Public Key Infrastruktur zur Verwaltung öffentlicher Schlüssel

Unkomplizierte Kommunikation sichert schnelle Erfolge

Bei der Datenübertragung mittels Internet (siehe TCP/IP-Protokolle) werden standardmässig keine Sicherheits- oder Identifikationsverfahren angewendet. Dies ist sicherlich auch einer der Erfolgsfaktoren des World Wide Web bzw. des ganzen Internet. Durch die Nicht-Anwendung von noch heute teilweise komplizierten Sicherheitsverfahren kann sich jeder Rechner schnell erfolgreich ins weltweite Datennetzwerk einklinken.

Die Datenübertragung oder Kommunikation läuft ganz auf der technischen Ebene ab, der Datenlieferant (Server) hat keine Kenntnis von der Identität des Besuchers. Wenige Informationen stehen dem Server zur Speicherung von Statistiken zur Verfügung: Üblicherweise die TCP/IP-Adresse oder die Produktbezeichnung und Version des Web-Browsers.

Um festzustellen welcher Benutzer eine Dienstleistung anfordert oder eine Information übermittelt, werden so genannte digitale Signaturen oder Zertifikate verwendet. Die Ziel der digitalen Signatur können wie folgt zusammengefasst werden:
  • Authentizität des Teilnehmers im elektronischen Umfeld ist eindeutig
  • Integrität der elektronisch versandten Informationen überprüfen können
  • Nicht-Abstreitbarkeit des Ursprungs ist sichergestellt
Die digitale Signatur dient als elektronisches Siegel, zur Prüfung der Echtheit einer Information. Eine Verschlüsselung ist dabei noch nicht vorhanden, durch Anwendung einer Verschlüsselung wird die Datenübertragung um die Vertraulichkeit erweitert.

Information -> Verschlüsselung -> vertrauliche Information -> Entschlüsselung

Symmetrische und asymmetrische Verschlüsselung
Bei der Verschlüsselung von Daten können zwei grundsätzlich zwei unterschiedliche Techniken angewandt werden: symmetrische Verschlüsselung und asymmetrische Verschlüsselung. Bei einem symmetrischen Verschlüsselungsverfahren kennen sowohl der Sender wie auch der Empfänger diesen Schlüssel von Beginn der Kommunikation an. Alle Informationen werden jeweils mit einem identischen Schlüssel gesichert, übermittelt und am Bestimmungsort wieder entschlüsselt. Der Austausch der Schlüssel erweist sich bei diesem Verfahren immer wieder als problematisch oder gar als Sicherheitslücke.

Bei Anwendung eines asymmetrischen Verschlüsselungsverfahrens verwenden Sender und Empfänger nicht die gleichen Schlüssel. Die Verschlüsselung erfolgt mit dem sogenannten Public-Key (öffentlicher Schlüssel) des Empfängers, die Entschlüsselung durch den Empfänger erfolgt mit Private Key des Empfängers. 

Die öffentlichen Schlüssel (Public Keys) werden auch als «Zertifikate» oder «digitale Signaturen» bezeichnet.

Öffentliche und private Schlüssel
Digitale Zertifikate stellen eine Art persönlichen Ausweis für die digitale Welt dar. Weltweit von den meisten Software-Produkten (Internet Browser, E-Mail-Client, Internet Server-Software) anerkannt ist der Standard X.509 der den Aufbau eines Zertifikats einheitlich definiert. Digitale Zertifikate werden für drei Hauptfunktionen verwendet:
  • digitale Unterschrift / Signatur
  • eindeutige Identifikation und Authentisierung
  • sichere Verschlüsselung
Die digitale Unterschrift verhindert über mathematische Funktionen, dass Daten verändert werden können. Die Identifikation und Authentisierung stellt sicher, dass der Absender der Nachricht zweifelsfrei erkannt werden kann, besonders sensitive Informationen können über die Zertifikate auch verschlüsselt werden, sie sind dadurch nicht «normal» lesbar und gelten als geschützt.

Ein digitales Zertifikat besteht aus einem Schlüsselpaar mit Public Key und Private Key. Dieses Paar wird durch eine Software (beispielsweise Internet Browser oder PGP - «Pretty Good Privacy» usw.) erzeugt und hat eine mathematische Verwandtschaft. Ansonsten wäre es nicht möglich Nachrichten mit «ungleichen Schlüsseln» zu verschlüsseln bzw. zu entschlüsseln. Um die Begriffe «Public Key» und «Private Key» auseinanderhalten zu können, ist der Einsatz einer Analogie sinnvoll.

Der öffentliche Schlüssel stellt das Sicherheits- oder Vorhängeschloss dar, dieses Schloss kann vom Eigentümer  jedermann/frau überreicht werden um eine Information beispielsweise in einem Behälter einzuschliessen. Dieses Sicherheits-Schloss entspricht dem Public Key.

Die Information ist durch den Public Key (Vorhängeschloss) so gesichert, dass nur der Besitzer des Schlüssels (Private Key) das Schloss öffnen kann.

Public Key
Der Public Key - oder öffentliche Schlüssel - ist nicht geheim. Er wird zusammen mit den Identitätsangaben des Schlüsselinhabers (Vorname(n), Name, Geburtsdatum) bei einer Zertifizierungsstelle wie Swisskey (CA, Certification Authority) deponiert und kann jederzeit (via Internet-Datenbank-Abfrage) überprüft werden. Ein öffentlicher Schlüssel enthält folgende Angaben: 
  • Angaben zum Schlüsselinhaber (Name, Firma)
  • Öffentlicher Schlüssel
  • Name der Zertifikatsstelle

Die Signatur der Zertifizierstelle wiederum dient als Schutz des Zertifikats.

Private Key
Der Private Key - oder private Schlüssel - ist persönlich und deshalb sicher aufzubewahren. Er entspricht der Unterschrift des Schlüsselinhabers und ist in der Schweiz auf Basis des «ZertES» (Bundesgesetz über die elektronische Signatur vom 19. Dezember 2003) rechtlich verbindlich akzeptiert. Für die sichere Aufbewahrung des privaten Schlüssels eignen sich digitale Speichermedien wie (verschlüsselte) Memorysticks, Speicherkarten, Disketten oder Festplatten, optimal ist jedoch eine Smartcard mit Verschlüsselungstechnik. 

Verschlüsselung oder Chiffrierung von Daten
In den folgenden Abschnitten wird die Anwendung eines digitalen Zertifikats von PGP unter Windows 2000 mit Outlook 2000 visualiert.

Versand einer signierten E-Mail
Die E-Mail wird wie gewohnt verfasst und mit den Adressen der Empfänger versehen, die PGP-Option «Sign before Send» aktiviert. Für die digitale Signatur einer Nachricht wird durch den Anwender nun der Schlüsselsatz eingegeben.


Der eingegebene Signatur-Satz («Passphrase») wird von PGP überprüft, ist er fehlerfrei so wird die Nachricht signiert und von Outlook versandt. Die E-Mail ist mit dieser Funktion nicht verschlüsselt sondern nur signiert oder unterschrieben. Die Signatur in der E-Mail ist wie folgt sichtbar:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo Empfänger Diese E-Mail ist von mir persönlich digital signiert.

Gruss Stefan

- - - - - - - - - - - - - - - - - - - - -
Stefan Lenz
Kreuzackerstrasse 29
8623 Wetzikon ZH 3
Switzerland
Mail info@stefan-lenz.ch
Web http://www.stefan-lenz.ch
Home +41 1 930 17 82
Office +41 1 220 34 76
Mobile +41 79 354 23 84
- - - - - - - - - - - - - - - - - - - - -

-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 6.5.3 for non-commercial use
iQA/AwUBOgWqF3u25f5HrE2sEQIcrQCfeOBVR/op5KEf8G2SrsS4378U9MAAoLZ+ anlM60B659PkxUWlBG8okldx
=EQyr
-----END PGP SIGNATURE-----

Der Empfänger kann die Unterschrift in der Nachricht mittels PGP überprüfen. Dazu hat er zwei Möglichkeiten, ist der Absender eine für ihn unbekannte Person so wird er die Unterschrift mittels Abfrage auf dem öffentlichen PGP-Server überprüfen. Pflegen Absender und Empfänger regelmässigen Kontakt, so kann der Schlüssel zum lokalen Schlüsselbund hinzugefügt werden. Eine Unterschrifts-Überprüfung ist anschliessend auch Offline möglich.
Versand einer verschlüsselten Nachricht
Soll eine Nachricht vor dem Versand verschlüsselt werden, so muss beim Versand der Public Key des Empfängers ausgewählt werden. Der Public Key ist in diesem Beispiel im lokalen Schlüsselbund gespeichert, er wurde vom PGP-Server importiert.

Die Nachricht wird anschliessend über mathematische Funktionen (Hashfunktion, eine Art Quersumme) verschlüsselt. Das Ergebnis dieser Verschlüsselung ist eine sichere E-Mail:

-----BEGIN PGP MESSAGE-----
Version: PGPfreeware 6.5.3 for non-commercial use

qANQR1DBwM4D+nvdpDyL9kAQBf46+7M1gFgLKgrFB5cBtFASSjYcMw8jQdy7znNl NPHFqDr3JBsBM8ULcetK5+7klKXrqCfaohsDw6Tvtt1CAuSt0RELAL4ki9EPbMUF RHTHR8ZKAIa8vm/eK451m8u/fFy7bHShxg7RHM7lVioYRoIETZOPqArXULhsNSDw AMfTQzcIMDSEfXuiaMdYtl8/qbq12rbctXOjqgJBaAgI7oHJa7zOlLmcb4MYp1Lv TB4VtQdcaBaDJOCcuFeu4vssyO8GAJFpwpfbvjw1mUyVvXwb2t4bh7UjqkFJlSqa iZ0BYbTw0bVFgZJ/YdYJgKlblKDFsNdxIOXog1J6AtOG/bdcHCP+ovpj1aY1lYwl rlrok4mCf8LR1tuiCNUvgHcQERYDwZit4AD/OLRRn6M132Qew0Q9STqn0qw+Vime QYPEVJm8QqKPxiWWQMVskCi9LyUwkgwhGfVv7OIa9/sgfgm4qKEerf6G9UCMfZvM QiWLYe/hooxz72Yaj2QkobM3QDRciMnARhO6MBCjzRNHB6AFKaTNZ8KzWS09Jexr fAXQ+NHiUjOc8u/T0YHugXEBFL3EudqPOGu+dr97m81Lr+q+2lyOaqcEsEzl+YRD RZrUWnNZuFDnORRo9F5Icbo8YIeXkpkx7uO3PdxskoXQiqmMws0Dh1AZjrIZhApP 5Q2fc7ZEdMGrskjPRJtFzMSETMDMcY0ovM8XHnfVnm3Z9P8hyMzDcn20tiiB7mum HLCDTBlHzf4/2vFNhP0L4e5cTSdB0l7Vb7ItCtE6fqBFo9fqTnfbIdggKEznNIBF LQJSBXPdNAsYNXdQ7f0aeCB9zGvHt13HHCfVwsd0Fb9vUcFCrwATH1nehgpKfAc= =GH9D
-----END PGP MESSAGE-----

Der Inhalt dieser sicheren E-Mail ist mit dem signierten Beispiel identisch. Durch die Verschlüsselung ist aber nicht mehr möglich den Originaltext einzusehen. Eine zu verschlüsselnde Nachricht sollte vor dem Versand auch signiert werden. Für diesen Zweck wird der Private Key des Absenders eingesetzt, die Verschlüsselung erfolgt mit dem Public Key des Empfängers.

Information -> Signatur -> Verschlüsselung -> vertrauliche, signierte Information -> Entschlüsselung -> Überprüfung der Signatur

Der Empfänger dieser sicheren E-Mail muss für die De-Chiffrierung zunächst seinen Private Key eingeben (analog dem Beispiel der signierten Mail), anschliessend wird die Nachricht entschlüsselt. Die  Signatur des Absenders kann er anschliessend ebenfalls überprüfen.

Dienstleistungen einer Zertifizierstelle
Unter dem Begriff Zertifizierstelle (CA, Certification Authority) wird eine Verwaltungsfirma / Verwaltungsstelle verstanden welche die Schlüsselpaare der digitalen Zertifikate verwaltet. Eine Zertifizierstelle erbringt im Detail folgende Dienstleistungen
  • Überprüfung der persönlichen Daten bei einem öffentliche Amt oder einer Bank
  • Registrieren von Zertifikatsinhabern
  • Führen eines öffentlichen Verzeichnisses von Zertifikatsinhabern
  • Sperren und Erneuern von Zertifikaten
  • Dienstleistungen für die Validierung von Zertifikaten anbieten
In der Schweiz ist die Firma Swisskey eine der grössten Zertifizierstellen. Das Swisskey-Zertifikat hat bis zum Jahr 2000 jedoch noch keinen durchschlagenden Erfolg in der Welt der elektronischen Kommunikation geschafft. Einerseits liegt dies an den Kosten (CHF 35 pro Zertifikat) andererseits auch an der gesetzlichen Akzeptanz die noch fehlt.

PGP - Pretty Good Privacy
Als weit verbreiteter Standard für digitale Zertifikate, Verschlüsselung usw. hat sich die Software PGP mittlerweile einen guten Namen gemacht. Philip R. Zimmermann ist der Schöpfer des «hübschen guten Privatlebens». Während drei Jahren war Phil Zimmermann Ziel von kriminellen Untersuchungen, weil die amerikanische Regierung fest davon überzeugt war, dass PGP die strengen Exportbeschränkungen für kryptographische Software verletzt habe. PGP eroberte die Welt der Informatiker mit dem Internet - denn der Versand von mindestens signierten E-Mails war und ist ein dringender Wunsch von vielen E-Mail-Autoren.

PGP hat sich als Sicherheitssoftware etabliert, obwohl die Finanzierung der Software lange Zeit nicht gesichert war, PGP wird als Freeware vertrieben. Als die US-Regierung den Fall PGP zu Beginn des Jahres 1996 fallenliess, gründete Zimmermann PGP Inc., das Unternehmen wurde 1997 von Network Associates erworben. Zimmermann ist arbeitet jetzt als unabhängiger Berater für kryptographische Fragestellungen.

Vor der Gründung von PGP Inc., war Zimmermann ein Software Engineer mit mehr als 20 Jahren Erfahrung, spezialisiert auf Cryptography und Datensicherheit, Datenaustausch und eingebettete Echtzeitsysteme. Er hat zahlreiche Auszeichnungen für sein Vorangehen im Bereich der Kryptographie erhalten.
  • 1999 den Louis Brandeis Award von Privacy International
  • 1998 einen Lifetime Achievement Award vom Secure Computing Magazine
  • 1996 den Norbert Wiener Award vom Computer Professionals for Social Responsibility
  • 1995 den Chrysler Award for Innovation in Design
  • 1995 den Pioneer Award von der Electronic Frontier Foundation
  • 1996 den IT Excellence Award von PC Week
  • 1996 den Well-Connected Award von Network Computing  für PGP als «The Best Security Product»
  • 1995 wurde Phil Zimmermann vom Time Magazine als einer the Top-50 einflussreichsten Leute im Internet-Geschäft aufgelistet
Phil Zimmermann empfing seinen Bachelor in Informatik von der atlantischen Universität Floridas 1978. Er ist ein Mitglied der internationalen Verbindung der kryptologischen Forschung, der Verbindung für Rechneranlagen, der Liga für Programmierfreiheit. Weiterhin ist der im Direktorium des internationalen GlobalNet tätigt. Die E-Mail-Adresse von Phil Zimmermann lautet prz@pgp.com