Westfälische Wilhelms-Universität Münster. Ausarbeitung. Digitale Signaturen. im Rahmen des Seminars Informatik und Recht. Christoph Grothaus

Transkript

1 Westfälische Wilhelms-Universität Münster Ausarbeitung Digitale Signaturen im Rahmen des Seminars Informatik und Recht Christoph Grothaus Themensteller: Prof. Dr. Herbert Kuchen Betreuer: Prof. Dr. Herbert Kuchen Institut für Wirtschaftsinformatik Praktische Informatik in der Wirtschaft

2 Inhaltsverzeichnis 1 Einleitung 1 2 Kryptographische Grundlagen Übersicht über kryptographische Verfahren Der RSA-Algorithmus Schlüsselerzeugung Verschlüsselung Entschlüsselung Sicherheit von RSA Kryptographische Hashfunktionen Digitale Signatur Anforderungen Digitale Signatur mit RSA Erzeugung der Signatur Verifikation der Signatur Signatur mit Hashwert Allgemeine Funktionsweise Verfahren für Multimediadaten Public Key Infrastrukturen Persönliche Sicherheitsumgebung Zertifizierungsstellen Gesetzliche Grundlagen Praktische Anwendung: PGP Fazit 19 Literaturverzeichnis 20 II

3 1 Einleitung Das Internet hat sich innerhalb der letzten zehn Jahre stark verändert. Bis zum ersten Drittel der neunziger Jahre wurde es nur von wenigen Eingeweihten benutzt. Mit dem Aufkommen grafischer Browser und des World Wide Web ist es in einer rasanten Entwicklung zu einem Massenmedium geworden. Millionen von Menschen kommunizieren heutzutage über das Internet, und auch die Geschäftswelt hat den Weg in dieses Medium gefunden. Waren werden rund um die Uhr im Internet bestellt, Aktien geordert, selbst auf das eigene Konto kann man per Online-Banking zugreifen. Diese Entwicklung wirft auch Fragen auf. Das Internet ist ein flexibel und offen konstruiertes Netz, das an vielen Stellen die Möglichkeit bietet, in seine Kommunikationsflüsse einzugreifen. Woher kann man sich also sicher sein, dass eine wirklich von demjenigen stammt, von dem sie zu stammen vorgibt? Woher weiß man, dass eine Webseite auf dem Weg vom Server zum Browser nicht verändert wurde? Es gibt noch viele weitere dieser Fragen, in denen es um die Sicherheit der Kommunikation geht. Die Antwort auf wenigstens einen Teil dieser Fragen lautet: Digitale Signatur. Die vorliegende Arbeit soll einen Überblick über den Bereich der digitalen Signaturen schaffen. Im nächsten Kapitel werden Grundlagen aus der Kryptographie beschrieben, auf denen digitale Signaturen beruhen. Im dritten Kapitel werden diese digitalen Signaturen erläutert. Zunächst werden die Anforderungen geschildert, die an sie gestellt werden. Daran anschließend wird anhand eines konkreten Algorithmus und danach allgemein gezeigt, wie digitale Signaturen funktionieren. Im Zusammenhang mit Multimediadaten gilt es, einige Besonderheiten zu berücksichtigen. Daher ist ihnen ein kurzer Teil gewidmet. Im Anschluss wird gezeigt, wie digitale Signaturen mit Public Key Infrastrukturen unterstützt werden können. Nach einer Betrachtung der gesetzlichen Aspekte wird zum Schluss des dritten Kapitels die Anwendung PGP vorgestellt, mit der digitale Signaturen erzeugt werden können. 2 Kryptographische Grundlagen 2.1 Übersicht über kryptographische Verfahren Kryptographie ist nach [Wo98, S. 29] die Wissenschaft vom Design der Verschlüsselungsalgorithmen. Der Begriff des Verschlüsselungsalgorithmus auch kryptographisches Verfahren genannt ist zentral für die folgenden Ausführungen. 1

4 Ein Verschlüsselungsalgorithmus E überführt einen Klartext M mit einem Schlüssel K in einen Geheimtext C (Chiffrat): E(K, M) = C. Passend zu E existiert ein Entschlüsselungsalgorithmus D mit einem Schlüssel K, der den Geheimtext wieder in den Klartext überführt: D(K, C) = M [Ku02, Folie 216]. Kryptographische Verfahren werden in zwei Klassen unterteilt, symmetrische und asymmetrische. Während bei symmetrischen Verfahren K = K gilt, also der Entschlüsselungsalgorithmus denselben Schlüssel benutzt wie der Verschlüsselungsalgorithmus, gilt bei asymmetrischen Verfahren K K. Zu den Vorzügen von symmetrischen Verfahren gehört, dass die Verschlüsselung schnell geht. Zudem sind die verschlüsselten Botschaften kompakt [Na02, S. 52]. Als Nachteil ist anzuführen, dass der gemeinsame Schlüssel K vom Sender zum Empfänger übermittelt werden muss, ohne dass ihn ein Dritter einsehen kann. Darüber hinaus ist die symmetrische Verschlüsselung für große Gruppen ungeeignet, da sich je zwei Teilnehmer auf einen gemeinsamen geheimen Schlüssel einigen müssen. Bei n Teilnehmern müssen n (n 1)/2 Schlüssel geheim übertragen und geheim gespeichert werden, ihre Anzahl skaliert also quadratisch mit der Teilnehmerzahl [Bu99, S. 111]. Dies ist denkbar schlecht. Als letzter und im Kontext dieser Arbeit schwerwiegendster Punkt ist zu nennen, dass sich symmetrische Verfahren nicht für digitale Signaturen eignen. Bei asymmetrischen Verfahren besitzt jeder Teilnehmer zwei Schlüssel, K und K. Einer davon ist öffentlich (nicht geheim), der andere privat (geheim). Ein Sender benutzt zur Verschlüsselung einer Botschaft an einen Empfänger dessen öffentlichen Schlüssel, der Empfänger kann die Botschaft mit seinem geheimen Schlüssel wieder entschlüsseln. Es entfällt also die Notwendigkeit, einen Schlüssel geheim zu übertragen. Dies ist ein großer Vorteil von asymmetrischen Verfahren. Da für n Teilnehmer insgesamt 2n Schlüssel benötigt werden, skaliert bei den asymmetrischen Verfahren die Zahl der benötigten Schlüssel linear. Dies macht sie attraktiv für große Gruppen. Wie schon erwähnt gibt es bei der asymmetrischen Verschlüsselung je Teilnehmer einen privaten Schlüssel, auf den nur er Zugriff hat. Nur der Besitzer dieses Schlüssels kann also Operationen damit ausführen. Dies lässt sich für digitale Signaturen ausnutzen, was eine sehr wichtige Eigenschaft der asymmetrischen Verfahren ist. Als Nachteil dieser Verfahren ist anzumerken, dass sie langsam sind und die Botschaft beim Verschlüsseln vergrößern [Na02, S. 60]. Es fällt auf, dass die beiden Klassen von Verschlüsselungsalgorithmen in elementaren Punkten genau entgegengesetzte Vor- und Nachteile haben. Daher werden in Softwareprodukten, welche kryptographische Funktionalität anbieten, oft beide Verfahren miteinander kombiniert, um die Stärken beider Verfahren auszunutzen. 2

5 2.2 Der RSA-Algorithmus Der RSA-Algorithmus gehört in die Klasse der asymmetrischen Verschlüsselungsverfahren. Er wurde 1978 von Ron Rivest, Adi Shamir und Len Adleman veröffentlicht und war der erste Algorithmus, der sich sowohl für die asymmetrische Verschlüsselung als auch für digitale Signaturen eignete. Nach seiner Veröffentlichung entwickelte er sich zu einem oft genutzten Standardalgorithmus. Im Folgenden wird basierend auf [Bu99, S ] zunächst die Erzeugung von öffentlichem und privatem Schlüssel betrachtet. Danach wird gezeigt, wie eine Botschaft mit RSA verschlüsselt und auch wieder entschlüsselt wird. Abschließend wird die Sicherheit von RSA begutachtet Schlüsselerzeugung Um den öffentlichen und den privaten RSA-Schlüssel zu erzeugen, müssen zunächst zwei große Primzahlen p und q (p q) zufällig gewählt werden. Nach dem heutigen Stand der Technik sollten die Binärdarstellungen von p und q mindestens 512 Bit lang sein [Wo98, S. 163; Ku02, Folie 233]. Aus diesen beiden Primzahlen wird das Produkt berechnet: n = pq. Ferner wird eine natürliche Zahl e gewählt, mit 1 < e < ϕ(n) und e ist teilerfremd zu ϕ(n). Dabei ist ϕ(n) = (p 1)(q 1). Nachdem e gewählt wurde, wird eine natürliche Zahl d berechnet mit 1 < d < ϕ(n) und de 1 mod ϕ(n). 1 Nach [Bu99, S. 29] ist die Existenz von d gesichert. Die Berechnung von d erfolgt mit dem erweiterten euklidischen Algorithmus [Bu99, S. 13; La02]. Der öffentliche Schlüssel besteht nun aus dem Paar (n, e). Der private Schlüssel ist d. 2 Beispiel: Als Primzahlen werden gewählt p = 37 und q = 43. Damit ergibt sich n = 1591 und ϕ(n) = (p 1)(q 1) = = Es wird gewählt e = 17. Mit dem erweiterten euklidischen Algorithmus (gcd(1512, 17)) ergibt sich d = Seien a, b ganze Zahlen und m eine natürliche Zahl. Dann bedeutet a b mod m (sprich: a ist kongruent zu b modulo m), dass m die Differenz b a ohne Rest teilt [Bu99, S. 23]. Anders ausgedrückt: a und b lassen bei Division durch m den gleichen Rest. Beispiel: 6 16 mod 10, 5 9 mod Genau genommen wird zum Entschlüsseln auch n benötigt. Da n aber schon öffentlich bekannt ist, wird im Allgemeinen dem privaten Schlüssel nur d zugerechnet. 3

6 2.2.2 Verschlüsselung Ein Klartext m mit 0 m < n wird durch den RSA-Algorithmus folgendermaßen verschlüsselt: E ((n, e), m) = m e mod n =: c. Jeder, der den öffentlichen Schlüssel (n, e) kennt, kann diese Verschlüsselung durchführen. Beispiel: Seien n und e wie im Beispiel oben. Der Klartext m = 9 soll verschlüsselt werden. Es wird also 9 17 mod 1591 = 1106 berechnet. Dies ist der Chiffretext c. Klartexte m n müssen in Blöcke m 1... m k aufgespalten werden, so dass jeder der Blöcke kleiner oder gleich n ist. Diese Blöcke können dann einzeln verschlüsselt werden. Auf diese Weise ist es also möglich, Klartexte beliebiger Länge zu verschlüsseln Entschlüsselung Die Entschlüsselung erfolgt nach demselben Verfahren wie die Verschlüsselung, nur dass statt dem Klartext der Chiffretext und statt e der private Schlüssel d eingesetzt wird: D ((n, d), c) = c d mod n = (m e ) d mod n = m. Beispiel: Der Chiffretext c = 1106 soll wieder entschlüsselt werden. Immer noch sind n = 1591 und d = 89. Es ergibt sich mod 1591 = 9. Dies ist genau der ursprüngliche Klartext m. An dieser Stelle soll allgemein gezeigt werden, dass die Entschlüsselung stets funktioniert (in Anlehnung an [Ku02, Folie 237]). Satz: (m e ) d m mod n für 0 m < n. Beweis: Aus ed 1 mod (p 1)(q 1) folgt, dass es eine ganze Zahl l gibt, so dass ed = 1 + l(p 1)(q 1) ist. Daher ist (m e ) d = m ed = m 1+l(p 1)(q 1) = m(m p 1 ) (q 1)l. Fallunterscheidung: Fall 1: p teilt m: m(m p 1 ) (q 1)l 0 m mod p Wenn m von p geteilt wird, dann werden auch alle Vielfachen von m von p geteilt, und die Kongruenz gilt. 4

7 Fall 2: p teilt nicht m: dann gilt nach dem kleinen Satz von Fermat [Bu99, S. 35] m p 1 1 mod p. Dies gilt auch für jede Potenz von m p 1. Multipliziert man diese Kongruenz auf beiden Seiten mit m und potenziert m p 1 mit (q 1)l, so ergibt sich folgende Kongruenz: m(m p 1 ) (q 1)l m mod p. In beiden Fällen gilt: (m e ) d m mod p. Auf demselben Weg lässt sich dies auch für q zeigen: (m e ) d m mod q. Aus den beiden letzten Gleichungen folgt, dass es zwei natürliche Zahlen i, j gibt, für die gilt (m e ) d = m + i p und (m e ) d = m + j q. Dies führt zu i p = j q. Daraus ergibt sich, dass j von p geteilt wird, denn p kann q nicht teilen, da q Primzahl ist, und i kann j nicht teilen, da sonst p Vielfaches von q sein müsste. Also kann man j schreiben als r p mit einer ganzen Zahl r. Es ergibt sich also (m e ) d = m + r p q (m e ) d m mod p q (m e ) d m mod n Sicherheit von RSA Asymmetrische Verschlüsselungsverfahren müssen in zweifacher Hinsicht sicher sein. Zum einen darf der Klartext nicht aus dem Geheimtext ableitbar sein. Dieses Kriterium gilt auch für symmetrische Verfahren. Zum anderen muss sichergestellt sein, dass der geheime Schlüssel nicht aus dem öffentlichen Schlüssel abgeleitet werden kann [Wo98, S. 151]. Das nicht ist hierbei so zu interpretieren: nicht mit den bekannten Algorithmen und einem vertretbaren Aufwand an Zeit und Geld. Die Sicherheit des RSA-Verfahrens basiert auf dem schwierigen mathematischen Problem der Faktorisierung sehr großer Zahlen. Um das Verfahren durch eine Attacke auf den geheimen Schlüssel zu brechen, muss ein Angreifer aus dem öffentlichen Schlüssel (n, e) den geheimen Schlüssel d berechnen. Dazu muss er n in seine Primfaktoren zerlegen. Schafft er dies, hat er also p und q bestimmt, so kann er mit dem im Unterabschnitt Schlüsselerzeugung gezeigten Verfahren d bestimmen. Jedoch ist die Faktorisierung von n für große n nicht in realistischer Zeit möglich. Statt den geheimen Schlüssel zu attackieren, könnte der Angreifer auch versuchen, den Klartext aus dem Geheimtext zu bestimmen. Nach [Bu99, S. 118] ist es jedoch noch nicht 5

8 bekannt, ob dies möglich ist, ohne wie oben geschildert den geheimen Schlüssel zu finden. Im Jahr 1994 gelang es einer Gruppe von Mathematikern, eine 428-Bit-RSA-Zahl zu faktorisieren. Dabei halfen ihnen 600 Personen, die 1600 Rechner acht Monate lang verteilt arbeiten ließen [Wo98, S. 168]. Für eine 512-Bit-Zahl hätten sie jedoch noch 100 mal länger benötigt, und das bei einer nur ca. 1,2 mal so großen Zahl. Dies gibt ein Gefühl dafür, wie die heute verwendeten Schlüssellängen von 1024 oder mehr Bit einzuschätzen sind. Der RSA-Algorithmus kann mit Recht als sicher bezeichnet werden. Allerdings ist nicht ausgeschlossen, dass eines Tages eine effizientere Methode zur Faktorisierung großer Zahlen zur Verfügung steht. Daher ist es sehr wichtig, dass auf diesem Gebiet ständig weiter geforscht wird und auch asymmetrische Verfahren entwickelt werden, die auf einem anderen Problem als RSA beruhen. 2.3 Kryptographische Hashfunktionen Hashfunktionen sind in der Informatik lange bekannt und weit verbreitet. Eine Hashfunktion h ist eine Abbildung, welche Werte aus einem Definitionsbereich D auf Werte aus einem üblicherweise kleineren Wertebereich W abbildet: h : D W, meist D >> W. Da D häufig sehr groß ist, W jedoch klein, ist h in der Regel nicht injektiv. Es kommt also vor was in vielen Anwendungen auch erwünscht ist, dass viele Werte aus D auf einen Wert aus W abgebildet werden. Dieser Wert heißt Hashwert. Beispiel: Eine Liste mit mehreren zehntausend Elementen soll nach einem bestimmten Element durchsucht werden. Dafür existiert eine Tabelle mit 100 Einträgen, denen durch eine Hashfunktion die Elemente der Liste möglichst gleichmäßig zugeordnet sind. Anstatt die ganze Liste zu durchsuchen, kann vom gesuchten Element der Hashwert gebildet werden, um dann nur noch die entsprechende Zeile der Tabelle zu durchsuchen. So kann die Suche bis um den Faktor 100 beschleunigt werden. Nachfolgend sollen nur noch Hashfunktionen betrachtet werden, die Zeichenketten beliebiger Länge stets auf Zeichenketten fester Länge abbilden. Diese Hashfunktionen haben folgende Eigenschaften: Aus umfangreichen Informationen (den Zeichenketten beliebiger Länge) werden komprimierte Informationen (die Zeichenketten fester Länge) berechnet. 6

9 Für verschiedene Eingangswerte sollen sich die Hashwerte mit genügend großer Wahrscheinlichkeit unterscheiden, damit alle theoretisch bei dieser Funktion möglichen Hashwerte ungefähr gleich oft vorkommen. In der Kryptographie werden z.b. für digitale Signaturen Einweg-Hashfunktionen benötigt. Diese weisen gegenüber den gewöhnlichen Hashfunktionen einige zusätzliche Eigenschaften auf: 1. Bei einem gegebenen Hashwert darf es mit einem vernünftigen Aufwand nicht möglich sein, eine Zeichenkette zu konstruieren, die diesen Hashwert ergibt. Die Hashfunktion darf also nicht umkehrbar sein. Ist h die Hashfunktion und m die Zeichenkette, dann darf sich aus h(m) nicht m bestimmen lassen. 2. Bei einer gegebenen Zeichenkette darf es nicht möglich sein (wiederum mit einem vernünftigen Aufwand), eine zweite Zeichenkette mit dem gleichen Hashwert zu finden. Ist h(m) gegeben, dann darf sich kein m m mit h(m ) = h(m) bestimmen lassen. Ein solches Paar von Zeichenketten mit gleichem Hashwert wird auch Kollision genannt. Eine Hashfunktion, die diese zweite Eigenschaft erfüllt, heißt kollisionsresistent. Während es im Beispiel also erwünscht und nützlich war, dass Hashfunktionen nicht injektiv sind, ist es für kryptographische Hashfunktionen unerwünscht, aber nicht vermeidbar. Auch bei kollisionsresistenten Hashfunktionen werden mehrere Zeichenketten auf einen einzigen Hashwert abgebildet. Es liegt schlicht an der Länge des erzeugten Hashwertes, dass es unmöglich ist, eine Kollision zu berechnen. 3. Für kryptographische Hashfunktionen wird häufig gefordert, dass sie effizient zu berechnen sind. 3 Digitale Signatur 3.1 Anforderungen In der herkömmlichen schriftlichen Kommunikation hat die Unterschrift eine herausragende Stellung an sie werden besondere Erwartungen geknüpft. So sind Verträge ohne sie nicht gültig, Bestellungen werden ohne sie nicht angenommen. Die Unterschrift schafft die Sicherheit, die Kommunikation einer Person zuordnen zu können, auch wenn man diese nicht persönlich kennt. Sie soll die Unversehrtheit des unterschriebenen Dokumentes sicherstellen und dient im Falle eines Falles als Beweismittel, dass die Kommunikation stattgefunden hat. 7

10 Die digitale Signatur ist die elektronische Analogie zur herkömmlichen Unterschrift. Deshalb werden an sie die gleichen Anforderungen gestellt. Sie dient in der elektronischen Kommunikation der Authentifizierung eines Kommunikationspartners, der Integritätssicherung und der Nachweisbarkeit der Kommunikation. Mittels der Authentifizierung kann der Empfänger zweifelsfrei die Identität des Absenders überprüfen. Sie dient ihm als Beweis der Urheberschaft der Kommunikationsbeziehung. Integrität bezeichnet die Unversehrtheit der vom Absender übermittelten Daten. Der Empfänger muss feststellen können, ob die Daten verfälscht wurden. Nachweisbarkeit oder auch Nicht-Abstreitbarkeit ist die Möglichkeit, auch Dritten gegenüber das Stattfinden der Kommunikation beweisen zu können. Neben den Kommunikationspartnern müssen also auch Dritte in der Lage sein, die Authentizität und Integrität der Daten zu überprüfen. Neben digitalen Signaturen gibt es noch ein anderes Verfahren, um die Urheberschaft an Dokumenten zu belegen: die digitalen Wasserzeichen. Eine digitale Signatur wird für jeden ersichtlich an ein Dokument angehängt, insbesondere ist es auch möglich, sie wieder vom Dokument zu entfernen. Ein digitales Wasserzeichen wird hingegen unsichtbar mit dem Dokument verflochten, nur der Urheber weiß von seiner Existenz. Die beiden Methoden verfolgen unterschiedliche Ziele beim Nachweis der Urheberschaft. Erstere ermöglicht es jedem, die Identität des Urhebers zu überprüfen. Letztere ermöglicht es dem Urheber, seine Urheberschaft zu beweisen. Digitale Wasserzeichen eignen sich also zum Feststellen und Beweisen von Urheberrechtsverletzungen. 3.2 Digitale Signatur mit RSA Mit dem im Abschnitt 2.2 beschriebenen RSA-Verfahren können Dokumente nicht nur verschlüsselt werden, es eignet sich auch zum Signieren. Die grundlegende Idee besteht dabei in der Vertauschung der Rollen von öffentlichem und privatem Schlüssel Erzeugung der Signatur In diesem Unterabschnitt wird eine einfache Variante der digitalen Signatur mit dem RSA- Algorithmus vorgestellt. Eine bessere und in der Praxis tatsächlich eingesetzte Variante wird später im Unterabschnitt Signatur mit Hashwert erläutert. Wie in der Literatur zur Kryptographie üblich, werden die beiden Kommunikationspartner 8

11 im Folgenden mit Alice und Bob bezeichnet. Der Angreifer, der es auf ihre Kommunikation abgesehen hat, trägt den Namen Mallory. Zur Erzeugung von Signaturen werden zunächst öffentliche und private RSA-Schlüssel benötigt. Diese können genau so erzeugt werden wie schon in Alice möchte nun eine Zahl m mit 0 m < n signieren. Dazu wendet sie das Verschlüsselungsverfahren auf m an, benutzt jedoch statt des öffentlichen Schlüssels eines potenziellen Empfängers ihren privaten Schlüssel. Sie erhält den folgenden Wert: E ((n, d), m) = m d mod n =: s. Dieser Wert s ist die Signatur der Nachricht. Beispiel: Wie oben seien n = 1591 und d = 89. Die Nachricht ist wieder m = 9, allerdings soll sie diesmal signiert werden. Dazu wird s = 9 89 mod 1591 = 440 berechnet Verifikation der Signatur Bob hat von Alice s erhalten. Er will diese Signatur verifizieren. Dazu benötigt er den öffentlichen Schlüssel (n, e) von Alice und wendet die Entschlüsselungsfunktion des RSA- Algorithmus auf s an. Er berechnet also: D ((n, e), s) = s e mod n = (m d ) e mod n = m. Dies gilt allgemein und lässt sich auf demselben Weg wie schon bei der Entschlüsselung im RSA-Verfahren zeigen. Beispiel: Bob hat s = 440 erhalten. Wie oben ist e = 17 und n = Bob berechnet mod 1591 = 9. Er kennt jetzt also den ursprünglichen Text m, und da er ihn aus s erhalten hat, kann er sich sicher sein, dass dieser Text von Alice kommt. Die bisher erläuterte Vorgehensweise beim Signieren ist noch unsicher. Der Angreifer Mallory könnte einen eigenen öffentlichen Schlüssel erstellen und als öffentlichen Schlüssel von Alice ausgeben. Gelingt ihm dies, kann er jetzt Signaturen erzeugen, von denen Bob glaubt, Alice habe sie erstellt. Bob muss sich also sicher sein können, dass der öffentliche Schlüssel wirklich von Alice stammt. Dafür sorgen die in Abschnitt 3.5 erläuterten Public Key Infrastrukturen. Für einen anderen Angriff gegen das Verfahren, die so genannte existenzielle Fälschung, wählt Mallory einfach eine Zahl 0 s < n und behauptet, s sei eine RSA-Signatur von 9

12 Alice. Wenn Bob dies verifizieren möchte, berechnet er m = s e mod n und glaubt, dass Alice m signiert hat. Sollte m zufällig ein sinnvoller Text sein, so wurde er Alice damit erfolgreich untergeschoben Signatur mit Hashwert Mit der folgenden Variante der Signatur mit RSA wird der zuletzt geschilderte Angriff unmöglich. Dazu wird eine kollisionsresistente Hashfunktion h benötigt, die zudem öffentlich bekannt sein muss. Diese Hashfunktion bildet die Eingabewerte auf Werte aus der Menge {0,..., n 1} ab. Wenn Alice den Text x signieren möchte, geht sie jetzt so vor: s = h(x) d mod n. Bob kann aus dieser Signatur jedoch nicht mehr den ursprünglichen Text rekonstruieren, nur noch dessen Hashwert. Daher muss Alice x zusammen mit s an Bob senden. Zur Verifizierung berechnet Bob also m = s e mod n und kann diesen Wert mit dem Hashwert h(x) vergleichen, den er selber berechnen kann, da h ja allgemein bekannt ist. Stimmen m und h(x) überein, weiß Bob, dass der Text x tatsächlich von Alice stammt. Im Gegensatz zur oberen einfachen Variante ist es mit diesem Verfahren auch möglich, Texte zu signieren, die größer als n sind, da diese Texte durch die Hashfunktion auf Werte kleiner als n abgebildet werden. Zudem ist diese Variante sicher gegen existenzielle Fälschungen. Wenn Mallory wieder irgendeine Signatur s auswählt, dann muss er zusätzlich einen Text x erfinden und beide an Bob schicken. Bob errechnet m aus s und prüft, ob m und h(x) übereinstimmen. Nur wenn dies der Fall ist, wird Bob auf die Fälschung hereinfallen, er wird also glauben, Alice habe x signiert. Also steht Mallory vor dem Problem, ein solches x zu erfinden, für das h(x) = m gilt. Dies kann er nicht, da h eine Einwegfunktion ist. 3.3 Allgemeine Funktionsweise Im letzten Abschnitt wurde schrittweise gezeigt, wie mit RSA digitale Signaturen erzeugt werden können. Dabei wurde ausgehend von einer einfachen Variante, bei der das ganze 10

13 Dokument signiert wird, eine kompliziertere Variante entwickelt, bei der nur ein Hashwert des Dokumentes signiert wird. Dies ist die Form, in der digitale Signaturen üblicherweise realisiert werden. Sie wird hier anhand zweier Abbildungen noch einmal verdeutlicht. Abbildung 1: Erzeugung der Signatur (in Anlehnung an [Na02]) In Abbildung 1 wird die Erzeugung der Signatur demonstriert. Von einem Dokument wird mit einer kryptographischen Hashfunktion ein Hashwert oder auch Digest gebildet. Mit dem privaten Schlüssel des Absenders wird dieser Hashwert verschlüsselt. Der verschlüsselte Hashwert wird an das Dokument angehängt, beide zusammen werden über das Kommunikationsmedium (z.b. das Internet) verschickt. In Abbildung 2 ist die Verifikation der Signatur zu sehen. Der Empfänger hat das Dokument mit dem verschlüsselten Hashwert erhalten. Er trennt die beiden voneinander und entschlüsselt mit dem öffentlichen Schlüssel des Absenders den Hashwert. Aus dem Dokument bildet er mit der Hashfunktion, die öffentlich bekannt ist, selber einen Hashwert. Stimmen die beiden Werte überein, ist die Verifikation geglückt, und die Identität des Absenders ist bestätigt. Denn nur der Absender als Besitzer des privaten Schlüssels konnte den Hashwert so verschlüsseln, dass er mit seinem öffentlichen Schlüssel wieder richtig entschlüsselt werden konnte. In den Abbildungen zeigt sich, dass die Rollen von privatem und öffentlichem Schlüssel für die Bildung der Signatur vertauscht wurden. Für die geheime Kommunikation, also die Verschlüsselung mit einem asymmetrischen Verfahren, kann jeder den öffentlichen 11

14 Abbildung 2: Verifikation der Signatur (in Anlehnung an [Na02]) Schlüssel benutzen, und nur der Besitzer des privaten Schlüssels kann das verschlüsselte Dokument wieder lesbar machen. Beim Signieren ist es genau anders herum. Denn nur der Besitzer des privaten Schlüssels kann den Hashwert verschlüsseln, und jeder kann mit dem öffentlichen Schlüssel den Hashwert entschlüsseln und die so Signatur überprüfen. Allgemein gilt also: Um aus einem asymmetrischen Verschlüsselungsverfahren ein Signaturverfahren machen zu können, müssen die Rollen von Verschlüsselungs- und Entschlüsselungsfunktion vertauschbar sein [Bu99, S. 180]. Dass dies für RSA gilt, zeigt sich an dieser Kongruenz: (m d ) e (m e ) d m mod n. 3.4 Verfahren für Multimediadaten Bei den bisher gezeigten Signaturverfahren gelingt die Verifikation der Signatur nur dann, wenn jedes Bit des übertragenen Dokumentes richtig ist. Für Textdokumente ist dies wünschenswert. Es wäre schließlich schlimm, wenn z.b. in einem elektronisch übermittelten Arbeitsvertrag in der Zahldarstellung des Monatsgehaltes ein Bit umkippen würde. Bei Multimediadokumenten wie Bildern, Audio und Video ist es jedoch nicht schlimm, wenn einzelne Bits nicht stimmen. Ein Bild sieht nicht wesentlich anders aus, wenn ein Pixel einen leicht veränderten Farbwert hat. Da Multimediadokumente in der Regel viel größer als Textdokumente sind, wächst bei ihnen die Wahrscheinlichkeit von Übertragungsfehlern. Wünschenswert ist also ein Verfahren zum Signieren von Multimediado- 12

15 kumenten, das robust ist gegen Übertragungsfehler, das aber Alarm schlägt, wenn das Dokument entscheidend verändert wurde. Nach [St00, S. 674] kann dies mit inhaltsbasierten Signaturen realisiert werden. Am Beispiel einer Signatur für Bilder soll verdeutlicht werden, was darunter zu verstehen ist. Bei herkömmlichen Signaturen wird ein Hashwert des kompletten binären Datenmaterials gebildet und signiert. Bei inhaltsbasierten Signaturen werden Informationen über die Kernaussage des Bildes gesammelt. Erst von diesen wird ein Hashwert gebildet und signiert. Es kommt also darauf an, Verfahren zu entwickeln, welche die Aussage eines Bildes erfassen. Dabei sollen solche Verfahren einerseits gewisse Änderungen am Bildmaterial wie z.b. Skalieren zulassen, andererseits sonstige Änderungen bemerken. [St00] nennt Beispiele, die auf Intensitäts- und Farbhistogrammen beruhen, wie auch solche, die auf den bei der Bildkodierung verwendeten Koeffizienten beruhen. Sie erfüllen jedoch noch nicht alle gestellten Anforderungen, sie sind z.b. nicht robust gegen einige Bildmanipulationen, die die Aussage des Bildes nicht verändern, wie z.b. Kompression. Zusammenfassend lässt sich zu inhaltsbasierten Signaturen sagen, dass sie zwar noch nicht anwendungsreif sind, an ihnen aber weiter geforscht wird. 3.5 Public Key Infrastrukturen In Unterabschnitt wurde erwähnt, dass das RSA-Verfahren allein nicht ausreicht, um die Signaturen fälschungssicher zu machen. Dies gilt allgemein für alle Public-Key- Verfahren. Ein wichtiger Gesichtspunkt dieser Verfahren ist, dass die öffentlichen Schlüssel der Benutzer für jeden zugänglich sein müssen. Doch dies bietet einen Angriffspunkt. Daher müssen die öffentlichen Schlüssel vor Fälschung und Missbrauch geschützt werden. Diese Funktion wird von einer Public Key Infrastruktur (PKI) wahrgenommen. Die beiden wesentlichen Bestandteile einer PKI sind die persönliche Sicherheitsumgebung jedes Benutzers und die Zertifizierungsstellen Persönliche Sicherheitsumgebung Jeder Benutzer einer Public Key Infrastruktur besitzt eine persönliche Sicherheitsumgebung (Personal Security Environment, PSE). Sie ist der Ort, an dem der geheime Schlüssel des Benutzers aufbewahrt wird, denn außer dem Benutzer darf niemand über diesen Schlüssel verfügen können. 13

16 Der geheime Schlüssel darf die PSE nie verlassen. Daher muss die Entschlüsselung von Chiffretexten in der persönlichen Sicherheitsumgebung stattfinden. Ebenso dürfen Dokumente beziehungsweise deren Hashwerte nur in der PSE signiert werden. Der private Schlüssel wird entweder direkt in der PSE erzeugt, oder er muss auf sicherem Wege dorthin gebracht werden, wenn er an einem anderen Ort erzeugt wurde (z.b. bei einer vertrauenswürdigen Stelle, die über einen besseren Zufallszahlengenerator verfügt als der Benutzer). Es gibt mehrere Möglichkeiten, eine persönliche Sicherheitsumgebung zu realisieren. Die Einfachste ist ein passwortgeschützter Bereich auf der Festplatte. Die Sicherheit dieser Lösung hängt jedoch von der Sicherheit des verwendeten Betriebssystems ab, es gibt viele potenzielle Angriffspunkte. Eine andere Möglichkeit ist die Realisierung mittels einer Chipkarte. Der Schlüssel wird nur auf der Karte gespeichert, und kryptographische Berechnungen finden direkt auf der Karte statt. Da Chipkarten jedoch nur begrenzt Speicherplatz und Rechenkapazität bieten, ergeben sich Probleme bei der Geschwindigkeit der Verschlüsselung. Ein schwerwiegendes Problem bei der Implementierung von Verfahren zur digitalen Signatur ist, dass der Benutzer nicht sehen kann, was der Computer signiert. Er muss dem Programm und dem Computer vertrauen, dass genau das Dokument signiert wird, welches er signieren wollte (und nicht irgendein anderes, möglicherweise schädliches Dokument). Dieses Problem ist auch als Darstellungsproblem bekannt Zertifizierungsstellen Die zweite wesentliche Komponente einer Public Key Infrastruktur sind die Zertifizierungsstellen (Certification Authority, CA). Eine Zertifizierungsstelle bürgt für die Korrektheit und Gültigkeit der ihr anvertrauten öffentlichen Schlüssel. Dafür bietet sie die im Folgenden genannten Dienste an [Bu99, S ]. Registrierung. Möchte jemand ein neuer Benutzer eines Public-Key-Systems werden, so muss er sich dafür bei der ihm zugeordneten CA registrieren. Dabei muss sie seine Angaben überprüfen. Ein möglicher Weg ist, dass der Benutzer persönlich der CA seinen Ausweis vorlegt. Schlüssel erzeugen und öffentlich bekanntgeben. Nachdem die Angaben des Benutzers verifiziert wurden, müssen seine Schlüssel erzeugt werden. Entweder er macht dies selber in seiner persönlichen Sicherheitsumgebung, oder er lässt es die Zertifizierungsstelle machen. Der geheime Schlüssel verbleibt beim Benutzer, der öffentliche 14

17 Schlüssel wird von der Zertifizierungsstelle in ihr Verzeichnis aufgenommen und bekanntgegeben. Zertifizierung. Zwischen dem Benutzer und seinen öffentlichen Schlüsseln muss eine nachprüfbare Verbindung hergestellt werden. Zu diesem Zweck erstellt die CA ein Zertifikat, dass mindestens den Benutzernamen und seine öffentlichen Schlüssel enthält. Zudem sollten die Bezeichnungen der von ihm verwendeten Algorithmen, Gültigkeitsdaten für das Zertifikat (Beginn und Ende der Gültigkeit) sowie der Name der CA enthalten sein. Dieses Zertifikat wird von der CA signiert, so dass jeder dessen Gültigkeit überprüfen kann. Archivierung. Die Zertifizierungsstelle muss die ihr anvertrauten Schlüssel so lange aufbewahren wie die erstellten Signaturen nachprüfbar sein sollen. Dies kann je nach Anwendungszweck sehr lange sein, bis zu mehreren Jahrzehnten. Verzeichnis. Eine der Hauptaufgaben einer CA ist es, die ihr anvertrauten öffentlichen Schlüssel abzuspeichern und auf Anfrage mitzuteilen. Jeder Benutzer, der eine Signatur verifizieren möchte, wendet sich an die CA, um das Zertifikat des Signierenden zu erhalten. Aus diesem erhält er den authentischen öffentlichen Schlüssel. Häufig gebrauchte Schlüssel kann der Benutzer auch lokal abspeichern. Allerdings sollte er die entsprechenden Zertifikate regelmäßig überprüfen. Aktualisierung von Schlüsseln. Da Schlüssel eine begrenzte Gültigkeit haben sollten, müssen regelmäßig neue Schlüssel erzeugt und zwischen Benutzer und CA ausgetauscht werden. Damit der Benutzer nicht jedes Mal persönlich bei der CA vorstellig werden muss, muss die CA ein Verfahren zum sicheren Austausch der Schlüssel anbieten. Zertifikate zurückrufen. Es kann passieren, dass ein öffentlicher Schlüssel vorzeitig zurückgezogen werden muss. Dies ist dann der Fall, wenn der private Schlüssel eines Benutzers verloren gegangen oder in fremde Hände geraten ist. Zu diesem Zweck pflegt die Zertifizierungsstelle eine spezielle Liste für zurückgerufene Zertifikate. Diese Liste ist öffentlich zugänglich. Mit den Diensten, die von einer PKI angeboten werden, verändert sich der Ablauf der Erzeugung und Verifikation von Signaturen. Bei der Erzeugung der Signatur hat der Absender die Wahl, ob er zusätzlich zum Digest sein Zertifikat an die Nachricht anhängen möchte. So kann er dem Empfänger Arbeit ersparen, der sich das Zertifikat sonst von der CA holen müsste. 15

18 Bei der Verifikation der Signatur benötigt der Empfänger jetzt das Zertifikat des Absenders. Er kann sich von dessen Gültigkeit überzeugen, da es von der Zertifizierungsstelle signiert ist. Aus dem Zertifikat gewinnt er den authentischen öffentlichen Schlüssel des Absenders. Mit diesem kann er wie gehabt fortfahren. Er entschlüsselt den übermittelten Digest und vergleicht ihn mit dem Digest, den er selber zur Kontrolle generiert hat. Dieser Ablauf ist in Abbildung 3 dargestellt. Abbildung 3: Verifikation einer zertifizierten Signatur (in Anlehnung an [Na02]) Mit mehreren Zertifizierungsstellen, die gleichberechtigt nebeneinander stehen können beziehungsweise einander über- und untergeordnet sein können, lässt sich eine Zertifizierungshierarchie aufbauen. Somit können zwei Zertifizierungsstellen einander vertrauen, wenn beide von der gleichen übergeordneten Stelle zertifiziert wurden. Dies geht auch über mehrere Stufen. Auf diesem Wege können auch Benutzer einander vertrauen, die bei verschiedenen Zertifizierungsstellen registriert sind. Solch ein Aufbau bietet sich besonders für Institutionen wie z.b. Behörden an. Wenn es in einem Staat eine vielleicht sogar staatliche oberste Zertifizierungsstelle gibt, von der alle anderen Stellen zertifiziert werden, kann eine Behörde die Gültigkeit der Signatur eines Benutzers leicht überprüfen und wird dieser auch vertrauen, da sie ja staatlich abgesichert ist. 16

19 3.6 Gesetzliche Grundlagen Der Gesetzgeber hat im November 1997 das Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz, SigG) verabschiedet. Ziel des Gesetzes ist es, in Deutschland einheitliche Regelungen für Signaturen zu schaffen. Im Rahmen der europäischen Richtlinie 1999/93/EG ist das Gesetz im Mai 2001 an europäisches Recht angeglichen worden. Im Gesetz ist von der elektronischen Signatur die Rede. Dieser Name wurde gewählt, da der Begriff der digitalen Signatur zuvor zu eng definiert worden war und das Gesetz in einem größeren Bereich anwendbar sein sollte. Im Sinne des Gesetzes sind elektronische Signaturen Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen ( 2 Nr. 1). Das Gesetz definiert darüber hinaus noch fortgeschrittene elektronische Signaturen und qualifizierte elektronische Signaturen ( 2 Nr. 2-3). Fortgeschrittene elektronische Signaturen haben die zusätzlichen Eigenschaften, dass sie nur dem Inhaber zugeordnet sind und dessen Identifizierung ermöglichen, nur unter seiner Kontrolle erzeugt werden können und die Integrität der signierten Daten sicherstellen. Qualifizierte elektronische Signaturen müssen darüber hinaus mit einem qualifizierten Zertifikat abgesichert sein und mit einer sicheren Signaturerstellungseinheit erzeugt werden. Qualifizierte Zertifikate dürfen nur von Zertifizierungsstellen herausgegeben werden, die den Maßgaben des Signaturgesetzes genügen. Beispielhaft seien hier die Trustcenter der Deutschen Post (Signtrust) und der Deutschen Telekom (TeleSec) genannt. In 126a BGB ist geregelt, dass von den genannten Formen der elektronischen Signatur nur die qualifizierte elektronische Signatur rechtsverbindlich und der handschriftlichen Unterschrift gleichgestellt ist. Inwiefern sie vor Gericht Bestand hat, wird sich zeigen müssen. Schließlich müssen die Zertifizierungsstellen dafür die öffentlichen Schlüssel und Zertifikate über lange Zeit verlässlich archivieren, und eventuell müssen mit dem technischen Fortschritt unsicher gewordene Signaturen mit stärkeren Algorithmen oder längeren Schlüsseln übersigniert werden. Es gibt also viele Punkte, die beachtet werden müssen, damit elektronischen Signaturen wie handschriftlichen Unterschriften vertraut wird. Obwohl das Gesetz jetzt schon länger existiert und damit Rechtssicherheit geschaffen ist, hat sich die qualifizierte Signatur noch nicht durchsetzen können. Dies mag vor allem an den Kosten liegen, da eine Zertifizierung bei einem Trustcenter mit jährlichen Gebühren 17

20 verbunden ist und auch die sicheren Signaturerstellungseinheiten meist in Form einer kryptographischen Chipkarte mit Kartenleser nicht billig sind. 3.7 Praktische Anwendung: PGP Anfang der neunziger Jahre wurde von dem Amerikaner Phil Zimmermann die Software Pretty Good Privacy (PGP) entwickelt und kostenlos im Internet veröffentlicht. Damit erhielt erstmals eine breite Öffentlichkeit die Möglichkeit, ihre Kommunikation mittels Kryptographie zuverlässig abzusichern. PGP durchlief mehrere Versionen und wird inzwischen kommerziell vertrieben. Es gibt jedoch auch weiterhin eine kostenlose Basisvariante, welche die Verschlüsselung und das Signieren von s bietet. Im Jahr 1998 wurde auf Basis von PGP in der Version 5 das OpenPGP Message Format als Standard (RFC 2440) verabschiedet. Seitdem bieten auch andere Programme den standardisierten Funktionsumfang, so z.b. der GNU Privacy Guard (GnuPG). PGP nutzt aus den auf Seite 2 genannten Gründen die Vorteile beider Verfahren. Zur Verschlüsselung von Nachrichten wird ein symmetrisches Verfahren verwendet, da dies schneller und platzsparender geht. Der Schlüssel dieses Verfahrens wird dann mit einem asymmetrischen Verfahren für den Empfänger verschlüsselt und zusammen mit der verschlüsselten Nachricht an diesen geschickt. Die für das symmetrische Verfahren notwendigen Schlüssel werden für jede Nachricht neu erzeugt und heißen Sitzungsschlüssel. Für die Signatur von Nachrichten benutzt PGP eine kryptographische Hashfunktion und ein asymmetrisches Verfahren. Es stehen mehrere symmetrische und asymmetrische Verschlüsselungsverfahren sowie verschiedene Hashfunktionen zur Auswahl. GnuPG zum Beispiel bietet als asymmetrische Verfahren das RSA-Verfahren, das El-Gamal-Verfahren und das DSA- Verfahren. An symmetrischen Algorithmen stehen 3DES, CAST5, Blowfish, AES, AES192, AES256 sowie Twofish zur Verfügung. Als Hashfunktionen können MD5, SHA1, RIPEMD160 und SHA256 verwendet werden. Der Anwender ist also nicht auf ein einziges Verfahren festgelegt. Dies ist ein großer Vorteil, denn falls ein Verfahren irgendwann unsicher wird, kann auf ein anderes ausgewichen werden. Während die symmetrischen Sitzungsschlüssel nur eine kurze Lebensdauer haben, müssen die asymmetrischen Schlüssel für den Benutzer dauerhaft gespeichert werden. PGP kann diese selbst erzeugen und speichert die Paare aus öffentlichem und geheimem Schlüssel ab. Dabei besteht die Möglichkeit, für einen Benutzer mehrere Schlüsselpaare zu erzeugen und als Unterschlüssel einem Hauptschlüssel zuzuordnen. Dies ist sehr wichtig, da aus Sicherheitsgründen für die Verschlüsselung und zum Signieren verschiedene 18

21 Schlüsselpaare verwendet werden sollten. Standardmäßig werden zwei Schlüsselpaare für einen Benutzer angelegt. Der geheime Schlüssel wird mit einem symmetrischen Verfahren verschlüsselt und dann erst abgespeichert. Zur Absicherung dieser persönlichen Sicherheitsumgebung dient nicht ein Passwort, sondern ein ganzer Passwortsatz, auch Mantra genannt. Immer wenn der geheime Schlüssel benötigt wird, muss er erst mit dem Mantra entsperrt werden. Hier kann durch bequeme oder unachtsame Benutzer eine Schwachstelle im ansonsten sehr sicheren Programm entstehen, da das Mantra den einzigen Schutz für den privaten Schlüssel darstellt. Bei der Verwaltung der öffentlichen Schlüssel der Benutzer verfolgt PGP einen anderen Ansatz als den im Abschnitt Public Key Infrastrukturen vorgestellten. Da es möglichst unabhängig von Institutionen oder einem (Überwachungs-)Staat sein sollte, wurde das Web of Trust erfunden. Ein Benutzer vertraut einem öffentlichen Schlüssel eines anderen Benutzers in zwei Fällen. Entweder er überzeugt sich persönlich von dessen Richtigkeit und signiert anschließend diesen Schlüssel, oder er vertraut schon Benutzern, die den betrachteten öffentlichen Schlüssel signiert haben. Durch diesen Vorgang des Signierens anderer Schlüssel entsteht ein Netz des Vertrauens. Je mehr Signaturen ein Schlüssel besitzt, um so glaubwürdiger ist er. Um das Problem der Verteilung öffentlicher Schlüssel zu lösen, sind im Laufe der Zeit Keyserver entstanden, welche die öffentlichen Schlüssel vieler Benutzer sammeln und bereitstellen. Die Keyserver übernehmen also wie eine Zertifizierungsstelle eine Verzeichnisfunktion. Die Beglaubigungsfunktion bleibt aber dem Netz des Vertrauens vorbehalten. PGP kann mittlerweile an immer mehr Mailprogramme angebunden werden. Das Verschlüsseln und Signieren von s erfordert damit keine umständliche Prozedur mehr, sondern ist mit einem Mausklick (beziehungsweise Tastendruck) und der Eingabe des Mantras erledigt. Mit PGP existiert eine relativ einfache und kostengünstige, aber trotzdem sehr effektive Methode, um seine Privatsphäre zu schützen und durch digitale Signaturen der Kommunikation Verbindlichkeit zu geben. 4 Fazit Digitale Signaturen sind ein wirksames Mittel, um die Sicherheit der elektronischen Kommunikation zu erhöhen. Es ist bei weitem einfacher und schneller möglich, eine handschriftliche Unterschrift zu fälschen, als eine digitale Signatur. Mit Programmen wie PGP 19

22 ist schon sehr viel erreicht, da digitale Signaturen mit ihnen einfach und günstig realisiert werden können. Mit dem Signaturgesetz ist zudem eine Grundlage geschaffen worden, um digitalen Signaturen rechtsverbindlichen Charakter zu verleihen. Es ist zu hoffen, dass die digitale Signatur in Zukunft eine größere Akzeptanz erfährt und auch qualifizierte Signaturen vermehrt eingesetzt werden. Neben dem in dieser Arbeit vorgestellten RSA-Algorithmus gibt es noch weitere Public- Key-Algorithmen, die auch auf anderen mathematischen Problemen beruhen. Weit verbreitet ist z.b. auch der El-Gamal-Algorithmus, der auf dem Problem der Berechnung diskreter Logarithmen beruht. Zudem wird ständig an neuen Algorithmen geforscht, die mit noch komplexeren Problemen zu tun haben z.b. die Elliptic Curve Cryptography (ECC). Digitale Signaturen könnten also in Zukunft auf ganz neuen Verfahren beruhen. Es lohnt sich, diesen spannenden Bereich im Auge zu behalten. Zum Schluss sei angemerkt, dass die Kryptographie nur ein Glied in der Kette ist. Es kommt darauf an, sie richtig einzusetzen. Wenn die Benutzer nicht sorgfältig mit Schlüsseln und Passwörtern umgehen, ist die geschaffene Sicherheit zunichte. Literaturverzeichnis [Bu99] Johannes Buchmann: Einführung in die Kryptographie, Springer, [Ku02] Herbert Kuchen: Folien zur Vorlesung Multimedia im Sommersemester 2002, Kapitel 8, online unter kuchen/ss02/mm/mmk8.pdf (zuletzt abgerufen am ). [La02] Hans Werner Lang: Internetseite zum erweiterten euklidischen Algorithmus, 2002, online unter lang/algorithmen/code/krypto/euklid.htm (zuletzt abgerufen am ). [Na02] Andrew Nash: PKI, mitp, [St00] Ralf Steinmetz: Multimedia-Technologie, 3. Auflage, Springer, [Wo98] Reinhard Wobst: Abenteuer Kryptologie, 2. Auflage, Addison-Wesley,