[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[FYI] Windows unterläuft die Sicherheit der Signaturen
- To: debate@fitug.de
- Subject: [FYI] Windows unterläuft die Sicherheit der Signaturen
- From: "Axel H Horns" <horns@t-online.de>
- Date: Sun, 5 Dec 1999 20:23:34 +0200
- Comment: This message comes from the debate mailing list.
- Comments: Sender has elected to use 8-bit data in this message. If problems arise, refer to postmaster at sender's site.
- Organization: PA Axel H Horns
- Reply-to: horns@t-online.de
- Sender: owner-debate@fitug.de
http://www.heise.de/tp/deutsch/inhalt/te/5558/1.html
------------------------------ CUT ----------------------------------
Digitale Signaturen für alle oder für niemand?
Stefan Krempl 05.12.1999
Die Schlüsselbausteine der Infogesellschaft werfen ständig neue
Fragen auf
Signaturen aus Bits und Bytes sollen die Unterschrift auf dem Papier
ersetzen. Auch die Bundesregierung sieht riesige Anwendungs- und
Einsparpotentiale und will per Gesetz Standards schaffen. Doch
Kritiker warnen vor Sicherheitsproblemen, dem zu starken Eingriff in
den Markt sowie vor einem Kulturbruch.
[...]
Windows unterläuft die Sicherheit der Signaturen
Andreas Pfitzmann, Informatikprofessor an der Technischen Universität
Dresden, glaubt dagegen, dass der Markt allein beim Aufbau von
Infrastrukturen versagt und der Staat durchaus eine Gestaltungsrolle
einnehmen muss. Trotzdem ist das Signaturgesetz in seiner jetzigen
Form für ihn ein rotes Tuch, da es die digitale Signatur "für
niemand" attraktiv mache. Das Kernproblem sieht Pfitzmann darin, dass
man über die Verordnung zwar hohe Sicherheitsevaluierungen für
Signaturen festsetzen und den Verbraucher mit Chipkarten und
Lesegeräten ausrüste könne. Die ganzen Bemühungen seien allerdings
hinfällig, wenn man Signaturen in prinzipiell unsichere Systeme und
Computerumgebungen einführe. Standard bei den Nutzern sei schließlich
Microsofts Windows und damit ein "absolut unsicheres Betriebssystem".
Jedes Anwenderprogramm könne bei Windows Veränderungen ins
Betriebssystem schreiben und damit die Sicherheit des Rechners
"vollkommen unterwandern."
"Was Verbraucher auf dem Schirm sehen, muss nicht das sein, was ihnen
eigentlich zur Unterschrift vorgelegt wird", beschreibt Pfitzmann die
potentiellen Folgen. Sogar Tastatureingaben könnten manipuliert, aus
einem "Nein" ein "Ja" werden, oder umgekehrt. Es müsste also
zumindest ein Display direkt in der Signierkomponente angebracht oder
die Tastatur bzw. der Bildschirm direkt mit dem Chipkarten-Reader
verbunden werden, um Manipulationen auszuschließen. Das erfordere
aber verbesserte Zusatzgeräte oder weitere Schnittstellen und Kabel,
was teuer werden könnte.
Die langfristig sicherere und bessere Lösung sei es daher, für die
auf größere Transparenz bauenden Open-Source-Betriebssysteme Software-
Applikationen mit eingebauten Signierfähigkeiten zu entwickeln. Dabei
sei am leichtesten dafür Sorge zu tragen, dass die Anwendungen das
Betriebssystem nicht manipulieren könnten. Nach demselben Verfahren
sei es auch möglich, nicht nur mit dem PC, sondern auch mit
Organizern, Personal Digital Assistents oder Handys ganz ohne
Chipkarte zu signieren. Bei dieser Methode, freut sich Pfitzmann,
müsse der geheime Schlüssel, mit dem die Signatur geleistet werde,
das Gerät nie verlassen.
Eine Schlüsselgenerierung durch Trust-Center hält der Informatiker
generell für inakzeptabel. "Wir brauchen digitale Signaturen nicht
nur für, sondern mit allen", fordert Pfitzmann. Jeder müsse sie auf
ihre Vertaulichkeit testen und eigenhändig wie beim de facto
Verschlüsselungs- und Signierstandard Pretty Good Privacy (PGP)
verschiedene Pseudonyme für ihre Verwendung in zahlreichen Kontexten
erstellen können. Sonst würde den Ansprüchen der Nutzer an den Schutz
ihrer Privatsphäre nicht Genüge getan. Generell fordert Pfitzmann
Kompatibilität mit PGP wegen dessen weiter Verbreitung "wo immer
möglich" herzustellen, wozu es bisher aber so gut wie keine Ansätze
gebe.
Sind digitale Signaturen überhaupt kulturkompatibel?
Trotz Signaturgesetz wird die Suche nach wirklichen Standards für die
"elektronische Unterschrift" so noch lange weitergehen. Gleichzeitig
hat die gesellschaftliche Diskussion um den Kulturbruch, den der
Umstieg von Papier auf Bits gerade auch bei der Abgabe von
Willenserklärungen mit sich bringen könnte, noch nicht einmal
begonnen.
Die Übergänge von oral oder gestisch bekräftigten Vertragsabschlüssen
zur schriftlichen Beurkundung unter Zeugen sowie von dieser zur
"selbstauthentisierenden Unterschrift", wie sie heute vor Gericht
gilt, habe jeweils Jahrhunderte gedauert und sei von
gesellschaftlichen Umstürzen begleitet worden, weiß der Mailänder
Notar Riccardo Genghini. Heute gehe man von einer Umstellung auf die
nicht einmal sinnlich erfahrbaren Bits in Jahren oder sogar Monaten
aus - ohne dass eine Debatte über die Veränderungen der Kultur
erfolge. Die Kontextlosigkeit der digitalen Welt und der in ihr
ausgeführten Tele-Handlungen könne noch "gigantische Probleme" mit
sich bringen, nicht nur, weil bisher breite Bevölkerungsschichten gar
nicht daran teilnehmen könnten oder wollten.
------------------------------ CUT ----------------------------------