur Verfüun steht. 45

46 3 Sicherheit Kryptosystems in diesem Fall die Verschlüsselun von immer leichen Kommunikationsheadern mit verschiedenen Schlüsseln die Sicherheit des Systems beeinussen kann. Schlimmstenfalls lassen sich mehrere Schwachstellen emeinsam ausnutzen und liefern zusammen einen einfachen Anri. Alorithmus Blockläne Schlüsselläne Bemerkunen DES 64 Bit 56 Bit zu kurze Schlüssel [EFF98a, EFF98b] IDEA 64 Bit 128 Bit patentiert; nichtkommerzielle Nutzun frei RC5 32, 64 und 128 Bit bis 2048 Bit beschrieben in [BaRi96] Blowsh 64 Bit bis 448 Bit beschrieben in [Schn96] Tab. 3.1: Einie Blockchiren Abschlieÿend sind in Tabelle 3.1 einie verbreitete Blockchiren aufeführt. Einen umfassenderen Überblick enthält [MOV96]. Eine Reihe von Neu- und Weiterentwicklunen bewerben sich derzeit darum, als Advanced Encryption Standard (AES) zum DES- Nachfoler zu werden [NIST98]. Bis der Sieer feststeht, wird noch einie Zeit verehen Codes zur Nachrichtenauthentikation Veränderunen an sehr kurzen Nachrichten können mit symmetrischen Blockchiren erkennbar emacht werden, wenn die Nachricht enüend Redundanz enthält. Bei läneren Nachrichten scheitert das daran, daÿ die Blöcke unabhäni voneinander behandelt werden. Das läÿt nicht nur Manipulationsmölichkeiten, sondern efährdet auch die Geheimhaltun, zu der sie normalerweise einesetzt werden. Kommt ein Block im Klartext mehrfach vor, enthält auch der Geheimtext an den entsprechenden Positionen identische Blöcke. Ein Anreifer erhält daraus Informationen über den Klartext, bevor er überhaupt richti mit seiner Arbeit beonnen hat. Um das zu verhindern, kann ein Blockalorithmus in verschiedenen Betriebsarten einesetzt werden [MOV96, Schn96]. Die einfachste, der Electronic Codebook Mode (kurz ECB), wurde bereits im vorien Abschnitt vorestellt. Drei weitere sind verbreitet. Der Cipher Feedback Mode (CFB) und der Output Feedback Mode (OFB) machen im wesentlichen eine Stromchire aus dem Blockalorithmus [Schn96, MOV96] und sind damit für die Nachrichtenauthentizierun uninteressant. Der dritte Modus, das Cipher Block Chainin (CBC), läÿt die Blockverschlüsselun selbst unanetastet, verknüpft jedoch den i-ten Klartextblock m i vorher mit dem (i 1)-ten Geheimtextblock c i 1. Beim ersten Block wird statt dessen ein zufällier Initialisierunsvektor iv benutzt, der nicht eheim bleiben muÿ. Mit Bezeichnunen wie in und als bitweiser Addition modulo 2 verläuft die Verschlüsselun im CBC-Modus emäÿ E K (M )=E K (m 1 m 2 :::m l )= E K (m 1 iv)e K (m 2 c 1 ) :::E K (m l c l 1 ) = c 1 c 2 :::c l = C und das Entschlüsseln entsprechend D K (C) =D K (c 1 c 2 :::c l )=iv D K (c 1 )(c 1 D K (c 2 )) :::(c l 1 D K (c l )) = m 1 m 2 :::m l = M. Nun hänt jeder Block c i des Geheimtextes vom i-ten Block m i des 46

47 3.1 Authentikation Klartextes und allen vorausehenden Klartextblöcken ab. [MOV96] Das sieht auf den ersten Blick ut aus, enüt aber nicht, um Fälschern das Leben schwer zu machen. Zum einen ist die Abhänikeit nur in einer Richtun wirksam. Eine Änderun am Geheimtextblock c i beeinuÿt die vorherehenden Blöcke nicht; der Empfäner erhält beim Entschlüsseln m 1 :::m i 1 unverändert. Aber auch in der anderen Richtun wirkt sich die Änderun von c i nur beschränkt aus. Davon sind nämlich nur die Blöcke m i und m i+1 betroen. Für m i+1 kann der Anreifer soar bestimmen, welche Bitpositionen sich (mölicherweise) ändern, indem er enau diese Stellen in c i manipuliert, denn m i+1 ist ja nichts anderes als D K (c i+1 ) c i. Wie sich Blockchiren trotzdem zur Nachrichtenauthentizierun einsetzen lassen, zeit zum Beispiel Simmons in seinem Überblick [Sim92]. Die esamte Nachricht wird im CFB-Modus verschlüsselt und letzte Block, der sowohl vom Schlüssel als auch von der esamten Nachricht abhänt, wird zusammen mit dem Klartext übertraen. Der Empfäner wiederholt die Prozedur und verleicht das Erebnis mit dem Block, den er zusammen mit der Nachricht erhalten hat. Stimmen beide überein, stammt die Nachricht tatsächlich vom vermuteten Absender und ist unverfälscht. Dem Fälscher fehlt hier der Geheimtext. Ihn könnte er verändern und so das Erebnis des Entschlüsselns nicht nach Belieben, aber doch vielleicht ezielt enu für seine Zwecke beeinussen. Nun berechnet der Empfäner nur noch den letzten Block dieses Geheimtextes als Funktion der empfanenen Nachricht und des eheimen Schlüssels und verleicht den Funktionswert mit dem, den der Sender auf leiche Art ermittelt hat. Das ist das Prinzip der Codes zur Nachrichtenauthentikation, enlisch Messae Authentication Codes (MAC). Will der Fälscher fälschen, muÿ er zu seiner Nachricht einen passenden MAC konstruieren. Dazu brauchte er aber, so der Alorithmus sicher ist, den Schlüssel, der in die Berechnun eineht. Codes zur Nachrichtenauthentizierun sind das Geenstück zu den fehlererkennenden und -korriierenden Codes der Kodierunstheorie [Sim92]. In beiden Fällen werden die Nachrichten vor der Übermittlun mit zusätzlicher Redundanz versehen. Codes zur Fehlerkorrektur sind so estaltet, daÿ die wahrscheinlichsten Übertraunsfehler zu einer Nachricht führen, die im Sinne irendeines Abstandsmaÿes nahe bei der esendeten Nachricht lieen und als unülti erkennbar sind. Der Empfäner kann zu jeder empfanenen Nachricht die wahrscheinlich esendete ermitteln. Zur Authentizierun hineen sollen Verfälschunen, die ein Anreifer bewuÿt vornimmt, eine unültie Nachricht erzeuen, so sehr er sich auch anstrent. Blockchiren sind nicht die einzie Mölichkeit, Authentizierunscodes zu erzeuen. Schneier erwähnt eine Reihe von Alorithmen [Schn96], hat aber an fast allen etwas auszusetzen. Hier soll nur ein weiteres Verfahren besprochen werden. Einen Code zur Nachrichtenauthentizierun kann man aus jeder kryptoraphischen Hashfunktion ewinnen. Eine Hashfunktion bildet beliebi lane Nachrichten auf einen Hashwert konstanter Läne ab. Kryptoraphische Hashfunktionen sollen schwer zu invertieren und kollisionsfrei sein, das heiÿt es soll praktisch unmölich sein, zu einem eebenen Hashwert eine passende Nachricht oder zu einer eebenen Nachricht eine zweite mit leichem Hashwert zu nden. Auÿerdem soll sie für eine eebene Nachricht leich zu berechnen sein [RLab98]. Eine kryptoraphische Hashfunktion erzeut also eine 47

48 3 Sicherheit Art Finerabdruck, ein Messae Diest, das für die Nachricht charakteristisch ist und sich mit der Nachricht verändert; eine zweite Nachricht mit leichem Finerabdruck zu erzeuen elint praktisch nicht. Um daraus einen Authentizierunscode zu erhalten, muÿ man Auÿenstehende nur noch daran hindern, zu einer veränderten Nachricht selbst einen neuen Hashwert zu bestimmen. Alorithmus Hashläne Bemerkunen MD4 16 Bytes RFC 1320; Sicherheitsprobleme MD5 16 Bytes RFC 1321; sicherer als MD4 SHASHA-1 20 Bytes Bestandteil des Diital Sinature Standard RIPEMD Bytes [BDP97] Tab. 3.2: Einie Hashfunktionen Man könnte den Finerabdruck einfach mit einem der bereits erwähnten symmetrischen Alorithmen verschlüsseln. Damit handelte man sich jedoch wieder die leichen Probleme ein, derentween man einen MAC überhaupt benutzen möchte. Der bekannte Klartext ein Anreifer kann den Finerabdruck der Oriinalnachricht leicht berechnen macht Stromchiren wie RC4 unbenutzbar. In einen einzelnen Block paÿt er bei änien Blockalorithmen, zum Beispiel DES oder IDEA, nicht; zudem besitzt er, anders als unsere Tickets, keine Redundanz, die der Empfäner nutzen könnte, um Manipulationen am MAC zu erkennen. Ein eeineters Verfahren, einen eheimen Schlüssel in die Berechnun einieÿen zu lassen, ist in RFC 2104 beschrieben. Es erfordert neben einer Hashfunktion H(x) und dem Schlüssel K zwei Bytefolen p i und p o, die voreeben sind und in der Spezikation ipad bzw. opad enannt werden. Bezeichne wieder die bitweise Addition modulo 2 und die Verkettun zweier Bytefolen. Den MAC, der mit der Nachricht M versandt wird, erhält man durch HMAC(M) = H((K p o ) H((K p i ) M )). Die Läne des resultierenden Codes hänt von der Hashfunktion H ab. Üblich sind 16 (MD5) oder 20 (SHA, RIPEMD-160) Bytes. Das HMAC-Verfahren ist dank seiner Veröentlichun als RFC darin ist eine Referenzimplementierun in C enthalten recht weit verbreitet. Andererseits ist es noch jun und deshalb weni untersucht. Betrachtunen zur Sicherheit der HMAC-Konstruktion nden sich in [KaRo95] und [BCK96] Diitale Sinaturen Verschlüsselun schützt kurze, ein Authentizierunscode auch lane Nachrichten vor unbemerkter Manipulation. Das ist schön, macht uns aber noch nicht lücklich. Beide Verfahren arbeiten symmetrisch. Sender und Empfäner brauchen einen Schlüssel, der jedem der beiden und niemandem sonst bekannt ist. Sie können ihn konspirativ austauschen oder mit einem eeineten Protokoll vor aller Auen vereinbaren, ohne daÿ ihn hinterher ein anderer kennt. 48

49 3.1 Authentikation Ist das nicht enu? Ist es nicht. Kopien des Schlüssels werden an zwei Orten aufbewahrt. Wer ihn stehlen möchte, kann sich das schlechter bewachte Ziel aussuchen. Für die ditale Eintrittskarte bedeutet das, daÿ die Kontrollstation enauso ut unbefutem Zuri eschützt werden muÿ wie das Verkaufssystem. Das ist aufwendi, denn während das Verkaufssystem für Auÿenstehende nur über eine Netzverbindun erreichbar ist, laufen Ta für Ta Tausende von Besuchern an den Kontrollstellen vorbei. Jedes Sender- Empfäner-Paar braucht einen eienen Schlüssel. Der Sender kann nur dem Empfäner die Echtheit einer Nachricht nachweisen, aber keinem Dritten. Diitale Sinaturen lösen all diese Probleme auf aus heutier Sicht nahelieende Weise. Sender und Empfäner teilen sich nicht mehr ein emeinsames Geheimnis, sondern nur der Sender besitzt einen eheimen Schlüssel K s (s wie secret). Dessen öentliches Geenstück K p (p für public) darf hineen nicht nur der Empfäner kennen, sondern auch sonst jeder. Der Sender kann mit seinem eheimen Schlüssel eine Sinierfunktion S Ks ausführen und jeder, der den öentlichen Schlüssel besitzt, die Verikationsfunktion V Kp = S 1 K s. Die Funktionen müssen so beschaen sein, daÿ bei Kenntnis des öentlichen Schlüssels K p der eheime K s des Senders praktisch nicht berechnet werden kann. Geeinete Funktionen können zum Beispiel aus der Faktorisierun roÿer Zahlen oder dem diskreten Loarithmus ewonnen werden [MPW92]. Wie schon bei den MACs wird die Nachricht im Klartext übertraen und um Redundanz erweitert, die dem Empfäner die Echtheitsprüfun estattet. Dazu sind Hashfunktionen ut eeinet, sofern man nur Anreifer daran hindern kann, den Hashwert durch einen selbst berechneten zu ersetzen [MPW92]. Authentizierunscodes, die aus einer Hashfunktion erzeut werden, nehmen dafür den eheimen Schlüssel zur Einabe hinzu. Für eine diitale Sinatur wird statt dessen die Sinierfunktion auf einen Finerabdruck der Nachricht anewandt. Ist H eine kryptoraphische Hashfunktion und M die zu übertraende Nachricht, so ermittelt der Sender zunächst den Finerabdruck F = H(M ). Dann berechnet er für F den Wert seiner Sinierfunktion und erhält A = S Ks (F ) = S Ks (H(M )). Zusammen mit der Nachricht M schickt er A an den Empfäner. Jener wendet die Verikationsfunktion auf A an und erhält V Kp (A) = S 1 K s (A) = F. Weiter berechnet der Empfäner selbst einen Finerabdruck F 0 = H(M ) der erhaltenen Nachricht. Stimmen F und F 0 überein, hat er die Nachricht unverfälscht empfanen und kann sicher sein, daÿ sie vom vermuteten Sender stammt. Da der Empfäner kein Geheimnis mehr braucht, um die Echtheit einer Nachricht zu prüfen, kann jeder in seine Rolle schlüpfen. Dadurch ist es mölich, Dritten die Herkunft einer Nachricht zu beweisen. Der eheime Schlüssel muÿ nur noch an einem Ort vor Neuierien eschützt werden. Es ist nur noch ein Schlüssel pro Sender nöti und nicht einer für jede Kommunikationsbeziehun. Diitale Sinaturen werden derzeit am häusten mittels des RSA-Kryptosystems erzeut [RLab98]. RSA ermölicht nicht nur die Herstellun von Sinaturen, sondern auch asymmetrisches Verschlüsseln. Sender und Empfäner tauschen dabei ihre Rollen, was den Besitz von Geheimnissen anbelant. RSA ist nicht nur weit verbreitet, sondern auch fast so alt wie die Idee, daÿ es überhaupt Kryptoraphie mit öentlichem Schlüssel eben könnte. Der RSA-Alorithmus ehört deshalb zu den am besten untersuchten 49

50 3 Sicherheit Alorithmus Sinaturläne Schlüsselläne (Modulus) Grundlae RSA leich der ab 512 Bit Faktorisierun Schlüsselläne roÿer Zahlen DSA 320 Bit bis 1024 Bit diskreter Loarithmus Bemerkunen kürzere Schlüssel sind mölich, aber unsicher länere Schlüssel mölich, aber in DSS nicht voresehen Tab. 3.3: Verbreitete Sinaturverfahren asymmetrischen Verfahren. Neben asymmetrischen Kryptosystemen, die wie RSA sowohl das Verschlüsseln als auch das Sinieren erlauben, ibt es auch solche, die nur eins von beidem ermölichen. Als Vertreter dieser Gruppe hat in jünerer Zeit vor allem der Diital Sinature Alorithm (DSA) Verbreitun efunden, der Bestandteil des amerikanischen Diital Sinature Standard (DSS) ist [RLab98]. Asymmetrische Kryptoraphie macht den Schlüsselaustausch einfacher, wirft aber erade dadurch ein neues Problem auf. Die öentlichen Schlüssel darf zwar jeder kennen, aber wenn sie völli unesichert übermittelt werden, ist ein Man-in-the-middle-Anri mölich [Schn96]. Der Anreifer fänt dabei den öentlichen Schlüssel während der Übertraun ab und schickt statt seiner einen anderen weiter, zu dem er den zuehörien eheimen Schlüssel besitzt. Der Empfäner des falschen Schlüssels wird nun die Sinaturen des Anreifers für echt halten oder Nachrichten mit dessen öentlichem Schlüssel verschlüsseln. Solane der Anreifer die esamte Kommunikation zwischen den beiden Beteiliten abfanen kann, ist er so in der Lae, nach Belieben mitzulesen und Sinaturen zu fälschen. Öentliche Schlüssel dürfen also zwar von jedem elesen werden, brauchen aber selbst einen Echtheitsnachweis, wenn sie über unsichere Kanäle verbreitet werden. Das Echtheitszertikat kann mittels einer diitalen Sinatur an den Schlüssel ebunden werden, aber um sie zu prüfen, braucht man wieder einen sicher echten öentlichen Schlüssel der Einrichtun, die das Zertikat ausestellt hat. Wie man es auch dreht und wendet, wenistens einmal ist Kommunikation auf einem manipulationssicheren Kanal nöti [MOV96]. Ein zweites Problem schränkt den Einsatz asymmetrischer Kryptoraphie stärker ein. Sie erfordert weit aufwendiere Rechenoperationen als symmetrische Verfahren. Asymmetrische Verfahren sind deshalb schwierier in Hardware zu implementieren und arbeiten lansamer. Die Lansamkeit spielt eher beim Einsatz zur Verschlüsselun eine Rolle; hier nutzt man das asymmetrische Verfahren in der Reel nur, um einen Sitzunsschlüssel für einen symmetrischen Alorithmus zu vereinbaren. Ween des Aufwandes für Hardwareimplementierunen sind Chipkarten für asymmetrische Kryptoraphie teuer. DSA kann jedoch auch auf elliptischen Kurven implementiert werden, was unter anderem Hardware- 50

51 3.1 Authentikation Implementierunen vereinfacht [JuMe97]. Sollen nur sehr kleine Nachrichten authentiziert werden, macht sich ein weiterer Nachteil bemerkbar. Sinaturen sind, insbesondere wenn der RSA-Alorithmus verwendet wird, wesentlich läner als MACs [Schn96] Schlüsselverwaltun Seattle (dpa) - Die Bürer von Seattle im US- Bundesstaat Washinton sollten tunlichst nicht mehr die öentlichen Briefkästen benutzen. Das rät die Polizei, nachdem Diebe oenbar den Zentralschlüssel für alle blauen Postbehälter estohlen und kopiert haben. Ein Postsprecher ab bekannt, daÿ Briefe bis weit ins nächste Jahr hinein mölichst in den Postämtern aufeeben werden sollen. Das Ersetzen der derzeitien Schlösser an allen Briefkästen in Seattle könnte bis Ende nächsten Jahres dauern. [DPA98a] Kryptoraphie dient dazu, komplexe Probleme auf den richtien Uman mit einer kleinen Anzahl von Schlüsseln zu reduzieren. [MOV96] Das bedeutet insbesondere sichere Geheimhaltun und Schutz vor miÿbräuchlicher Verwendun eheimer Schlüssel sowie die Authentizitätssicherun öentlicher Schlüssel. Die Benutzer müssen dann nicht mehr dem Gesamtsystem vertrauen, sondern nur noch den wenien, leicht zu überwachenden Komponenten, die den Uman mit Schlüsseln betreen. Ein ansonsten sicheres Desin vorausesetzt, steht und fällt die Sicherheit mit dem Schlüsselmanaement. Die Schlüsselverwaltun erfolt auf der Grundlae eines Reelwerks, 14 das die Bedrohunen beschreibt, vor denen das System schützen oder eschützt werden soll. Darüber hinaus let es Praktiken und Verfahren für das Schlüsselmanaement, die Verantwortunsbereiche der Beteiliten sowie Art und Umfan zu führender Aufzeichnunen fest. Das Schlüsselmanaement umfaÿt nach [MOV96] Techniken und Verfahren zur Initialisierun des Systems, zur Erzeuun und Verbreitun, zur Kontrolle der Benutzun, zum Aktualisieren, und Vernichten sowie zum Speichern und Archivieren von Schlüsseln. Dabei dürfen sie insbesondere nicht verlorenehen und keinem Unbefuten zur Kenntnis elanen. 15 Die Lebensdauer der Schlüssel muÿ festelet werden und Prozeduren für die Ersetzun einmal im Normalfall und zum anderen für den Fall, daÿ ein Schlüssel kompromittiert wird. Für den Ticketverkauf via Internet enüen einfache Verfahren, denn die Situation ist überschaubar. Es ibt nur zwei Parteien, den Veranstalter und die Kunden. Die esamte Kryptoraphie ndet auf Veranstalterseite statt. Der Kunde ist nichts weiter als ein unsicherer Nachrichtenkanal. 16 Es ibt also insbesondere keine verschiedenen Parteien, die trotz eenseitien Miÿtrauens Schlüssel austauschen müÿten, und ein sicherer Kanal zur Schlüsselübertraun ist leicht herzustellen. 14 Im Enlischen hat sich die Bezeichnun security policy einebürert. Die wörtliche Übersetzun Sicherheitspolitik wirkt ein weni holperi. 15 Ween der roÿen Gefahr eines Anris von innen ist eientlich jeder unbefut. 16 So der Kunde das als diskriminierend empndet, lese man ihm laut vor: There is a Bank B, a collection of vendors fv i, and a collection of customers fc i, all of whom are assumed to be communicatin Turin Machines. [FrYu93] 51

52 3 Sicherheit Das röÿtmöliche Unlück ist die Kompromittierun eines eheimen Schlüssels. Wer einen solchen ausspäht, kann damit nicht nur selbst Tickets herstellen, sondern stellt den Veranstalter noch vor ein zweites Problem. Wurden bereits Tickets verkauft, die mit diesem Schlüssel esichert sind, müssen sie benutzbar bleiben. Verlieren ehrliche Kunden ohne eiene Schuld ihr Eintrittseld, werden sie zu ehemalien Kunden. Der Veranstalter betreibt ein Verkaufssystem und Kontrollstationen. An drei Punkten sind Anrie auf Schlüssel mölich. Anrie auf das Verkaufssystem kompromittieren alle eheimen Schlüssel. Selbst wenn man den Anreifer daran hindern kann, Schlüssel zu kopieren, ist er doch in der Lae, sie bis zur Entdeckun zu benutzen, um scheinbar authentische Nachrichten auf Vorrat zu erzeuen. Da er auÿerdem die Software manipulieren kann, ist nach einem solchen Anri praktisch eine Neuinstallation notwendi. Das Verkaufssystem ist mölicherweise bei einem Internet-Provider unterebracht. Anrie sind ohne physischen Zuan mölich. Ein Anri auf eine Kontrollstation kompromittiert bei Einsatz symmetrischer Verfahren die dort benutzten Schlüssel. Der Anreifer kann auÿerdem die Software manipulieren und eiene Schlüssel installieren. Für einen Anri auf eine Kontrollstation ist physischer Zuan notwendi. Der Schlüsseltransport ist nur dann problematisch, wenn Schlüssel reelmäÿi ewechselt werden. Schlüssel für symmetrische Verfahren können hierbei ausespäht werden. Auch in diesem Fall hat der Anreifer die Mölichkeit, eiene Schlüssel in einer Kontrollstation zu installieren. Manipulationen an der Software sind daeen auseschlossen. Wenistens für das Verkaufssystem muÿ vorausesetzt werden, daÿ eheime Schlüssel sicher vor unbefutem Zuri espeichert sind. Wer an dieser Stelle erfolreich einen Anri vorträt, hat ewonnen und wird mit einer kostenlosen Dauerkarte belohnt. 17 Jede andere Annahme macht das Schlüsselmanaement ledilich komplizierter, aber nicht sicherer. Vertrauenswürdie Komponenten sind unverzichtbar, und sei es nur zur Speicherun von Hauptschlüsseln, mit denen die übrie Schlüsselverwaltun esichert wird. Das Verkaufssystem ist in erster Linie durch seine Netzanbindun bedroht. Die sicherheitsrelevanten Komponenten der Kontrollstation sind vor allem vor physischem Zuri durch Unbefute zu schützen. Schlüssel für symmetrische Verfahren können darüber hinaus in besonderen Sicherheitseräten (das könnten etwa Chipkarten sein) espeichert werden. Sie müÿten einen Schlüssel speichern und damit MACs prüfen oder Nachrichten entschlüsseln können, dürften den Schlüssel selbst aber nicht herauseben. Soar nach einem Diebstahl der esamten Station könnten die alten Schlüssel weiter verwendet werden, um die bereits verkauften Tickets zu prüfen wenn nicht erade das Gerät estohlen wird, das den Schlüssel enthält. 17 Das ist kein Scherz. Wer ein ernstes Sicherheitsproblem ndet, sollte dafür belohntwerden, indem man ihn die Frchte seiner Entdeckun leal nutzen läÿt. Dann hat er nämlich einen uten Grund, seine Entdeckun mitzuteilen. 52

53 3.1 Authentikation Daÿ bei symmetrischen Verfahren jede Kontrollstation einen eienen Schlüssel bekommt, versteht sich von selbst. Der letzte Anrispunkt ist der Schlüsseltransport. Er läÿt sich entschärfen, indem man ihn vermeidet. Es ibt bei der hier diskutierten Anwendun keinen Anlaÿ, reelmäÿi die Schlüssel zu wechseln. Die Sicherheit des Kryptosystems leidet nicht wirklich unter den tausend Eintrittskarten, die ein eiÿier Betrüer vielleicht sammeln kann. Einzi bei der Einrichtun oder Erweiterun des Systems sowie nach Kompromittierun sind neue Schlüssel zu installieren. Die Schlüsselverwaltun ist deshalb einfach: Man kann sie von Hand erledien. Das Verkaufssystem erzeut einen Schlüssel, den ein Mensch auf einer Diskette oder einem anderen Datenträer zur Kontrollstation trät und ihn dort installiert. Seine Lebensdauer endet in der Reel mit der des Systems oder im Falle der Kompromittierun. Fast alle Fraen, um die es beim Schlüsselmanaement sonst noch eht, erledien sich damit von selbst. Alternativ könnte der Schlüssel, wenn symmetrische Verfahren benutzt werden, leich bei der Erzeuun auf einer Chipkarte espeichert werden, die ihn nicht mehr herausibt, sondern damit selbsttäti MACs prüft oder Nachrichten entschlüsselt. Ist das nicht zu einfach? Nein, denn jedes Schlüsselmanaement erfordert als ersten Schritt Handarbeit; wenistens (und im Idealfall: höchstens) einmal muÿ ein sicherer Kanal ohne kryptoraphische Hilfe aufebaut werden [MOV96]. Wo eheime Schlüssel espeichert werden, sind in jedem Fall Sicherheitsmaÿnahmen nöti, um sie vor unbefutem Zuri zu schützen. Es brächte also keinerlei Erleichterun, tauschte man in komplizierten Prozeduren reelmäÿi Schlüssel aus. Der anfänliche sichere Kanal enüt, um die Arbeitsschlüssel zu übermitteln, und der ohnehin notwendie Zurisschutz macht Kompromittierunen unwahrscheinlich, sonst wäre er kaputt. Ein weiteres Arument spricht für die simpelste Lösun. Die Benutzer werden aller Wahrscheinlichkeit nach nichts von Kryptoloie verstehen. Sie besitzen nicht das Wissen, Zertikate zu prüfen, und auch kein Verständnis für Sicherheit. Sie werden insbesondere nicht bereifen, daÿ und warum sie Schlüssel überhaupt wechseln sollten. Nicht weil sie dumm wären, sondern weil Kryptoloie in ihrem Weltbild keine allzu roÿe Rolle spielt. Das Schlüsselmanaement muÿ deshalb entweder automatisch erfolen, so daÿ die Benutzer keine schwerwieenden Fehler machen können, oder sich an dem orientieren, was die Benutzer bereits kennen. Hardware-Schlösser und -schlüssel kennen sie und vermutlich werden sie kryptoraphische Schlüssel damit assoziieren und sie enauso benutzen [Nor90]. Man kann den Benutzern leicht vermitteln, daÿ sie den Rechner ihrer Kontrollstation weschlieÿen oder auf ihre Chipkarten ut aufpassen müssen, denn das ist ein Konzept, das sie länst kennen. Ihre Kartenrollen schlieÿen sie ja jetzt auch ut we und daÿ man den Zündschlüssel abzieht, wenn man sein Auto verläÿt, ist für die meisten ebenfalls selbstverständlich. Das KISS-Prinzip 18 let unter diesen Umständen die einfachere Lösun nahe, weshalb auf den automatisierten Wechsel von Schlüsseln verzichtet werden soll. Was tun, wenn es doch passiert, wenn beispielsweise ein Cracker 19 in das Verkaufssy- 18 Keep It Simple, Stupid [Ray96, Ray98] 19 Der häu verwendete Beri Hacker bezeichnet eine andere, harmlose Spezies [Ray96, Ray98]. 53

54 3 Sicherheit stem eindrint? Dann sollte es einen We eben, bereits verkaufte Tickets mit den alten Schlüsseln zu kontrollieren, ohne leich jedem die Tür aufzuhalten. Dazu müsste man tatsächlich verkaufte Tickets erkennen können, obwohl die kryptoraphische Sicherun dabei nicht mehr hilft. Eine allemeine Lösun für dieses Problem ibt es nicht. Man kann eheime Schlüssel auch auf dem Verkaufssystem so speichern, daÿ sie nicht kopierbar sind, sondern ledilich benutzt werden können. Der Anreifer kann dann nicht einfach mit ihnen verschwinden, sondern muÿ immer wieder zum Tatort zurückkehren, wenn er ein neues Billett erzeuen möchte, was sein Entdeckunsrisiko erhöht. Jede Benutzun eines eheimen Schlüssels sollte in einer Protokolldatei vermerkt werden. Die allerdins muÿ wiederum vor Manipulation eschützt werden und das eht nur für Einträe, die vor einem Einbruch erzeut wurden [ScKe98]. 3.2 Reality Check II Nach dem kleinen Ausu in die Kryptoloie zurück ins richtie Leben. Unser böser Betrüer hat jetzt ein echtes Problem: Seine Fälschunen werden sicher erkannt. Kopieren fällt damit auch ach. Er könnte sich hinsetzen und so lane über Kryptoloie meditieren, bis er einen brauchbaren Anri auf das benutzte Verfahren efunden hat. Das möchte er aber ar nicht, denn er ist kein Kryptoanalytiker, sondern ein Betrüer, der für umsonst ins Kino will. Um ihn von Fälschunsversuchen abzuhalten enüt es schon, wenn er nur laubt, das sei kompliziert. (Was uns jedoch nicht zur Schlamperei verführen sollte!) Der Einsatz kryptoraphischer Verfahren allein ist daher kein Garant für Sicherheit. Im Geenteil, er kann Mein Schlüssel ist läner als deiner! Sicherheit voraukeln, wo in Wirklichkeit Scheunentore oenstehen. In einer Fuÿnote fanden bereits die EC- Karten Erwähnun. Sie sind ein Lehrstück dafür, wie man an sich recht brauchbare Kryptosysteme einsetzen muÿ, wenn das Gesamtsystem trotzdem unsicher werden soll. Das allein wäre vielleicht noch erträlich, doch wenn auf diese Weise Schäden entstehen, behaupten die Verantwortlichen ern, es sei alles sicher, denn man habe ja Kryptoraphie Unsichere EC-Karten Am 1. September 1998 verkündete das Amtsericht Frankfurt am Main ein Urteil [AGF98], das einies Aufsehen errete. Es verurteilte eine Bank, der Kläerin den Schaden von mehr als 4.500,- DM zu ersetzen, der bei Abhebunen mit ihrer estohlenen EC-Karte entstanden war. In der Urteilsberündun führt das Gericht unter anderem an, daÿ der Dieb die Geheimnummer (PIN) mit einer Wahrscheinlichkeit von 1:150 habe ermitteln können. Wie das mölich ist, erläutert [Kuhn97]. Das Problem liet nicht im DES-Alorithmus, der bei Erzeuun und Überprüfun der PIN einesetzt wird. Er hat unbestreitbar Schwächen, deren röÿte die inzwischen zu kleine Schlüsselläne [EFF98a, EFF98b] ist, ilt aber immer noch als utes und sicheres Desin. Der Fehler, der aus 1:3000 theoretischer Ratewahrscheinlichkeit 1:150 in der Praxis macht, wäre mit jedem anderen Verschlüsselunsalorithmus enauso aufetreten. 54

55 3.2 Reality Check II Bei der Erzeuun und Prüfun der Geheimnummer muÿ unter anderem eine vierstellie Hexadezimalzahl auf eine vierstellie Dezimalzahl abebildet werden. Nichts leichter als das, dachten die Ernder des Verfahrens und entschieden sich für die Division jeder einzelnen Stelle modulo 10. Die Ziern 0 bis 5 kommen deshalb häuer in Geheimnummern vor als die übrien. Darüber hinaus sollte die erste Stelle der PIN niemals den Wert null haben. Tritt die Null dort im Erebnis auf, wird sie deshalb durch eine Eins ersetzt. Das ändert noch einmal die Wahrscheinlichkeitsverteilun für die Ziern der ersten Stelle. In seiner wahrscheinlichkeitstheoretischen Betrachtun weist Kuhn nach, daÿ die leichtferti hinenommene Unleichverteilun der Ziern die Chance, in drei Versuchen die PIN einer zufälli ewählten EC-Karte zu raten, damit auf 1:150 steit. Das EC-Beispiel ist in zweierlei Hinsicht lehrreich. Zum einen zeit es, daÿ Fehler im Desin und der Implementierun von Sicherheitssystemen auch dann schwere Mänel stecken können, wenn die kryptoraphischen Verfahren selbst sicher und sauber implementiert sind. Zum anderen verdeutlicht es die nichttechnischen Wirkunen, die der Einsatz von Kryptosystemen haben kann. Jahrelan haben die Banken die esamte Verantwortun für Schäden durch Kartenmiÿbrauch den Kunden zueschoben. Mit dem Hinweis auf DES und darauf, daÿ es auch heute noch technisch auseschlossen [AGF98] sei, die PIN aus der Karte zu errechnen, konnten die Banken bis vor kurzem jede Schadensersatzforderun abwehren Knapp daneben ist auch vorbei Schneier [Schn97, Schn98], Anderson [And93] und Bezuidenhoudt [AnBe96] haben untersucht, wo und wie Sicherheitsprobleme beim Einsatz von Kryptoraphie tatsächlich auftreten. Schneier zählt in [Schn98] auf, an welchen Stellen Anrie auf ein System ansetzen können: Anrie auf das kryptoraphische Desin richten sich een die Art, wie kryptoraphische Alorithmen einesetzt werden. Als häu anreifbare Komponente nennt Schneier die Erzeuun von Zufallszahlen; werden aus schlechten Zufallszahlen Schlüssel erzeut, bleibt das System auch mit den besten Verschlüsselunsverfahren unsicher. Anderson erwähnt Sicherheitsmodule im Bankbereich, die ledilich die Uhrzeit zur Schlüsselerzeuun verwenden [And93]. Eine Problembeschreibun und Empfehlunen zur Erzeuun von Zufallswerten sind in RFC 1750 [ECS94] zu nden. Anrie auf die Implementierun werden durch Fehler im Proramm oder im Prorammdesin ermölicht. Anderson liefert mehrere Beispiele dafür, unter anderem das eines Geldautomaten, der eine eineführte Telefonkarte für die vorher benutzte Bankkarte hielt. Ein Ganove muÿte sich nur mit einer Telefonkarte in die Schlane stellen und die Geheimnummer des Kunden vor ihm ausspähen. [And93] Anrie auf Passworte nutzen die Tatsache aus, daÿ viele Benutzer lausie Passworte wählen. Das wird zum Beispiel von Prorammen wie Crack ausenutzt, um 55

56 3 Sicherheit mit einem einfachen Wörterbuchanri Unix-Passworte herauszunden, obleich die Verschlüsselun der Passworte nachweislich sicher ist [Neu95]. Zwint man die Nutzer, ute Passworte zu verwenden, schreiben sie sie auf. Anrie auf die Hardware können auftreten, wenn eine Anwendun manipulationssichere Geräte verlant. In den letzten Jahren wurden mehrere Methoden entdeckt, ohne Einri in das Gerät Informationen über die Voräne im Inneren zu erlanen. Anrie auf das Vertrauensmodell sind mölich, wenn ein ein System von falschen Annahmen über Beteilite auseht. Seine Benutzer können eine System versehentlich unsicher machen, indem sie es falsch nutzen. Anderson brint auch dafür Beispiele, etwa die uneschützte Aufbewahrun von Schlüsseln [And93]. Bei der Fehlerbehandlun können unsichere Zustände eintreten. Schlimmer noch ist der Fall, daÿ es keine Mölichkeit ibt, Fehler zu beheben. Das EC-Kartensystem besitzt aus diesem Grund eine Mölichkeit, kompromittierte Schlüssel zu ersetzen, ohne daÿ neue Karten auseeben werden müssen. Leider trät das Verfahren zur leichten Erratbarkeit der PINs bei [Kuhn97]. Anrie auf die kryptoraphischen Alorithmen selbst lassen sich leicht vermeiden, indem man anerkannt starkeverfahren einsetzt, ohne vermeintliche Verbesserunen einzubrinen. Anderson schreibt über eine Bank, die jahrelan vor den Auen von Prüfern und Beratern ein oensichtlich untauliches Verschlüsselunsverfahren einsetzte, ohne daÿ jemand daeen protestiert hätte [And93]. Schneier zieht daraus zwei Schlüsse. Zum einen sollte sich ein System nicht allein darauf ründen, daÿ die Kryptoraphie alle Anrie verhindert. Für den Fall des Versaens sollte es Methoden zur Betruserkennun und zur Berenzun des mölichen Schadens bereithalten. Zum anderen dürfen die Anreifer nicht unterschätzt werden. Sie wählen Wee, an die beim Entwurf niemand edacht hat und ihnen enüt eine einzie Lücke zum Erfol. Das System daeen muÿ jedem mölichen Anri standhalten Geleenheit macht Diebe Abschnitt beschäftit sich mit den Fähikeiten, die ein Betrüer besitzen könnte, und alle Betrachtunen drehten sich bis jetzt um möliche Anrie. Interessanter ist die Frae, was er tatsächlich versuchen wird, welche Anrie wahrscheinlich sind [And93], denn wir müssen uns vor echten Ganoven schützen und nicht vor theoretischen. Der Gener ist nicht die CIA, sondern jemand, der sich kostenlos ins Kino, Theater oder Museum schleichen möchte. Es schadet nicht, die Fähikeiten des Geners vorsichtshalber zu überschätzen, doch das ist nur die halbe Wahrheit. Betrüer sind Opportunisten [And93, And94, Schn97]. Sie möchten sich mit mölichst weni Aufwand einen mölichst roÿen Vorteil verschaen. Sorfälti eplante Hih-Tech- Anrie auf ein System kommen deshalb selten vor. 56

57 3.2 Reality Check II Statt dessen werden Geleenheiten enutzt, die sich anbieten. Wie die Handtasche auf dem Beifahrersitz, die den Einbruch ins abestellte Auto provoziert, dienen kleinste Nachlässikeiten als Ansatzpunkt. Als Schutz davor enüt es oft schon, daÿ ein System sicherer ist oder auch nur scheint als das nebenan [Schn97]. Ein Fahrrad schützt man am besten vor Diebstahl, indem man es neben ein schöneres stellt, das schlechter esichert ist. Selbst ut versteckte Fehler im Entwurf oder der Implementierun werden früher oder später zufälli entdeckt und es wird immer jemanden eben der sie nadenlos ausnutzt [And93, AnBe96]. Ein utes Beispiel dafür ist das soenannte Phone Phreakin [Neu95]. Vor nicht allzu laner Zeit boten Telefonnetze weltweit die Mölichkeit, kostenlos zu telefonieren. Man muÿte dazu ledilich einie Töne in den richtien Frequenzen durch die Leitun schicken. Da die Sinalisierun, also die interne Kommunikation etwa zwischen Telefonzelle und Vermittlun oder zwischen Vermittlunsstellen, auf dem leichen Kanal erfolte wie die Übertraun der Nutzinformation, lieÿen sich so interne Ablüfe manipulieren. Betrüer halten sich nicht an Reeln [Schn97]. Täten sie es, könnte man alle Verbrechen einfach verbieten. Sie werden das System auf Arten anreifen, an die beim Entwurf niemand edacht hat. Noch auf eine andere Weise halten sie sich nicht an Reeln. Sicherheitssysteme werden meist zum Schutz vor Auÿenstehenden entworfen, aber viele Anrie kommen von innen [Neu95]. Anderson ibt an, daÿ in den enlischsprachien Ländern Jahr für Jahr etwa einem Prozent des Bankpersonals aus disziplinarischen Gründen ekündit wird [And93]. Anreifer können unterschiedliche Motive haben. Einie sind ewöhnliche Betrüer, vielleicht auch nur solche, die anesichts einer verlockenden Geleenheit schwach eworden sind; andere suchen Aufmerksamkeit und wollen am liebsten ins Fernsehen. Wieder andere sind Vandalen, die nur Schaden anrichten, ohne selbst einen Nutzen zu haben [Schn97]. Das führt zu Denial-of-Service-Anrien, wie sie zum Beispiel [Neu95] schildert. Und schlieÿlich ist es einem Betrüer eal, wer durch seine Tat welchen Schaden erleidet. Er sieht nur seinen Vorteil. Das führt zur nächsten Frae Wer hat den Schaden? Bis hierher wurde stillschweiend unterstellt, daÿ alle betrachtenswerten Schäden durch Betru des Kunden entstehen und der Anbieter der Geschädite ist. Das ist sinnvoll, denn davor soll das zu entwickelnde System schützen. Aber auch das ist nur die halbe Wahrheit. Zudem bietet, wie die vorien Abschnitte zeien, auch das beste System (und unseres wird sich später als übel zusammenehackter Prototyp erweisen) keine hundertprozentie Sicherheit, sondern kann allenfalls dafür soren, daÿ die verbleibenden Risiken akzeptabel und im Verleich zum Nutzen klein sind [Schn97]. Welche Verlustrisiken entstehen beim Einsatz und wie sind sie zu bewerten? In [Luk97] werden vier Kriterien enannt. Wir wenden sie soleich an: 1. Warum entstehen Schäden? Sie können durch eienes Fehlverhalten oder solches 57

58 3 Sicherheit der jeweils anderen Partei entstehen, auÿerdem durch Handlunen Dritter sowie durch Versaen des Systems. 2. Wer hat den Schaden? Schäden durch eienes Fehlverhalten sollte jeder selbst traen. Unser System sollte eienes Fehlverhalten schwer machen und vor allem nicht provozieren. Dem Veranstalter ersparen wir deshalb die Schlüsselverwaltun und der Kunde wird im nächsten Kapitel einen einfach zubenutzenden Datenträer bekommen. Durch Fehlverhalten des jeweils anderen sollte im Idealfall niemand einen Schaden erleiden. Unterstellt man beliebi hohe kriminelle Enerie, läÿt sich das nicht umsetzen. Deshalb muÿ die etwas schwächere Forderun enüen, daÿ jeder sein Risiko einschätzen können soll. Dasselbe ilt für Handlunen Dritter. Schäden aufrund von Systemversaen sollte der Veranstalter traen. Es ist sein System. Der Veranstalter wird das nicht wollen. Er soll trotzdem. 3. Wann entsteht der Schaden? Diese Frae scheint hier nicht relevant Wie hoch ist der Schaden? Der Kunde soll auch im schlimmsten Fall nicht mehr verlieren können als den Wert seines Tickets der durchaus hoch sein kann und überhaupt nichts, solane er ein weni esunden Menschenverstand einsetzt. Der einzie kritische Voran ist in dieser Hinsicht ist der Verkauf; die Existenz eeineter Verfahren wird hier einfach vorausesetzt. Der Veranstalter trät als Unternehmer ohnehin ein hohes Risiko. Der Ticketverkauf im Internet sollte ihn aber wenistens nicht in den Bankrott führen können. Dazu muÿ er zum einen hinreichend ut vor Betru eschützt sein, zum anderen darf ein Ausfall des Systems sein Geschäft allenfalls kurzzeiti stören. Die meisten Fraen sind schon eklärt. Der Veranstalter bekommt Kryptoraphie und hoentlich ein sicheres Drumherum, und aus heutiem Blickwinkel ist zu vermuten, daÿ der Ticketverkauf im Internet für die nächsten Jahre Nebensache bleiben wird. Der Kunde braucht im wesentlichen noch einen brauchbaren Datenträer und Sicherheit beim Verkaufsvoran. Zu klären bleibt, wer das Risiko bei Systemversaen trät. Als Versaen werden auch Entwurfs- und Spezikationsfehler einestuft. Perfekte Technik ibt es nicht, die Beispiele dafür aus der Computerwelt füllen ein anzes Buch [Neu95]. Entsteht durch technische Fehler nur dem Veranstalter ein Schaden, ist das sein Problem. Was aber, wenn der Kunde dadurch eschädit wird, obwohl er keinen Fehler emacht hat? Dann wird der Kunde schimpfen und der Veranstalter jede Verantwortun von sich weisen. Schlimmstenfalls landet der Streit vor Gericht manche Eintrittskarten kosten richti Geld und das muÿ entscheiden. Erhält der Kunde erst ar kein Ticket, obwohl er bezahlt hat, kann ihn höchstens das Bezahlprotokoll noch retten, sofern es die Zahlun beweisbar macht. Hat er seine Eintrittskarte bekommen, kann sie aber nicht nutzen, so möchte er den Eintrittspreis erstattet haben. Doch da könnte ja jeder kommen, einen Fehler der Technik behaupten und Geld verlanen. 20 Klartext: Keine Ahnun, sorry. 58

59 3.3 Schluÿfolerunen Die Lösun ist einfach, nichttechnisch und aus Amerika [And94]. Dem Veranstalter wird die Beweislast auferlet. Der Kunde muÿ die Erstattun schriftlich fordern und mölicherweise klaen; das ist eine wirksame Hemmschwelle een Betru an dieser Stelle. Kommt der Fall aber vor Gericht, muÿ der Veranstalter nachweisen, daÿ seine Systeme korrekt arbeiten und das Ticket des Kunden zu Recht als falsch erkannt haben. Daÿ der Veranstalter starke Kryptoalorithmen einsetzt, soll anesichts der unzählien Fehlermölichkeiten nicht enüen, die Last des Beweises auf den Kunden abzuwälzen. Das schreibt sich einfach und ist vermutlich kompliziert, doch über die Details möen sich die Juristen Gedanken machen. Das Sinaturesetz wird ihnen dabei allerdins nicht helfen, denn es reelt ledilich, wie man zu einer Sinatur im Sinne des Sinaturesetzes kommt, sonst nichts [Schu98]. Auch kann nur die Herkunft einer Bitfole durch eine Sinatur beweisbar emacht werden, nicht aber ihre Semantik [Fox98]. 3.3 Schluÿfolerunen Kryptoraphie Die Kryptoraphie bietet die beschriebenen drei Mölichkeiten, Interität und Authentizität der Tickets zu sichern. Bleibt die Frae, welche davon einesetzt und welche Kryptosysteme dabei benutzt werden sollen. Der Autor kann sich nicht entscheiden und implementiert deshalb alle drei Varianten. Möen andere herausnden, welche am besten funktioniert. Auf umfanreiche Praxistests kann ohnehin nicht verzichtet werden. Die Auswahl eeineter kryptoraphischer Alorithmen ist einfach. Man verhalte sich konservativ und wähle ut untersuchte Verfahren, sofern sie die Untersuchun überstanden haben, ohne rössere Schwächen zu zeien. Zu solchen Verfahren sind auch am einfachsten brauchbare und ausiebei etestete Implementierunen zu bekommen. Die sollte man tunlichst benutzen, denn der beste Alorithmus nützt nichts, wenn er falsch umesetzt wird. An sich enüt symmetrische Verschlüsselun, jedenfalls im unteren Preisbereich. Allerdins bleibt dabei ein unutes Gefühl, denn der Ansatz ist wackeli wie ein Kartenhaus. Wie in darelet, hänt die Sicherheit bei diesem einfachen Verfahren wesentlich vom Nachrichteninhalt ab. Das scheint unproblematisch, denn der ist bekannt. Doch bei modularer Prorammierun werden Inhalt und Authentizierun von weitehend unabhänien Teilen der Software bestimmt. Das kann leicht dazu führen, daÿ der Zusammenhan zwischen beiden Teilen bei späteren Erweiterunen und Modikationen übersehen wird [Neu95]. Auf der anderen Seite steht der Vorteil, daÿ kurze Nachrichten kurz bleiben. Sie müssen allenfalls auf die Blockläne aufefüllt werden. Auÿerdem ist die Lösun unschlabar einfach. Für die Implementierun empehlt sich der Alorithmus IDEA. Er arbeitet mit 128- Bit-Schlüsseln und 64 Bit Blockläne und ilt als sehr sicher [MOV96]. Implementierunen sind frei verfübar; die Schweizer Firma Ascom 21 besitzt allerdins in einien Ländern, darunter der Bundesrepublik Deutschland, ein Patent auf den Alorithmus

60 3 Sicherheit und verlant bei kommerzieller Nutzun Lizenzebühren. Ob das juristisch wasserdicht ist reine Alorithmen sind hierzulande nicht patentierbar ist unklar. Ein Problem ist es allemal. Gut untersuchte Alorithmen mit röÿerer Blockläne und verfübarer Implementierun ibt es kaum. RC5 arbeitet mit Blocklänen bis zu 128 Bit [RLab98] und ist vermutlich ausreichend sicher [BaRi96]. Einie Verfahren mit noch läneren Blöcken stellt Ritter [Rit98] vor; sie sind aber auch nochwenier analysiert als zum Beispiel RC5. Sobald die Ticketnachrichten läner als 128 Bit sind, kommt man kaum umhin, MACs oder Sinaturen zu benutzen. Sie sind zudem unabhäni vom Nachrichteninhalt. Auch hier bekommt die einfachere Lösun den Vorzu. Asymmetrische Sinaturverfahren scheinen zwar das Nonplusultra zu sein, doch wenn man sich vor Auen führt, daÿ das Verkaufssystem mit den eheimen Schlüsseln eventuell bei einem Internet-Provider unterebracht ist und die Schlüsselverwaltun ohnehin wediskutiert wurde, schmilzt der Vorsprun auf ein bisschen Buzzword-Compliance [Schn98] für die Marketinabteilun zusammen. Zur Erzeuun von MACs kann das bereits beschriebene HMAC-Verfahren [KBC97] mit verschiedenen Hash-Funktionen benutzt werden. Verbreitet und verfübar sind SHA- 1 nach dem amerikanischen Secure Hash Standard, RIPEMD-160 [BDP97] und MD5 [Riv92]. Die Nachrichten werden damit um 20 bzw. 16 Bytes läner. Bei den Sinaturen heiÿen die Kontrahenten RSA und DSA. RSA ist älter und besser untersucht; DSA liefert kürzere Sinaturen (und scheint recht solide konstruiert; die zurundelieenden Verfahren sind nicht neu). Die Erzeuun von Sinaturen eht bei DSA schneller als die Prüfun. Das könnte sich als problematisch erweisen, denn bei der Ticketkontrolle müssen viele Sinaturen in kurzer Zeit eprüft werden und die Kontrollstationen sollten mit preiswerter Hardware auskommen. Also RSA. Eine knappe Zusammenfassun der Diskussion RSA vs. DSA mit einien Literaturverweisen ist in [RLab98] zu nden Umebun So sehr sich der Entwickler beim Entwurf und bei der Implementierun auch anstrent, er wird Fehler machen. Andere werden diese Fehler nden und sie entweder mitteilen oder heimlich ausnutzen. Der We zu einem sicheren System ist lan und steini. Er erfordert die Mitarbeit vieler Fachleute, denn 2n Auen sehen mehr als 2 für jedes n 2 IN;n > 1 [Schn97, And93, AnBe96]. Von unschätzbarem Wert ist dabei die Oenleun der Quelltexte unter einer eeineten Lizenz [OS98]. Auf diese Weise wird ein oener Arbeitsstil eradezu erzwunen, der die Softwarequalität spürbar verbessert [Gra90]. Ein Verleichstest von Miller et al. [Mil98] weist nach, daÿ frei verfübare GNULinux-Komponenten von deutlich höherer Qualität sind als ihre kommerziellen, unter kooperationsfeindlichen Belohnunsmodellen entwickelten Geenstücke. Welche Anrismölichkeiten ein System läÿt, kann nur der Praxistest zeien [And93, AnBe96]. Woher sonst sollten die Entwickler auch erfahren, an was sie alles nicht edacht haben? Ebenfalls von roÿem Wert sind Vielfalt und Konkurrenz [AnBe96]. Je mehr verschiedene, unabhäni voneinander entwickelte Systeme im Einsatz sind, desto eriner sind 60

61 3.4 Internet-Sicherheit die Folen eines Fehlers in einem dieser Systeme. Ein Sicherheitsproblem in Windows macht mit einem Schla die anze Welt verwundbar, sobald es entdeckt wird... Ein sicheres System muÿ enau das tun, was man von ihm erwartet. Nicht mehr und nichts anderes. Anderson [And93] schildert den Fall eines Geldautomaten, der im Handbuch dokumentiert Testtransaktionen erlaubte, bei denen jeweils zehn Geldscheine auseeben wurden. Das ist strafbare Dummheit und sie wurde bestraft. Wer könnte solch einer verlockenden Geleenheit auch dauerhaft widerstehen? Ein anderer, ebenfalls für die Sicherheit bedeutsamer Aspekt sind die Erwartunen der Benutzer. Sie haben aufrund dessen, was sie vom System wahrnehmen, eine Vorstellun über seine Arbeitsweise. Diskrepanzen zwischen diesen Vorstellunen und der tatsächlichen Funktion führen unweierlich zu Fehlbedienunen [Nor90], die weitreichende Folen haben können. Hundertprozentie Sicherheit ibt es nicht, deshalb ist Redundanz nöti. Miÿbrauch und Betru sollen verhindert werden, aber falls das aus irendwelchen Gründen nicht wie beabsichtit funktioniert, muÿ wenistens erkennbar sein, daÿ es ein Problem ibt. Beim vorausbezahlten Verkauf von Elektrizität in Südafrika [AnBe96] werden dazu Verbrauch und Verkauf verlichen, für den elektronischen Tickethandel bietet sich ein ähnliches Verfahren an. Werden entsprechende Aufzeichnunen eführt, läÿt sich ohne weiteres prüfen, ob alle benutzten Tickets auch tatsächlich verkauft wurden. Im Betrusfall ndet man damit zwar nicht den Täter, aber man merkt zumindest schnell, daÿ man betroen wird. Anrie von innen dürfen nicht vernachlässit werden. Der Veranstalter, von dem hier immer die Rede ist, ist keine einzelne Person, sondern eine Firma mit Mitarbeitern auch unzufriedenen und ehemalien, die ihre Kenntnis der Interna miÿbrauchen können und werden. Die Lösun des speziellen Problems muÿ deshalb in ein allemeines Sicherheitskonzept interiert werden, das insbesondere Zurisschutz und Protokollierun umfaÿt. 3.4 Internet-Sicherheit Das Verhältnis zwischen Veranstalter und Kunden ist soweit eklärt; betrüerische Kunden sind für den Veranstalter dasselbe. Doch es könnte auch jemand versuchen, den Kunden zu schädien. Geen herkömmliche Methoden wie einfachen Diebstahl kann und soll das Verfahren nicht schützen, aber es soll auch keine neuen Wee erönen, oder jedenfalls keine einfachen. Hier ist vor allem der We vom Verkaufssystem zum Kunden bedeutsam. Der Verkaufsvoran erfolt über ein unsicheres Netz. Dennoch möchte der Kunde sicher sein, daÿ er sein Geld dem Veranstalter anvertraut und keinem Betrüer. Das ist schon bei herkömmlichen Eintrittskarten ein Problem [DPA98b] und wird im Netz noch ravierender. Hübsch anzusehende Web-Sites kann jeder estalten. Ob die Bitfole, die er ekauft hat, ein ülties Ticket ist, kann der Kunde aber erst bei der Kontrolle sicher feststellen. Er muÿ sich deshalb der Identität des diitalen Verkäufers sicher sein können. Die Netzverbindun zwischen dem Rechner des Kunden und dem Verkaufssystem ist abhörbar. Wer hier lauscht, kann Tickets stehlen, indem er sie kopiert. Der Kunde bemerkt auch das erst bei der Kontrolle, wenn er abewiesen wird, weil der Datendieb 61

62 3 Sicherheit schneller war. Kann ein Ganove beim Abhören feststellen, wer eine bestimmte Eintrittskarte ekauft hat, so wird er vielleicht statt ins Theater lieber zur Wohnun des Käufers ehen, um sie während dessen Abwesenheit in aller Ruhe nach Wertvollem zu durchsuchen. Beide Probleme löst das Secure-Sockets-Layer-Protokoll (SSL), das von der Firma Netscape entwickelt und öentlich dokumentiert wurde [Net98]. Es erweitert die Transportschicht zwischen Anwenduns- und Internet-Protokoll um Dienste zur Teilnehmerauthentisierun Nachrichtenauthentikation sowie Verschlüsselun. Die änien Web-Browser unterstützen SSL, eeinete Serversoftware steht ebenfalls zur Verfüun. Erwähnenswert ist die freie SSL-Implementierun SSLeay [HuYo98], die auch eine universell einsetzbare Kryptoraphiebibliothek enthält. Eine Arbeitsruppe der IETF arbeitet an der Standardisierun eines SSL-Nachfolers unter dem Namen TLS (Transport Layer Security). Zur Nutzun von SSL enüt auf der Kundenseite der Besitz eines Browsers mit SSL-Unterstützun. Auf der Serverseite ist neben der korrekten Installation eeineter Software ein Schlüselzertikat einer mölichst bekannten Zertizierunsstelle erforderlich. Das ist lanweili und wird daher nicht vertieft. Für das Verkaufssystem ist der Netzanschluÿ die wesentliche Schnittstellle zur Auÿenwelt. Anrie auf dieses System werden in erster Linie aus dem Netz kommen. Nach Mölichkeit sollte deshalb der Teil des Systems, der kryptoraphische Operationen ausführt, auf einem anderen Rechner laufen als der Webserver, der die Kunden unmittelbar bedient. Zusammen mit einem Firewall zwischen beiden Computern, der alles bis auf die beim Verkauf notwendie Kommunikation blockiert, erreicht man damit sehr hohe Sicherheit. Wer in den Rechner eindrint, auf dem der Webserver läuft, kann von dort aus zwar selbst Tickets erzeuen, aber dazu muÿ er immer wieder an den Tatort zurückkehren. Um die kryptoraphischen Schlüssel nicht nur benutzen, sondern auch kopieren zu können, muÿ er erst noch den Firewall überlisten und dann den eientlichen Verkaufsrechner. 3.5 Plattform Ein Sicherheitsfaktor ist das Betriebssystem. Hier ist es vor allem für den Zurisschutz und die Protokollierun von Ereinissen bedeutsam. Für die Entwicklun des Prototypen standen nur zwei Systeme zur Wahl, so daÿ die Frae lautet: Unix oder NT? 22 Wie zufälli emachte Erfahrunen zeien, ist das Betriebssystem Microsoft Windows NT 4.0 nicht einmal in der Lae, Benutzerkonten sauber zu trennen. Wenn Bedienhandlunen eines Nutzers dazu führen können, daÿ sich das Aussehen der raschen Oberäche für andere Nutzer verändert, braucht man über den Einsatz des Systems für andere Zwecke als die Büroarbeit einer einzelnen Person ar nicht weiter nachzudenken. Es ist 22 Diese Diskussion kann in der Newsroup de.comp.advocacy beliebi vertieft werden. 62

63 3.5 Plattform weder für den Mehrbenutzerbetrieb noch ar für Anwendun mit Sicherheitsanforderunen zu ebrauchen. Als Alternative bleibt nur Unix. Es ist in vielerlei Geschmacksrichtunen von kommerziellen Anbietern wie auch als freie Software erhältlich. Im Bereich der Internetserver ist es nicht ohne Grund weit verbreitet. Es funktioniert einfach. Die freien Implementierunen (Linux, verschiedene BSD-Varianten) erlauben darüber hinaus Einblick in jede einzelne Zeile ihrer Quelltexte, und erfüllen damit eine Forderun, die an alle sicherheitsrelevanten Komponenten eines Systems zu stellen ist. 63

64 3 Sicherheit 64

65 4 Träer Kommunikationsskulptur Heiÿt es ab sofort, wenn Musiker am Telephon sitzen und ihren Kolleen über Draht eines vordudeln. Auÿerdem ist es eine experimentale Performance und ein ausesuchter Schwachsinn, den die Stadt Frankfurt auch noch bezahlt. (Eckhard Henscheid: Dummdeutsch) Sehet, das Himmelreich ist nahe! Das Billett ist ekauft, siniert und sicher zum Kunden übertraen. Auch wie es kontrolliert wird, ist im wesentlichen klar. Immer noch ist das Ticket aber nichts als eine Bitfole, die der Kunde zum Veranstaltunsbesuch mit sich führen muÿ. Ein eeineter Datenträer muÿ her. Er soll in die Jackentasche passen und weder beim Kauf noch bei der Kontrolle besondere Umstände breiten, auÿerdem haltbar und umempndlich sein und die Umwelt nicht belasten. 4.1 Die Kandidaten Disketten & Co. Nahezu jeder Computer verfüt über ein Diskettenlaufwerk, das 3 12-HD-Disketten mit einer Kapazität von 1,44 MB lesen und schreiben kann. Allerdins sind die Datenstrukturen, die auf eine Diskette eschrieben werden, nicht standardisiert. Es ibt auch keine plattformunabhänie Mölichkeit, Daten, die über einen Web-Browser aberufen wurden, in einem denierten Format auf einer Diskette abzuleen. Weit verbreitet ist das FAT-Dateisystem der DOSWindows-Welt; es kann auch von vielen anderen Systemen elesen und eschrieben werden. Im Prinzip jedenfalls, aber nicht in jedem Fall einfach mit einem Mausklick. Diskettenlaufwerke sind lansam und ween des hohen Mechanikanteils im Dauerbetrieb störanfälli. Beim Diskettenaustausch zwischen verschiedenen Rechnern können Probleme auftreten, das heiÿt Daten, die von einem Laufwerk auf eine Diskette eschrieben wurden, sind unter Umständen mit anderen Laufwerken nicht lesbar. Inzwischen ibt es eine Reihe weiterer diskettenartier Speichermedien, die jeweils eiene Laufwerke benötien und wenier verbreitet sind. Weiterhin ibt es Rechner wie den imac, die ohne Laufwerk eliefert werden. Schon aufrund der umständlichen Handhabun und der erinen Leseeschwindikeit erscheinen Disketten weni eeinet. Die Kontrolle, zum Beispiel am Einan zu einem Kino, würde viel zu lane dauern. Hinzu kommt die fehlende Standardisierun. Disketten scheiden deshalb als Medium aus. 65

66 4 Träer Papier Ebenfalls fast alle Computer sind an einen Drucker aneschlossen. Die Spanne reicht vom betaten Nadel- bis zum modernen Laserderucker. Typenraddrucker und ähnliche Geräte, die ausschlieÿlich Text zu Papier brinen können, sind heute praktisch nicht mehr anzutreen, ebenso 9-Nadel-Drucker. Unter den übrien Geräten markieren 24- Nadel-Drucker die untere Grenze der Druckqualität. Wir können also uten Gewissens davon ausehen, daÿ der Kunde Text und Graphik wenistens im Schwarzweiss-Druck mit der Qualität eines 24-Nadlers zu Papier brinen kann. Derart espeicherte Informationen können sowohl von Menschen als auch von einem Computer elesen werden. Um edruckte Informationen maschinell lesen und verarbeiten zu können, sind allerdins besondere Vorkehrunen nöti, etwa die Darstellun in eeineter Schrift oder als Barcode. Der Drucker als Ausabe- und damit Papier als Speichermedium ist rundsätzlich eeinet. Bisherie Tickets sind schlieÿlich auch aus Papier. Bedinun für den Einsatz dieses Mediums ist die Mölichkeit, eine enüend roÿe Datenmene maschinenlesbar auf einem handlichen Stück Papier unterzubrinen. Gelint das, so entstehen auf der Kundenseite kaum Probleme. Der Drucker ist einfach da, Papier auch und aus dem Gerät kommt etwas, was der Käufer schon kennt und was er anfassen und lesen kann. Zur Datenrepräsentation auf Papier einen sich zum einen Schriften, die für die optische Erkennun durch Computer optimiert sind. Trotz aller Optimierun bleibt diese Methode fehleranfälli. Auÿerdem ibt es keine plattformunabhänie Mölichkeit, solche Schriften aus dem Web-Browser heraus zu drucken. Die Alternative kennt jeder aus dem Supermarkt. Strichkodes sind dort seit lanem im Einsatz und die Lesetechnik funktioniert auenscheinlich ut. Das Manko der sehr erinen Kapazität ein EAN- Produktkode enthält erade 13 Ziern ist seit der Entwicklun zweidimensionaler Codes behoben Manetstreifenkarten Manetkarten besitzen eenüber Disketten eine wesentlich erinere Speicherkapazität, können dafür aber schneller elesen werden. Zuanskontrollsysteme auf Manetkartenbasis sind verfübar und funktionieren. Schreiberäte für diese Karten stehen allerdins kaum einem Computeranwender zur Verfüun. Damit scheidet dieser Träer aus Chipkarten In jünster Zeit verbreiten sich zunehmend Chipkarten. Sie können rob in Speicher- und Prozessorkarten unterteilt werden [Kab96]. Eine Speicherkarte besteht im wesentlichen aus einem nichtüchtien Speicher, dessen Inhalt von auÿen verändert werden kann, allerdins nur durch solche Operationen, die die Schaltun der Karte erlaubt. So kann etwa der espeicherte Wert einer Telefonkarte nicht erhöht werden. Prozessorkarten (Smartcards) enthalten neben diesem Speicher noch einen prorammierbaren Microcontroller und damit einen Computer, dem nur noch Stromversorun 66

67 4.2 Strichkode und Benutzerschnittstelle fehlen [FRW98]. Er besitzt ein Betriebssystem, das unter anderem ein hierarchisches Filesystem für Daten und Proramme verwaltet. Krypto-Karten enthalten darüber hinaus einen Koprozessor, der Funktionen für die asymmetrische Kryptoraphie schnell ausführen kann. Auf kontaktlose Chipkarten, wie sie in einien Städten zur Zahlun im Nahverkehr einesetzt werden, kann aus bis zu einem Meter Abstand zuerien werden [FRW98, Mei97]. Chipkarten besitzen zwei Eienschaften, die sie für den Einsatz in Zahluns- und anderen Werttransfersystemen interessant machen. Zum einen können sie Daten einiermaÿen manipulationssicher speichern. Man kann die Karte deshalb beruhi einem potentiellen Betrüer anvertrauen, wenn die sensiblen Daten erst auf dem Chip sind (dorthin elanen sie bei Telefonkarten zum Beispiel während der Herstellun). Zum anderen sind Smartcards mobile Computer, so daÿ die Anwendunsmölichkeiten weit über einfaches Vorzeien hinausreichen. So können diese Karten etwa PINs oder biometrische Merkmale prüfen und auf diese Weise unrechtmäÿie Benutzer erkennen. Schnittstellen zur Anbindun von Smartcards an den PC sind verfübar, aber noch nicht sehr verbreitet. Die Standardisierun ist vor allem auf der Softwareseite noch nicht abeschlossen [FRW98]. Die Benutzun von Chipkarten am PC erfordert besondere Proramme; ein ewöhnlicher Web-Browser enüt nicht. Der Besitzer kann einer Chipkarte nicht ansehen, was auf ihr espeichert ist. Das weckt zum einen allemeines Unbehaen, zum anderen macht es die Benutzun umständlich, wenn sich die Informationen auf der Karte häu ändern. Man muÿ den Inhalt zusätzlich auf Papier drucken oder jedesmal einen Computer bemühen, um ihn zu lesen. So lieÿe sich beispielsweise die Sitzplatznummer nicht einfach von der Karte ablesen, wenn das Billett nur auf dem Chip espeichert ist. Vor der ersten Benutzun muÿ sich der Kunde eine Chipkarte besoren, und zwar für jeden Veranstalter eine eiene. Blankokarten, die man ähnlich wie Disketten auf Vorrat kaufen und dann für verschiedene Zwecke nutzen könnte, ibt es nicht. (Solche Karten wären nicht manipulationssicher, könnten aber immer noch als mobiler Kleincomputer dienen.) Eine Universalkarte wird es vermutlich auch in ferner Zukunft nicht eben [Riv97]. Die Chipkarte scheint als Medium zunächst verlockend, zumal wir damit auch Fahrkarten für die Bahn im Internet verkaufen könnten. Bei näherem Hinsehen überwieen jedoch die Nachteile. Spontankäufe sind nicht mölich; der Kunde braucht besondere Hard- und Software, die noch nicht weit verbreitet ist; die Kartenut wird Müllbere nicht we- sondern hinspülen [Kab96] und der Kunde braucht einen Computer, sobald er sich nicht mehr sicher ist, was er ekauft hat. Bei der Ticketkontrolle bereiten Chipkarten zudem Handhabunsprobleme, wenn sie umständlich in den Schlitz eines Leseeräts eineführt werden müssen. Kontaktlose Karte können dieses Problem lösen, aber mit ihnen kann der PC des Kunden erst recht nichts anfanen. 4.2 Strichkode Strichkodes (Barcodes) werden vor allem dort einesetzt, wo Objekte automatisch oder halbautomatisch identiziert werden müssen. Erste Anwendunen in der Industrie ab 67

68 4 Träer es bereits in den sechzier Jahren, und Mitte der 70er wurden UPC (Universal Product Code) und EAN (European Article Numberin) eineführt [Pal95], die man heute auf fast jedem Produkt ndet. Typische Einsatzebiete sind neben dem Handel zum Beispiel Bibliotheken und die Verwaltun von Laerbeständen in der Industrie. Klassische, eindimensionale Barcodes kodieren einie Zeichen, meist wenier als 20 aus einem kleinen Zeichenvorrat, als Fole von Strichen und Leerräumen. Grundelement ist ein Modul, das ist ein Strich einer ewissen Breite, der entweder schwarz oder weiÿ sein kann. Der Kode let fest, wie die Zeichen eines Zeichenvorrates, etwa Ziern oder alphanumerische Zeichen, auf Modulfolen fester Läne abebildet werden. Mehrere aufeinanderfolende Module leicher Farbe ereben breitere Striche oder Lerräume. Um die so abeleten Daten zu lesen, werden sie linear abetastet, im einfachsten Fall mit einem stiftartien Gerät, das der Benutzer über den Strichkode bewet. Dabei wird das Symbol beleuchtet und von einer Photozelle die Intensität des reektierten Lichts emessen. So entsteht ein analoer Spannunsverlauf, aus dem durch Quantisierun die elesenen Daten ewonnen werden [Pal95]. Statt eines solchen Stiftes werden heute meist Geräte einesetzt, die einen Laserstrahl über das Symbol führen und das reektierte Licht auanen. Der Lesevoran ist fehlerträchti. Vor allem unterschiedliche Strichbreiten sind schwer zu unterscheiden. Deshalb werden zum einen Prüfziffern zu den Daten hinzuefüt, zum anderen ist die Kodierun stark redundant. Ein EAN-Symbol zum Beispiel stellt jede der Ziern 0 bis 9 durch einen 7-Bit-Kode dar. Das ermölicht die Erkennun von Lesefehlern mit ausreichender Sicherheit. Toleranz eenüber Beschädiunen erreicht man durch die Höhe des Symbols, also die Läne der Striche. Da sich die Kapazität klassischen Barcodes nicht beliebi steiern läÿt, werden seit 1987 auch zweidimensionale Kodes einesetzt. Stapelkodes wenden im wesentlichen das herkömmliche Verfahren an, verteilen den Strichkode aber auf mehrere Zeilen. Sie können deshalb auch mit herkömmlichen Methoden elesen werden. Matrixkodes leen die Informationen hineen als zweidimensionales Muster von Punkten, Quadraten oder anderen Polyonen ab. Um sie zu lesen, braucht man CCD-Kameras und Bildverarbeitun. Dabei sind mehrere Probleme zu lösen. Das Symbol muÿ zunächst überhaupt im Bild efunden werden. Danach ist seine Lae zu bestimmen. Die Grundelemente, meist Quadrate, manchmal auch Kreise oder Rechtecke, liefern, anders als die Striche von eindimensionalen und Stapelkodes, von sich aus keine Richtunsinformation. Danach erst können die espeicherten Daten aus der Anordnun heller und dunkler Elemente elesen werden. Zweidimensionale Symbole sind anfällier für Beschädiunen. Die Grundelemente können nicht mehr einfach in die Läne ezoen werden, um Fehlertoleranz zu erreichen. Statt dessen kodiert man die Daten in einem fehlerkorriierenden Kode, bevor man daraus ein Symbol erzeut. Die meisten zweidimensionalen Kodes können wenistens die 128 ASCII-Zeichen darstellen. Viele estatten auch die Speicherun beliebier Oktette. Um die berenzte Kapazität besser auszunutzen, umfassen diese Kodes simple Kompressionsverfahren, mit denen ASCII-Text platzsparend abelet werden kann. Tabelle 4.1 listet die wichtisten zweidimensionalen Kodes auf und ihre maximalen 68

69 4.2 Strichkode Kode Kapazität Typ Bemerkunen ASCII Ziern Oktette Aztec Matrix Code Matrix Code 16K Stapel Code Stapel erster 2D-Kode (1987) Data Matrix Matrix MaxiCode Matrix sechseckie Elemente PDF Stapel am weitesten verbreitet QR Code Matrix SuperCode Stapel Tab. 4.1: Zweidimensionale Kodes Speicherkapazitäten auf. Die Daten sind [Ada98, Pal95, AIM94] entnommen. Für einen davon müssen wir uns entscheiden. Wir erinnern uns: In Kapitel 3 wurden drei Authentikationsverfahren diskutiert. Die meisten Daten fallen bei einer RSA-Sinatur an, zum Beispiel 128 Bytes bei einer Schlüselläne von 1024 Bit. Die Ticketdaten aus Kapitel 2 nehmen etwa noch einmal so viel in Anspruch, wenn wir alle denkbaren Parameter aufnehmen. Code 16K, Code49 und MaxiCode sind also weni eeinet. Wir müssen Binärdaten transportieren. Der Kode sollte deshalb beliebie Oktettfolen darstellen können und nicht nur ASCII-Zeichen. Das reduziert die Auswahl auf SuperCode, PDF 417 und Aztec. SuperCode scheint nicht sehr verbreitet zu sein. Einzi in [Ada98] ndet er Erwähnun. Leseeräte und Software zur Erzeuun sind kaum zu bekommen. Für PDF 417 spricht, daÿ dieser Kode weit verbreitet ist und als Stapelkode mit herkömmlicher 23 Lasertechnik elesen werden kann. Im Geensatz dazu benötit der Matrixkode Aztec einen CCD-Scanner. Er ist eine recht june Entwicklun der Firma Welch Allyn, aus der erst im Oktober 1997 eine ozielle AIM-Spezikation 24 wurde. Andererseits ist die Aztec-Spezikation [WAl97] als einzie frei erhältlich. Zwar können auch andere Kodes frei benutzt werden, aber dazu muÿ man die Spezikationen bei AIM kaufen oder fertie Software einsetzen. Das erwies sich als Problem, denn die Auswahl an Software ist beschränkt. Die wenien Bibliotheken, mit denen sich die Erzeuun von 2D-Kodes sauber in Anwendunen interieren läÿt, ibt es nur für Windows NT, ein System, das vl. 3.5 für unsere Anwendun unbrauchbar ist. Davon abesehen wäre schon allein die Festleun auf eine einzelne Plattform ein Fehler, den man später bereuen wird. Daher war es unvermeidlich, selbst einen Symbolenerator zu implementieren, ob- 23 Herkömmlich jedenfalls was die Funktionsweise betrit. Einie Modikationen sind jedoch unumänlich. 24 AIM steht für Automatic Identication Manufacturers. URL: 69

70 4 Träer leich der Autor das drohende NIH-Syndrom 25 erkennt. Ursprünlich war die Verfübarkeit der Spezikation der einzie Grund, sich für Aztec zu entscheiden, doch die Wahl eines Matrix-Kodes erscheint auch aus einem anderen Grund als sinnvoll. Der Käufer soll seine Eintrittskarte nach dem Kauf selbst ausdrucken. Damit das Papier nicht zum Datenrab wird, muÿ es später bei der Kontrolle sicher lesbar sein und die Druckqualität ist ein Faktor, der die Lesbarkeit beeinuÿt. Wir müssen eine ausreichende Qualität sicherstellen, ohne den Druckvoran selbst beeinussen zu können. Die Elemente sollten in jeder Richtun mehrere (Drucker-)Pixel umfassen, auch wenn sie auf einem alten Nadeldrucker zu Papier ebracht werden. Für einen Stapelkode wie PDF 417 bedutet das, daÿ ein Modul einie Pixel breit sein muÿ. Die Zeilenhöhe beträt mindestens das Dreifache der Modulbreite [AIM94]. Daraus eribt sich eine Unterrenze der Datendichte ein Element kann höchstens ein Bit repräsentieren. Beim Matrixkode tut es das auch, während PDF 417 immerhin 85 Module braucht, um 48 Bits darzustellen. [Pal95] ibt an, daÿ mit einem Nadeldrucker Modulbreiten von 0,4 bis 0,5 Millimetern erreichbar sind. Bei einer Modulbreite von 0; 5mm benötien 48 Bits in einem PDF-417- Symbol unefähr 64mm 2. Ein Matrixkode stellt jedes Bit durch ein quadratisches Element dar. Auch das soll wenistens einie Pixel breit sein, ist dann aber auch nur enauso hoch. Auf die Fläche, die beim Stapelkode der schmalste Strich einnimmt, passen bei einem Matrixkode mehrere Bits, wenn man leiche Elementröÿe verwendet. Man kann sie soar sicherheitshalber verdoppeln und brint immer noch mehr Daten auf der leichen Fläche unter! Selbst mit Elementen von 1mm Kantenläne jeder Nadeldrucker kann Quadrate dieser Gröÿe in ausreichender Qualität erzeuen nehmen 48 Bits in einem Aztec-Symbol eine kleinere Fläche ein als bei PDF 417, nämlich nur 48mm 2. PDF 417 benötit auÿerdem Ruhezonen, das heiÿt unbedruckte Bereiche um das Symbol. Für Aztec-Symbole sind keine erforderlich. Die PDF-417-Spezikation ist in einien Punkten exakter als die des Aztec-Kodes, dadurch aber fast unlesbar. 4.3 Der Aztec-Kode Überblick Ähnlich wie ein Rechnernetz, in dem mehrere unabhänie Protokollschichten aufeinander aufbauen, enthält der Aztec-Kode drei Ebenen. Die Nachrichtenschicht erzeut aus der Einabe, die eine beliebie Oktettfole sein kann, in eine Fole von 6, 8, 10 oder 12 Bits lanen Zeichen. Die zweite Ebene erhält diese Zeichenfole als Einabe und füt weitere Zeichen zur Fehlerkorrektur hinzu. Auÿerdem entsteht hier die Mode Messae, die dem Header eines Datenpaketes im Netz verleichbar ist. Im dritten Schritt schlieÿlich wird aus der Mode Messae, den Nutzdaten und den Korrekturinformationen die raphische Darstellun des Symbols erzeut. Der Empfäner dekodiert in umekehrter Reihenfole. Zunächst ewinnt er aus einem Bild eine Zeichenfole. Anhand der Korrekturinformationen ndet und beseitit er Fehler, 25 NIH ist die Abkürzun für Not Invented Here. 70

71 4.3 Der Aztec-Kode "Aztec" "Aztec" Nachrichtenkodierun Fehlerkorrektur Nachrichtenkodierun Fehlerkorrektur Graphische Darstellun Graphische Darstellun Abb. 4.1: Aztec scheibchenweise die durch Beschädiun des Symbols oder bei der Bildverarbeitun entstanden sind. Die rekonstruierte Zeichenfole wird schlieÿlich zur Nachricht dekodiert. Aztec-Symbole sind quadratisch und können 32 Gröÿen annehmen. Die Zeichenläne in Bits ist von der Symbolröÿe abhäni. Die Zahl der Korrekturzeichen wird in der zweiten Schicht immer so ewählt, daÿ Daten- und Korrekturzeichen zusammen enau eine der 32 Symbolröÿen ausfüllen. Das röÿte Aztec-Symbol nimmt bis zu 1914 Bytes, 3067 Buchstaben oder 3832 Ziffern auf [AIM97]. Es kann unabhäni von seiner Orientierun elesen werden. Für kurze Nachrichten (bis 64 Bytes) steht die Variante Small Aztec zur Verfüun, die das Symbol etwas kompakter macht. Lane Nachrichten lassen sich mit dem Ordered Append Protocol auf bis zu 26 Symbole verteilen Nachrichtenkodierun Der erste Schritt bei der Erzeuun eines Aztec-Symbols ist die Kodierun der Einabe in eine Zeichenfole. Sie eschieht in zwei Teilschritten. Zunächst wird aus der Einabe eine Bitfole erzeut. Zur Kodierun von Oktetten, die ASCII-Zeichen repräsentieren, 26 dienen fünf Tabellen mit den Namen Upper für Groÿbuchstaben, Lower für Kleinbuchstaben, Mixed für Steuer- und einie Sonderzeichen, Punct für alle anderen Steuerzeichen und Diit für 26 Wer sich über die sperrie Ausdrucksweise wundert, sei noch einmal auf [Kor98] hinewiesen. 71

72 4 Träer Ziern. Jede umfaÿt 32 Einträe mit Ausnahme der Tabelle Diit, die nur halb so lan ist. Upper Diit Kode Zeichen Kode Zeichen Kode Zeichen PS O 0000 PS space P 0001 space A Q B R C S D T E U F V G W H X I Y J Z K LL 1100, L ML M DL 1110 UL N BS 1111 US Bei den Umschaltkodes bezeichnet der erste Buchstabe die Zieltabelle (B = binary) und der zweite die Art der Umschaltun (S = shift, L = latch). Tab. 4.2: Die Tabellen Upper und Diit Die meisten Einträe ordnen einem ASCII-Zeichen einen 5- oder 4-Bit-Kode zu; die Namen deuten an, welche Zeichen in welcher Tabelle zu nden sind. Einie Zeichen sind in mehreren Tabellen enthalten, um Umschaltunen zu vermeiden. Die Tabelle Punct enthält vier Kodes für Doppelzeichen wie CR LF. 27 Die übrien 5- oder 4-Bit-Kodes dienen zum Umschalten zwischen den Tabellen. Die Umschaltun kann nur für das nächste Zeichen (shift) oder dauerhaft (latch) wirksam sein. Jede Tabelle enthält jedoch nur einen Teil der mölichen Umschaltkodes, so daÿ der Wechsel zwischen zwei Tabellen zum Teil eine oder manchmal soar zwei Zwischenstationen braucht. Für natürlichsprachien Text oder Daten, die nur Zeichen aus einer einzien Tabelle enthalten, liefert das Verfahren mit einfachen Mitteln eine ute Kompression. Jede Zier wird mit vier Bits darestellt, fast 28 jedes andere ASCII-Zeichen mit fünf Bits und eleentlich ist eine Umschaltun nöti, die vier oder fünf Bits Overhead mit sich brint. Sind daeen viele Tabellenwechsel nöti oder solche, die nur über Umwee mölich sind, ist diese Kodierun unbrauchbar und verlänert die Nachricht unnöti. Für solche Daten und für Oktette, die in keiner der Tabellen enthalten sind, ibt es den Binärmodus (Binary Shift). In ihm werden Oktette aus der Einabe unverändert 27 Carriae Return und Line Feed Waenrücklauf und Zeilenvorschub. 28 Die Tabelle Mixed enthält nur einen Teil der ASCII-Steuerzeichen. 72

73 4.3 Der Aztec-Kode übernommen. Dem Oktettstrom wird seine Läne in fünf oder elf Bits kodiert voranestellt. Der Binärmodus wird über einen Umschaltkode aktiviert und kann so für Teile einer Nachricht verwendet werden. Im zweiten Schritt wird die Bitfole, die auf diese Weise entstanden ist, in eine Fole von Zeichen 29 überführt. Die Bitläne B der Zeichen hänt von der Symbolröÿe ab. Die Umwandlun ist simpel: Beinnend beim höchstwertien werden jeweils B Bits der Bitfole in ein B-Bit-Zeichen überführt. Keines der Zeichen soll aber ausschlieÿlich Nullen oder Einsen enthalten (so sind später Auslöschunen erkennbar). Sind deshalb die ersten B 1 Bits des Zeichens alle 0, erhält das letzte Bit des Zeichens deshalb den Wert 1 und umekehrt. Mit dem nächsten Bit der Bitfole und dem nächsten Zeichen eht es dann wie ewohnt weiter. Das letzte Zeichen wird mit Einsen aufefüllt und eebenenfalls sein niederwertistes Bit wieder auf 0 esetzt. Die so ebildete Fole d 1 d 2 :::d D von D Zeichen wird an die Fehlerkorrekturschicht weitereeben Fehlerkorrektur Das Arbeitserebnis der ersten Schicht wird um Korrekturinformationen eränzt. Die Zahl der Korrekturzeichen eribt sich aus der ewählten Symbolröÿe. Ein Symbol der Gröÿe L =1:::32 kann insesamt C L Zeichen der Bitläne B aufnehmen. Diese Werte let die Spezikation fest. Mit den Korrekturzeichen wird die Nachricht so aufefüllt, daÿ sie enau in ein Symbol das muÿ nicht das nächströÿere sein paÿt. Also werden K = C L D Korrekturzeichen hinzuefüt. Die Korrekturzeichen werden durch systematische Reed-Solomon-Kodierun über den endlichen Körper GF (2 B ) (B ist die Zeichenläne in Bits) ewonnen. Den Zusammenhan zwischen der Symbolröÿe, der Zeichenläne und dem benutzten Körper zeit Tabelle 4.3. Die aneebenen Minimalpolynome denieren die Multiplikation in GF (2 B ). Symbol- Zeichen- Körper Minimalpolynom röÿe läne B Mode Messae 4 Bit GF (16) x 4 + x Bit GF (64) x 6 + x Bit GF (256) x 8 + x 5 + x 3 + x Bit GF (1024) x 10 + x Bit GF (4096) x 12 + x 6 + x 5 + x 3 +1 Tab. 4.3: Endliche Körper für die Fehlerkorrektur [WAl97] Die Datenzeichen d 1 d 2 :::d D faÿt man als Koezienten eines Polynoms d(x) = d 1 x D 1 + d 2 x D 2 + ::: + d D über GF (2 B ) auf. Es ist vom Grad D, denn die Nachrichtenschicht arantiert, daÿ d 1 von null verschieden ist. Durch Multiplikation mit x K 29 Die Bezeichnun Symbol ndet der Autor schöner, aber sie wäre hier miÿverständlich. Die Spezi- kation spricht von code words; der Autor versteht unter einem Kodewort aber eine Fole solcher Zeichen. 73

74 4 Träer erhält man daraus Polynom x K d(x) vom Grad K + D 1=C L 1. Es hat C L Koezienten; das ist erade die Kapazität des Symbols. Die RS-Kodierun erfolt mittels eines Generatorpolynoms 30 (x) = (x 2 1 )(x 2 2 ) :::(x 2 K ). Sein Grad K ist die Zahl der Korrekturzeichen, die hinzuefüt werden sollen. Dividiert man x K d(x) durch den Generator (x), so erhält man ein Restpolynom r(x), das höchstens vom Grad K 1 ist. Das wird von x K d(x) subtrahiert und man erhält ein Polynom x K d(x) ist. Die ersten D Koezienten von x K d(x) r(x), das ohne Rest durch das Generatorpolynom teilbar r(x) sind die unveränderten Datenzeichen, die übrien die Korrekturzeichen. Alle zusammen füllen enau ein Symbol und werden der nächsten Schicht zur raphischen Darstellun übereben. Mit K Korrekturzeichen können K Zeichenfehler korriiert werden. Die Spezikation 2 fordert wenistens fünf Korrekturzeichen; empfohlen werden etwa 25% der Symbolkapazität [AIM97, WAl97]. Mit der Wahl verschiedener Zeichenlänen wird die Leistun der Fehlerkorrektur an die Symbolröÿe anepaÿt. Auf eine ausführliche Darstellun wird hier verzichtet. Literatur zum Thema ibt es enu [MWSl77, RaFu89, Schu91, Lyp97] und die funktionierende Implementierun muÿ als Verständnisnachweis enüen. Neben den Korrekturzeichen wird eine 16 Bit lane Mode Messae erzeut. Sie enthält die Symbolröÿe L = 1 :::32 und in den übrien 11 Bits die Zahl D der Zeichen, die Nutzdaten enthalten, beide um eins verrinert. Die Mode Messae wird als Fole von vier 4-Bit-Zeichen aufefaÿt und um sechs Zeichen für die Fehlerkorrektur eränzt. Das Verfahren ist dasselbe wie für die Nutzdaten Graphik Zur raphischen Darstellun wird die Zeichenfole aus dem zweiten Schritt wieder zerlet, diesmal in Dominosteinchen von je zwei Bit. Dabei wird sie leichzeiti umekehrt. Die niederwertien Bits des letzten Korrekturzeichens werden zum ersten Dominostein der neuen Fole. Neben Mode Messae, Nutzdaten und Korrekturzeichen enthält das Symbol einie feste Elemente. In der Mitte bendet sich der Finder ein Muster aus sieben ineinander eschachtelten Quadraten, die abwechselnd schwarz und weiÿ sind. Beim Lesen eines Aztec-Symbols wird zuerst dieses Muster im aufenommenen Bild esucht. An jeder Ecke des Finder-Musters sind drei Orien-tat-ion-Bits unterebracht, an denen der Leser die Lae des Symbols erkennen kann. Den dritten festen Bestandteil eines jeden Symbols bildet ein Referenzitter aus abwechselnd schwarzen und weiÿen Elementen. Damit können beim Lesen Verzerrunen erkannt werden. Rund um das Finder-Muster ist im Uhrzeiersinn die Mode Messae abelet. Die Domino-Fole aus Nutzdaten und Korrekturzeichen liet, an den oberen linken Orientation- Bits beinnend, ebenfalls im Uhrzeiersinn, aber sprialförmi um den Finder. Schwarze Elemente repräsentieren die binäre 1, weiÿe die 0. Das höherwertie Bit der Dominosteine 30 Die Zahl 2 in (x 2 n ) bezeichnet das Elementvon GF (2 B ), das durch die Bitfole 0 :::010 repräsentiert wird. 74

75 4.4 Implementierun a) b) c) Abb. 4.2: Aztec-Symbol. a) Feste Elemente; b) Anordnun der Dominosteine; c) Nutzdaten und Korrekturzeichen. Quelle (a+b): [WAl97] liet immer auf der dem Finder abewandten Seite. Elementpositionen, die bereits vom Referenzitter belet sind, werden übersprunen. Die Dominosteine können dabei soar zerteilt werden. Ween der Umkehrun der Reihenfole nehmen die zusätzlichen Korrekturzeichen die Fläche unmittelbar um den Finder ein und die Nutzdaten den äuÿeren Teil des Symbols. Das erste Datenbit ndet sich schlieÿlich in der linken oberen Ecke des Symbols wieder. Dort können einie Dominosteine frei bleiben, wenn sie nicht mehr nausreichen, ein weiteres Zeichen abzuleen. Abbildun 4.2c zeit ein Symbol, in dem der Text TITITITITITITI... kodiert ist. Die Nachrichtenschicht macht daraus die Bitfole (vl. Tabelle 4.2), die die reelmäÿien Strukturen im äuÿeren Teil eribt. Die Korrekturinformationen heben sich davon deutlich ab. 4.4 Implementierun Die Suche nach eeineten 2D-Symboleneratoren brachte nur ein spärliches Erebnis. Die ewünschte plattformunabhänie Bibliothek war nicht aufzutreiben. Aus diesem Grund entstand eine eiene Implementierun. Sie ist in einiermaÿen portablem ANSI-C eschrieben und läuft ohne Anpassunen auf verschiedenen Unix-Systemen (Solaris, AIX, Linux). Hauptbestandteil des entwickelten Symbolenerators ist die Bibliothek libaztec. Sie enthält alle Funktionen, die zur Symbolerzeuun notwendi sind, und liefert das Erebnis ihrer Arbeit in einer Datenstruktur, die in beliebie Ausabeformate, wie etwa Postscript und GIF, überführt werden kann. Der Aufbau der Bibliothek orientiert sich an den drei Schichten der Spezikation [WAl97]. Jeder Schicht ist ein eienes Prorammodul ewidmet. Die meisten Funktionen der Bibliothek eben einen Zeier zurück. Im Falle eines Fehlers ist das ein Nullpointer und die lobale Variable az_errno enthält die Fehlernummer. Nimmt eine Funktion Flas als Parameter enteen und ibt es deren mehrere an dieser Stelle ültie, so können sie durch das bitweise Oder verknüpft werden. 75

76 4 Träer Name az_bitstream az_mksymbol az_drawsym az_bmalloc az_bmfree az_etpixraw az_perror az_setelem Aufabe kodiert die Einabenachricht in eine Bitfole RS-Kodierun, Festleun der Symbolröÿe, Mode Messae raphische Darstellun als Bitmap zur Weiterverarbeitun Speicher für Bitmap reservieren Bitmap-Speicher freieben Bitmap-Pixel lesen Ausabe von Fehlermeldunen Bitmap-Manipulation Tab. 4.4: Überblick: API der Bibliothek libaztec Nachrichtenkodierun Das Modul mslevel stellt die Funktion az_bitstream,- zur Verfüun. Sie übernimmt im wesentlichen die Kodierun der ersten Schicht, liefert jedoch nur die Bitfole zurück, die dabei als Zwischenprodukt entsteht. Die Abbildun dieser Bitfole in eine Zeichenfole erfolt zusammen mit der Fehlerkorrektur. Das ist sinnvoll, da die Zeichenläne von der Symbolröÿe abhänt, welche ihrerseits an die Datenmene und die ewünschte Zahl von Korrekturzeichen anepaÿt werden muÿ. Die Funktion az_bitstream,- ist wie folt deniert: az_bitstr. az_bitstream, az_buffer buffer0 unsined int flas -; Die Struktur buffer enthält einen Zeier auf die zu kodierende Nachricht sowie Länenanaben für Nachricht und Speicherbereich. Der zweite Parameter nimmt Flas auf, die den Kodiervoran beeinussen. Das Fla AZ_FLAG_ALLBIN erzwint die Kodierun der esamten Nachricht im Binary-Shift-Modus. Ohne dieses Fla werden nur die Zeichen im Binärmodus kodiert, bei denen das notwendi ist. Mit dem Fla AZ_FLAG_TRUNC wird das Kürzen zu laner Nachrichten erlaubt. Ist es nicht aneeben, führen zu lane Nachrichten zu einem Fehler. Zurückeeben wird ein Zeier auf eine Struktur, die eine Bitfole nebst Länenanabe enthält. Schwierikeiten bereiteten die Ausnahmen in den Kodiertabellen und die Tatsache, daÿ nicht beliebi zwischen den Tabellen umeschaltet werden kann. Die Kodierun beinnt nach Spezikation [WAl97] immer im Upper-Modus. Die Einabe wird Oktett für Oktett bearbeitet und für jedes die interne Funktion transascii,- auferufen. Sie erhält neben dem aktuellen Zeichen dessen Nachfoler sowie die momentan ültie Tabelle als Parameter. Kann das Zeichen mit der aktuellen Tabelle kodiert werden, ibt sie den Zeichenkode zurück und es eht mit dem nächsten Zeichen weiter. Ist jedoch erst eine Umschaltun nöti, liefert sie den Modus, in den eschaltet werden muÿ, sowie den Umschaltkode. Im neuen Modus eht es dann nicht mit dem nächsten, sondern dem eben schon mal bearbeiteten Zeichen weiter. 76

77 4.4 Implementierun Fehlerkorrektur Die Bitfolen, die das Modul mslevel liefert, werden im Modul ecclevel weiterverarbeitet. Das ist ein weni aufreender als die Nachrichtenkodierun der ersten Schicht, die zu einem Gutteil aus Kopieren und nachschlaen in Tabellen besteht. Nach auÿen ist nur die Funktion az_mksymbol,- sichtbar, die so deniert ist: az_symdata. az_mksymbol, const az_bitstr.indata0 unsined short maxlayers0 unsined short ecclevel0 unsined flas -; Zu der Bitfole aus der Nachrichtenschicht (.indata) kommen wieder Flas hinzu, auÿerdem zwei Parameter, die den Umfan der Fehlerkorrektur und die Symbolröÿe bestimmen. Die maximale Gröÿe wird in maxlayers aneeben. Der Parameter ecclevel bestimmt die Mindestzahl von Korrekturzeichen. Er wird als Prozentanabe bezülich der Nutzdatenmene interpretiert. Ist die RS-kodierte Nachricht zu lan für die eforderte Symbolröÿe, verweiert die Funktion den Dienst und ibt einen Nullpointer zurück. Die einzie Ausnahme: Ist der Parameter ecclevel mit 0 aneeben, werden zunächst 50% versucht, bei Bedarf aber reduziert. Paÿt es dann immer noch nicht, ibt es wieder einen Fehler, der durch einen Nullpointer als Rückabewert anezeit wird. Das ist ein schneller Hack; besser wäre es, die Entscheidun zwischen Symbolröÿe und Fehlerkorrektur mit Flas zu beeinussen. Um die Prorammierschnittstelle konsistent zu halten, wird auch beim Parameter maxlayers der Wert 0 akzeptiert; er ist leichbedeutend mit der Anabe 32 für das röÿte Symbol, das die Spezikation erlaubt. In der aktuellen Version 31 der Bibliothek ist jedoch AZ_FLAG_MENU das einzie zuelassene Fla. Es macht aus dem erzeuten Symbol ein soenanntes Menu-Symbol. Das ist ein Symbol, dessen Inhalt nach der Dekodierun vom Leserät interpretiert und nicht an den aneschlossenen Rechner weitereeben wird. Auf diese Weise können Einstellunen des Scanners verändert werden, ohne daÿ besondere Software oder überhaupt ein Computer notwendi ist. Zur Reed-Solomon-Kodierun wird in GF (2 B );B 2f4;6;8;10; 12 erechnet. Addition und die Subtraktion sind einfach; beide entsprechen dem bitweisen XOR der Bitfolen, die die Zeichen repräsentieren. Die Multiplikation ist komplizierter. Die endlichen Körper GF (2 B ) besitzen jeweils ein primitives Element. Dieses ist Erzeuendes der multiplikativen Gruppe von GF (2 B ), das heiÿt jedes von null verschiedene Element von GF (2 B ) kann als Potenz von darestellt werden und es ist 2B 1 = 1. Kennt man diese Darstellun für zwei Elemente a = m und b = n,kann man leicht multiplizieren: a b = m n = (m+n) mod (B 1). Was fehlt ist die Abbildun der durch Bitfolen der Läne B repräsentierten Zeichen auf Exponenten von und umekehrt. Sie wird mit Hilfe des Minimalpolynoms

78 4 Träer von ewonnen. Wie in Tabelle 4.3 zu sehen ist, hat es für GF (2 B ) erade den Grad B und ist normiert, hat also die Form x B + p(x). Der rad von p(x) ist kleiner als B. Das primitive Element ist Nullstelle seines Minimalpolynoms und aus B + p() = 0 folt unmittelbar die Beziehun B = p() (Addition und Subtraktion sind in den betrachteten Körpern identisch). Setzt 32 man 1 = 0 = 2B 1 = 00 :::001, 2 = = 00 :::010, 3 = 2 = 00 :::100 und so weiter bis B 1 =10:::00, kann man jedes Element von GF (2 B ) als Summe von Potenzen 0 ::: B 1 darstellen. Für 0 ::: B 2 (und damit für jede Summe dieser Elemente) ist auch die Multiplikation mit erklärt, denn das zur nächsthöheren nächsthöheren Potenz ehörende Zeichen ist bekannt. Und B 1 schlieÿlich ist nichts anderes als B = p(). Die Zuordnun zwischen Bitfolen und Exponenten von erhält man damit durch sukzessive Multiplikation i = i 1.Wann immer sich dabei auf der Seite der Bitfolen B zeit, wird es soleich durch p() ersetzt. Auf diese Weise erhält man zwei Tabellen. Die eine, nennen wir sie alpha, enthält zu jedem Exponenten e 2f0;:::;(B 1) die Darstellun als Bitfole, die andere, die auf den schönen Namen poly hört, umekehrt zu jeder Bitfole den entsprechenden Exponenten von. Der Null ordnen wir den Exponenten 2 B 1 zu. Das wird uns keine Schwierikeiten bereiten. Wer sich nach dieser knappen Darstellun an Mathematik zwischen Wahn und Witz [Dud95] erinnert fühlt, sei auf die Literatur [MWSl77, Swe92, Schu91, RaFu89] verwiesen und mit einien Zeilen Prorammtext etröstet. In C aufeschrieben, ist das nämlich alles viel einfacher. unsined short alpha LANG_GENUG ; unsined short poly LANG_GENUG ; unsined short minimalpolynom; int i; alpha 4 = 5; for, i = 5; i <,5<<B-15; i - alpha i = alpha i15 << 5; if, alpha i >=,5 << B- - alpha i ^= minimalpolynom; poly alpha i = i; alpha,5<<b-15 = 4; poly 4 =,5 << B- 1 5; Diese Zeilen nden sich so ähnlich die Varialen sind anders benannt im Quelltext der Aztec-Bibliothek. Was tun sie? Eientlich enau das oben Beschriebene. Die for-schleife durchläuft einmal alle Exponenten von 1 bis 2 B 1. Die Multiplikation i 1 ist nichts weiter 32 Man kann das auch mit der Betrachtun von Bitfolen als Polynome über GF (2) und einer ehörien Portion Alebra rechtfertien. Will der Autor aber aus Platz- und Zeitründen nicht. 78

79 4.4 Implementierun als eine Linksverschiebun. Wir hatten die ersten Potenzen von ja so ewählt, daÿ wir daraus jede Bitfole durch Addition erhalten können, und für jeden einzelnen Summanden ist die Multiplikation mit nur eine Verschiebun um eine Stelle. Mit Ausnahme eines einzien: Taucht B irendwo auf, soll es durch p(x) ersetzt werden, dessen Grad kleiner ist als B. Die if-verzweiun prüft, ob dieser Zustand beim Schieben einetreten ist, und leitet eebenenfalls alles Nötie in die Wee. Das ist nicht viel. Da die Addition und die Subtraktion in unseren endlichen Körpern dem bitweisen exklusiven Oder entsprechen, werden wir in einem einzien Schritt das B los, das sich da eineschlichen hat, und addieren leichzeiti p(). Die Variable minimalpolynom enthält die Binärdarstellun des Minimalpolynoms. Die so entstehenden Tabellen auch die röÿte für GF (2 12 ) braucht noch nicht allzu viel Speicherplatz werden bei Bedarf erzeut und dann zur erneuten Verwendun aufbewahrt. Eienhändies Nachschlaen erspart die Funktion fmul,-, die anhand der Tabellen multipliziert. Die eientliche Reed-Solomon-Kodierun nutzt nicht viel mehr als Schulwissen. Wie bereits erläutert, ist der Kodiervoran eine Polynomdivision mit Rest. Die kann man nach wohlbekanntem Verfahren auf einem Blatt Papier ausführen. Das tut die Aztec- Bibliothek nicht, aber sie nutzt die leiche Methode. Die Polynome werden durch ihre Koezienten aus GF (2 B ) repräsentiert, die in einem Array abelet sind. Der Leitkoezient steht dabei an erster Position, trät im Array also den Index 0. Für unsere Zwecke enüt das, denn die einzie Operation, die hier den Grad eines Polynoms erhöht, ist die Multiplikation x K d(x). Sie führt ledilich dazu, daÿ die Fole der Koezienten am anderen Ende um K Nullen erweitert wird. Zur Division mit Rest wird der nächste Term des Quotienten bestimmt enau enommen nur sein Koezient und das Generatorpolynom mit ihm multipliziert. Das Erebnis wird von dem Rest subtrahiert, den der vorherehende Divisionsschritt elassen hat. Der erste Schritt subtrahiert statt dessen von der Fole der Datenzeichen. Nach D das war die Zahl der Datenzeichen Divisionsschritten lieen die Koezienten eines Restpolynoms im Puer, dessen Grad kleiner ist als der des Generators. Das ist auch schon alles. Die Funktion az_mksymbol,- liefert das Erebnis ihrer Arbeit in einer Struktur vom Typ az_symdata,- zurück. Sie enthält neben der Mode Messae und den RS-kodierten Daten auch Informationen über die Symbolröÿe, die in der Graphikschicht benötit werden Graphik Den letzten Schritt der Symbolerzeuun übernimmt das Modul rphlevel. Neben der Funktion az_drawsym,-, die die eientliche Aufabe des Moduls erledit, exportiert es az_bmalloc,- und az_bmfree,- zur Speicherverwaltun sowie az_setelem,- und az_etpixraw,- für den einfacheren Uman mit den erzeuten Bitmaps. Die Funktion az_bitmap.az_drawsym, const az_symdata.sdata - 79

80 4 Träer erhält als Parameter einen Zeier, wie er im vorherehenden Schritt von az_mksymbol,- eliefert wird. Bei erfolreicher Abarbeitun liefert sie ein einfaches Bitmap. Darin entspricht jedem quadratischen Grundelement des Symbols ein Pixel. Die von az_drawsym,- elieferte Bitmap-Struktur kann von Anwendunsprorammen beliebi weiterverarbeitet werden, etwa zur Ausabe auf dem Bildschirm, auf dem Drucker oder in eine Datei. Sie wird deshalb enauer betrachtet. typedef struct unsined char.buf; 3. Bitmap im Speicher222.3 unsined buflen; und seine Gesamtlaene.3 unsined lines; 3. Bitmap1Groesse.3 unsined cols; unsined colbytes; 3. Bytes pro Zeile.3 unsined c_x; 3. Symbolmittelpunkt.3 unsined c_y; az_bitmap; Koordinatenursprun ist die obere linke Ecke. Jedes Element wird durch ein Bit repräsentiert; schwarze durch 1 und weiÿe durch 0. Die Zeilen des Symbols lieen hintereinander im Speicher.buf. Jedes Byte wird dabei beinnend mit dem höchstwertien Bit efüllt. Eine neue Zeile beinnt immer an einer Byterenze, so daÿ am Zeilende einie Bits unenutzt bleiben können. Die Zahl der Bytes pro Zeile ibt colbytes an. Das dient in erster Linie der Bequemlichkeit, man könnte den Wert von colbytes auch jedesmal ausrechnen, wenn er benötit wird. Abbildun 4.3 zeit den Aufbau schematisch. Mit der Funktion az_etpixraw,- kann die Farbe eines Elements anhand seiner Koordinaten ermittelt werden. Abb. 4.3: Bitmap-Struktur In c_x und c_y sind die Koordinaten des einzelnen Elements in der Mitte des Finder- Musters. Auf diese Weise wird ein zweites Koordinatensystem deniert, dessen Ursprun 80

81 4.4 Implementierun der Symbolmittelpunkt ist. Dieses Koordinatensystem wird intern beim Zeichnen des Symbols verwendet. In Gestalt der Funktion az_setelem,- steht es auch für die nachträliche Bearbeitun auÿerhalb der Bibliothek zur Verfüun. Anders als die übrien Funktionen der libaztec ibt az_drawsym,- keinen Zeier auf statischen Speicher zurück, sondern reserviert die benötiten Bereiche abhäni von der Symbolröÿe. Die Funktion az_bmalloc,-, die dazu benutzt wird, steht auch Anwendunsprorammen zur Verfüun. Als Parameter erwartet sie die Zeilen- und Spaltenzahl des zu erzeuenden Bitmaps. Der so reservierte Speicher wird mit az_bmfree,- freieeben. Die Innereien von az_drawsym,- folen, wie auch der Rest der Bibliothek, fast sklavisch der Spezikation. Nachdem Speicher für eine Bitmap-Struktur in der benötiten Gröÿe reserviert wurde, werden zunächst die festen Elemente (Finder, Orientation Bits und Referenzitter) ezeichnet. Danach kommt die Mode Messae dran und zuletzt die Daten nebst Korrekturinformation, die, von hinten nach vorn elesen, sprialförmi um den Finder ewickelt werden. Dabei hilft die interne Funktion ecmpnt,-, die für ein (in Symbolkoordinaten) eebenes Element bestimmt, ob es bereits zu einem anderen Bestandteil des Symbols (z.b. zum Referenzitter) ehört. Beinnend beim immer leichen Startpunkt, ( 7; 8) in Symbolkoordinaten, werden die Dominopositionen durchlaufen. Elementpositionen, an denen sich bereits Teile des Referenzitters benden, werden dabei übersprunen. Wann die Laufrichtun eändert werden muÿ, ibt ebenfalls ecmpnt,- an Weiterverarbeitun Die Bitmaps, die die Aztec-Bibliothek liefert, lassen sich zu beliebien Ausabeformaten weiterverarbeiten. Im Modul output ist das beispielhaft für die Graphikformate GIF und PNG implementiert; ebenso wären aber auch zum Beispiel Postscript oder PDF mölich. Warum die Wahl von Pixelraphikformaten sinnvoll ist, erläutert Abschnitt 4.5. Die GIF-Erzeuun erfolt mit Hilfe der Bibliothek GD [Bou98] und für PNG wird die Referenzimplementierun Libpn [PDG98] benutzt. Aus diesem Grunde ist das Modul output nicht in die libaztec interiert; sie soll nicht von anderen Bibliotheken abhäni sein. Die Funktionen wrtif,- und wrtpn,- erwarten jeweils eine zum Schreiben eönete Datei, einen Zeier auf eine az_bitmap-struktur sowie die Elementröÿe x in Pixeln. Obwohl sich die Formate GIF und PNG sehr ähneln, unterscheiden sich die benutzten Bibliotheken und damit die Vorehensweisen erheblich. Die Bibliothek GD erlaubt das Zeichnen von Rechtecken. Das macht die Sache einfach. Spalte für Spalte und Zeile für Zeile durchlaufen und für jedes schwarze Element ein Quadrat der Gröÿe ezeichnet. Die Libpn ist deutlich sperrier zu handhaben. Sie erzeut zwar klalos PNG-Dateien, erwartet aber einen Speicherblock als Parameter, der bereits eine Bilddarstellun emäÿ PNG-Spezikation [Bou96b] enthält. Die Funktion wrtpn erzeut deshalb eine zweite az_bitmap-struktur das Format ist schon eeinet, nur die Gröÿe stimmt noch nicht. Aus dem Symbolbitmap wird jeweils eine Zeile übertraen und dabei jedes Element ver-x-facht. Die so entstandene Zeile wird 81

82 4 Träer in die (x-1) folenden kopiert. Das ist nicht besonders schön, aber es funktioniert CGI-Proramm Als Beispielanwendun entstand das CGI-Proramm azci, welches Aztec-Symbole auf dem Web-Server erzeut. Für die CGI-Anbindun benutzt es die Bibliothek cic [Bou96a]. Tabelle 4.5 zeit die Aufrufparameter, die im URL übereben werden können. Mit Ausnahme der zu kodierenden Nachricht messae sind sie mit sinnvollen Werten vorbelet und können weelassen werden. Name Typ und Wertebereich Default Bedeutun messae Oktettfole Nachricht maxlayers maximale Gröÿe; 0 = default ecclevel Mindestumfan der Korrekturinformationen; 0 = default x Elementröÿe (Bildpixel) format if pn txt if Ausabeformat allbin Fla nein esamte Nachricht im Binärmodus kodieren truncate Fla nein zu lane Nachrichten kürzen Flas sind esetzt, wenn sie als Attribut im QUERY_STRING vorkommen und mit einem Wert belet sind. Tab. 4.5: Aufrufparameter des Proramms azci Das Proramm azci reift auf die Funktionen der libaztec und des output-moduls zurück. Es beschäftit sich deshalb hauptsächlich mit der Fehlerbehandlun und dem Lesen der Einabe. Um aus der überebenen Nachricht ein Symbol zu erzeuen, müssen ledilich die drei Hauptfunktionen der Bibliothek libaztec in der richtien Reihenfole auferufen werden. az_buffer.messae; az_bitstr.bitstr; az_symdata.sdta; az_bitmap.symbol; bitstr = az_bitstream,.messae0,allbin truncate- -; sdta = az_mksymbol, bitstr0 maxlayers0 ecclevel0 AZ_FLAG_NONE -; symbol = az_drawsym, sdta -; Dieser verkürzte Quelltextausschnitt, die Fehlerbehandlun wurde weelassen, ist selbsterklärend. Die nicht deklarierten Variablen entsprechen den Parametern aus Tabelle 4.5. Ebenso einfach wie die Erzeuun ist die Ausabe des Symbols. FILE.ciOut; 82

83 4.5 Wie kommt das Symbol zum Käufer? wrtif, ciout0 symbol0 x -; 3. oder wrtpn, Hier ist ciout die bereits zum Schreiben eönete Ausabedatei, in diesem Fall ein Alias für die Standardausabe, der von der Bibliothek cic zur Verfüun estellt wird. Der Zeier symbol enthält die oben von az_drawsym elieferte Adresse. Der dritte Parameter x ibt die Elementröÿe in Bildpixeln an. 4.5 Wie kommt das Symbol zum Käufer? Die im World Wide Web einesetzten Techniken und Standards wurden mit dem Ziel der Plattformunabhänikeit entwickelt. Daraus erab sich, daÿ die Kontrolle über die Darstellun von Inhalten weitehend auf der Client-Seite, also beim Browser, liet. Informationsanbieter liefern beispielsweise in HTML-Dokumenten ledilich Strukturinformationen (Markup) und unverbindliche Hinweise für die Darstellun (Stylesheets); alles weitere wird dem Browser überlassen. Auf diese Weise ist es - korrekte Anwendun vorausesetzt - mölich, ein und denselben Inhalt soar auf so verschiedenen Geräten wie Bildschirm, Drucker, Sprachsynthesizer und Braille-Zeile in der jeweils eeineten Form auszueben. Die Flexibilität und Plattformunabhänikeit wird zum Nachteil, wenn der Informationsanbieter aus irendwelchen Gründen eine weiterehende Kontrolle über die Darstellun benötit. Beim Verkauf von Tickets treten deshalb Schwierikeiten auf. Während des Kaufvoranes soll dem Nutzer ein Datenpaket übermittelt werden, welches, auf seinem Drucker zu Papier ebracht, ein ülties Ticket darstellt. Enthielte das Ticket neben Text nur Graphikelemente, die der Dekoration dienen, könnte man die Umsetzun in eine Druckraphik problemlos dem Browser überlassen. Tickets sähen dann je nach Hardware, Software und Systemkonuration des Käufers unterschiedlich aus, wären aber sicher lesbar. Zur Prüfun des Tickets werden jedoch Daten benötit, die maschinenlesbar als Aztec-Symbol auf dem Ticket abelet sind. Hier erweist sich die manelnde Kontrolle des Anbieters über den Druckvoran beim Nutzer als problematisch. Die Lesbarkeit des Symbols hänt von der Druckqualität ab, die zum einen vom Papier, zum anderen vom Drucker beeinuÿt wird. Drucker und Papier bestimmen die minimale Elementröÿe, mit der das Symbol sicher lesbar ist. Andererseits ist durch das Papierformat und das Sichtfeld des Scanners eine Maximalröÿe eeben. Sie ist jedoch wenier kritisch. Erfahrunen mit dem IT 4400 der Firma Welch Allyn zeien, daÿ unefähr alles, was auf ein A4-Blatt paÿt, auch vom Gerät erfaÿt werden kann. Ledilich die Aufteilun eines Symbols auf mehrere Seiten ist zu verhinern. Bei unserer Anwendun lieen die Datenmenen weit unter der Kapazität des röÿtmölichen Symbols, auf dessen Gröÿe der Scanner ohnehin auselet ist. Deshalb bleibt enüend Spielraum, eine unter allen Umständen sichere Elementröÿe zu wählen. Wie aber kann der Anbieter sicher sein, daÿ seine Tickets ausreichend roÿ edruckt werden? Ist die Darstellun von HTML-Dokumenten noch berenzt steuerbar, solane der Nutzer keine eienen Style-Sheets einsetzt, so fehlt bei Graphiken und Bildern jede 83

84 4 Träer Mölichkeit der Einuÿnahme. Der Browser des Nutzer kann etwa ein GIF-Bild nach Belieben skalieren. Es ibt keinen Standard, der den Druck solcher Bilder reelt. Ideal wäre das Geenteil, nämlich ein Format, das dem Anbieter volle Kontrolle über den Druck läÿt. Unter diesem Gesichtspunkt erscheinen Postscript und PDF ut eeinet. Im ersten Kapitel haben wir jedoch aus utem Grund efordert, daÿ der Käufer mölichst nichts als einen Web-Browser benötien soll. Um Postscript zu drucken, benötite er jedoch zusätzliche Software, wenn er nicht erade einen Postscript-Drucker besitzt. Die ist zwar kostenlos erhältlich, aber Download und Installation kosten Zeit und Geld und unter manchen Betriebssystemen ist jede Softwareinstallation eine heikle Operation, die das System unbenutzbar machen kann. Das alles möchte man nicht in Kauf nehmen, nur um eine Kinokarte zu erwerben. Selbst wenn man es hinnähme, bliebe ein weiteres Problem. Postscript als ASCII-Format (vl. 2.7) macht aus kleinen Bildern roÿe Dokumente. Anesichts der knappen Bandbreite vor allem auf den letzten Kilometern zwischen dem Käufer und seinem Provider ist das ein Problem. Datenkompression ist zwar mölich und wird soar von HTTP unterstützt, erfordert aber ein weitere Software beim Kunden. Pixelformate bieten eine kompaktere Repräsentation der Symbolraphik und können insbesondere GIF von fast jedem Web-Browser ohne Hilfmittel anezeit und edruckt werden. Aber woher wissen wir, wie die Graphik aus dem Drucker kommt, wenn es für die Darstellun keine Standards ibt? Theoretisch bietet das Format PNG [Bou96b] eine Lösun. Es wird von neueren Browsern (IE und Netscape Naviator jeweils ab Version 4.xx) unterstützt. PNG wurd als GIF-Ersatz speziell für die Benutzun im WWW entwickelt. Unter anderem estattet es die Anabe von Pixeldimensionen. Die Pixelröÿe wird, für X- und Y-Richtun etrennt, durch die Anabe der Pixelanzahl pro Meter speziziert. Damit lassen sich die meisten Barcodes auf eine recht eleante Weise als darstellen. Ihnen ist emeinsam, daÿ sie aus Elementen fester Gröÿe zusammenesetzt sind. In einer PNG-Datei kann man jedes Element durch einen Pixel darstellen und als Pixelröÿe die ewünschte Elementröÿe aneben. Leider ist dieser Teil der PNG-Spezikation fakultativ und in den änien Browsern nicht implementiert. Berücksichtit wird allenfalls das Seitenverhältnis, das sich aus der aneebenen Pixelröÿe eribt. Schade. Dennoch sind Pixelraphikformate in der Praxis eeinet, das Aztec-Symbol zum Käufer zu übermitteln. Experimente zeien, daÿ sich nahezu alle Browser trotz fehlender Standards leich verhalten. Netscape Naviator, MS Internet Explorer und Opera drucken GIF-Bilder mit 100 dpi. Amaya, der Referenzbrowser des W3C, brint nur 75 Bildpixel auf einem Zoll unter; das Symbol wird dann beim Druck etwas röÿer. Wir werden deshalb Pixelformate nutzen und dabei annehmen, daÿ sie mit höchstens 100 dpi edruckt werden. Ein Bildpixel hat dann eine Kantenläne von wenistens 0; 25mm. In dieser Schrittweite kann die Elementröÿe variiert werden; welche Dimensionen sinnvoll sind, untersuchen wir im nächsten Abschnitt. Im Interesse der Plattformunabhänikeit ist es sinnvoll, ausschlieÿlich das Aztec- Symbol als Bild zu übermitteln und in ein HTML-Dokument einzubinden, das die Ticketparameter und weitere Informationen in natürlicher Sprache enthält. Der Browser hat 84

85 4.6 Experimente dann die Freiheit, alles bis auf das Symbol nach seinen Bedürfnissen und den Wünschen seines Benutzers darzustellen. Nur eins muÿ man sich bei der Gestaltun des HTML-Dokuments verkneifen. HTML estattet in der Version 4.0 Gröÿenanaben für Objekte, die mittels des OBJECT- Elements oder seiner älteren Geschwister APPLET und IMG in HTML-Dokumente einebunden werden. In Abschnitt 13.7 der HTML-Spezikation [RLJ98] heiÿt es dazu: When specied, the width and heiht attributes tell user aents to override the natural imae or object size in favor of these values. When the object is an imae, it is scaled. User aents should do their best to scale an object or imae to match the width and heiht specied by the author. Note that lenths expressed as percentaes are based on the horizontal or vertical space currently available, not on the natural size of the imae, object, or applet. Prozentanaben beziehen sich auf den zur Verfüun stehenden Platz. Der Browser wird aufefordert, das Bild zum Beispiel auf 50% der Seitenbreite zu skalieren. Die aber kennt der Anbieter nicht, wenn er das Ticket und das zuehörie HTML-Dokument erzeut. Prozentuale Gröÿenanaben können deshalb zu unewollten Erebnissen führen und sind zu unterlassen, wie überhaupt jeder Layout-Versuch mit HTML zu unterlassen ist. 4.6 Experimente Der anze Wert unserer Eintrittskarten aus dem Netz liet im eheimnisvollen Aztec- Symbol. 33 Ist dieses nicht dekodierbar, ist das Ticket wertlos, denn Papierstückchen, die nur echt aussehen, kann jeder herstellen. Dem Käufer soll mölichst kein Verlust entstehen, wenn er sich einiermaÿen vernünfti verhält. Deshalb muÿ sicher sein, daÿ die online ekaufte Eintrittskarte benutzbar bleibt, ohne vom Käufer besondere Sorfalt zu fordern. Dieser Abschnitt untersucht die Fehlertoleranz von Aztec-Symbolen. Es soll eklärt werden, welche Elementröÿe für ausreichende Druckqualität erforderlich ist, und ob es Beschädiunen ibt, een die die Symbole besonders empndlich sind. Die Resultate wurden experimentell, aber nicht systematisch ewonnen. Da nur ein einzier Scanner, ein Welch Allyn IT 4400, zur Verfüun stand, elten sie stren enommen nur für diese Hardware. Jede Statistik wäre von vornherein wertlos, weil sie diesen Einuÿ nicht näher bestimmen könnte. Ebenso lassen sich Einüsse des Benutzers bei einem Handscanner kaum ausschlieÿen. Wer falsch zielt, erhält schlechtere Erebnisse, aber was ist falsch und woran erkennt man, ob man etwas falsch emacht hat? Der Autor hat deshalb keine Erstleseraten bestimmt, sondern beschränkt seine Beobachtunen auf die drei Kateorien ut lesbar, schlecht lesbar und nicht lesbar. Gut lesbare Symbole werden in der Reel bei einem der ersten Leseversuche erkannt. Schlecht 33 Das ist ein ernstes Problem. Man muÿ den Veranstalter bzw. seine Mitarbeiter darauf dressieren, die Gültikeit ausschlieÿlich vom Computer beurteilen zu lassen. Menschen, die einem Computer blind vertrauen, sind aber selbst ein Problem. Vl. [Neu95]. 85

86 4 Träer a) b) c) d) Abb. 4.4: Beschädite Symbole I. a) Teeeck; b) Brandloch; c) Mehrwöchier Transport in der Hosentasche; d) Unbekannter Meister: ABCDEFGH, Kuelschreiber auf Papier, um lesbare daeen werden in der Reel nicht erkannt, mit etwas Glück und Geduld aber manchmal doch. Nicht lesbare Symbole sind die, die übribleiben. Die Leistunsfähikeit der Fehlerkorrektur ist bekannt; für jedes eebene Symbol kann berechnet werden, wieviele Fehler korriierbar sind. Mit einem Zeichenproramm den Datenbereich eines Symbols zu verändern erschien daher weni sinnvoll. Statt dessen wurden Beschädiunen simuliert, die im Allta auftreten können, um herauszunden, was man alles nicht tun darf, wenn ein Symbol lesbar bleiben soll. Für die meisten Versuche wurde ein Beispielsymbol aus der Spezikation [WAl97] verwendet. Es enthält 109 ASCII-Zeichen. Die Nachrichtenkodierun macht daraus 75 Acht-Bit-Zeichen, die um 81 Zeichen für die Fehlerkorrektur erweitert wurden. Bild 4.4 zeit Symbole, die trotz Beschädiun beziehunsweise eienwillier Ausabeeräte ut lesbar sind. Tee und Kaee (4.4a) verrinern den Kontrast zwischen den schwarzen Elementen und dem vormals weiÿen Hinterrund nur weni. Sie stellen keine ernste Gefahr dar, es sei denn, der Druck erfolt mit einer nicht wasserfesten Tinte. Auch das Brandloch in Symbol 4.4b ist in dieser Gröÿe und Position unproblematisch. Dafür sort die Fehlerkorrektur, die bei diesem Symbol fast schon übertrieben erscheint. 86

87 4.6 Experimente Das Symbol 4.4c tru der Autor wochenlan achtlos in der Hosentasche mit sich. Die Auswirkunen sind nicht zu übersehen, doch auch dieses Symbol konnte noch ohne Schwierikeiten elesen werden. Bild 4.4d zeit ein Symbol, das der Autor ohne Lineal selbst ezeichnet hat. Die Elementröÿe beträt unefähr 2; 5mm. Die Ausabequalität spielt bei dieser Gröÿe oenbar nur noch eine erine Rolle. Sie sollte daher mit allen denkbaren Druckern ausreichend ute Erebnisse liefern. Allerdins wäre ein Symbol mit 256 Bytes Daten und enauso viel Korrekturinformation dann unefähr 20cm roÿ und damit sehr unhandlich. Wie wir leich sehen werden, muÿ es so roÿ denn doch nicht sein. a) b) c) Abb. 4.5: Beschädite Symbole II. a) Brandloch; b) Mit Klebeband reparierter Riÿ; c) Handwäsche. Zum Verleich zeit Abbildun 4.5 Symbole, die ween ihrer Beschädiun nicht mehr elesen werden konnten. Das Loch in 4.5a ist nicht röÿer als das im vorherehenden Bild, hat aber einen kritischen Teil des Symbols beschädit. Das Finder-Muster, mit dessen Suche das Dekodieren beinnt, ist zur Hälfte auselöscht. Da es vom Scanner anhand seiner topoloischen Eienschaften efunden wird [WAl97], kann er hier nichts ausrichten von keinem einzien der Quadrate ist noch ein eschlossener Linienzu erhalten. Eine noch viel kleinere Beschädiun mit ravierenden Auswirkunen wäre die Auslöschun der Orientation Bits an den Ecken des Finders. Sie wird in der Praxis aber kaum so isoliert vorkommen. 87

88 4 Träer In Abbildun 4.5b ist ein Symbol zu sehen, das sehr schwer lesbar ist, obleich es nur leicht beschädit aussieht. Damit es überhaupt dekodiert werden kann, muÿ (beim Oriinal) der Scanner schrä ehalten werden. Der Grund ist ein Stück Klebeband, mit dem ein Riÿ repariert wurde. Der Scanner beleuchtet das Symbol selbst, was zu störenden Reexionen führt. Sie treen enau die CCD-Kamera des Scanners, wenn das Symbol parallel zu ihr ehalten wird. Das dritte Symbol in Abbildun 4.5 wurde nur kurz! im Wasser mechanisch belastet. Das Erebnis unterscheidet sich optisch nicht sehr von 4.4c, kann im Geensatz dazu aber nicht mehr dekodiert werden. Vermutlich liet das daran, daÿ die Orientation Bits an zwei Ecken des Finders zerstört sind. Aber auch der Finder selbst sowie die Korrektur- und Nachrichtenbits sind erheblich beschädit. Für die Versuche wurden alle Symbole mit einem hochwertien Laserdrucker zu Papier ebracht. Die Elementröÿe la bei unefähr 0; 7mm. Welchen Einuÿ hat die Druckqualität auf die Lesbarkeit? Abb. 4.6: Aztec-Symbol aus dem Nadeldrucker (verröÿert). Der Ausschnitt rechts zeit Verzerrunen, die vermutlich bei der Aufbereitun der Postscript-Datei für den Druck entstanden. Um das herauszunden, wurden Aztec-Symbole mit einem 24-Nadeldrucker edruckt, dessen Farbband bereits deutlich ealtert war. Bereits in Abschnitt 4.2 wurde erwähnt, daÿ mit einem solchen Drucker Strukturen ab unefähr 0; 4mm in ausreichender Qualität erzeut werden können. Testsymbole wurden deshalb mit Elementröÿen von 2, 3 und 4 Pixeln erzeut, das entspricht 0,5 bis 1,0 Millimetern. Die Fehlerkorrektur wurde für jede Gröÿe zwischen dem Minimum und 100% der Nachrichtenläne variiert. Das Erebnis war erstaunlich, zumal die Software Netscape kombiniert mit Ghostscript auch noch für deutliche Verzerrunen sorte (Bild 4.6b). Schon mit der kleinesten Elementröÿe von 0; 5mm und minimaler Fehlerkorrektur lieÿen sich die (unbeschäditen) 88

89 4.6 Experimente Symbole ut lesen. Abb. 4.7: Faxkopie des Symbols aus Abb. 4.6 (verröÿert) Schwierikeiten traten erst auf, nachdem die edruckten Symbole auch noch mit einem Faxerät kopiert worden waren. Dabei entstanden deutlich verwaschene Kopien, wodurch die kleinsten Symbole unabhäni vom Anteil der Fehlerkorrektur unlesbar wurden. Bei 0; 75 und 1; 0mm Elementröÿe waren hineen auch die Kopien noch leicht zu lesen. Abb. 4.8: Zum Verleich ein Symbol mit doppelter Elementröÿe (verröÿerte Ausschnitte); a) Oriinal aus dem Nadeldrucker, b) Faxkopie. Mit einer Elementröÿe von 4 Pixeln und einem Korrekturanteil von 100% der Nachrichtenläne werden wir für alle vorstellbaren Fälle ut erüstet sein. Vor der Waschmaschine ist das diitale Billett enauso weni eschützt wie das herkömmliche, aber den We von der Wohnun zum Veranstaltunsort wird es überstehen, auch wenn man 89

90 4 Träer es achtlos in die Hosentasche stopft. Mehr muÿ es auch ar nicht verkraften, denn die Ticketdaten können espeichert und bei Bedarf erneut edruckt werden. 90

91 5 Implementierun Früher hieÿ dieses schnittie Projekt Versuchskarnickel. Pilotprojekt (Eckhard Henscheid: Dummdeutsch) Der Aztec-Generator aus dem 4. Kapitel vollendet das Fundament. Wir wissen, daÿ wir Eintrittskarten im Internet verkaufen können, und wir wissen auch unefähr, was wir dafür tun müssen. Der nächste und in dieser Arbeit letzte Schritt ist die Implementierun eines Prototypen. Er ist nicht Neben- sondern Hauptprodukt; Prototypin ist ein wichtier Lernprozeÿ [Gan95]. Beim Prototypen können wir einerseits Kompromisse machen, wo es nur darum eht, die Funktionsfähikeit zu zeien. Andererseits läÿt er Raum für Variationen und Experimente. Bei der Entwicklun richtete sich das Auenmerk deshalb auch mehr auf die Grundstruktur und die Erweiterbarkeit als auf die lästien Details, die auf dem We vom Prototypen zum Produkt ohnehin noch (n +1)-mal eändert werden. Was brauchen wir? Schon in 1.3 haben wir festestellt, daÿ das wir das Ticket als Nachricht betrachten können. Wir benötien ein System, das die Ticketparameter als Nachricht darstellt und diese manipulatonssicher über einen nicht vertrauenswürdien Kanal übermittelt. Daraus eribt sich fast zwansläu ein Schichtenmodell, wie es aus der Welt der Rechnernetze bekannt ist. Die untere Schicht bildet ein beliebies Übertraunsmedium. In unserem Fall sind das Aztec-Symbole, aber wir fordern nichts weiter, als daÿ es eine enüend lane Oktettfole transportieren kann und dabei Übertraunsfehler vermeidet. So kann der Aztec- Kode leicht zum Beispiel durch Chipkarten ersetzt werden, ohne daÿ der Rest des Systems wesentlich verändert werden muÿ. Die zweite Schicht sort für die Sicherheit. Sie erhält auf der Senderseite eine Nachricht als Einabe und ibt eine veränderte an die Übertraunsschicht weiter. Beim Empfäner erhält sie umekehrt Nachrichten von der Übertraunsschicht und muÿ entscheiden, ob sie authentisch sind. Nach obenweitereeben werden nur diejenien, für die diese Prüfun positiv ausfällt. Ihre kryptoraphischen Schlüssel soll die Sicherheitsschicht selbst verwalten. Die obere Schicht schlieÿlich hat eientlich nichts weiter zu tun als Parametersätze auf Nachrichten abzubilden und umekehrt. Wir ordnen ihr aber noch eine weitere Aufabe zu, nämlich die Prüfun von Parametersätzen auf Gültikeit, wie sie in Kapitel 2 behandelt wird. Drei Proramme nutzen dieses Gerüst. Eines ist für den Verkauf zuständi. Damit der Kunde auch sieht, wofür er sein Geld auseeben hat, soll er neben der esicherten Nachricht in Form eines Aztec-Symbols auch noch eine natürlichsprachie Darstellun des Billetts bekommen. Sie wird direkt aus dem Parametersatz erzeut, kann aber auch Informationen enthalten, die für die Kontrolle unbedeutend und deshalb nicht im Aztec- 91

92 5 Implementierun Verkauf Kontrolle Film: The X-Files: File not found Zeit: :00:00... Einlaß janein Gültikeitsprüfun Nachrichtenschicht Nachrichtenschicht Sicherheitsschicht Sicherheitsschicht Schlüstenbank selda- Schlüstenbank selda- Ticket Abb. 5.1: Schichtenmodell Symbol kodiert sind. Das Verkaufsproramm erzeut diese Darstellun als HTML-Text und bettet ein Aztec-Symbol mit der esicherten Nachricht ein. Das zweite Proramm übernimmt die Ticketkontrolle. Es muÿ Symbole lesen, daraus einen Parametersatz ewinnen und diesen auf Gültikeit prüfen. Dazu führt es eine Datenbank, in der die bereits kontrollierten Eintrittskarten vermerkt werden. Ein drittes Proramm dient nur als Hilfsmittel. Verkaufssystem und Kontrollstation benötien kryptoraphische Schlüssel, die transportiert und verwaltet werden müssen. Eientlich ist eine weitere Komponente nöti, die die Veranstaltunen und ihre Parameter auf der Verkaufs- wie auf der Kontrollseite verwaltet. Sie fehlt im Prototypen; statt dessen werden alle Parameter beim Verkauf als CGI-Einabe und bei der Kontrolle auf der Kommandozeile übereben. Das ist unbequem und unsicher, enüt aber zum Ausprobieren. 5.1 Werkzeue Bevor wir zur Tat schreiten, wenie Worte zu den verwendeten Werkzeuen. Wie schon beim Aztec-Symbolenerator erfolt die CGI-Anbindun des Verkaufsproramms mittels der Bibliothek cic [Bou96a]. Weitere Hilfmittel sind SSLeay für die kryptoraphischen Funktionen und DBM zur Datenspeicherun DBM (N)DBM ist eine primitive Datenbank, die mit jedem Unix-System miteiefert wird. Sie kann ledilich Schlüssel-Wert-Paare in einer einfachen Tabelle ableen. Schlüssel und Wert können beliebie Oktettfolen sein, jedoch darf ihre Läne zusammen 1024 Bytes 92

93 5.1 Werkzeue nicht überschreiten. Die abeleten Daten können über ihren Schlüssel jederzeit elesen werden. Dazu sind nur zwei Zurie auf den Massenspeicher erforderlich. Das Speicherformat ist architekturabhäni, also nicht zwischen verschiedenen Plattformen übertrabar. Das stört hier nicht, denn DBM soll nur lokal benutzt werden. Ein anderes Manko fällt stärker ins Gewicht. DBM ist nicht in der Lae, Datensätze zu sperren. Konkurrierende Zurie durch mehrere Prozesse können daher zu unsinnien Resultaten führen, sobald einer davon eine Schreiboperation ist. Dieses Problem kann umanen werden, indem man bei solchen Operationen die esamte DBM-Datenbank zumindest für kooperative Prozesse sperrt. Das ist keine richti ute Idee, weil es viel zu weit reift, aber besser eht es nicht. Die Vorteile von DBM lieen darin, daÿ es einfach da und leicht zu benutzen ist. Wir werden es deshalb zum einen zur Schlüsselspeicherun benutzen, zum anderen in der Kontrollstation zum Ableen der eindeutien Billettnummern SSLeay Kapitel 3 fordert den Einsatz bereits vorhandener Implementierunen der kryptoraphischen Alorithmen. Sie sollen im Quelltext erhältlich und ausiebi etestet sein. Die Suche nach einer eeineten Kryptoraphiebibliothek war unerwartet schwieri. Amerikanische Software ist aufrund von Exportbeschränkunen nicht ohne weiteres verfübar. Peter Gutmanns Cryptlib 34 ist, hmm, idiotensicher, worunter die Flexibilität leidet. Das ist kein rundsätzliches Problem, aber die Schlüsselverwaltun dieser Bibliothek ist nur in Verbindun mit ausewachsenen Datenbanksystemen brauchbar. Die sind für Kinokarten eine Nummer zu roÿ. SECUDE 35 machte auf den ersten Blick einen uten Eindruck, von der Benutzun wurde jedoch aufrund schlechter Erfahrunen aberaten [Hue98]. Die Wahl el schlieÿlich auf SSLeay [HuYo98, Reif96] von Eric Youn und Tim Hudson. SSLeay ist eine freie Implementierun des SSL-Protokolls. Die dafür benötiten kryptoraphischen Alorithmen sind in einer Bibliothek zusammenefaÿt, die auch für andere Zwecke enutzt werden kann. Sie enthält alles, was wir für den Prototypen brauchen: symmetrische Blockchiren (DES, IDEA, Blowsh), HMAC mit verschiedenen Hashfunktionen (MD5, SHA-1) sowie asymmetrische Sinaturverfahren (RSA, DSA). Die Dokumentation ist spärlich, doch dank sauberer, ut lesbarer Quellen ist das kein Problem. Die Prorammierschnittstellen sind durchdacht und ähnlich einfach zu nutzen wie die der Cryptlib, lassen dem Prorammierer aber mehr Freiraum. Insbesondere kann man die Schlüsselverwaltun selbst in die Hand nehmen. Unterstützun bieten dabei Funktionen, die Schlüssel für asymmetrische Verfahren plattformunabhäni emäÿ ASN.1 darstellen

94 5 Implementierun 5.2 Sicherheitsschicht Die Sicherheitsschicht schützt Nachrichten vor Manipulation. Dazu verwendet sie die drei Verfahren, die im 3. Kapitel diskutiert werden. Die Schlüsselverwaltun wird von der Sicherheitsschicht selbst übernommen. Anwendunsproramme bekommen ledilich Schlüsselkennunen zu Gesicht. Das macht es leicht, sämtliche kryptoraphsichen Funktionen auf einen eienen, besonders esicherten Rechner auszulaern und die Funktionen der Sicherheitsschicht übers Netz aufzurufen. Unabhäni vom kryptoraphischen Verfahren bietet die Sicherheitsschicht zwei Basisfunktionen. Auf der Senderseite erhält sie eine Nachricht inform einer Bytefole. Die Nachricht wird dabei verändert. Die Empfänerseite prüft die Authentizität, sofern das ewählte Verfahren dies zuläÿt. 36 Dann werden die Veränderunen rückäni emacht. Erebnis ist die esendete Nachricht; werden Blockchiren zur Sicherun enutzt, mölicherweise auch eine andere, unsinnie Nachricht. Die entsprechenden Funktionen heiÿen tck_protectms,- für den Sender und tck_ unprotectms,- für den Empfäner. Neben der zu sendenden beziehunsweise der empfanenen Nachricht erhalten sie als Parameter ledilich eine Schlüsselkennun. Intern arbeitet die Sicherheitsschicht mit austauschbaren Protokollmodulen. Zusammen mit jedem Schlüssel ist in der Datenbank die Information abelet, für welches Protokollmodul er bestimmt ist. Jede Schlüsselkennun let damit implizit das benutzte Verfahren fest. Kryptoraphieschlüssel werden zusammen mit Metainformationen in einer DBM- Datenbank abelet. Neben den beiden Grundfunktionen bietet die Sicherheitsschicht Funktionen zur Erzeuun sowie zum Ex- und Import von Schlüsseln. Funktion tck_protectms,- tck_unprotectms,- tck_enkey,- tck_exportkey,- tck_importkey,- tck_delkey,- tck_listkeys,- tck_slinit,- tck_slclose,- Aufabe sichert Nachrichten een Manipulation stellt esendete Nachricht wieder her und prüft auf Veränderun erzeut Schlüssel und let ihn in der Datenbank ab exportiert einen Schlüssel aus der Datenbank importiert einen Schlüssel in die Datenbank löscht einen Schlüssel aus der Datenbank listet Datenbankinhalt auf önet die Datenbank und sonstie Initialisierun schlieÿt die Datenbank Tab. 5.1: Funktionen der Sicherheitsschicht Die Schlüsseldatenbank muÿ eönet werden, bevor die Sicherheitsschicht darauf zu- 36 Bei symmetrischer Verschlüsselun können Manipulationen erst in den darüberlieenden Ebenen erkannt werden. Eine Ausnahme bilden Nachrichten, die kürzer sind als die Blockläne des benutzen Verfahrens. Sie werden auf denierte Weise aufefüllt (Paddin), so daÿ Veränderunen mit einer ewissen Wahrscheinlichkeit schon beim Entschlüsseln durch falsches Paddin auallen. 94

95 5.2 Sicherheitsschicht reifen kann. Darüber hinaus sind weitere Initialisierunsschritte notwendi, etwa die Festleun eines Startwertes für den Zufallszahlenenerator, mit dessen Hilfe Schlüssel erzeut werden. Bevor irendeine andere Funktion der Sicherheitsschicht enutzt werden kann, ist deshalb tck_slinit,- aufzurufen, wo all dies erledit wird. Die Datenbank bleibt eönet, bis das Geenstück tck_slclose,- auferufen wird. Zu jedem Zeitpunkt kann nur eine Datenbank eönet sein. Die Funktion tck_slinit erwartet als Parameter den Pfad zur Schlüsseldatenbank und Flas. Er wird von DBM um die Endunen 2dir und 2pa eränzt; auÿerdem dient er als Basisname für Sperrdateien mit der Endun 2LCK. Sind keine Flas aneeben (TCK_FLG_NONE), wird die Schlüsseldatenbank nur zum Lesen eönet. Das enüt zum Sichern und Prüfen von Nachrichten, da dabei nur vorhandene Schlüssel einesetzt werden. Will man daeen Funktionen zur Schlüsselverwaltun aufrufen, muÿ die Datenbank auch zum Schreiben eönet sein. Das wird durch das Fla TCK_FLG_RDWR erreicht Protokollmodule Um die Nutzun unterschiedlicher Verfahren und Alorithmen zu ermölichen und das System einfach erweiterbar zu machen, wurden sämtliche kryptoraphischen Funktionen in Protokollmodule verlet. Entsprechend den drei Verfahren aus 3.1 ibt es drei Protokolltypen für symmetrische Verschlüsselun (TCK_PTYPE_SYM), symmetrische MACs (TCK_PTYPE_MAC) und für asymmetrische Sinaturverfahren (TCK_PTYPE_ASYM). Ein Protokollmodul implementiert einen bestimmten Alorithmus, beispielsweise IDEA im ECB-Modus oder RSA-Sinaturen. Wie es das tut, ist allein Sache des Protokollmoduls. Ledilich die Schnittstelle, über die das Modul von den anderen Funktionen der Sicherheitsschicht auferufen wird, ist durch den Modultyp festelet. Funktion Parameter Aufabe enkey,- Passwort leitet einen Schlüssel aus dem Passwort ab oder erzeut einen zufällien, falls kein Passwort aneeben ist encrypt,- Klartext, Schlüssel verschlüsselt den Klartext mit dem überebenen Schlüssel decrypt,- Kryptoramm, Schlüssel entschlüsselt das Kryptoamm mit dem überebenen Schlüssel Tab. 5.2: Modulschnittstelle für symmetrische Verschlüsselun Zu jedem Modultyp ist eine Prorammschnittstelle deniert. Sie ist unabhäni davon, welchen konkreten Alorithmus ein Modul implementiert. Wie das Modul seinen Alorithmus implementiert, ist ihm überlassen. Die Funktionen der Sicherheitsschicht müssen so nur die Schnittstellen der drei Modultypen kennen. So können später Protokollmodule hinzuefüt werden, ohne daÿ Änderunen am Quelltext erforderlich sind. 95

96 5 Implementierun Jedes Protokollmodul verfüt über eine Funktion zur Schlüsselerzeuun. Für symmetrische Verfahren kann der Schlüssel auch von einem Passwort abeleitet werden, bei Sinaturverfahren ist das hineen nicht sinnvoll. Die erzeuten Schlüssel werden in einem linearen Puer zurückeeben. Das Format, in dem sie darin abelet sind, ist dem Modul überlassen, muÿ aber so estaltet sein, daÿ der Schlüssel auch auf anderen Plattformen elesen werden kann. Wichti ist das in erster Linie bei den asymmetrischen Verfahren. Deren Schlüssel bestehen aus mehreren Komponenten, bei denen es sich um Zahlen handelt, so daÿ unterschiedliche Darstellunen mölich sind. Schlüssel für symmetrische Verfahren sind hineen Bitfolen, die nicht weiter interpretiert werden, so daÿ sich dakaum Schwierikeiten ereben. Funktion Parameter Aufabe enkey,- Passwort leitet einen Schlüssel aus dem Passwort ab oder erzeut einen zufällien, falls kein Passwort aneeben ist auth,- Nachricht, Schlüssel füt MAC an die Nachricht an verify,- esicherte Nachricht, Schlüssel prüft und entfernt MAC Tab. 5.3: Modulschnittstelle für MACs Sinaturmodule liefern bei der Schlüsselerzeuun das komplette Schlüselpaar oder eine Repräsentation des eheimen Schlüssels, aus der der öentliche leicht berechnet werden kann. Auch hier sind die Einzelheiten dem Modul überlassen. Es muÿ ledilich eine Funktion sec6pub,- zur Verfüun stellen, die aus einem eheimen den öentlichen Schlüssel ewinnt. Ebenso ist jedes Modul selbst für die Darstellun der esicherten Nachrichten zuständi. Auch hier wird aber eine plattformunabhänie Repräsentation efordert, die von demselben Modul auf beliebien Systemen verarbeitet werden kann. Da wir SSLeay zur Implementierun der Protokollmodule benutzen, lösen sich die Darstellunsprobleme fast von selbst, denn SSLeay ist für den Einsatz in heteroenen Netzen bestimmt und brint deshalb alle nötien Fähikeiten mit. Symmetrische Verfahren bereiten ohnehin weni Probleme und für die asymmetrischen sind Funktionen zur ASN.1-Darstellun vorhanden. Jedes Protokollmodul exportiert eine Datenstruktur vom Typ tck_proto_t. Sie enthält einen Satz Zeier auf die Funktionen des Moduls sowie einen Zahlenkode für den Modultyp. Diese Strukturen werden für alle benutzten Module in ein Feld (pmod in mslayer2c) einetraen. Jedes Protokollmodul (und damit jedes Kryptoverfahren) ist also eindeuti durch seinen Feldindex ekennzeichnet. Die übrien Teile der Sicherheitsschicht arbeiten nur noch mit diesen Indizes, über die sie die Funktionen eines jeden Moduls erreichen. Schlüssel werden dabei als Bytefolen betrachtet, die den Modulen ledilich übereben werden, deren Inhalt aber sonst bedeutunslos ist. Für jeden Protokolltyp ist ein Beispiel implementiert, das seinerseits auf SSLeay zu- 96

97 5.2 Sicherheitsschicht Funktion Parameter Aufabe enkey,- erzeut ein Schlüsselpaar sin,- Nachricht, eheimer siniert die Nachricht Schlüssel verify,- sinierte Nachricht, prüft und entfernt die Sinatur öffentlicher oder eheimer Schlüssel sec6pub,- eheimer Schlüssel extrahiert den öffentlichen Schlüssel bzw. Schlüsselpaar Tab. 5.4: Modulschnittstelle für Sinaturen rückreift, um kryptoraphische Operationen auszuführen. Zur symmetrischen Verschlüsselun wird IDEA im ECB-Modus verwendet, als MAC das HMAC-Verfahren mit MD5 als Hashfunktion und für diitale Sinaturen RSA Schlüsselverwaltun Die Schlüsselverwaltun des Prototypen weicht deutlich vom Entwurf aus ab. Dort wird empfohlen, bei der Systeminstallation Schlüssel mit unberenzter Lebensdauer zu erzeuen. Der Prototyp implementiert statt dessen (andeutunsweise) Verfahren für die reelmässie Änderun der verwendeten Schlüssel. Sie werden auf einem Rechner dafür bietet sich derjenie an, auf dem das Verkaufssystem läuft erzeut und können von dort siniert und verschlüsselt an andere Rechner übermittelt werden. Damit sind sie, wichti bei symmetrischen Verfahren, vor unbefuter Kenntnisnahme eschützt und der Empfäner kann sich über die Herkunft verewissern. Der Grund für die Abweichun liet eben im Prototypcharacter des Systems. In der Testphase müssen häuer Schlüssel erzeut werden, zumal der Prototyp verschiedene kryptoraphische Verfahren anbietet. Hat man sich später für ein Verfahren entschieden, kann man die Verwaltun immer noch vereinfachen oder die vorhandenen Methoden unenutzt lassen. Verwaltunsfunktionen dienen zur Bearbeitun der Schlüsseldatenbank. Dort sind alle Schlüssel unter einer eindeutien Kennun abelet. Die Grundlae bilden die internen Funktionen newid,- zum Erzeuen von Schlüsselkennunen, storekey,- zum Ableen eines Schlüssels und fetchkey,- zum Lesen von Schlüsseln aus der Datenbank. Schlüsselkennunen sind acht Bytes lan und können beliebie Werte annehmen. Erzeut werden sie von der Funktion newid,- aus der Prozeÿnummer, der aktuellen Zeit und einem Zähler, der für jeden Prozeÿ neu estartet wird. Das arantiert eindeutie Kennunen, solane alle Schlüssel auf ein und demselben System erzeut werden. Zur Schlüsselerzeuun benutzen wir das Verkaufssystem. 37 Sinaturschlüssel können ohenehin nur dort erzeut werden und bei den symmetrischen Verfahren ist das keine roÿe Einschränkun. 37 Diese Festleun wird von der Software nicht überwacht oder ar durchesetzt. 97

98 5 Implementierun Die Funktion storekey,-, die nur innerhalb der Sicherheitsschicht nutzbar ist kann, let einen Schlüssel unter seiner Kennun in der DBM-Datenbank ab. Zuammen mit dem Schlüssel werden vier Parameter espeichert. Das sind die Protkollnummer (der Feldindex aus dem vorien Abschnitt), der Protokolltyp (Verschlüsselun, MAC oder Sinatur) und der Schlüsseltyp (eheim oder öentlich), der nur bei asymmetrischen Verfahren eine Rolle spielt, aber überall aneeben wird. Der vierte Parameter ist eine Zeitanabe in time_t-darstellun. Sie let fest, bis wann der Schlüssel ülti ist. Ist das Verfallsdatum überschritten, kann dieser Schlüssel nicht mehr verwendet werden. Derart abelete Schlüssel werden mit fetchkey,- wieder aus der Datenbank eholt. Den Anwendunsprorammen stehen fünf darauf aufbauende Funktionen zur Verfüun. Mit tck_enkey,- werden Schlüssel erzeut. Die Funktion erwartet eine Protokollnummer und ein Verfallsdatum. Über die Protokollnummer wird das Modul identiziert, mit dem der Schlüssel später benutzt werden soll. Dessen enkey,--funktion erzeut einen Schlüssel und ibt ihn als Puer im Speicher zurück. Sodann wird er unter einer neu erzeuten Kennun in der Datenbank abelet. Zurückeeben wird nur die Kennun; der Aufrufer von tck_enkey,- bekommt den erzeuten Schlüssel also nicht zu Gesicht. Dazu muÿ er eine andere Funktion bemühen, nämlich tck_exportkey,-. Sie stellt einen Schlüssel aus der Datenbank zur Übertraun auf einen anderen Rechner bereit. Dabei kann er mit einem Passwort verschlüsselt und, sofern ein entsprechender privater Schlüssel existiert, auch siniert werden. Dazu werden dieselben Protokollmodule einesetzt wie zur Nachrichtensicherun. Das ist auch der (einzie) Grund, weshalb Protokollmodule für symmetrische Verfahren Schlüssel von Passworten ableiten können. Das Verschlüsselunsverfahren für den Schlüsselexport ist nicht frei wählbar, sondern wird beim Übersetzen der Quelltexte durch die Konstante EXPT_CRYPT_PROTO festelet. Saubere Schlüsselverwaltun erfordert die Trennun der Schlüssel nach Aufaben (Arbeitsschlüssel, Sinaturschlüssel zum Schlüsseltausch etc.) Dies ist hier nicht implementiert, kann aber mit Bordmitteln realisiert werden. Man trae einfach ein Protokollmodul mehrfach unter verschiedenen Feldindizes ein, und schon sind Schlüssel für ein und dasselbe Verfahren nach Verwendunszweck unterscheidbar. Exportierte Schlüssel werden zusammen mit Metainformationen (Schlüsselkennun, Verfallsdatum und Protokollnummer) in einem Speicherbereich abelet und können dann in einer Datei espeichert oder über Netzverbindunen übertraen werden. Ob der Schlüssel beim Export siniert oder mit einem Passwort verschlüsselt wurde, ist dort nicht vermerkt. Diese Information zu übermitteln, obliet dem Anwendunsproramm beziehunsweise dem Anwender. Das ma zunächst unsinni erscheinen. Ist es aber nicht. Das Passwort zum Entschlüsseln muÿ ohnehin auf der anderen Seite eineeben werden; damit wird implizit die Information übermittelt, daÿ entschlüsselt werden muÿ. Die Information, daÿ das Paket siniert ist, ist wertlos, denn sie kann unterwes manipuliert werden die Sinatur lieÿe sich unbemerkt entfernen. Wird ein Schlüssel für ein asymmetrisches Verfahren exportiert, extrahiert tck_ex portkey,- zunächst die öentlichen Komponenten des Schlüssels. Dazu wird die Funktion sec6pub,- des jeweilien Protokollmoduls mit dem eheimen Schlüssel als Parameter auferufen. 98

99 5.2 Sicherheitsschicht Mit der Funktion tck_importkey,- werden exportierte Schlüssel in eine andere Datenbank einelesen. Die Funktion erwartet eine Bytefole, wie sie von tck_exportkey,- erzeut wird, sowie eebenenfalls wieder ein Passwort und die Kennun des Schlüssels, mit dem die Sinatur eprüft werden soll. Der Import verläuft nur erfolreich, wenn die Sinaturprüfun positiv ausfällt und der importierte Schlüssel noch nicht in der Datenbank enthalten sowie sein Verfallsdatum nicht überschritten ist. Aberundet wird die Schlüsselverwaltun durch die Funktionen tck_delkey,-, die einen Schlüssel mit eebener Kennun löscht, sowie tck_listkeys,-, die die Metainformationen zu allen in der Datenbank espeicherten Schlüsseln in einer Liste liefert. Die Reihenfole der Listeneinträe ist unbestimmt und hänt nur von DBM ab, Anwendunen können sie aber nach Belieben sortieren. Die Funktion tck_listkeys,- reserviert Speicher für die zurückeebene Liste. Er kann mit tck_freeklst,- freieeben werden Zufallszahlen SSLeay stellt einen Pseudozufallszahlenenerator (PRNG) bereit, der für kryptoraphische Zwecke eeinet ist. Er wird zur Schlüsselerzeuun heranezoen und muÿ deshalb mit echten Zufallszahlen initialisiert werden. Aufeinanderfolende Prorammläufe würden sonst leiche oder leicht ratbare Zufallsfolen und damit unsichere Schlüssel hervorbrinen. Doch woher soll die Saat kommen, mit der der Generator estartet wird? Gute Zufallsquellen wie der radioaktive Zerfall sind in der Praxis unbrauchbar, weil sie nicht als handliche Steckkarte für den PC verfübar sind. Statt dessen muÿ der Rechner selbst echten Zufall liefern. Das ist mölich, denn Rechner haben Benutzer und jeder Benutzer ist eine Zufallsquelle [ECS94]. Man kann die Quelle entweder explizit anzapfen, indem man den Benutzer zu einer Einabe auordert und beispielsweise die Zeitintervalle zwischen seinen Tastendrücken miÿt, oder implizit durch Betrachtun des Systemzustandes, der als Fole aller Benutzunshandlunen entstanden ist. Wir ehen den zweiten We. Die interne Funktion seedrn,-, die von tck_slinit,- auferufen wird, sammelt aktuelle Informationen über den Zustand des Betriebssystems und ibt sie an den PRNG von SSLeay weiter. Verwendet werden: die aktuelle Zeit in röÿtmölicher Genauikeit, 38 die eiene Prozessnummer, die Liste erade laufender Prozesse, wie sie von ps,5- auseeben wird, sowie das Erebnis von etrusae,5-, das Informationen über Pae Faults, Context Switches und ähnliches enthält. Der Wert der ewonnenen Zufallsinformationen ist allerdins zweifelhaft. Zeit und Prozessnummer ieÿen auch in die Schlüsselkennunen ein, die nicht ausdrücklich eheimehalten werden. Unter unünstien Umstnden kann dieser Teil der Initialisierunswerte 38 Die Unix-Funktion ettimeofday(3) kann Mikrosekunden liefern, aber die tatsächliche Genauikeit hänt von der Hardware und Systeminterna ab. 99

100 5 Implementierun also einem Anreifer bekannt werden, vor allem wenn die Systemuhr nur eine robe Auösun bietet. Der Zufallsehalt der Prozeÿliste hänt von der Laufzeit und der Auslastun des Systems ab. Forteschrittene Techniken zur Zufallswinnun setzt Peter Gutmanns Cryptlib ein, deren Quelltext zur Lektüre empfohlen sei. Dort werden allerlei weitere Zufallsquellen enutzt und ihre Qualität bewertet. Von der Mölichkeit, den internen Zustand des Zufallsenerators bei Prorammende in einer Datei abzuleen und später weiterzuverwenden SSLeay unterstützt das, wird hier kein Gebrauch emacht Datenstrukturen Anwendunsproramme, die die Sicherheitsschicht nutzen, kommen im wesentlichen mit drei Datenstrukturen in Berührun. Nachrichten und exportierte Schlüssel werden zusammen mit Länenanaben in einer Struktur vom Typ tck_buffer_t übereben. Speicher für diese Struktur kann mit tck_bmalloc,- reserviert und mit tck_bmfree,- freieeben werden. Gibt eine Funktion einen Zeier auf tck_buffer_t zurück, ist der Aufrufer für die Freiabe verantwortlich. Metainformationen über Schlüssel werden in der Struktur tck_keyinfo_t abelet. Sie enthält neben der Schlüsselkennun den Schlüsseltyp (eheim oder öentlich), die Protokollnummer, für die der Schlüssel eeinet ist, sowie den Protokolltyp (symmetrische Verschlüsselun, MAC oder asymmetrisches Sinaturverfahren), auÿerdem das Verfallsdatum in time_t-darstellun. Die Funktion tck_listkeys,- ibt ein Array von Zeiern auf solche Strukturen zurück. Schlüsselkennunen werden in einem Speicherbereich fester Läne als unsined char TCK_KEYID_LEN übereben. 5.3 Nachrichtenschicht Die Nachrichtenschicht bildet Ticketparameter, die in einer einheitlichen Datenstruktur vorlieen, auf Nachrichten ab und umekehrt. Sie deniert mehrere Nachrichtenformate, die rob den Parametersätzen aus Kapitel 2 entsprechen. Darüber hinaus enthält sie Funktionen zur Gültikeitsprüfun für jedes Format. Damit kann sie auf der Empfänerseite zum einen die Ticketparameter liefern, zum anderen auch leich die Information, ob diese Parameter ein ülties Billett darstellen. Theoretisch ist jedes der Nachrichtenfor- Funktion(en) tck_param6ms,- tck_ms6param,- tck_valid_222,- tck_nextnum,- Aufabe erzeut eine Nachricht aus einem Parametersatz liest Parametersatz aus einer Nachricht prüfen die Gültikeit von Parametersätzen liefert eine eineutie Billettnummer Tab. 5.5: Funktionen der Nachrichtenschicht 100

101 5.3 Nachrichtenschicht mate mit jedem Protokoll der Sicherheitsschicht einsetzbar. Das ist das, wovor in ewarnt wird. Die symmetrische Verschlüsselun bietet nur zusammen mit eeineten Nachrichten enüend Sicherheit. Bei den beiden anderen Verfahren ist das jedoch nicht kritisch Parameter Die Nachrichtenschicht stellt Anwendunsprorammen eine einheitliche Datenstruktur für die Billettparameter zur Verfüun. Sie ist unabhäni vom benutzten Nachrichtenformat und dient zwei Zwecken. Aus ihr werden nicht nur die Nachrichten ewonnen, die an die Sicherheitsschicht weitereeben werden und schlieÿlich als maschinenlesbares Aztec-Symbol Ticket abelet werden. Auch die natürlichsprachie Darstellun, die der Information des Käufers dient, entsteht aus dieser Struktur. Für diesen Teil ist jedoch allein das Verkaufsproramm zuständi; die Nachrichtenschicht liefert ausschlieÿlich die Datenstruktur. Parameter Typ Bedeutun und Einheit Ticketnummer unsined lon eindeutie Nummer zur Erkennun von Kopien Veranstaltunsort ushort Nummer des Veranstaltunsortes Veranstaltunsort uchar :8 Name des Veranstaltunsortes Veranstaltun ushort Nummer der Veranstaltun Veranstaltun uchar :8 Name der Veranstaltun Anfanszeit time_t Anfanszeit in Sekunden seit :00:00Z Dauer ushort Dauer der Veranstaltun bzw. maximale Geltunsdauer in Sekunden Sitzplatz Reihe ushort ushort Einlaÿ ushort Zeitdierenz zwischen Einlaÿ und Veranstaltunsbeinn Preisklasse uchar frei wählbar; mölichst druckbares ASCII- Zeichen Preis ushort Preis in 0,01 Euro Freitext 1 Freitext 2 Freitext 3 uchar :8 uchar :8 uchar :8 Mit short sind 16-Bit-Ganzzahlen bezeichnet, mit lon ihre doppelt so lanen Geschwister. Ein 'u' als erstes Zeichen des Typs zeit an, daÿ es sich um einen vorzeichenlosen Typ handelt. Tab. 5.6: Möliche Billettparameter Welche Parameter tatsächlich mit einem Wert belet sind, zeit die Variable fields an. Jedem Parameter ist darin ein Bit zueordnet, das esetzt ist, sobald dem Parameter 101

102 5 Implementierun ein Wert zuewiesen wurde. Zu jedem Bit ist eine symbolische Konstante deniert, mit deren Hilfe es esetzt, elöscht und abefrat werden kann. Neben den Parametern enthält die Struktur Verwaltunsinformationen, namentlich ein Verfallsdatum. Die Kontrollstation muÿ benutzte Tickets nur solane speichern, wie sie aufrund ihrer Parameter ülti sind. Später können Kopien ohnehin nicht mehr einesetzt werden. Um die Pee der Ticketliste zu erleichtern, wird jedem Eintra schon bei der Kontrolle ein Verfallsdatum zuewiesen. Alte Einträe können dann automatisch zum Beispiel jede Nacht beseitit werden. Veranstaltunsort und -bezeichnun sind zweifach enthalten, einmal als Nummer und einmal als Text. Nummern sind einfacher zu verleichen als Text. Sie lassen kaum Mehrdeutikeiten zu; ein und derselbe Text kann hineen unterschiedlich z.b. ü vs. ue, ISO vs. Codepae 437 darestellt werden. Zudem benötien sie deutlich wenier Speicherplatz. Den spart man zwar nur, wenn man unbedint muÿ, doch wir müssen. Das Aztec-Symbol soll mölichst klein sein und seine minimale Elementröÿe ist voreeben. Die drei Zeitanaben denieren den Geltunszeitraum. Dauer und Einlaÿ sind in Sekunden aneeben, weil sie so zum time_t passen und ohne Umrechnunen verarbeitet werden können. Die voreaukelte Genauikeit ist allerdins mit Vorsicht zu enieÿen. Uhren ehen unenau und Menschen halten sich nicht exakt an die voreebenen Zeiten. Die Ticketparameter können wir nicht roÿzüi wählen, denn sie werden auch noch für den Käufer lesbar aufedruckt. Da der Sicherheitsaufschla ein fester Wert ist, enüt es aber, ihn in der Kontrollstation zu berücksichtien. Der Inhalt der drei Freitextfelder eht unter keinen Umständen in eine Nachricht ein. Er dient ausschlieÿlich der Kundeninformation und wird dementsprechend nur in natürlicher Sprache anezeit Nachrichtenformate Deniert sind zwei feste und ein variables Nachrichtenformat. Die beiden festen Formate sind sehr kompakt und speziell für den Einsatz von Blockchiren in der Sicherheitsschicht auselet. Das Format simple5 enthält die eindeutie Ticketnummer, die Veranstaltunsnummer sowie die Preisklasse. Es soll vor allem dann einesetzt werden, wenn nur wenie Veranstaltunen zu unterscheiden sind, zum Beispiel in einem Museum, wo Eintrittskarten für wechselnde Ausstellunen verkauft werden, oder für Sportveranstaltunen an einem bestimmten Ort. Eine Nachricht dieses Formats ist nur 7 Bytes lan, paÿt also in einen Block änier Blockchiren. Preisklasse Ticketnummer Veranstaltun Paddin Ticketnummer Zeitanabe Abb. 5.2: Die Formate simple5 und simple6 102

103 5.3 Nachrichtenschicht Das zweite feste Nachrichtenformat simple6 enthält neben der Ticketnummer eine Zeitanabe im time_t-format, die als Anfanszeit interpretiert werden kann, aber nicht muÿ. Auch dieses Format paÿt mit 8 Bytes Nachrichtenläne noch in einen Verschlüsselunsblock. 39 Das dritte Format, std, hat einen variablen Inhalt. Es enthält enau die Parameter, die beim Erzeuen der Nachricht, in der Parameterdatenstruktur enthalten sind; sie werden einfach aneinanderehänt. Die beiden Strinvariablen werden dabei stets in voller Läne übernommen. Der Inhalt der Variablen fields, der anzeit, welche Parameter mit Werten belet sind, wird der Nachricht als Formatidentikator voranestellt. Zu jedem mölichen Formatidentikator eribt sich eine feste Nachrichtenstruktur, die unabhäni vom Inhalt ist. Auf diese Weise können beliebie Parameterkombinationen übermittelt werden, ohne daÿ Änderunen an der Software nöti sind. Zum Dekodieren der Nachricht wird ledilich der Identikator ausewertet, der das Format vollständi speziziert. z.b. Ticketnummer Veranst. Veranstaltun (Text) Formatkennun für jedes 1-Bit der der Formatkennun ein Feld Abb. 5.3: Das Format std Ein Spezialfall des std-formates ist notext. Es ist analo aufebaut, enthält aber die beiden Textfelder nicht, auch wenn sie in der Parameterstruktur belet sind. Da die Prüfverfahren im nächsten Abschnitt ohnehin keine Strins auswerten, kann es enauso wie std einesetzt werden und liefert deutlich kleinere Nachrichten. Alle Zahlenwerte sind in den Nachrichten in Network-Byteorder (MSB zuerst) abelet, damit sie problemlos zwischen verschiedenen Rechnerplattformen austauschbar sind. Unix bietet zur Wandlun zwischen Host- und Network-Byteorder die Funktionen (bzw. Makros) htonl,7- und ntohl,7- sowie htons,7- und ntohs,7-. Textfelder können bis zu 63 Zeichen aus dem Zeichenvorrat des Latin alphabet No. 1 emäÿ ISO (vl. [Kor98]) enthalten. Auf das letzte Zeichen folt ein Nullbyte; der Empfäner darf sich jedoch nicht darauf verlassen, daÿ es vorhanden ist Gültikeitskontrolle Jedem Nachrichtenformat ist eine Funktion zur Gültikeitsprüfun zueordnet, die erade die darin enthaltenen Parameter berücksichtit. Grundsätzlich können Formate und Kontrollverfahren aber frei kombiniert werden, wenn nur alle zur Kontrolle nötien Parameter in der Nachricht enthalten sind. Die implementierten Verfahren sollen nur beispielhaft einie Mölichkeiten zeien; andere können problemlos implementiert werden. Die 39 SSLeay benutzt allerdins ein Paddin-Verfahren, das in diesem Fall einen zweiten Block anfüt. Er enthält nur Füllbytes und bietet deshalb keine Manipulationsmölichkeit. Man muÿ ihn nicht einmal mit übermitteln, sondern kann ihn auf Empfänerseite vor dem Entschlüsseln hinhalluzinieren. 103

104 5 Implementierun Prüfun der eindeutien Ticketnummern zur Erkennun von Kopien erfolt an anderer Stelle (und nach der hier besprochenen Kontrolle). Alle Kontrollfunktionen erwarten eine Parameterstruktur, wie sie beim Interpretieren einer Nachricht entsteht. Daneben sind abhäni vom Kontrollverfahren Werte oder Wertebereiche der eprüften Parameter anzueben. Mit den einfachen Nachrichtenformaten korrespondieren einfache Kontrollen. Die Funktion tck_valid_simple5,- verleicht die Veranstaltunsnummer des Tickets mit einem voreebenen Wert und die Preisklasse mit einer Liste der zulässien Anaben. Das Ticket ist ülti, wenn beide Prüfunen positiv ausfallen. Die Preisklasse, die nach der erfolreichen Prüfun sicher im voresehenen Wertebereich liet, kann dann weiter ausewertet werden, um beispielsweise zu sinalisieren, daÿ noch der Studentenausweis o.ä. zu prüfen ist. Für das zweite Nachrichtenformat, das ledilich eine Zeitanabe enthält, ist die Funktion tck_valid_simple6,- voresehen. Sie erwartet neben dem Parametersatz eine Uhrzeit (Stunde, Minute, Sekunde). Geprüft wird, ob die Anabe auf dem Ticket zum einen dem aktuellen Datum entspricht, zum anderen der aneebenen Uhrzeit. Das ist nicht für Demonstrationszwecke praktischer als die Intervallösun aus Kapitel 2, sondern einet sich auch zur Herstellun von Tickets, die einen anzen Ta lan elten sollen. Dazu wählt man einfach eine feste Uhrzeit, zum Beispiel 12:00 Uhr, und verkauft Tickets für diese Uhrzeit am jeweilien Geltunsta. Die Dritte im Bunde ist tck_valid_std,-. Hier werden Preisklasse und Veranstaltunskennun enauso eprüft wie oben bereits beschrieben. Hinzu kommt die Nummer des Veranstaltunsortes, die ebenfalls mit einem festen Wert verlichen wird. Über ein Fla kann die Püfun der Zeitanaben veralaÿt werden. In diesem Fall muÿ zusätzlich die aktuelle Zeit in dem Intervall (Anfanszeit-Einlaÿ, Anfanszeit+Dauer) lieen, damit der Parametersatz als ülties Billett akzeptiert wird. Bei allen Prüfverfahren bleiben der Preis sowie Reihe und Nummer des reservierten Platzes unberücksichtit. Diese Parameter könnten noch mit der Preisklasse abeelichen werden, aber das trät kaum zur Sicherheit bei. Zudem hänt diese Prüfun von örtlichen Geebenheiten ab und ist deshalb im Prototypen nicht implementiert. Überhaupt lassen alle Parameter semantischen Spielraum und können bei konkreten Installationen verschieden interpretiert werden. So läÿt sich die Veranstaltunsnummer beispielsweise in einem Kino entweder einem Film oder aber einer Vorstellun zuordnen. Bezeichnet sie eine Vorstellun, werden Zeitanaben unnöti. Veranstaltunsorte müssen nur aneeben sein, wenn ein Veranstalter über deren mehrere verfüt. Der Veranstalter selbst ist bereits implizit durch die Arbeit der Sicherheitsschicht festelet, denn nur er verfüt über die eheimen Schlüssel zur Billetterzeuun. Damit ist auseschlossen, daÿ Eintrittskarten eines anderen Veranstalters benutzt werden können Billettnummern Der Nachrichtenschicht ist auch die Erzeuun eindeutier zueordnet, obleich sie nicht automatisch bei der Erzeuun von Nachrichten erfolt. Anwendunsproramme müssen 104

105 5.4 Anwendunproramme selbst die Funktion tck_nextnum,- aufrufen und ihren Rückabewert in die Parameterstruktur kopieren. Eindeutie Nummern können auf drei Arten erzeut werden. Übernimmt ein einzier Prozeÿ den Verkauf, enüt ein einfacher Zähler, dessen Zustand zusätzlich in einer Datei abelet wird, damit er auch nach Abstürzen oder einem Stromausfall noch verfübar ist. Zusammen mit der voreschlaenen Trennun von Verkaufssystem und Webserver läÿt sich diese Lösun ut implementieren. Der Prototyp soll jedoch für den Verkauf als CGI-Proramm direkt vom Webserver auferufen werden. Das bedeutet, daÿ jedes Ticket von einem anderen Prozeÿ verkauft wird. Wie können diese Prozesse eindeutie Nummern enerieren? Eine Mölichkeit ist in der Sicherheitsschicht für die Schlüsselkennunen implementiert. Sie nutzt die eindeutien Prozeÿnummern, die vom Betriebssystem vereben werden. Leider werden die Kennunen dabei recht lan. Bei der Schlüsselverwaltun stört das nicht weiter, aber auf dem Ticket müssen wir Platz sparen. Zur Erzeuun von Ticketnummern wurde daher ein anderer We beschritten, der kurze Nummern liefert. Eine Datei dient als lobaler Zähler für alle Prozesse. Sie enthält stets die letzte verebene Nummer. Ein Prozeÿ, der eine neue, noch nie benutzte Nummer benötit, önet und sperrt zunächst diese Datei. Ist sie bereits esperrt, wartet er solane, bis sie vom sperrenden Prozeÿ freieeben wird. Dann erhöht er den Zähler und erhält so seine Nummer, die er in die Datei zurückschreibt, bevor die Sperrun aufehoben wird. Das Sperren ist notwendi, weil Prozesse jederzeit vom Betriebssystem unterbrochen werden können, es sei denn, sie führen erade eine atomare Operation aus. Die Systemrufe zum Sperren arbeiten atomar. 5.4 Anwendunproramme Die beiden vorien Abschnitte behandeln die rundleenden Funktionen, die von einem Parametersatz auf der Verkaufsseite über eine Nachricht zu einer (Teil)Entscheidun ülti oder nicht auf der Kontrollseite führen. Darauf aufbauend entstanden Proramme für den Verkauf (oder jedenfalls eine Verkaufssimulation) und die Kontrolle sowie zur Schlüsselverwaltun Verkauf Das Verkaufsproramm sale des Prototypen ist stark vereinfacht. Es handelt sich um ein CGI-Proramm, das im HTTP-Request sämtliche Ticketdaten erhält. Auch alle weiteren Parameter, etwa die Schlüsselkennun, das Nachrichtenformat und der Pfad zur Schlüsseldatenbank, werden auf diese Weise aneeben. Im richtien Leben läse man sie selbstverständlich aus einer Konurationsdatei. Die CGI-Anbindun erfolt wieder mittels cic [Bou96a]. Zunächst werden in der Funktion ettparam die Ticketparameter elesen. Ihre Namen entsprechen denen in der Parameterstruktur tck_tparam_t. Danach wird eine Ticketnummer eneriert. Die eientliche Billetterzeuun erfordert nur wenie Funktionsaufrufe. Zuerst entsteht aus dem Parametersatz eine Nachricht, wobei einer der oben vorestellten Nach- 105

106 5 Implementierun Parameter Typ Bedeutun keyid 16 Stellen hexadezimal in ASCII- Darstellun keydbpath Strin Pfad zur Schlüsseldatenbank countpath Strin Pfad zur Zählerdatei für die Ticketnummern Schlüsselkennun mstype {1,...,4} Nachrichtenformat; 1 = simple5, 2 = simple6, 3 =std, 4 =notext Tab. 5.7: Zusätzliche Parameter für das Verkaufsproramm richtentypen ausewählt wird. Diese Nachricht eht dann zusammen mit der Schlüsselkennun weiter an die Sicherheitsschicht. Das liefert die Daten für das Aztec-Symbol. tck_tparam_t.tparam; tck_buffer_t.ms0 barms; ms = tck_param6ms, tparam0 mstype -; tck_slinit, keydbpath0 TCK_FLG_NONE -; barms = tck_protectms, ms0 keyid -; tck_slclose,-; Die Fehlerbehandlun ist weelassen. Bevor die Sicherheitssschicht enutzt werden kann, ist sie noch zu initialisieren und danach zu schlieÿen. Die drei letzten Funktionsaufrufe könnten auch per Remote Procedure Call auf einem anderen Rechner auseführt werden, der besonders een Anrie und damit een Ausspähen der Schlüssel esichert ist. Aus der Parameterstruktur tparam und der esicherten Nachricht barms wird schlieÿlich die HTML-Darstellun der Eintrittskarte ebildet. Das Aztec-Symbol wird in Form eines IMG- oder OBJECT-Links auf den Aztec-Generator mit der Nachricht als Parameter einebettet. Der Browser des Käufers kümmert sich dann selbständi um den Abruf des Symbols. Vorher ist noch ein weni Nacharbeit nöti. Beim Lesen des Symbols liefert der Scanner einen Datenstrom, der mit CR LF endet. Um das Ende daran eindeuti erkennen zu können, darf diese Zeichenfole nicht in den Daten vorkommen. Das Prorammodul für den Barcodescanner stellt deshalb eine Funktion tck_ms6url bereit, die dies erledit 40 und nebenbei leich noch die URL-Kodierun emäÿ RFC 1738 vornimmt. Die Elementröÿe des Aztec-Symbols wird abhäni von der Nachrichtenläne zwischen 4 und 8 Pixeln variiert, so daÿ kurze Nachrichten zusätzlich een schlechte Druckqualität eschützt sind. 40 Jedes vorkommende CR wird verdoppelt. 106

107 5.4 Anwendunproramme Kontrolle Das Kontrollproramm checkpoint erhält in der Kommandozeile alle nötien Parameter. Danach liest es in einer Endlosschleife Symbole und prüft, ob es sich um ültie Tickets handelt. Die enthaltenen Parameter und die Entscheidun werden auf dem Bildschirm anezeit. Neben den bereits behandelten Grundfunktionen reift das Kontrollproramm auf zwei weitere Prorammodule zurück. Das eine liest Daten von einer seriellen Schnittstelle, an die ein Barcodescanner aneschlossen ist. Es soll hier nicht weiter besprochen werden, da es nicht besonders eleant arbeitet und für das Thema dieser Arbeit keine weitere Bedeutun hat. Informationen über die Prorammierun serieller Schnittstellen unter Unix sind in den Manual-Seiten 41 sowie in [Gal94] zu nden. Wir müssen hier nur wissen, daÿ nach Initialisierun des Scanners mit der Funktion tck_read_symbol,- enau ein Symbol elesen wird und daÿ der einzie Parameter der Funktion den Scanner bezeichnet eskönnte ja mehrere eben. Zum anderen sind die Numemrn der kontrollierten Tickets zu speichern und bei der Kontrolle zu prüfen, ob das Ticket bereits benutzt wurde. Dazu wird wieder DBM verwendet. Die enstprechenden Funktionen sind im Modul cpdb zusammenefaÿt. Die wichtiste Funktion tck_cpdbinit,- tck_close_cpdb,- tck_addtodb,- tck_etticket,- tck_delticket,- tck_expire,- Aufabe önet die DBM-Datenbank schlieÿt die DBM-Datenbank speichert ein Ticket unter seiner Nummer liest das Ticket aus der Datenbank löscht ein Ticket entfernt alte Einträe Tab. 5.8: Funktionen für die Ticketdatenbank Funktion ist tck_addtodb,-. Sie versucht, ein als Parametersatz (tck_tparam_t) überebenes Ticket in der Datenbank abzuleen. Ist unter der Nummer dieses Tickets bereits ein anderes abelet, meldet die Funktion einen Fehler. Die Prüfun auf Einmalikeit und das Speichern können so in einem Schritt erledit werden. Bevor ein Ticket in der Datenbank abelet wird, erhält es ein Verfallsdatum, das aus seinen Zeitparametern oder dem Kontrollzeitpunkt abeleitet werden kann. Anhand des Verfallsdatums sortiert die Funktion tck_expire,- später alle alten Einträe aus. In der Datenbank wird die komplette Parameterstruktur abelet. In der vorlieenden Prorammversion hat das keinen tieferen Sinn, schadet aber auch nicht. Zusammen mit einer Verkaufsprotokollierun könnte es zur Betruserkennun einesetzt werden. Die Billettkontrolle umfaÿt vier Schritte. Zuerst wird über den Barcodescanner ein Symbol elesen. Das liefert eine Bytefole, die zusammen mit einer Schlüsselkennun an die Sicherheitsschicht übereben wird. Auÿer bei symmetrischer Verschlüsselun fallen 41 termios(3) und termio(7) 107

108 5 Implementierun Manipulationen hier auf. Die Sicherheitsschicht liefert entweder eine Nachricht oder aber einen Fehler. Weiter eht es mit der Nachrichtenschicht, die aus der Nachricht einen Parametersatz eneriert. An dieser Stelle werden die Parameter auf den Bildschirm auseeben. Der nächste Kontrollschritt ist die Parameterprüfun. Verläuft auch sie positiv, erfolt als letztes der Speicherversuch in der Datenbank. Ist das Ticket kein Duplikat eines vorher benutzten, wird es als ülti akzeptiert. Im vereinfachten Quelltext sieht das so aus: tck_buffer_t.bardta; tck_buffer_t.ms; tck_tparam_t.param; bardta = tck_read_symbol, rdr -; ms = tck_unprotectms, bardta0 keyid -; param = tck_ms6param, ms0 mstype -; Ausabe der Parameter tck_valid_simple5, param0 event0 cate -; 3. oder tck_valid_simple6, param0 hour0 min0 sec -. oder tck_valid_std, param0 location0 event0 cate0 TRUE Verfallsdatum berechnen tck_addtodb, param -; Tritt bei einem der Schritte ein Fehler auf, wird das Billett zurückewiesen. Die Reihenfole ist sinnvoll. Die ersten beiden Schritte lassen ohnehin keine Wahl und Einträe in die Datenbank sollen nur für ansonsten ültie Tickets versucht werden. Ein fehlerhaftes Billett könnte sonst seine Nummer unülti machen, ohne benutzt worden zu sein. Parameter 1l inteer 1e inteer 1c strin 1b hh mm Bedeutun Veranstaltunsort (Nr.) Veranstaltun ( Nr.) zuelassene Preisklassen Anfanszeit (für Format simple6) 1i strin Schlüsselkennun für die Kontrolle 1t Nachrichtentyp 1k strin Pfad zur Schlüsseldatenbank 1d strin Pfad zur Ticketdatenbank 15 Proramm nach einer Kontrolle beenden Tab. 5.9: Kommandozeilenparameter des Kontrollproramms Abschlieÿend sind in Tabelle 5.9 die Kommandozeilenparameter aufeführt, mit denen das Kontrollproramm auferufen werden kann. Die ersten vier Parameter dienen der 108

109 5.5 Beispieltickets Kontrolle, die übrien sind technischer Natur und müssen bis auf 15 immer aneeben sein Schlüsselverwaltun Der Schlüsselverwalter keymr wird interaktiv benutzt und man kann mit ihm Schlüssel erzeuen, löschen, in eine Datei exportieren und aus einer Datei importieren sowie eine Liste der vorhandenen Schlüssel anzeien. Als Kommandozeilenparameter verlant er ledilich den Pfad zur Schlüsseldatenbank. Da das Proramm keymr ledilich eine Benutzerschnittstelle zu den bereits besprochenen Verwaltunsfunktionen der Sicherheitsschicht bildet, wird er hier nicht in seine Bestandteile zerlet. Er ist ohnehin nur ein Hilfsmittel. 5.5 Beispieltickets Wie sehen die Eintrittskarten nun eientlich aus, die der Käufer mit seinem Drucker zu Papier brint? Weil sie nirends so recht hinpassen, wird den Beispielen ein eiener Abschnitt ewidmet. Die Gröÿe der Aztec-Symbole vermittelt jeweils einen Eindruck von der übermittelten Datenmene. Abbildun 5.4 zeit die Minimalvariante. Eine kurze Nachricht ist durch Verschlüsselun mit IDEA esichert. Die resultierenden acht Bytes könnten auch als eindimensionaler Strichkode edruckt werden. Die Textzeile mit den Önunszeiten entstammt einem der Abb. 5.4: 8 Bytes enüen drei Freitextfelder. In der letzten Zeile ist neben der Ticketnummer auch die Kennun des verwendeten Schlüssels aneeben. Gebraucht wird sie dort nicht; die Kontrollstation weiÿ, mit welchem Schlüssel sie die Eintrittskarten prüfen soll, falls sie überhaupt mehr als einen besitzt. Das zweite Ticket (Bild 5.5) nutzt ein ebenso kompaktes Nachrichtenformat, ist aber mit einem MAC esichert. Die Zeitanabe des Formats simple6 wird hier nur für das Datum verwendet; für die Uhrzeit kann man einen festen Wert wählen. 109

110 5 Implementierun Abb. 5.5: Eine kurze Nachricht mit MAC Das dritte Beispiel in Abbildun 5.6 zeit fast die Maximallösun. Alle Parameter mit Ausnahme der Texte für Ort und Veranstaltun sind im Symbol kodiert und mit einer RSA-Sinatur versehen. Nimmt man die beiden Texte hinzu, wird das Symbol noch etwas röÿer und recht unansehnlich. Abb. 5.6: Ort und Veranstaltun sind nur als Nummer im Symbol kodiert 110

Kanzlei-Rechnungswesen / Rechnungswesen Mahnwesen und Zahlungsvorschlag

Kanzlei-Rechnungswesen / Rechnungswesen Mahnwesen und Zahlungsvorschlag Kanzlei-Rechnunswesen / Rechnunswesen Mahnwesen und Zahlunsvorschla Herauseber: DATEV eg, 90329 Nürnber Alle in dieser Unterlae verwendeten personen- und firmenbezoenen Bezeichnunen und Anschriften sind

Mehr

Ihr Auftrag für. Ihr Kabelanschluss für Fernsehen, Internet und Telefon. serviceadresse. hausanschrift

Ihr Auftrag für. Ihr Kabelanschluss für Fernsehen, Internet und Telefon. serviceadresse. hausanschrift Ihr Auftra für diitaler kabelanschluss diitaler kabelanschluss premium diitaler empfan kabel diital home kabel diital+ kabel diital home + kabel diital international kh-02204-a-00 01/08 Ihr Kabelanschluss

Mehr

Nur zu verwenden in Häusern mit bestehender Versorgungsvereinbarung und Häusern mit Basisanschluss!

Nur zu verwenden in Häusern mit bestehender Versorgungsvereinbarung und Häusern mit Basisanschluss! Ihr Auftra für kabelanschluss wohnun diitaler kabelanschluss service premium diitaler empfan kabel diital home kabel diital+ kabel diital home+ kabel diital international Nur zu verwenden in Häusern mit

Mehr

White Paper. Mobile Couponing. Wie Sie mit digitalen Gutscheinen Kunden gewinnen und binden.

White Paper. Mobile Couponing. Wie Sie mit digitalen Gutscheinen Kunden gewinnen und binden. White Paper Mobile Couponin Wie Sie mit diitalen Gutscheinen Kunden ewinnen und binden. 2 WhitePaper/ Mobile Couponin Gutschein To Go - Wie der Einsatz von diitalen Coupons das Kaufverhalten Ihrer Kunden

Mehr

White Paper Personalbeschaffung 2.0. Wie Sie mit der richtigen Ansprache zum Employer-of-choice werden

White Paper Personalbeschaffung 2.0. Wie Sie mit der richtigen Ansprache zum Employer-of-choice werden White Paper Personalbeschaffun 2. Wie Sie mit der richtien Ansprache zum Employer-of-choice werden Nutzun verschiedener Kanäle beim Recruitin in Deutschland im Jahr 212 9 8 7 6 5 4 3 2 1 84 % 84 % 74 %

Mehr

Luftdichte und Luftfeuchte

Luftdichte und Luftfeuchte M2 Luftdichte und Luftfeuchte Durch äun werden Masse und Volumen der Luft in einem Glaskolben bestimmt und unter Berücksichtiun des Luftdrucks und der Luftfeuchtikeit die Luftnormdichte berechnet. 1. Theoretische

Mehr

White Paper. Crossmedia Marketing. Wie Sie mit konvergenten Inhalten effizienter kommunizieren

White Paper. Crossmedia Marketing. Wie Sie mit konvergenten Inhalten effizienter kommunizieren White Paper Crossmedia Marketin Wie Sie mit konverenten Inhalten effizienter kommunizieren peshkova - Fotolia.com 2 WhitePaper/ Crossmedia Marketin Crossmedia Marketin - die Konverenz der Inhalte Stellen

Mehr

Ihr Auftrag für kabel internet kabel phone. Internet und Telefonie mit dem TV-Kabel. Ihr Kabelanschluss für Fernsehen, Internet und Telefon.

Ihr Auftrag für kabel internet kabel phone. Internet und Telefonie mit dem TV-Kabel. Ihr Kabelanschluss für Fernsehen, Internet und Telefon. Ihr Auftra für kabel internet kabel phone Internet und Telefonie mit dem TV-Kabel kh-01318-m-00 10/08 Ihr Kabelanschluss für Fernsehen, Internet und Telefon. serviceadresse hausanschrift Kabel Deutschland

Mehr

13 410-2007/12-01 Bestell-Art.-Nr.: 11 706

13 410-2007/12-01 Bestell-Art.-Nr.: 11 706 Herauseber: DATEV eg, 90329 Nürnber Alle in dieser Unterlae verwendeten personen- und firmenbezoenen Bezeichnunen und Anschriften sind speziell für diese Unterlae erstellt. Sollten dennoch Ähnlichkeiten

Mehr

Sehr geehrte Geschäftspartner und Freunde des Hauses,

Sehr geehrte Geschäftspartner und Freunde des Hauses, Global Hyp AG Sehr eehrte Geschäftspartner und Freunde des Hauses, über 93 Mio. Kapitallebensversicherunsverträe mit einem jährlichen Prämienvolumen von über 76 Mrd. sind derzeit in Deutschland unter Vertra.

Mehr

Geprüfte Führungskraft im Versicherungsvertrieb (DVA) Mit Strategie und Kompetenz zum Erfolg

Geprüfte Führungskraft im Versicherungsvertrieb (DVA) Mit Strategie und Kompetenz zum Erfolg Geprüfte Führunskraft im Versicherunsvertrieb (DVA) Mit Strateie und Kompetenz zum Erfol Geprüfte Führunskraft im Versicheruns vertrieb (DVA) Herausforderunen souverän meistern Sie sind zielstrebi und

Mehr

Speicherverwaltung. Robert K. Akakpo

Speicherverwaltung. Robert K. Akakpo Speicherverwaltun Robert K. Akakpo Aenda Grundlaen Monoprorammierun Mehrprorammbetrieb Virtuelle Speicherverwaltun Grundlaen Die verschiedenen Arten von Speicher Grundlaen Damit ein Computer ein Proramm

Mehr

CONZEPTA S. Firmengruppe Tätigkeitsfelder Aufgabenschwerpunkte Dienstleistungen Zielsetzungen Vorgehensweise/ Durchführungswege Kontakt

CONZEPTA S. Firmengruppe Tätigkeitsfelder Aufgabenschwerpunkte Dienstleistungen Zielsetzungen Vorgehensweise/ Durchführungswege Kontakt International Insurance Broker CONZEPTA S UNTErNEhmENSrUPPE Firmenruppe Tätikeitsfelder Aufabenschwerpunkte Dienstleistunen Zielsetzunen Vorehensweise/ Durchführunswee Kontakt man muss das Unmöliche versuchen,

Mehr

Blut- und Plasmaspende Ihre Spende kann Leben retten!

Blut- und Plasmaspende Ihre Spende kann Leben retten! Blut- und Plasmaspende Ihre Spende kann Leben retten Octapharma GmbH Elisabeth-Selbert-Str. 11 40764 Lanenfeld Tel.: +49 (2173) 917-204 Fax: +49 (2173) 917-111 E-Mail: info@octapharma.de Internet: www.octapharma.de

Mehr

internet telefon Internet und Telefon über das TV-Kabel

internet telefon Internet und Telefon über das TV-Kabel Ihr Auftra für internet telefon Internet und Telefon über das TV-Kabel kh-01318-h-00 22/10 Ihr Kabelanschluss für Fernsehen, Internet und Telefon. serviceadresse hausanschrift Kabel Deutschland Vertrieb

Mehr

White Paper: Security-Konzepte auf Basis der EAGLE-Familie Das EAGLE System der beste Schutz vor unberechtigten oder versehentlichen Zugriffen.

White Paper: Security-Konzepte auf Basis der EAGLE-Familie Das EAGLE System der beste Schutz vor unberechtigten oder versehentlichen Zugriffen. White aper: Security-Konzepte auf Basis der -Familie Das System der beste Schutz vor unberechtiten oder versehentlichen Zuriffen. Der eiene Mitarbeiter - ein Sicherheitsrisio? Im Jahr 004 fand ein 7jährier

Mehr

Ihr Neukundenauftrag für gastrospot 32 gastrospot 100. Nur für Geschäftskunden mit Publikumsverkehr

Ihr Neukundenauftrag für gastrospot 32 gastrospot 100. Nur für Geschäftskunden mit Publikumsverkehr Ihr Neukundenauftra für astrospot 32 astrospot 100 Nur für Geschäftskunden mit Publikumsverkehr kh-10068-b-00 17/13 GFGH Ihr Kabelanschluss für Fernsehen, Internet und Telefon. serviceadresse Kabel Deutschland

Mehr

Lohnsteueranmeldung und -bescheinigung. Lohnabrechnung. Mitarbeiterstammdaten zu übermitteln)

Lohnsteueranmeldung und -bescheinigung. Lohnabrechnung. Mitarbeiterstammdaten zu übermitteln) PRODUKT-BESCHREIBUNG lohndirekt.premium - Von der Ersteinrichtun bis zum fertien Lohn-Paket 1. Ersteinrichtun Anlae Firmenstamm-Daten (Basis Firmenstammdaten-Formular) n Einrichtun Firma / Betriebsstätten

Mehr

Sanierungsfinanzierung

Sanierungsfinanzierung Sanierunsfinanzierun Prof. Dr. Peter Witt Lehrstuhl für Innovations- und Gründunsmanaement Universität Dortmund Witt Sanierunsfinanzierun Seite 1 Gliederun: 1. Krisenentstehun, Sanierun und Insolvenz 2.

Mehr

AKTUELL g EXKLUSIV g KOMFORTABEL. gut beraten im Süden. erfolgreich in 5 Jahren zu 200 Weiterbildungspunkten

AKTUELL g EXKLUSIV g KOMFORTABEL. gut beraten im Süden. erfolgreich in 5 Jahren zu 200 Weiterbildungspunkten AKTUELL EXKLUSIV KOMFORTABEL ut beraten im Süden erfolreich in 5 Jahren zu 200 Weiterbildunspunkten Die Weiterbildunsinitiative ut beraten Die freiwillie Initiative der Versicherunsbranche ut beraten stärkt

Mehr

Ihr Auftrag für kabel internet kabel phone. Internet und Telefonie mit dem TV-Kabel. Ihr Kabelanschluss für Fernsehen, Internet und Telefon.

Ihr Auftrag für kabel internet kabel phone. Internet und Telefonie mit dem TV-Kabel. Ihr Kabelanschluss für Fernsehen, Internet und Telefon. Ihr Auftra für kabel internet kabel phone kh-03813-h-00 45/07 Internet und Telefonie mit dem TV-Kabel Ihr Kabelanschluss für Fernsehen, Internet und Telefon. serviceadresse Kabel Deutschland Vertrieb und

Mehr

Mathematische Grundlagenseminare. Einführung in aktuarielle und aufsichtsrechtliche Fragestellungen

Mathematische Grundlagenseminare. Einführung in aktuarielle und aufsichtsrechtliche Fragestellungen Mathematische Grundlaenseminare Einführun in aktuarielle und aufsichtsrechtliche Fraestellunen Mathematische Grundlaenseminare Einstie in die Versicherunsmathematik leicht emacht Die Beherrschun der Statistik

Mehr

Prüfreport für Hinweis 1600482 für SAP

Prüfreport für Hinweis 1600482 für SAP Hinweissprache: Deutsch Versin: 25 Gültikeit: ülti seit 21.01.2013 Zusammenfassun Symptm Der vrlieende Hinweis stellt den Prüfreprt FSTST_ACCESS_CHECK bereit. Dieser Reprt prüft ledilich die Verwendun

Mehr

Systematisch Energiekosten senken

Systematisch Energiekosten senken Systematisch Eneriekosten senken Kompass zum Einstie ins betriebliche Eneriemanaement www.bmwfj.v.at IMPRESSUM: Herauseber: Enerieinstitut der Wirtschaft GmbH Webasse 29/3 1060 Wien Tel: +43-1-343 3430

Mehr

Viele Hände ein Erfolg

Viele Hände ein Erfolg Franchise bei ANKER Viele Hände ein Erfol Die Traditionsbäckerei aus Wien. ANKER steht für Wiener Backwarenqualität. Das bedeutet Genuss und Geschmack auf anzer Linie. ANKER ehört zu Wien wie das Glas

Mehr

Performanceanalyse im E-Brokerage

Performanceanalyse im E-Brokerage Universität Ausbur Prof. Dr. Hans Ulrich Buhl Kernkompetenzzentrum Finanz- & Informationsmanaement Lehrstuhl für BWL, Wirtschaftsinformatik, Informations- & Finanzmanaement Diskussionspapier WI-90 Performanceanalyse

Mehr

Wissen 1 buchen! Wissen buchen!

Wissen 1 buchen! Wissen buchen! SEMINARE Wissen 1 buchen! SEMINARE 2 Wissen buchen! Seminare für BR-Vorsitzende, Betriebsratsmitlieder, Juend- und Auszubildendenvertretunen, Schwerbehindertenvertretunen, Wahlvorstände zur BR-Wahl 2014

Mehr

UNIQUE Business for SaaS

UNIQUE Business for SaaS UNIQUE Zielruppen Hoster und Serviceprovider, die ihren Kunden Private Cloud- Umebunen anbieten. Web Marketplaceanbieter, die auch Standard Client Server Software ins Produktportfolio aufnehmen wollen

Mehr

Geprüfte/-r Fachwirt/-in für Versicherungen und Finanzen IHK. Fernstudium zur Vorbereitung auf die IHK-Prüfung

Geprüfte/-r Fachwirt/-in für Versicherungen und Finanzen IHK. Fernstudium zur Vorbereitung auf die IHK-Prüfung Einstiesqualifizierun für den Bachelor of Arts (B.A.) Insurance Manaement Geprüfte/-r Fachwirt/-in für Versicherunen und Finanzen IHK Fernstudium zur Vorbereitun auf die IHK-Prüfun Mit System zum Erfol

Mehr

UNIQUE Business for SaaS

UNIQUE Business for SaaS UNIQUE Die Lösun für Ihr Unternehmen, die Ihnen mehr Kontrolle und Sicherheit beim Zuriff auf Ihr Cloudnetzwerk ibt. UNIQUE ermölicht die sichere Steuerun des Zuriffs auf sämtliche Remote Desktop-Strukturen

Mehr

UNIQUE Identity Access Management

UNIQUE Identity Access Management Manaement UNIQUE Manaement Die IAM-Lösun für Ihr Unternehmen, die Ihnen mehr Kontrolle und Sicherheit beim Zuriff auf Ihr Firmennetzwerk ibt. UNIQUE Manaement ermölicht die sichere Steuerun des Zuriffs

Mehr

Fragen und Antworten von und für Besucher unserer Veranstaltungen Eintrittskarten Online-Ticketing Einladungskarten

Fragen und Antworten von und für Besucher unserer Veranstaltungen Eintrittskarten Online-Ticketing Einladungskarten Guten Tag, Fragen und Antworten von und für Besucher unserer Veranstaltungen wir freuen uns, Sie als Besucher unserer Messeveranstaltungen in Hamburg zu begrüßen. Mit unseren Online-Ticketshops bieten

Mehr

SMART Ink. Windows -Betriebssysteme. Benutzerhandbuch

SMART Ink. Windows -Betriebssysteme. Benutzerhandbuch SMART Ink Windows -Betriebssysteme Benutzerhandbuch Markenhinweis SMART Ink, SMART Notebook, SMART Meetin Pro, Bridit, smarttech, das SMART Loo und sämtliche SMART Werbesloans sind Marken oder einetraene

Mehr

Dipl.-Ing. Peter Zeh VDI Laborversuche Elektronik HTW Berlin 2014-03-12

Dipl.-Ing. Peter Zeh VDI Laborversuche Elektronik HTW Berlin 2014-03-12 Dipl.-In. Peter Zeh VDI Laborversuche Elektronik HTW Berlin 24-3-2 Name, Vorname Sinum Datum:. Studienan: B2GEIT 2. Gruppe: 3. Anlaenverzeichnis: Note:. Lernziele Aufbau von Messschaltunen, Uman mit Funktionsenerator

Mehr

Coaching für Revisionsleiter. in Versicherungsunternehmen

Coaching für Revisionsleiter. in Versicherungsunternehmen Coachin für Revisionsleiter in Versicherunsunternehmen Coachin für Revisionsleiter Bedarfserechtes Coachin zwischen persönlichen Spannunsfeldern und fachlichen Anforderunen Ziele & Nutzen Das Arbeiten

Mehr

Literatur: Mankiw, Kap. 31 und 32, Bofinger, kap. 16 bis 18, Arnold, Kap. V. Aufschwung: Wachstumsrate BIP steigt. Abschwung: Wachstumsrate BIP fällt

Literatur: Mankiw, Kap. 31 und 32, Bofinger, kap. 16 bis 18, Arnold, Kap. V. Aufschwung: Wachstumsrate BIP steigt. Abschwung: Wachstumsrate BIP fällt 1 12. Kurzfristie wirtschaftliche Schwankunen Literatur: Mankiw, Kap. 31 und 32, Bofiner, kap. 16 bis 18, Arnold, Kap. V Beriffe: Aufschwun: Wachstumsrate BIP steit Abschwun: Wachstumsrate BIP fällt Rezession:

Mehr

Seminar. Erfolgreiche Kommunikationsstrategien für IT-Abteilungen. am 13./14. Oktober 2010 im Hasenöhrl Hof in Geitau

Seminar. Erfolgreiche Kommunikationsstrategien für IT-Abteilungen. am 13./14. Oktober 2010 im Hasenöhrl Hof in Geitau Seminar Erfolreiche Kommunikationsstrateien für IT-Abteilunen am 13./14. Oktober 2010 im Hasenöhrl Hof in Geitau Eine Veranstaltun der bm GmbH & Co. KG (München) Warum IT-Marketin? Kommunikation ist nicht

Mehr

Kredit-Scoring und Datenschutz

Kredit-Scoring und Datenschutz Kredit-Scorin und Datenschutz Roul Tiaden Die Landesbeauftrate für f r Datenschutz und Informationsfreiheit (LDI) Nordrhein-Westfalen Mainz, 8. Juli 2009 Übersicht 1. Kredit-Scorin: Funktionsweise und

Mehr

Jetzt Mitmachen und kostenlos registrieren! REGIONALE PRODUZENTEN, gastronomie und. foodroot. Das Branchenverzeichnis des guten Geschmacks

Jetzt Mitmachen und kostenlos registrieren! REGIONALE PRODUZENTEN, gastronomie und. foodroot. Das Branchenverzeichnis des guten Geschmacks Jetzt Mitmachen und kostenlos reistrieren! REGIONALE PRODUZENTEN, astronomie und einzelhandel Das Branchenverzeichnis des uten Geschmacks Woher hat nur der Bäcker Maier die Karotten für seine fantastische

Mehr

Elektronisches Bargeld, ein erstes Beispiel

Elektronisches Bargeld, ein erstes Beispiel Kapitel 1 Elektronisches Bargeld, ein erstes Beispiel Auch im Zeitalter des bargeldlosen Bezahlens besitzt das klassische Bargeld durchaus noch seine Berechtigung Es ermöglicht eine einfache, schnelle,

Mehr

Infodienst der UmweltBank AG, Nürnberg

Infodienst der UmweltBank AG, Nürnberg &Umwelt Bank Infodienst der UmweltBank AG, Nürnber Nr. 58 ISSN: 1437-2681 Juli/Auust/September 2010 UMWELTSPARVERTRAG 55.545 Euro Diese beachtliche Summe können Sie Ihrem Sprösslin am 18. Geburtsta mit

Mehr

Quantitatives Entscheiden. Mathematische Grundlagenseminare für alle Mitarbeiter aus der Versicherungswirtschaft I 2013

Quantitatives Entscheiden. Mathematische Grundlagenseminare für alle Mitarbeiter aus der Versicherungswirtschaft I 2013 Quantitatives Entscheiden Mathematische Grundlaenseminare für alle Mitarbeiter aus der Versicherunswirtschaft I 2013 Mathematische Grundlaenseminare für alle Mitarbeiter aus der Versicherunswirtschaft

Mehr

Was ist, wenn? Fragen und Antworten zum Ticketshop der Veranstaltungen der Leipziger Messe GmbH

Was ist, wenn? Fragen und Antworten zum Ticketshop der Veranstaltungen der Leipziger Messe GmbH Was ist, wenn? Fragen und Antworten zum Ticketshop der Veranstaltungen der Leipziger Messe GmbH Inhalt: 1. Welche technischen Voraussetzungen müssen gegeben sein, um ein Ticket zu kaufen? 2 2. Wie erhalte

Mehr

Seite 2 OPEN/PROSOZ in der Praxis. Seite 4 Kundenumfrage 2002. Seite 5 Grundsicherung aktuell. Seite 6 Arbeitsvermittlung im Sozialamt

Seite 2 OPEN/PROSOZ in der Praxis. Seite 4 Kundenumfrage 2002. Seite 5 Grundsicherung aktuell. Seite 6 Arbeitsvermittlung im Sozialamt PROSOZ Herten Kundenzeitun Ausabe 31 Oktober 2002 PROSOZ aktuell Wir machen die Zukunft zum Proramm! I N H A L T Seite 2 OPEN/PROSOZ in der Praxis Seite 3 Die neue Windows-Version: PROSOZ/S WIN 7.0 Seite

Mehr

Einführung 3. Referentenübersicht 13. Terminübersicht 14 Wichtige Seminarinformationen 15 Anmeldung 16 Anmeldebedingungen 17

Einführung 3. Referentenübersicht 13. Terminübersicht 14 Wichtige Seminarinformationen 15 Anmeldung 16 Anmeldebedingungen 17 Kapitalanlaen 2015 Inhaltsverzeichnis Einführun 3 Kapitalanlaen Grundlaen von Kapitalmarktprodukten 6 Asset-Manaement 7 Kapitalanlaen: Buchun und Bilanzierun nach HGB und IFRS 8 Kapitalanlaen und Aufsichtsrecht

Mehr

Die outdoor-profis sind Deutschlands größte Gruppe spezialisierter Outdoor-Fachgeschäfte.

Die outdoor-profis sind Deutschlands größte Gruppe spezialisierter Outdoor-Fachgeschäfte. Die outdoor-profis sind Deutschlands rößte Gruppe spezialisierter Outdoor-Facheschäfte. Tim Wahnel Retail Manaement (BA) wahnel@outdoor-profis.com Olaf Wittayer Dipl. Wirtschaftsinenieur TH Darmstadt wittayer@outdoor-profis.com

Mehr

Krankentagegeldversicherung

Krankentagegeldversicherung Taunsreihe der Deutschen Versicherunsakademie (DVA) Krankentaeeldversicherun 24. November 2015 Residenz am Dom, Köln Taesseminar 09:30 Uhr Beinn der Veranstaltun 17:00 Uhr Ende der Veranstaltun 6 FA O-Stunden

Mehr

CLX.Snapshot NEWSLETTER DER CREALOGIX GRUPPE MAI /// 2009. SEITE 06 ONLINE-VERFOLGUNG Mit der CLX.Track & Trace Webplattform

CLX.Snapshot NEWSLETTER DER CREALOGIX GRUPPE MAI /// 2009. SEITE 06 ONLINE-VERFOLGUNG Mit der CLX.Track & Trace Webplattform RUBRIKNAME /// CLX.SNAPSHOT 2/2009 SEITE 02 IKS: EINHEITLICHES WISSEN Gut ausebildete Mitarbeitende sind die wirkunsvollste Risikokontrolle, die sich ein Unternehmen wünschen kann. SEITE 06 ONLINE-VERFOLGUNG

Mehr

SMART Response 2012. Interactive Response System. Benutzerhandbuch

SMART Response 2012. Interactive Response System. Benutzerhandbuch SMART Response 2012 Interactive Response System Benutzerhandbuch Produktreistrierun Bei einer Reistrierun Ihres SMART Produkts erhalten Sie Informationen über neue Funktionen und Software-Uprades. Reistrieren

Mehr

Geburtshilfe im Klinikum Oberlausitzer Bergland. Für werdende. Eltern. e m. r w

Geburtshilfe im Klinikum Oberlausitzer Bergland. Für werdende. Eltern. e m. r w Geburtshilfe im Klinikum Oberlausitzer Berland Für werdende Eltern He r zli ch w illk o m e m n bei uns Liebe werdende Eltern! Anhand dieser Broschüre möchten wir Sie schon vor der Geburt mit unseren Leistunen

Mehr

4 VisualC# 2005 - Grundlagen

4 VisualC# 2005 - Grundlagen 4 VisualC# 2005 - Grundlaen Projekte in Visual Studio 2005 In diesem Kapitel erfahren Sie ) was Projekte sind ) wie eine Projektmappe aufebaut ist ) wie Sie Projekte erstellen und speichern ) wie Sie Projekte

Mehr

Geprüfter Marketing-Professional (DVA) Gezieltes Marketing-Know-how für die Versicherungsbranche

Geprüfter Marketing-Professional (DVA) Gezieltes Marketing-Know-how für die Versicherungsbranche Geprüfter Marketin-Professional (DVA) Gezieltes Marketin-Know-how für die Versicherunsbranche Marketin-Professional (DVA) Gezieltes Marketin Know-how für die Versicherunsbranche Den Mitbewerbern durch

Mehr

FAQs. www.ifat.de. Save the date. Hier finden Sie Antworten auf häufig gestellte Fragen zur IFAT. Registrierung / Ticketkauf

FAQs. www.ifat.de. Save the date. Hier finden Sie Antworten auf häufig gestellte Fragen zur IFAT. Registrierung / Ticketkauf www.ifat.de FAQs Hier finden Sie Antworten auf häufig gestellte Fragen zur IFAT. Save the date IFAT Datum: 30.5. - 3.6.2016 Registrierung / Ticketkauf Wo kann ich mein Besucherticket kaufen? Hier können

Mehr

Bankkarten Girocard. Die Girocard ist ganz schön praktisch! Till + Freunde Konto + Karte

Bankkarten Girocard. Die Girocard ist ganz schön praktisch! Till + Freunde Konto + Karte 1 Girocard Je nach Bank sind die Beträge, über die man täglich/wöchentlich verfügen kann, unterschiedlich. Jeder Bankkunde erhält zu seinem Konto eine Bankkarte, die Girocard. Mit ihr kann er Kontoauszüge

Mehr

1 LIFE Report 8 UMFRAGEN IM AUFTRAG DER DEUTSCHEN TELEKOM. Wie das Handy zur Geldbörse wird. Report

1 LIFE Report 8 UMFRAGEN IM AUFTRAG DER DEUTSCHEN TELEKOM. Wie das Handy zur Geldbörse wird. Report 1 LIFE Report 8 UMFRAGEN IM AUFTRAG DER DEUTSCHEN TELEKOM Wie das Handy zur Geldbörse wird Report 02 LIFE Report 8 Mobile Payment 2014 bereits Alltag: Hierzulande sieht das jeder Dritte so vorn: Die Amerikaner

Mehr

Geprüfte/-r Facharchitekt/-in in Versicherungsunternehmen (DVA) Aus der Praxis für die Praxis

Geprüfte/-r Facharchitekt/-in in Versicherungsunternehmen (DVA) Aus der Praxis für die Praxis Geprüfte/-r Facharchitekt/-in in Versicherunsunternehmen (DVA) Aus der Praxis für die Praxis Geprüfte/-r Facharchitekt/-in in Versicherunsunternehmen (DVA) Aus der Praxis für die Praxis Die Bedeutun der

Mehr

SMART Response 2011. Interactive Response System. Benutzerhandbuch

SMART Response 2011. Interactive Response System. Benutzerhandbuch SMART Response 2011 Interactive Response System Benutzerhandbuch Produktreistrierun Bei einer Reistrierun Ihres SMART Produkts erhalten Sie Informationen über neue Funktionen und Software-Uprades. Reistrieren

Mehr

Software Assurance Leitfaden

Software Assurance Leitfaden Volumenlizenzierun Software Assurance Leitfaden Aktualisierte Auflae Oktober 2014 I nhalt 04 S oftware Assurance der Schlüssel zu einer flexiblen und effektiven Nutzun Ihrer Microsoft-Technoloie Mobilität

Mehr

CLX.Snapshot NEWSLETTER DER CREALOGIX GRUPPE /// AUSGABE 2011/2012 CLX.SNAPSHOT SONDERAUSGABE EDUCATION

CLX.Snapshot NEWSLETTER DER CREALOGIX GRUPPE /// AUSGABE 2011/2012 CLX.SNAPSHOT SONDERAUSGABE EDUCATION SEITE 02 CLX.MOBILEPLAYER Lerninhalte für iphone oder Android Smartphones verfübar machen. Treten Sie ein in die Welt des «Mobile Learnins». SEITE 09 CLX.EVENTO-PLANER Überschneidunen von Lehrveranstaltunen

Mehr

Klausur Strömungsmechanik I (Bachelor) 11. 03. 2015

Klausur Strömungsmechanik I (Bachelor) 11. 03. 2015 ...... (Name, Matr.-Nr, Unterschrift) Klausur Strömunsmechanik I (Bachelor) 11. 03. 25 1. Aufabe (9 Punkte) Ein autonomes Unterseeboot erzeut Auftrieb durch einen externen Ballon. Der Hauptkörper des U-Boots

Mehr

Haftpflicht Underwriter (DVA) Vorsprung durch Spezialistenwissen im Haftpflichtbereich

Haftpflicht Underwriter (DVA) Vorsprung durch Spezialistenwissen im Haftpflichtbereich Haftpflicht Underwriter (DVA) Vorsprun durch Spezialistenwissen im Haftpflichtbereich Spezialistenstudienäne (DVA) Ihre fachspezifische Weiterbildun aus einer Hand In der modernen Versicherunswirtschaft

Mehr

CLX.Snapshot. Seite 07 NEWSLETTER DER CREALOGIX GRUPPE. April /// 2011. Firma

CLX.Snapshot. Seite 07 NEWSLETTER DER CREALOGIX GRUPPE. April /// 2011. Firma Seite 02 Neues Bestellsystem Die Swiss Bankers Prepaid Ser vices AG setzt auf ein vollinteriertes ERP-System mit Web-Frontend. Seite 07 Zuversichtlich CEO Bruno Richle zum uten Halb jahreserebnis und zu

Mehr

Authentisierung in Unternehmensnetzen

Authentisierung in Unternehmensnetzen in Unternehmensnetzen Problemstellung und Lösungsansätze >>> Seite Martin 1 Seeger NetUSE AG, Dr.-Hell-Straße, 24017 Kiel ms@netuse.de - Agenda - Inhalt Problemstellung Was ist starke Authentisierung Biometrie

Mehr

FAQs Tickets und Registrierung

FAQs Tickets und Registrierung it2industry.de FAQs Tickets und Registrierung Fragen und Antworten zu Online-Registrierung, Ticketkauf und Gutscheineinlösung Registrierung und Bestellung Welche Vorteile habe ich, wenn ich mein Ticket

Mehr

FAQs Tickets & Registrierung

FAQs Tickets & Registrierung productronica.com FAQs Tickets & Registrierung Save the date productronica Datum: 10. - 13.11.2015 Fragen und Antworten zur Online-Registrierung, Ticketkauf und Gutscheineinlösung Registrierung / Bestellung

Mehr

Bachelor of Arts (B.A.) Insurance Management. Berufsbegleitendes Studium für die Versicherungswirtschaft

Bachelor of Arts (B.A.) Insurance Management. Berufsbegleitendes Studium für die Versicherungswirtschaft Wahlmölichkeit Vertrieb Bachelor of Arts (B.A.) Insurance Manaement Berufsbeleitendes Studium für die Versicherunswirtschaft Berufsbeleitend zum Bachelor of Arts Auf einen Blick STUDIENGANG ABSCHLUSS STUDIENFORM

Mehr

Alternativen? Mit einem ganz normalen UKW Radio hinterlässt man keinerlei Datenspuren.

Alternativen? Mit einem ganz normalen UKW Radio hinterlässt man keinerlei Datenspuren. Vater Albert Müller 5:30 Uhr Aufstehen mit Musik aus dem Internet Albert Müller liebt es früh aufzustehen. Wecken lässt er sich von seinem W LAN Radio Wecker. Mit diesem Gerät empfängt er weit über 5.000

Mehr

Ausgleichung nach der Methode der kleinsten Quadrate mit der a posteriori Schätzung der Gewichte

Ausgleichung nach der Methode der kleinsten Quadrate mit der a posteriori Schätzung der Gewichte Paper-ID: VGI 199727 Ausleichun nach der Methode der kleinsten Quadrate mit der a posteriori Schätzun der Gewichte Florijan Vodopivec 1, Dusan Kooj 2 1 University of Ljubljana, Faculty for Civil and Enineerin

Mehr

Das macht die Bundes-Bank

Das macht die Bundes-Bank Das macht die Bundes-Bank Erklärt in Leichter Sprache Leichte Sprache Von wem ist das Heft? Das Heft ist von: Zentralbereich Kommunikation Redaktion Externe Publikationen und Internet Die Adresse ist:

Mehr

FAQs Tickets und Registrierung

FAQs Tickets und Registrierung www.bauma.de FAQs Tickets und Registrierung Fragen und Antworten zu Online-Registrierung, Ticketkauf und Gutscheineinlösung Save the date bauma Datum: 11. - 17.4.2016 Registrierung / Bestellung Welche

Mehr

FAQs Tickets & Registrierung

FAQs Tickets & Registrierung www.free-muenchen.de/ FAQs Tickets & Registrierung Save the date f.re.e Die Reise- und Freizeitmesse. Datum: 10. - 14.2.2016 Fragen und Antworten zur Online-Registrierung, Ticketkauf und Gutscheineinlösung

Mehr

Expertenseminare (DVA) Kompaktes Spartenwissen für den Vertrieb

Expertenseminare (DVA) Kompaktes Spartenwissen für den Vertrieb Expertenseminare (DVA) Kompaktes Spartenwissen für den Vertrieb Expertenseminare (DVA) Fachspezifische Weiterbildun für Vertriebsmitarbeiter Die Fachkompetenz der Vertriebsmitarbeiter ist der zentrale

Mehr

Verschlüsselungsverfahren

Verschlüsselungsverfahren Verschlüsselungsverfahren Herrn Breder hat es nach dem Studium nach München verschlagen. Seine Studienkollegin Frau Ahrend wohnt in Heidelberg. Da beide beruflich sehr stark einspannt sind, gibt es keine

Mehr

Häufig gestellte Fragen zum Thema Online-Tickets FAQs

Häufig gestellte Fragen zum Thema Online-Tickets FAQs www.world-of-photonics.com Häufig gestellte Fragen zum Thema Online-Tickets FAQs SAVE THE DATE LASER World of PHOTONICS Datum: 26. - 29.6.2017 Sie interessieren sich für einen Besuch auf der LASER World

Mehr

Betriebsorganisation. Grundlagen der Organisationsgestaltung in Versicherungsunternehmen

Betriebsorganisation. Grundlagen der Organisationsgestaltung in Versicherungsunternehmen Betriebsoranisation Grundlaen der Oranisationsestaltun in Versicherunsunternehmen Betriebsoranisation Ziele und Nutzen Die Teilnehmer erhalten einen umfassenden Einblick in die aktuelle Oranisationsarbeit

Mehr

Bachelor of Insurance Management (B.A.) Mit den Studienvarianten Betrieb und Vertrieb

Bachelor of Insurance Management (B.A.) Mit den Studienvarianten Betrieb und Vertrieb Bachelor of Insurance Manaement (B.A.) Mit den Studienvarianten Betrieb und Vertrieb Der richtie Kurs für Ihre Karriere Sie verfolen beruflich roße Ziele und möchten Fach- und Führunsaufaben in der Versiche

Mehr

Quellen: http://www. Payback.de ; http://www.tech faq.com/lang/de/magnetic card reader.shtml ; Zeitschrift Finanztest 6/2008 S. 15 18. Alternativen?

Quellen: http://www. Payback.de ; http://www.tech faq.com/lang/de/magnetic card reader.shtml ; Zeitschrift Finanztest 6/2008 S. 15 18. Alternativen? Mutter Marie Müller 9:28 Uhr Und schnell noch ein paar Punkte gesammelt! Mutter Marie geht Einkaufen. Dabei nutzt sie ihre Payback Karte als Bonussystem. Es gibt zahlreiche solcher Kundenkarten, einige

Mehr

Bachelor of Insurance Management (B.A.) Mit den Studienvarianten Betrieb und Vertrieb

Bachelor of Insurance Management (B.A.) Mit den Studienvarianten Betrieb und Vertrieb Bachelor of Insurance Manaement (B.A.) Mit den Studienvarianten Betrieb und Vertrieb Der richtie Kurs für Ihre Karriere Der Bachelor im Bildunsefüe Sie verfolen beruflich roße Ziele und möchten Fach- und

Mehr

Die Grosswetterlage betreffend Wirtschaftswachstum,

Die Grosswetterlage betreffend Wirtschaftswachstum, Inhalt Rückblick Die Grosswetterlae b e t r e ff e n db e t r e ff e n d Wirtschaftswachstum Ausblick/Aktien Der Weltmarkt Index (MSCI World) hat sein früheres Zinsen/Obliationen Die Zinsanpassun im 10-jährien

Mehr

pflock & meckeler mco 2 +n/2 H 2 O+Q C m H n + (m+n/4)o 2 abluftreinigung und energierückgewinnung mit system

pflock & meckeler mco 2 +n/2 H 2 O+Q C m H n + (m+n/4)o 2 abluftreinigung und energierückgewinnung mit system C m H n + (m+n/4)o 2 mco 2 +n/2 H 2 O+Q abluftreiniun und enerierückewinnun mit system kompetenz und flexibilität von anfan an Die wirksame Schadstoffabreiniun und hohe Enerierückewinnun präen seit Jahrzehnten

Mehr

Allgemeine Erläuterungen zu

Allgemeine Erläuterungen zu en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate

Mehr

17 Datenbank aufteilen

17 Datenbank aufteilen 17 Datenbank aufteilen Warum teilt man eine Datenbank auf und was bedeutet dies? Eine Access-Datenbankdatei ist ein Monolith. Sie enthält alle notwendigen Objekte wie Tabellen, Abfragen, Formulare, Berichte,

Mehr

Anleitung für Payment PDA & DBG Touch

Anleitung für Payment PDA & DBG Touch Anleitung für Payment PDA & DBG Touch Taxi Pay GmbH Persiusstraße 7 10245 Berlin Telefon: +4930 6902 720 Fax: +4930 6902 719 www.taxi-berlin.de info@taxi-berlin.de Die Taxi-App für Europa Vorwort Liebe

Mehr

International Insurance Broker. Wir denken mit. Individuelle Lösungen für Ihr Risikomanagement

International Insurance Broker. Wir denken mit. Individuelle Lösungen für Ihr Risikomanagement International Insurance Broker Wir denken mit. Individuelle Lösunen für Ihr Risikomanaement Headline?? Als führender Anbieter von Maklerdienstleistunen im Versicherunssektor verfüen wir über ein hohes

Mehr

CLX.Snapshot NEWSLETTER DER CREALOGIX GRUPPE. oktober /// 2009

CLX.Snapshot NEWSLETTER DER CREALOGIX GRUPPE. oktober /// 2009 Seite 02 Nutzwert steiern Ein Internetauftritt brint nur etwas, wenn er für den Benutzer loisch strukturiert ist. Eine Analyse hilft oft weiter. Seite 06 Online-Verkauf Die internationale Parfümeriekette

Mehr

NEWSLETTER DER CREALOGIX GRUPPE CLX.Snapshot MÄRZ /// 2009. SEITE 06 LEHRPLÄNE EINFACH MANAGEN Die Katholische Universität Eichstätt-Ingolstadt

NEWSLETTER DER CREALOGIX GRUPPE CLX.Snapshot MÄRZ /// 2009. SEITE 06 LEHRPLÄNE EINFACH MANAGEN Die Katholische Universität Eichstätt-Ingolstadt RUBRIKNAME /// CLX.SNAPSHOT 1/2009 SEITE 02 LOOK WHO S TALKING Video-Konferenzen können rundsätzlich auf jedem Gerät stattfinden, wenn Telefon und PC miteinander kommunizieren lernen. SEITE 06 LEHRPLÄNE

Mehr

AKTIONSLEITFADEN 2015

AKTIONSLEITFADEN 2015 #MAILANMERKEL: FÜR GLOBALE GERECHTIGKEIT! Armut, Huner und Ausbeutun, eine immer unerechtere Verteilun der Güter dieser Welt, und der sich abzeichnende Klimawandel als Konsequenz unserer bisherien Lebensweise

Mehr

Sicherheitsaspekte. Szenarien. Angriffsarten. Discretionary Access Control. Sicherheit im DBMS. Identifikation und Authentisierung

Sicherheitsaspekte. Szenarien. Angriffsarten. Discretionary Access Control. Sicherheit im DBMS. Identifikation und Authentisierung Sicherheitsaspekte Sicherheit im DBMS Identifikation und Authentisierun Autorisierun und Zuriffskontrolle Auditin Szenarien Literaturdatenbank in der Hochschule: erines Sicherheitsbedürfnis ERP-Datenbank

Mehr

Bankschalter für zu Hause. Mit dem neuen Internetauftritt. der Luzerner Kantonalbank wesentlich. Kunden einfach online ein Konto beantragen.

Bankschalter für zu Hause. Mit dem neuen Internetauftritt. der Luzerner Kantonalbank wesentlich. Kunden einfach online ein Konto beantragen. SEITE 02 BANKWISSEN AUF DEM IPHONE Mit der iphone App «Bankin Today mobile» kann man unterwes zum Finanzfachmann werden. SEITE 07 20 JAHRE E-PAYMENT Der erste automatische Einzahlunsscheinleser von CREALOGIX

Mehr

Lebensmitteleinkauf Eine Studie der Dialego AG, September 2011

Lebensmitteleinkauf Eine Studie der Dialego AG, September 2011 Eine Studie der Dialego AG, September 2011 2 Inhaltsverzeichnis Zusammenfassung Hauptbefragung - Bevorzugte Einkaufszeiten - Verkehrsmittel - Entfernung zum Supermarkt, Discounter etc. - Transportmittel

Mehr

FAQs zum neuen Quick mit Kontaktlos-Funktion

FAQs zum neuen Quick mit Kontaktlos-Funktion Was ist kontaktlos? Kontaktlos basiert auf den Standards RFID (Radio Frequency Identication) und NFC (Near Field Communication) und ist die Möglichkeit, mit entsprechend ausgestatteten Bezahlkarten an

Mehr

Geprüfte/-r Trainer/-in (DVA) Geprüfter Coach (DVA) Professionalisieren Sie Ihre Qualifikation

Geprüfte/-r Trainer/-in (DVA) Geprüfter Coach (DVA) Professionalisieren Sie Ihre Qualifikation Geprüfte/-r Trainer/-in (DVA) Geprüfter Coach (DVA) Professionalisieren Sie Ihre Qualifikation Trainerausbildun (DVA) Professionalisieren Sie Ihre Qualifikation Die Ausbildun für Trainer, Prozessbeleiter

Mehr

Quartalsbrief Q1, 2015. Inhalt. Rückblick. Rückblick. Ausblick/Aktien. Zinsen/Obligationen. Währungen. Rohstoffe

Quartalsbrief Q1, 2015. Inhalt. Rückblick. Rückblick. Ausblick/Aktien. Zinsen/Obligationen. Währungen. Rohstoffe Inhalt Rückblick Die erreichte Fluhöhe an den Finanzmärkten, 6 Jahre nach Ausblick/Aktien Aufrund des sich weiter reduzierenden Zinsniveaus und den Zinsen/Obliationen Sollten die Zinsen in den Vereiniten

Mehr

B06A DAMPFDRUCK VON WASSER B06A

B06A DAMPFDRUCK VON WASSER B06A B06A DAMPFDRUCK VON WASSER B06A 1. ZIELE Wir aten euchtere Lut aus als ein. Müssen wir daür Enerie auwenden? Waru werden die Kartoeln in eine Dapdrucktop schneller ar? Was passiert, wenn Wasser verdapt?

Mehr

Geldkarte Einführung und Demo

Geldkarte Einführung und Demo Geldkarte Einführung und Demo Chipkartensysteme I SS 2005 Patrick Weber, 7. Juni 2005 Fachbereich Informatik 1 Inhalt Einführung Daten auf der Karte Kommunikation Begriffe Ladevorgang Zahlungsvorgang Anonymität

Mehr

Vorschriften und Probleme... Das Problem der Wüstenposten. - Reisende dürfen die Wüste nur "kontrolliert" (bei einem "wachen" Posten) betreten

Vorschriften und Probleme... Das Problem der Wüstenposten. - Reisende dürfen die Wüste nur kontrolliert (bei einem wachen Posten) betreten Das Problem der Wüstenposten Vorschriften und Probleme... - Reisende dürfen die Wüste nur "kontrolliert" (bei einem "wachen" Posten) betreten - Nur ein wacher Posten lässt Personen in die Wüste einreisen

Mehr

Haftpflicht Underwriter (DVA) Vorsprung durch Spezialistenwissen im Haftpflichtbereich

Haftpflicht Underwriter (DVA) Vorsprung durch Spezialistenwissen im Haftpflichtbereich Haftpflicht Underwriter (DVA) Vorsprun durch Spezialistenwissen im Haftpflichtbereich Spezialistenstudienäne (DVA) Ihre fachspezifische Weiterbildun aus einer Hand In der modernen Versicherunswirtschaft

Mehr

Was ist zu tun im Trauerfall?

Was ist zu tun im Trauerfall? Nac dem Tod eines naen Aneörien fülen sic die meisten Hinterbliebenen zunäcst wie elämt. In dieser Zeit ilft neben persönlicem Zuspruc eine klare Strukturierun der ansteenden Aufaben. Als Orientierunsilfe

Mehr

Secure Socket Layer (SSL) - Zertifikate

Secure Socket Layer (SSL) - Zertifikate e Einführung Zur Übertragung sensibler Daten über das Internet wurde das SSL-Protokoll entwickelt. SSL steht für Secure Socket Layer (dt. "sichere Sockelschicht") das von der Firma Netscape und RSA Data

Mehr

Folge 19 - Bäume. 19.1 Binärbäume - Allgemeines. Grundlagen: Ulrich Helmich: Informatik 2 mit BlueJ - Ein Kurs für die Stufe 12

Folge 19 - Bäume. 19.1 Binärbäume - Allgemeines. Grundlagen: Ulrich Helmich: Informatik 2 mit BlueJ - Ein Kurs für die Stufe 12 Grundlagen: Folge 19 - Bäume 19.1 Binärbäume - Allgemeines Unter Bäumen versteht man in der Informatik Datenstrukturen, bei denen jedes Element mindestens zwei Nachfolger hat. Bereits in der Folge 17 haben

Mehr