Kryptographie für Anfänger Ralph Heydenbluth

Transkript

1 Kurzfassung und Inhaltsbeschreibung: Die digitale Signatur ist im Computer ein täglich genutztes Werkzeug, aber durch Digitalisierung von Akten in Behörden hat sie auch schon praktische Auswirkungen auf das Leben der Bürger. Der neue Personalausweis (npa) und die elektronische gesundheitskarte (egk) werden Verschlüsselung und qualifizierte elektronische Signatur für Bürger täglich erleb- und praktizierbar machen, ohne dass ein Großteil der Bevölkerung weiß, was insbesondere die digitale Signatur eigentlich ist, wie sie funktioniert, und ob sie überhaupt sicher sein kann. Die grundlegenden mathematischen Konzepte sind auch für Akademiker nur schwer durchdringbar. Im Folgenden werden die mathematischen Konzepte bewusst vereinfacht und damit verfälscht, dafür aber die Prozesse nachvollziehbar und begreifbar dargestellt. Symetrische Verschlüsselung, asymmetrische Verschlüsselung, digitale Signatur Hybridverschlüsselung Zertifikate Basiswissen zu npa, egk, elektronischer Identität, Authentifizierung Nach Verständnis der dargestellten, vereinfachten Sachverhalte wird der Leser in der Lage sein, bei Bedarf und Interesse existierende populärwissenschaftliche Veröffentlichungen zu verstehen, ebenso wie Diskussionsbeiträge zur technischen Datensicherheit. Inhaltsverzeichnis Wie die digitale Signatur funktioniert...2 Symmetrische Verschlüsselung...2 Asymmetrische Verschlüsselung...3 Digitale Signatur...5 Zertifikate...6 Hybride Verschlüsselung...7 Elektronischer Personalausweis und elektronische Gesundheitskarte...8 Warum eine elektronische Identität?...9 Bonn, Seite 1 von 10

2 Wie die digitale Signatur funktioniert... Vor noch nicht einmal 40 Jahren entdeckt, ist die digitale Signatur heute unter der Haube jedes Computers Standard, ohne dass der Nutzer das bemerkt. Behörden und große Firmen nutzen sie bereits zur Sicherung digitaler Daten bei Verzicht auf Papierdokumente. Die Eigentumsverhältnisse Ihres Eigenheims können im Grundbuchamt mit einer digitalen Signatur hinterlegt sein, gleichwertig mit dem bekannten Papierdokument. Mit neuem Personalausweis (npa) und der elektronischen Gesundheitskarte (egk) sollen Verschlüsselung und die qualifizierte elektronische Signatur nun auch bewußt von jedermann eingesetzt werden. Doch wie funktioniert sie? Die digitale Signatur ist ohne einen Ausflug in die (asymmetrische) Public-Key-Kryptographie nicht zu verstehen, und deren Besonderheit wird erst durch das Verständnis von allgemeinen Grundlagen der symmetrischen Kryptographie verständlich. Somit ist ein kleine Einführung in die Kryptographie unumgänglich, mit ein paar Vereinfachungen kann man sie begreifen. Ein kryptographisches System besteht aus einem Verfahren (Algorithmus) und einem Schlüssel. Das Verfahren darf und sollte bekannt sein; es muß allerdings so ausgetüftelt sein, dass ein verschlüsselter Text nur durch Kenntnis des Schlüssels wieder entschlüsselt werden kann, nicht durch Analyse des Verfahrens oder statistische Analysen der verschlüsselten Daten. Symmetrische Verschlüsselung Die Trennung von Verfahren und Schlüssel soll anhand eines einfachen Beispiels veranschaulicht werden. Julius Caesar wird die Erfindung der Caesarverschlüsselung zugeschrieben: A B C D E F G H I J K L M N O P Q R S T U V W X Y Z D E F G H I J K L M N O P Q R S T U V W X Y Z A B C Schlüssel: 3 N O P Q R S T U V W X Y Z A B C D E F G H I J K L M Schlüssel: 13 Die Buchstaben eines KLARTEXT werden, Buchstabe für Buchstabe durch den entsprechenden Buchstaben der unteren Zeile ersetzt: Aus K wird N, aus L wird O, A wird D, und so weiter. Das genutzte Verfahren ist die Verschiebung der unteren Zeilen, der genutzte Schlüssel ist der Wert 3, das Chiffrat ist NODUWHAW. Bei einem Schlüssel von 13 würde der gleiche KLARTEXT zu XYNEGRKG verschlüsselt (probieren Sie es aus). Wenn nur Sender und Empfänger Kenntnis vom geheimen Schlüssel (hier 3 oder 13 ) haben, können nur Sender oder Empfänger das Chiffrat NODUWHAW oder XYNEGRKG zurück in KLARTEXT verwandeln. Dieses Verfahren ist natürlich unzureichend, und 26 mögliche Schlüssel sind leicht durch Ausprobieren ( Brute-Force ) oder statistische Analysen zu ermitteln. Es soll nur die Trennung von Verfahren und Schlüssel veranschaulichen. Und dieses Beispiel zeigt schon drei Problemfelder auf. 1. Wie bekommt man den geheimen Schlüssel vom Sender zum Empfänger? Wenn es einen sicheren Kanal zur Übermittlung des geheimen Schlüssels gibt, warum wird dann nicht gleich die geheime Nachricht über diesen Kanal versandt? 2. Wenn man vertraulich mit mehreren Empfängern kommunizieren möchte, steigt die Anzahl der zu nutzenden Schlüssel stark an; bei drei Parteien sind es schon drei geheime Schlüssel, bei vier Parteien (A, B, C, D) bereit sechs (A<->B, A<->C, A<->D, B<->C, B<->D, C<- >D). Die Schlüsselverwaltung wird kompliziert, und ein Text für mehrere Empfänger müsste mehrmals verschlüsselt werden. Bonn, Seite 2 von 10

3 3. Während der Empfänger sich bei Vorliegen einer korrekt entschlüsselbaren Nachricht sicher sein kann, dass nur der Sender die Nachricht verschlüsselt haben kann ist der Beweis der Urheberschaft Dritten gegenüber nicht möglich; erstens müsste für den Beweis das Geheimnis des Schlüssels aufgegeben werden, zweitens kann neben dem Sender auch der Empfänger den verschlüsselten Text erstellt haben. Asymmetrische Verschlüsselung Diese Probleme bekamen um 1975 Diffie-Hellman (DH) teilweise und Rivest, Shamir und Adleman (RSA) vollständig in den Griff. Statt symmetrisch mit dem gleichen Schlüssel eine Nachricht zu verschlüsseln und zu entschlüsseln benutzten sie komplementäre Geheimnisse. Jeder Abiturient sollte in der Lage sein, die Funktionsweise des Diffie-Hellman-Algorithmus -eventuell mit etwas Mühe- nachzuvollziehen und zu reproduzieren, bei RSA reichen die intellektuellen Kapazitäten beispielsweise des Verfassers zwar noch für das Verständnis, für die Reproduktion ohne Hilfsmittel aber nicht mehr aus. Beide Verfahren basieren auf sogenannten mathematischen Einwegfunktionen, Funktionen also die man in die eine Richtung berechnen, aber bei denen man anhand des Ergebnisses nicht mehr auf die Ausgangswerte rückschließen kann. Für beide Verfahren gibt es zahlreiche Beschreibungen im Internet. Eine begreifbare Darstellung ist aber nicht auffindbar, deshalb soll hier ein stark vereinfachtes Modell zur Demonstration genutzt werden. Dafür ist nur eine kleine Brücke, eine Annahme, notwendig... Wenn Sie Public-Key-Kryptographie und das Prinzip der elektronischen Signatur noch nicht kennen, dann mögen Sie mir bitte folgen. Mit Papier und Stift, vielleicht noch einem Taschenrechner sind die Beispiele nachvollziehbar. Annahme: Nehmen wir an, die mathematische Operation geteilt durch sei nicht bekannt, eine entsprechende Taste sei auf Ihrem Taschenrechner nicht vorhanden. Mit dieser Annahme ist die Multiplikation eine Einwegfunktion. Statt eines geheimen Schlüssels gebe es jetzt eine unbegrenzt große Menge von Schlüsselpaaren, von denen einige, sehr einfache im Folgenden dargestellt sind: Öffentlicher Teil Privater Teil Besitzer 128 0, Sie 16 0,0625 Dr. med. Müller 91 0, Herr Huber 111 0, Krankenkasse 143 0, Dr. med. Schulze 167 0, Frau Anders alle anderen Diese Tabelle benötigen Sie für die nachfolgenden Beispiele und sollten Sie immer im Blick haben. Jedes Schlüsselpaar besteht aus einem öffentlichen Teil, den jeder Nutzer erfahren darf bzw. muss, und einem privaten Teil, der nur und wirklich nur dem Besitzer des Schlüsselpaares bekannt sein darf. Bonn, Seite 3 von 10

4 Wenn Sie jetzt Frau Dr. med. Schulze eine Zahl vertraulich mitteilen möchten, bitten Sie sie, Ihnen den öffentlichen Teil ihres Schlüssels zukommen zu lassen. Es ist kein Problem, wenn dieser öffentliche Teil des Schlüssels auch zufälligen Zuhörern oder -schauern bekannt wird, er kann auch in Telefonbüchern veröffentlicht werden. Nun multiplizieren sie die vertrauliche Zahl (die zum Beispiel auch ein Schlüssel für das oben beschriebene Verfahren sein könnte) mit dem öffentlichen Teil ihres Schlüssels, hier also mit 143. Vertrauliche Zahl * öffentlicher Schlüssel Schulze = Chiffrat x * 143 = 2717 Das Ergebnis dieser Multiplikation (es sei hier 2717 ) ist das Chiffrat. Können Sie erraten, welche Zahl hier verschlüsselt wurde (nicht schummeln, die Operation geteilt durch ist nicht bekannt und Sie kennen nur den privaten Teil Ihres Schlüssels)? Zum Verschlüsseln haben Sie die Multiplikation mit dem öffentlichen Teil des Schlüssels von Frau Dr. Schulze genutzt. Frau Dr. Schulze kann das Chiffrat mit ihrem privaten Schlüssel (hier: 0, , aber den kennt nur sie) ebenfalls multiplizieren und erhält den Klartext 19, genau die Zahl, die Sie vorher verschlüsselt haben. Chiffrat * privater Schlüssel Schulze = Vertrauliche Zahl 2717 * 0, = 19 Wenn sie Ihnen antworten möchte, bittet sie Sie um den öffentlichen Teil Ihres Schlüsselpaares und multipliziert ihre Antwort (hier ebenfalls eine Zahl) mit 128, dem öffentlichen Teil Ihres Schlüssel(-paar)s. Das Chiffrat ( ) dürfen alle Menschen zur Kenntnis nehmen. x * 128 = Nur Sie werden in der Lage sein, duch Multiplikation mit dem privaten Teil Ihres Schlüssels wieder den Klartext herzustellen. Chiffrat * privater Schlüssel Sie = Vertrauliche Zahl * 0, = Somit sind bereits zwei der oben angesprochenen Probleme gelöst. Es ist kein sicherer Kanal mehr notwendig, um ein Geheimnis auszutauschen. Den öffentlichen Schlüssel(-teil) darf jeder kennen, und das Chiffrat auch. Nur der berechtigte Empfänger kann aus dem Chiffrat wieder das ursprüngliche Geheimnis rekonstruieren, solange nur er den privaten Teil seines Schlüssels kennt. Die Zahl der Schlüssel wächst proportional zur Anzahl der Nutzer, und nicht mehr überproportional. Ein Wermutstropfen bleibt: Diese Art der Verschlüsselung ist in Wirklichkeit, da natürlich viel kompliziertere Verfahren als die Multiplikation genutzt werden, sehr langsam. Und es sind zwei Probleme neu hinzugekommen: Die Menschen können zwar öffentliche Schlüssel austauschen, wer garantiert aber dafür, dass derjenige, der behauptet, Herr Huber zu sein und Ihnen einen öffentlichen Schlüssel zusendet (zu dem er den privaten Schlüssel hat), auch wirklich Herr Huber ist, und nicht irgend ein anderer? Am runden Tisch und beim Austausch von Geheimnissen von Angesicht zu Angesicht kann man sich seines Gegenüber sicher sein, aber im Internet ist das ein Problem. Und da jeder eine für jeden anderen verschlüsselte Nachricht erstellen kann -jeder, der Ihren öffentlichen Schlüssel kennt kann Ihnen eine vertrauliche, verschlüsselte Nachricht zukommen lassen-, hat niemand einen sicheren Hinweis auf den tatsächlichen Absender und keinen Beweis, dass die Nachricht nicht beim Transport verändert wurde. Bonn, Seite 4 von 10

5 Diese beiden neuen Probleme werden, zusammen mit dem noch offenen dritten Problem -dem Beweis der Urheberschaft der unveränderten Nachricht- durch die digitale Signatur gelöst. Hierfür wird eine Art Prüfsumme über den zu signierenden Text gebildet, diese Prüfsumme mit dem privaten Teil des Schlüsselpaares verschlüsselt und dem Text angehängt. Der Empfänger liest den Text, bildet die gleiche Prüfsumme wie der Sender, und entschlüsselt die mit dem privaten Schlüssel verschlüsselte, übersendete Prüfsumme mit dem öffentlichen Schlüssel des Absenders. besser ist ein Beispiel: Digitale Signatur Da Texte computerintern als Zahlen bearbeitet werden, können auch mathematische Operationen, hier die Bildung einer Art Prüfsumme, durchgeführt werden. Während das in Wirklichkeit eingesetzte Verfahren sicherstellt, dass minimale Änderungen, Buchstabendreher, eingefügte oder entfernte Leerstellen zu einer komplett anderen Prüfsumme führen wird hier im Beipiel (eine weitere Vereinfachung) nur aufaddiert: V E R T R A G S T E X T = 947 Die so ermittelte Prüfsumme verschlüsseln (multiplizieren) Sie mit Ihrem privaten Schlüssel (hier 0, , siehe Tabelle). i 947 * 0, = 7, Das Ergebnis hängen Sie Ihrem Text an: VERTRAGSTEXT Signatur: 7, Jedermann kann jetzt, wenn er den Text liest, die Signatur beiseite legen, die Prüfsumme über den Text genau so wie Sie beim Versand ermitteln. Dann entschlüsselt er die Signatur ( ) indem er sie mit Ihrem öffentlichen Schlüssel (128) multipliziert und erhält eine Zahl (947), die mit der von ihm ermittelten Prüfsumme identisch sein muss. V E R T R A G S T E X T = 947 (1a) Wurde der VERTRAGSTEXT nach Signatur verändert, so wird der Leser eine andere Prüfsumme ermitteln, ERTRAGSTEXT beispielsweise ergibt 861. (1b) Dann prüft der Leser die Signatur des Textes: Signatur * öffentlicher Schlüssel Urheber 7, * 128 = 947 (2) Ergibt die Prüfung der Signatur (2) das gleiche Ergebnis wie die Bildung der Prüfsumme (1a), wurde der VERTRAGSTEXT nicht verändert UND vom Besitzer des (privaten Schlüssels des) öffentlichen Schlüssel 128 also Ihnen, signiert. Sind Prüfsumme (2) und das Ergebnis der Signaturprüfung (1b) unterschiedlich, ist entweder der Absender nicht derjenige, der behauptet wird, oder der Text/die Nachricht wurde nach der Signatur verändert. Diese Prüfung der Signatur, und damit der Integrität der Nachricht oder des Dokuments kann von jedem durchgeführt werden (der öffentliche Teil des Schlüssel ist öffentlich), somit beispielsweise auch von einem Richter, der von der Echtheit eines Vertragstextes überzeugt werden soll. Dabei wird dem Prüfer kein Geheimnis offenbart, und es ist sichergestellt, dass nur derjenige, der den privaten Teil des signierenden Schlüsselpaares kennt, der Urheber der Signatur sein kann. Bonn, Seite 5 von 10

6 Das war im Prinzip die Funktionsweise der digitalen Signatur. Es wird nicht die ganze Nachricht signiert, sondern eine Prüfsumme, die allerdings nur zu der signierten Nachricht passt, und aus der sich keine Rückschlüsse auf den Inhalt der Nachricht ziehen lassen. Die Public-Key-Kryptographie erlaubt Verschlüsselung, indem eine Zahl mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und mit dessen privaten Schlüssel entschlüsselt wird, und Signatur, indem eine Zahl mit dem privaten Schlüssel des Signierenden verschlüsselt und mit dem öffentlichen Schlüssel des Signierenden entschlüsselt wird. Alle weiteren Anwendungsfälle können durch Kombination der Bausteine symmetrische Verschlüsselung, asymmetrische Verschlüsselung und digitale Signatur gelöst werden. Hier muss nochmal gesagt werden, dass das Schlüsselmaterial nicht dreistellig -wie im Beispiel- sondern gut 500-stellig ist, dass die mathematischen Operationen keine Addition und Multiplikation sind, sondern Verschiebungen, Verwürfelungen, Potenzierungen und Rechnungen mit Resten nach Ganzzahlteilungen. Die Prüfsumme ist keine Summe, sondern ein Hash. Aber das Prinzip stimmt. All diese komplexen Vorgänge laufen in der Software des Computers ab ii. Praktisch relevant ist noch das Identitätsproblem. Wie kann man sich sicher sein, dass ein Schlüsselpaar, bzw. dessen öffentlicher Teil tatsächlich einer Person oder Institution gehört? Zertifikate In den Anfängen der digitalen Signatur und auch heute noch genutzt ist ein Web of Trust, ein Netzwerk vertrauenswürdiger Personen. In einem öffentlichen Verzeichnis sind alle öffentlichen Schlüssel abgelegt, die ihrerseits von anderen Nutzern unterschrieben (bestätigt) wurden, nachdem sie sich davon überzeugt hatten, dass der Schlüssel tatsächlich zu der Person gehört. Wenn man einen öffentlichen Schlüssel erhält oder prüfen will, schaut man nach, ob in der Liste der Bestätiger eines Schlüssels jemand ist, den man kennt und dem man traut. Dann ist es eine Sache des persönlichen Ermessens, ob einem die Bestätigung dieses Dritten für die Annahme der Echtheit der Schlüssel-Person- Beziehung reicht. Inzwischen sind Zertifikate standardisiert. Ein Zertifikat ist eine (maschinenlesbare) Urkunde, auf der eine vertrauenswürdige Instanz bescheinigt, dass der im Zertifikat aufgeführte, öffentliche Schlüssel zu einer Person gehört (meistens namentlich genannt, aber auch Pseudonyme oder Identifikationsnummern sind denkbar) und nur diese Person den zugehörigen privaten Schlüssel kennt. Der private Schlüssel steht natürlich nicht im Zertifikat! Diese Urkunde ist von dieser Vertrauenswürdigen Instanz (Certification Authority, CA) digital unterschrieben. Der Computer sucht nun, wenn ihm ein öffentlicher Schlüssel vorgelegt wird, nach dem Zertifikat dieser CA, entnimmt diesem den öffentlichen Schlüssel der CA und prüft damit die Echtheit des ursprünglich vorgelegten Zertifikates. Wenn nun das Zertifikat der vertrauenswürdigen Instanz selber geprüft werden muss, dann wird Bonn, Seite 6 von 10

7 diese Kette immer weiter fortgeführt, bis man schließlich bei einem Vertrauensanker landet, einem Zertifikat, dass sicher auf dem eigenen Computer hinterlegt ist 1, oder das in einem Bundesgesetzblatt in gedruckter Form veröffentlicht ist. Durch diesen Mechanismus kann die Identität des Zertifikatsinhabers, und damit des Eigentümers des öffentlichen Schlüssels festgestellt und bewiesen werden. Im Zertifikat sind noch zahlreiche andere Informationen enthalten, beispielsweise die erlaubte Nutzungsart des Schlüsselmaterials, und auch die voraussichtlich erlaubte Dauer der Nutzung. Hybride Verschlüsselung Die asymmetrische (Public-Key-)Verschlüsselung hat gegenüber der symmetrischen Verschlüsselung, deren grundsätzliche Funktionsweise und Nachteile anfangs dargestellt wurden, einen ganz erheblichen Nachteil; sie ist um ein hundertfaches langsamer. Ausserdem kann die Verschlüsselung, so wie wir sie bisher kennengelernt haben, immer nur für einen Empfänger verwendet werden. Beide Nachteile werden durch die hybride Verschlüsselung beseitigt. Bei der hybriden Verschlüsselung wird ein Einmalgeheimnis, ein Schlüssel, zufällig gewählt (z.b. 3 ) und für die symetrische Verschlüsselung eines KLARTEXT zu NODUWHAW genutzt. Das geht besonders schnell. Mit dem langsameren Public-Key-Verfahren wird dieses Einmalgeheimnis für den oder die Empfänger mit dessen oder deren öffentlichen Schlüsseln verschlüsselt. Der oder die chiffrierten Schlüssel werden der chiffierten Nachricht vorangestellt 2 : zufälligen Einmalschlüssel (Session-Key) erzeugen: hier 3 Nachricht KLARTEXT mit Einmalschlüssel 3 verschlüsseln: hier KLARTEXT NODUWHAW den Einmalschlüssel für Herrn Huber und Frau Anders mit deren öffentlichen Schlüssel verschlüsseln hier für Huber 3 * 91 = 273, für Anders 3 * 167 = 501. Alles zusammensetzen: Huber: 273 Anders: 501 Chiffrat: NODUWHAW Diese Nachricht kann nun an alle Empfänger versandt werden, und jeder Empfänger ermittelt den symmetrischen Schlüssel für die eigentliche Nachricht durch Entschlüsseln des für ihn bestimmten Geheimnisses. Unberechtigte Empfänger oder Abhörer schauen in die Röhre: Chiffrierter Einmalschlüssel * privatem Schlüssel des Empfängers Huber: 273 * 0, Anders: 501 * 0, Durch Entschlüsselung mit Schlüssel 3 wird aus 1 Das gilt im Allgemeinen, faktisch vertraut man automatisch den vertrauenswürdigen Instanzen, die von Microsoft und den Machern von Firefox als vertrauenswürdig eingestuft werden. Dass dieses Vertrauen nicht uneingeschränkt gerechtfertigt ist zeigen neuere Meldungen von Einbrüchen bei CAs, von denen dann falsche Zertifikate ausgestellt wurden. 2 Es ist sogar möglich, eine Nachricht so zu verschlüsseln, dass sie nicht von einzelnen Personen alleine sondern nur von mehreren Personen gemeinsam zur Kenntnis genommen werden kann (Vier-Augen-Prinzip). Bonn, Seite 7 von 10

8 NODUWHAW KLARTEXT. Diese Vorgehensweise stellt sicher, dass nur Huber und Anders die Nachricht entschlüsseln können. Allerdings ist der Absender noch nicht beweisbar, ebenso wenig wie die unverfälschte Übertragung oder Speicherung der Nachricht. Also kann das Verfahren um die digitale Signatur ergänzt werden. zufälligen Einmalschlüssel (Session-Key) erzeugen: hier 3 Prüfsumme über KLARTEXT ermitteln hier 623 Ermittelte Prüfsumme mit eigenem privaten Schlüssel verschlüsseln (signieren) hier 623 * 0, = Nachricht KLARTEXT mit Einmalschlüssel 3 verschlüsseln: hier NODUWHAW Einmalschlüssel für Huber und Anders mit deren öffentlichen Schlüssel verschlüsseln hier für Huber 3 * 91 = 273, für Anders 3 * 167 = 501. Alles zusammensetzen: Huber: 273 Anders: 501 Chiffrat: NODUWHAW Signatur: Zusätzlich gibt es in einer vernetzten Welt die Möglichkeit von Sperrlisten. Der Sender sollte, vor einem Verschlüsselungsvorgang, die Gültigkeit des öffentlichen Schlüssels des Empfängers online bestätigen lassen; sollte der Empfänger seit Ausstellung des Zertifikates seinen privaten Schlüssel (der zum Entschlüsseln erforderlich ist) verloren haben, sollte er dieses Zertifikat sperren lassen (und sich ein neues für ein neues Schlüsselpaar) ausstellen lassen. Analog sollte bei der Prüfung einer Signatur der Zertifkatdienst abgefragt werden; wenn der Signierende den Verdacht hat, sein zum signieren erforderlicher privater Schlüssel könnte einem Dritten bekannt sein, kann er das Zertifikat sperren lassen. Ab diesem Zeitpunkt ausgestellte digitale Signaturen sind keine rechtssicheren Signaturen mehr im Sinne des Signaturgesetzes. Elektronischer Personalausweis und elektronische Gesundheitskarte Durch den neuen Personalausweis und die elektronische Gesundheitskarte kommen nun Millionen von Bürgern erstmals zu personengebundenen Zertifikaten für Online-Authentifizierung, Verschlüsselung und, gegen Aufpreis, für qualifizierte elektronische Signatur. Diese Zertifikate werden bei der Herstellung auf den jeweiligen Chipkarten gespeichert und können ausgelesen und versandt werden. Die zugehörigen privaten Schlüssel kennt nur die Chipkarte, und sie führt die notwendigen Berechnungen nur dann aus, wenn der Chipkarte die PIN des Karteninhabers präsentiert wird. Die privaten Schlüssel kann man nicht von der Chipkarte lesen. Kartenlesegeräte und Software werden kurzfristig für breite Massen am Markt verfügbar sein. Nach dem Prinzip der hybriden Verschlüsselung soll später auch die Datenspeicherung bei der elektronischen Gesundheitskarte ablaufen. Befunde, Arztbriefe, Röntgenbilder, etc. werden vom Ersteller digital signiert und mit einem zufälligen Einmalschlüssel verschlüsselt und ggf. zentral abgespeichert. Der Einmalschlüssel wird für den Patienten, für den Hausarzt und den weiterbehandelnden Arzt verschlüsselt und den Empfängern, zusammen mit einem Hinweis auf den Speicherort des Chiffrats zugesandt. Bonn, Seite 8 von 10

9 Der Hausarzt und der weiterbehandelnde Arzt können mit ihrem Arztausweis den Einmalschlüssel wieder herstellen und das ggf. zentral gespeicherte Dokument zur Kenntnisnahme entschlüsseln, ebenso wie der Patient, der diese Enschlüsselung mit seiner elektronischen Gesundheitskarte (egk) und der zu seiner egk gehörenden PIN vornehmen kann, zum Beispiel in der Praxis eines weiteren Facharztes, der bei der ursprünglichen Verschlüsselung nicht berücksichtigt wurde. iii Warum eine elektronische Identität? Nachteil: Die elektronische Identität ist vor allem Eines: Eine Identität. Somit können Aktionen, beispielsweise im Internet, einer Person zugeordnet werden, wenn diese Identität -später vielleicht zwangsweise- genutzt wird. Das kann Anonymität bei Informationsgewinnung, beispielsweise bei unangenehmen Erkrankungen (Selbsthilfegruppen) oder Anleitungen zum Bombenbau, aber auch freie Meinungsäußerung verhindern. Sollten mehrere Dienstanbieter zusammenarbeiten, können diese anhand der -immer gleichen- Identität ein Nutzungsprofil des Inhabers dieser Identität erstellen. Vorteil: Die elektronische Identität mittels Chipkarte macht die Vielzahl der Konten, die heute im Internet genutzt werden, erst handhabbar. Grundsätzlich soll man nicht bei jedem Konto die gleiche Nutzername/Passwort-Kombination nutzen; wenn Sie die gleiche Nutzername/Passwort- Kombination sowohl bei Ihrem Mail-Anbieter wie bei Ihrer Bank nutzen, könnte sich der Mail- Anbieter bei der Bank als Sie ausgeben, und umgekehrt. Bei Dutzenden von Konten (Banken, Versicherungen, Mail-Anbieter, Online-Shops, Foren, Stromversorger), die teilweise nur sehr selten genutzt werden, ist das sichere Auswendiglernen der vielen verschiedenen Passwörter nicht möglich. Erst recht nicht, wenn sie regelmäßig geändert werden müssen. Bei smartcardbasierter Authentifizierung erhält jeder Kontoanbieter einen speziell für Authentifizierung vorgesehenen öffentlichen Schlüssel von Ihrer Smartcard. Wenn Sie sich einloggen möchten, sendet der Anbieter Ihnen einen kurzen Text, ein sogenanntes Token. Ihr Computerprogramm fügt diesem Text einen eigenen kurzen, zufälligen Text (Token) hinzu, bildet die Prüfsumme und die Chipkarte signiert diese, nachdem Sie Ihre PIN eingegeben haben. Diese Signatur wird, zusammen mit der Ergänzung, an den Anbieter zurückgesandt. Der fügt seinem Token Ihr zufälliges Token hinzu, bildet die Prüfsumme (die mit der von Ihnen ermittelten Prüfsumme identisch sein muss) und prüft die Signatur. Ist alles in Ordnung, kann Ihnen Zugang gewährt werden. Der Vorteil ist, dass Sie sich nur noch eine PIN merken müssen, um sich bei einer Vielzahl von Diensten anzumelden, ohne dass diese PIN oder ein sonstiges Geheimnis über das Netz gesandt werden muss. Und auch diese PIN ist nur in Verbindung mit der Chipkarte nützlich. Das Schlüsselmaterial ist und bleibt nur auf der Chipkarte, die nicht von Viren befallen werden kann. Das schützt Sie vor Identitätsdiebstahl, der zunehmend Schaden verursacht. Sollte die Chipkarte -mit PIN!- verloren gehen, kann mit einem Schritt diese Identität zentral gesperrt werden. Bonn, Seite 9 von 10

10 Kryptographie für Anfänger Ralph Heydenbluth Bonn, i Man benutzt nie das selbe Schlüsselpaar für Verschlüsselung, Authentifizierung und Signatur, sondern unterschiedliche Schlüsselpaare. In den Zertifikaten ist deshalb zusätzlich der Verwendungszweck des Schlüssels aufgeführt. Hintergrund: Ein Angreifer könnte sie bitten, eine gegebene Zahl zu signieren um zu beweisen, dass Sie den privaten Schlüssel zu Ihrem öffentlichen Schlüssel tatsächlich besitzen. Nichts beweist aber, dass er hierfür eine beliebige, zufällig Zahl wählt; er könnte auch einen Vertragstext verfasst haben und Ihnen dessen Prüfsumme als zufällige Zahl präsentieren. Mit Signatur der zufälligen Zahl hätten Sie gleichzeitig den Vertragstext des Angreifers signiert. ii Diese Software sollte bestätigt sicher sein, da von staatlicher Seite nur für die Rechtssicherheit von Signaturen garantiert, möglicherweise auch gehaftet wird, wenn der für eine Signaturerstellung genutzte Computer frei von Schadsoftware und nur mit bestätigter, evaluierter Software für die Signaturerstellung und -prüfung genutzt wird. iii Skeptiker befürchten nun, dass durch geänderte gesetzliche Rahmenbedingungen und deren dann erforderliche technische Umsetzung zukünftig einfach der Einmalschlüssel zusätzlich für die Krankenkasse oder eine andere zentrale Überwachungsstelle verschlüsselt wird, die dann die vertraulichen Dokumente zur Kenntnis nehmen kann. Kryptographie für Anfänger Seite 10 von 10