FITUG e.V. Förderverein Informationstechnik und Gesellschaft

Kritik am Krypto-Entwurf der EU

http://www.ispo.cec.be/eif/policy/97503toc.html

Lutz Donnerhacke

Die Einleitung orientiert sich sehr stark an der kommerziellen Seite der Kryptographie. Datenschutz & Privatsphäre werden erst spät und untergeordnet erwähnt. Dies trifft auf das gesamte Dokument zu. Damit ist es deutlich mehr an den Wirtschaftsausschuß als an den Sozialausschuß oder den Ausschuß der Regionen gerichtet.

In Anbetracht des knappen Zeitplans steht die Frage, wie Organisationen wie Fitug e.V. sich am Prozeß beteiligen können.

Das Dokument zielt in seiner Hauptschlagrichtung auf digitale Signaturen und deren Vertrauenswürdigkeit. Dabei sind mir folgende Lapsii aufgefallen:

• In der Einleitung steht zu Signaturen, daß entsprechende Genehmigungsverfahren Vertrauen in Zertifikate schaffen. Dies ist falsch. Vertrauen ist etwas sehr Persönliches. Vertrauen hat mehr Bezüge zur Integrität. So sollte es verboten sein, 'Vertrauenwürdige CAs' bereits in Softwareprodukte einzukompilieren.

• In der Einleitung steht zur Verschlüsselung, daß es Bedenken gegen GAK (Gouvernment Access to Keys) gibt. Das ist falsch. Es ist eine massive Ablehnungshaltung. Im Anhang II wird auf Seite 13 eindeutig zwischen GAK für langfristige Speicherschlüssel und GAK für zeitweilige Kommunikationsschlüssel unterschieden. Letztere werden a.a.O. eindeutig von jedem GAK Versuch ausgenommen. Wer an Kommunikationsschlüsseln Interesse hat, will ausschließlich mitlesen.

• In der Einleitung steht zu strategischen Maßnahmen, daß man zwischen digitalen Signaturen und Verschlüsselung trennen soll. Dies ist jedoch nicht möglich, da jede Infrastruktur zu digitalen Signaturen bequem zur Vereinbarung von zeitweiligen Kommunikationsschlüsseln benutzt wird. Damit widerspricht eine vertrauenswürdige Infrastruktur zu digitalen Signaturen direkt den GAK Versuchen. Beides ist unvereinbar.

  Der Versuch der Trennung schafft also nur eine rein theoretische Möglichkeit, über GAK Systeme zu spekulieren. Da jedoch die Prämisse falsch ist, sind die darauf aufsetzenden Ausführungen Zeitverschwendung. Versucht man trotzdem GAK Systeme für Kommunikationsschlüssel einzuführen, so torpetiert man die vertrauenswürdige Infrastruktur zu digitalen Signaturen.
  Dieser Punkt wird auch auf Seite 2 der des Kapitels I mißachtet.

• In II.1(i) (Seite 3) wird im Kasten nicht zwischen Authorisierung und Authentifizierung unterschieden. Das kann fatale Folge für unvorsichtige Gesetzgeber haben.

• In II.1(ii) (Seite 3) wird erwähnt, daß ein privater Schlüssel nicht aus dem öffentlichen berechenbar ist. Das ist mathematisch unmöglich sicherzustellen. Hier muß die praktische Unmöglichkeit eingesetzt werden.

• In II.1(iv) (Seite 4) wird gefordert, daß der Empfänger prüfen soll, ob der private und der öffentliche Schlüssel des Absenders ein Paar bilden.
  Das ist Unsinn. Er muß ein Möglichkeit bekommen, zu prüfen, ob der öffentliche Schlüssel zu Person des Absender paßt.

• In II.2.2 (Seite 5) wird beschrieben, daß das Ablaufdatum eines Zertifikates immer notwenig ist. Dies ist jedoch nicht der Fall und pervertiert die Aussage eines Zertifikates. Ein Zertifikat ist eine momentane Tatsachenbeglaubigung. Die Einführung eines Gültigkeitszeitraumes hat rein monetäre Gründe.

• Im Kasten von II.2.2 (Seite 5) wird erwähnt, daß der Name des Unterzeichnenden eingebunden wird. Es ist jedoch der Name der Person/Einrichtung, zu der eine Bindung erfolgen soll. Darüberhinaus widerspricht es RfC 1422: "In general, CAs are expected to sign certificates only if the subject DN in the certificate is subordinate to the issuer (CA) DN." Der RfC ist hier als Irrung anzusehen, da es einer CA zugemutet werden kann, korrekte, von der CA unabhängige, X.500 Namen für die zu zertifiziernden Bezugspersonen zu verwalten. Andernfalls wäre jede CA automatisch auf den ihr zugewiesenen Bereich beschränkt und damit die freie Entfaltung eines Wettbewerbes geführdert.

• In II.2.3(i) (Seite 5) steckt ein katastrophaler Widerspruch. So wird anfangs gefordert, daß die Schlüsselpaare Unikate sind, deren privater Teil nur der zugehörigen Bezugspersonen zugänglich ist. Am Ende heißt es dann aber, daß die CA die Schlüssel an die richtige Person aushändigen muß. Hier muß mit äußerster Präzision vorgegangen werden:
  Eine CA darf niemals die privaten Schlüssel einer Bezugspersonen im Zugriff haben. Jede Einrichtung, sie -auch nur kurzzeitig- den privaten Schlüssel (oder Teile, die dem gleichkommen) eines beliebigen Nutzers zur Kenntnis bekommt wird automatisch zu einem TTP (Schlüsselverwaltungszentrum). Mir ist klar, daß es technische Verfahren gibt, die zum Signieren den privaten Schlüssel benötigen oder bei denen der private Schlüssel in die Chipkarte des Nutzers eingebrannt werden muß, was i.d.R. nur in einem qualifizierten Zentrum stattfinden kann. In dem Fall muß die notwendige Konsequenz gezogen werden und diese Einrichtung den Bestimmungen eines TTP unterliegen, auch dann, wenn die privaten Schlüssel nicht gespeichert werden.

  Dies hebt die Integrität der CAs durch Ausschaltung einer der wichtigsten Gefahrenquellen. Es stärkt somit das Vertrauen in die Infrastruktur. Diesem Punkt wird auch in II.2.5 (Seite 7) nicht genügend Rechnung getragen.

• In II.2.3(ii) (Seite 5) wird zwar auf die CRL-Angebote von CAs vorbildlich hingewiesen. Jedoch fehlt die Forderung nach einem Abfragezwang. Faktisch ist dieser fehlende Zwang heute das Hauptproblem vernünftiger elektronischer Kommunikation. Die eingesetzte Software fragt nicht nach, ob ein Zertifikat zurückgerufen wurde. Dies muß endlich verbindlich eingefordert werden, anderenfalls sind CRLs rein Makulatur. Das Vertrauen in die Zertifikationsinfrastruktur hat aus diesem Grunde bereits häufig Rückschläge erleiden müssen.

• In II.2.3(iii) (Seite 6) wird das Angebot von Zeitstempeln zwar erwähnt, aber nicht gefordert. Für eine sinnvolle elektronische Kommunikation muß gefordert werden, daß der Empfänger eines unterschriebenen Dokumentes sich einen Zeitstempel besorgt. Den Absender darauf zu verpflichten ist der Fehlgriff, den das deutsche SiG sich geleistet hat und somit dem Betrug zu Lasten des Kunden Tür und Tor öffnet. Muß der Empfänger den Zeitstempel beibringen, so sind Betrügereien durch rückdatierte Unterschriften ausgeschlossen.

• In II.2.5 (Seite 6) werden die Begriffe Pseudonymität und Anonymität fahrlässig durcheinandergeworfen. Ein Pseudonym ist ein Bezeichner für eine Bezugsperson, der von einer oder mehreren Stellen wieder auf die Bezugsperson zurückgeführt werden kann. Ein Anonym ist ein Bezeichner, der unter keinen Umständen auf die Person zurückgeführt werden kann.
  Die Strafverfolgungsbehörden wollen das Recht auf Anonymität verhindern. Dies ist jedoch bereits schon zu spät. Es gilt jetzt, die Anonymität in vernünftige Bahnen zu lenken und dem Pseudonym gleichzustellen. Der Versuch, das Recht auf Anonymität einzuschränken, wie in der EU-Datenschutzrichtlinie offengehalten, ist aufzugeben.

• In II.3.1 (Seite 7) zweiter Kasten findet sich, daß die Voraussetzungen für CAs u.a. auch einen Mindestversicherungsschutz, eine Sicherheitsüberprüfung des Personals und das Verbot der Selbstzertifizierung umfaßt.

  Der Versicherungsschutz und die Haftungsfragen müssen in gleicher Weise geregelt werden, wie die bei den Notaren der Fall ist. In II.3.2 drängt sich die Vermutung auf, man wolle die CAs für alle Fehler verantwortlich machen, die im elektronischen Rechtsverkehr auftreten können. Darüberhinaus gibt es Bestrebungen, die dieses Haftungskapital in Form von Eigenmitteln erforderlich machen sollen. Damit würde die Entwic= klung der Wirtschaft in diesem Bereich zugunsten von einigen wenigen Konzer= nen beendet.

  Mit der Sicherheitsüberprüfung des Personals kann ein Regierung unliebsame CA-Policies (z.B. hinsichtlich Anonymität oder GAK) schlicht verhindern. Die Beschränkung der in diesem Bereich tätigen Wirtschaft auf von der Regierung festlegbaren Personalbestand zu verhindern. Ohne Selbstzertifizierung kann keine CA eine eigene Policy fahren, die nicht gewissen offiziellen Richtlinien entspricht. Der Aufbau nichtstaatkonformer Regularien kann so verhindert werden. Darüberhinaus gibt es den logischen Widerspruch, daß irgenwo ja mal die Wurzel sein muß.

• In II.3.3(ii) (Seite 9) heißt es: "Die Hinterlegung privater Schlüssel könnte diese Vermutung in Frage stellen. Eine Zuordnung is aber möglich, wenn gesetzlich vermutet wird, daß die Unterschrift vom Schlüsselinhaber selbst geleistet wurde." Dies ist ebenso falsch wie unzumutbar. Unterschriftenschlüssel dürfen unter keinen Umständen Ziel einer GAK Aktion sein. Das muß explizit verboten werden. Sind zwei Personen im Besitz eines Unterschriftenschlüssels, ist die Unterschrift wertlos. Mit einem GAK von Unterschriftenschlüssel, wird der kommerziellen Nutzung von digitalen Signaturen ein Riegel vorgeschoben.

• In II.3.3(iv) (Seite 10) muß zur Vertrauenwürdigkeit einer CA auch die Hinterlegungungsfreiheit von privaten Schlüsseln gefordert werden, um Rechtsverbindlichkeit zu erreichen.

• In III.1(i) (Seite 11) heißt es zur Entschlüsselung: "... was auf die gleich Art und Weise rückgängig gemacht werden kann ...". Korrekt ist hier jedoch "... was auf eine ähnliche Art und Weise ..." Im gleichen Absatz findest sich dann auch "... auf das Problem der Geheimhaltung eines einzigen Schlüssels ...", was korrekt "... auf das Problem der Geheimhaltung einiger Schlüssel ..." heißen muß.

  In nachfolgenden Absatz werden nur Nachteile der symmetrischen Verschlüsselung aufgezählt. Es fehlen hier die Vorteile wie Schnelligkeit und Sicherheit.

• In III.2.2 (Seite 15) heißt es, daß "sich Kriminelle nicht völlig davon abhalten lassen, diese Verfahren zu nutzen." Korrekt wäre hier zu sagen, daß es keinen normaldenkenden Kriminellen geben wird, der diese sicheren Verfahren nicht nutzen wird.

• In III.3(i) (Seite 17) wird vom "Mißbrauch der Verschlüsselung" gesprochen. Korrekt ist hier jedoch vom "Gebrauch der Verschlüsselung" zu sprechen.

  Im gleichen Absatz wird von der "Piraterie von Schüsseln von gebührenpflichtigen Fernsehsendern gesprochen". Dies ist unklar, vermutlich ein Schreibfehler.

• In III.3(vi) (Seite 18) wird GAK von Kommunikationsschlüsseln behandelt. Wenn man das machen will, so muß sichergestellt werden, daß nur auf die Kommunikationsschlüssel zugegriffen werden kann, für die eine gerichtliche Abhörgenehmigung existiert. Heutige vorgeschlagene GAK-Systeme offenbaren i.d.R. die komplette Kommunikation des zu überwachenden über die Gültigkeitszeit seiner Schlüssel, also auch in der Vergangenheit und Zukunft. Dieses rechtswidrige Verfahren ist auszuschließen.

• In IV.2(ii) 1.Anstrich (Seite 21) wird sehr starke Verschlüsselung von der innereuropäischen Freigabe ausgenommen. Die Gründe hierfür sind nicht ersichtlichlich, obwohl offensichtlich. Man sollte die sehr starke Verschlüsselung explizit mit einschließen.

• Im Anhang I (Seite 6) heißt es: "Ein krptographisches Schlüsselpaar ist vorgegeben oder wird vom Nutzer erzeugt." Dies enhält den geführlichen Rückschluß auf die Möglichkeit von GAK. Vorgegebene Schlüsselpaare sind per Definitionem unsicher und nicht zu benutzen.

• Im Anhang I (Seite 8) wird auf existiernde Implementationen verwiesen. Hierbei sollte PGP mit aufgenommen werden, auch wenn die neuen Versionen ab 5.0 GAK-Systeme eingebaut haben.

• Im Anhang II (Text zur Abb. 5) wird zur Demonstration DES verwendet. Da DES als gebrochen angesehen werden kann, ist das ein Fehlgriff.

• Im Anhang II (Seite 13) findet sich im Kasten ein Vergleich der Sicherheiten verschiedender Schlüssellängen. Dieser lautet heutzutage korrekt: "Beim derzeitigen Stand der Computertechnologie und Mathematik würde die Ermittlung eines solchen Schlüssels Jahrzehnte dauern.

  In einem symmetrischen System bieten Verfahren unter 80bit (wie DES) kaum noch Sicherheiten. Ein Verfahren mit 128bit wie IDEA ist einem RSA Schlüssel von etwa 4000 bit heute sicherheitstechnisch äquivalent.

• Am Anhang II wird dann weiter ausgeführt (Vermutlich auf Basis des Reports von Anderson, Diffie, Shamir und anderen), daß Kommunikationsschlüssel niemals sinnvoll wiedergewonnen werden müssen. Diese Konsequenz wird aber in der Diskussion in III vernachlässigt.

• In Anhang III zur TTPs fehlt das Verbot, Kommunikationsschlüssel und Unterschriftenschlüssel in ein TTP einzubringen.

Anmerkungen zum Zeitstelmpel

Antwort:
Gedanke 1:
Zeitstempel sind teuer. Defaultmäßig muß es ohne sie gehen. Deshalb muß für den Zweifelsfall der Empfänger den Zeitstempel anbringen, wenn er will.

Gedanke 2:
Angriffsszenario: A verliert seinen Schlüssel zum Zeitpunkt t. Er läßt sofort das Zertifikat widerrufen. Alle Unterschriften, die nun zum Zeitpunkt t1 > t erstellt werden, sind ungültig. Da beim Unterschreiben die Zeit mitunterschrieben werden kann, kann ein Betrueger B zum Zeitpunkt t1 seinen Rechner auf t2 < t zurückstellen und unterzeichnen. Diese Unterschrift ist durch nichts von der Unterschrift von A zum Zeitpunkt t2 zu unterscheiden und deshalb erstmal gültig.

Das zu lösen ist die Aufgabe eines Zeitstempels. Wenn der Absender einer Unterschrift die Zeitstempel besorgen muß, kann B sich den Zeitstempel zum Zeitpunkt t2 holen und dann zu t1 mit dem geklauten Schlüssel signieren. Das ist durch nichts von der Unterschrift von A zum Zeitpunkt t2 zu unterscheiden und deshalb gerichtlich gültig. Das SiG sieht diese Verfahrensweise vor, schreibt sie jedoch als voluntary aus. Das bedeutet, daß B nicht einmal den Zeitstempel braucht, da per Gesetz Unterschriften zum Zeitpunkt t2 gültig sind. Selbst wenn A immer Zeitstempel verwenden würde, wäre das nicht mehr als ein schwacher Anhaltspunkt. I.d.R. wird A aber die ganzen alltäglichen Geschäfte ohne Zeitstempel abwickeln. Z.B. Mailorder.

Ist der Empfänger verpflichtet, einen Zeitstempel aufzubringen, so kann er darauf verzichten, wenn es um schnelle Reaktionen kleinerer Beträge geht, da seine Reaktionszeit zur Lieferung i.d.R. <24h liegt. Damit genügt ihm i.d.R. eine Prüfung, ob das Zertifikat jetzt gültig ist aus. Will er mehr und längerfristig beweisen, so holt er sich einen Zeitstempel für den Eingang.
Ruft A nun das Zertifikat zurück und behauptet, B hätte die Unterschrift durch Rückdatien erhalten, so kann B mit dem Zeitstempel dies wiederlegen. Zeitstempel werden also nur noch bei wichtigen Dingen benötigt.

Förderverein Informationstechnik und Gesellschaft, JPL, 7.11.97
webmaster@www.fitug.de