Seid auf eurer Hut vor dem Wolf; wenn er hereinkommt, so frißt er euch alle mit Haut und Haar. Der Bösewicht verstellt sich oft, aber an seiner rauhen Stimme und seinen schwarzen Füßen werdet ihr ihn gleich erkennen.

"Der Wolf und die sieben Geißlein"

aus den Märchen der Brüder Grimm

Die alte Ziege versuchte, ihre Kinder durch einen Zugangskontrollmechanismus zu schützen: Eingelassen wird nur, wer eine feine Stimme und weiße Pfoten vorweist. Eigentlich ist ein derartiges Verfahren sehr wirksam, weil es körperliche Merkmale der Zugangsberechtigten prüft. Seine fatale Schwäche war die äußerst geringe abgefragte Informationsmenge. Eine Geiß von einem Wolf zu unterscheiden ist nicht schwer, wenn man den Einlaßbegehrenden zur Gänze sehen kann; die Geißlein waren jedoch auf nur zwei Bit programmiert: je eines für Stimmlage und Pfotenfarbe. Entsprechend benötigte der Wolf lediglich drei Versuche, um sich mit der richtigen Merkmalskombination illegitimen Zugriff zu verschaffen. Da er vor einer Morddrohung gegen den Müller ("Wenn du es nicht tust, so fresse ich dich") nicht zurückschreckte, gelang ihm auch das Fälschen dieser wenigen physischen Merkmale.

Im Datenverkehr der Computer wird mittlerweile so viel Geld und geldwerte Information bewegt, daß vergleichbare kriminelle Energien geweckt werden. Wer jedoch seine Daten und deren Übertragung gegen unbefugtes Lesen und Manipulation sichern will, hat deutlich weniger zur Verfügung als das kleine Fenster im Geißenhäuschen: Nur anhand einer Zeichenfolge, die sein Kommunikationspartner ihm über das Netz schickt, soll er Gut und Böse unterscheiden können. Eine geheime Parole (ein Password), einmal mitgehört, ist kopier- und wiederverwendbar; da ist es tatsächlich sicherer, Fragen zu stellen, die aus physikalischen Gründen nur der legitime Benutzer richtig beantworten kann ("Zeig uns erst deine Pfote, damit wir wissen, daß du unser liebes Mütterchen bist"). Allerdings müssen es, eben wegen der Abhörbarkeit, Fragen sein, die noch nie zuvor gestellt worden sind. Erschwerend kommt hinzu, daß man im allgemeinen keine Gelegenheit hat, sich mit seinem Partner vorab und abhörsicher über ein Sortiment von Fragen und richtigen Antworten zu verständigen.

Wer über seinen Computer mit einem Partner – Mensch oder Maschine – irgendwo in der Welt kommuniziert, hat also drei wesentliche Anforderungen an die Sicherheit des Systems: Er will die Gewißheit haben,

-  daß kein Unbefugter die ausgetauschten Informationen mitlesen oder verändern kann,

-  daß der Partner am anderen Ende der Leitung derjenige ist, der er zu sein vorgibt und

-  daß ein Partner, mit dem er noch nie Kontakt hatte, gleichwohl vertrauenswürdig ist.

Die Vergewisserung über die Identität oder Vertrauenswürdigkeit des Partners oder der von ihm vorgelegten Merkmale wird als Authentifizierung bezeichnet.

Im Gegenzug muß man die gleichen Bedürfnisse auch seinem Partner zugestehen und das Seine zu ihrer Befriedigung tun.

Dabei ist Authentifizierung die höherrangige Anforderung. Denn die Vergewisserung kann – über ein sogenanntes Schlüsselaustauschprotokoll – so ausgestaltet werden, daß den Partnern hinterher ein exklusiver Schlüssel zur Chiffrierung der zu übermittelnden Daten zur Verfügung steht.

Diese klassischen Sicherheitsprobleme betreffen keineswegs mehr nur den Datenaustausch in Geheimdiplomatie, Spionage oder Hochfinanz. Eine simple Auszahlung am Geldautomaten ist bereits eine elektronische Kommunikation zwischen zwei Parteien, in deren Verlauf das erforderliche Vertrauen erst aufgebaut werden muß.

Das geschieht bislang in sehr einseitiger Weise: Der Automat vergewissert sich durch Abfragen der Geheimzahl, daß der Mensch, der soeben die Karte eingeschoben hat, ihr legitimer Inhaber ist; dieser jedoch muß in aller Regel blind darauf vertrauen, daß der Automat nicht etwa zu dem Zweck manipuliert worden ist, die Karte samt Geheimzahl für späteren Mißbrauch einzubehalten.

Dieses klassisch-autoritäre Modell – hier der einzelne, der sich legitimieren muß, da die behördenähnliche Institution, der zu vertrauen selbstverständlich ist – war angemessen zu einer Zeit, als Computer tatsächlich behördenähnlich organisiert und vor allem nicht untereinander verbunden waren. Mittlerweile ist jedoch das Internet, der weltweite Netzverbund der Computer, zu gigantischer Größe angewachsen und wächst noch weiter; da wäre es naiv, darauf zu bauen, daß keine der an einer Kommunikation beteiligten Maschinen manipuliert ist (siehe "Piraten im Datennetz" von Paul Wallich, Spektrum der Wissenschaft, Mai 1994, Seite 64). Entsprechend sind die Sicherheitsbedürfnisse beider Partner einer elektronischen Kommunikation als gleichberechtigt anzusehen.

Ein Password ist unsicher

Solange beide sich unter dem Dach einer gemeinsamen Institution befinden, kann das elektronische Äquivalent einer zentralen Ticket-Ausgabestelle Authentifikation und in deren Gefolge Vertraulichkeit bereitstellen. Das ist das Prinzip des Protokolls Kerberos im System Athena des Massachusetts Institute of Technology (siehe "Sicherheit im Daten-Nahverkehr" von Jeffrey I. Schiller, Spektrum der Wissenschaft, Januar 1995, Seite 50).

Dasselbe Verfahren für die mehreren hundert Millionen Benutzer des Internet zu praktizieren wäre offensichtlich absurd. Es ist schon technisch unmöglich, eine zentrale Benutzerdatei sowie ein zentrales Schlüsselregister für die ganze Welt einzurichten und Tag und Nacht bereitzuhalten. Mehr noch: Eine solche Konzentration sensibler persönlicher Daten würde auch die aufwendigsten kriminellen Attacken lohnend machen – nicht umsonst steckt bereits der zentrale Server des Systems Athena im Panzerschrank. Dieser sogenannte Big-Brother-Effekt ist unvermeidlicher Schwachpunkt aller derartigen Netzwerk-Sicherheitssysteme.

Mehr noch: Das Password oder die Geheimzahl, womit der Benutzer sich an einem Terminal oder Geldautomaten legitimiert, ist unter Netzwerkbedingungen untauglich. Ein typisches System besteht aus vielen lokalen Netzen, über deren Peripherie hinaus Benutzer nicht mehr bekannt sind. Trotzdem soll, der Mobilität zuliebe, jeder Benutzer sicheren Zugang an jeder Stelle des Systems haben. Er kennt jedoch fremde Terminals nicht und muß deshalb befürchten, daß Dritte (illegale Mitbenutzer) ein Terminal oder eine Zwischenstation auf dem Datenweg darauf programmiert haben, die Kombinationen von Passwords und Benutzernamen für späteren Mißbrauch zu speichern. Programme mit derartigen Fähigkeiten sind unter dem Namen "Paketschnüffler" (packet sniffers) bekanntgeworden. Also darf er in seinem eigenen Interesse sein Password nicht eintippen, allgemeiner: Er darf kein Merkmal von sich preisgeben, mit dessen Kopie ein anderer sich für den legitimen Benutzer ausgeben könnte. Über solche sogenannten Mafia-Attacken bei Geldausgabeautomaten hat die Presse schon öfter berichtet.

Auch der Partner am anderen Ende der Leitung hat ein Interesse daran, daß der Benutzer sein Password nicht preisgeben muß. Eine Bank zum Beispiel könnte sonst der sogenannten Terrorismus-Attacke zum Opfer fallen: Ein Kunde gibt eine Kopie seiner Scheckkarte mitsamt Geheimzahl einem Dritten weiter und will dann für dessen Abhebungen nicht geradestehen mit der Ausrede, die Geheimzahl müsse an einem manipulierten Geldautomaten gespeichert und einem unbekannten Kriminellen zugänglich gemacht worden sein. Die Bank kann ihm das nicht widerlegen: Sie selbst fordert ja die Preisgabe der Geheimzahl bei jeder Auszahlung.

Am Europäischen Institut für Systemsicherheit (E.I.S.S.) in Karlsruhe haben wir die Problematik bereits in dem 1986 inaugurierten EUREKA-Projekt OASIS (Open and Secure Information Systems) aufgegriffen. Zwar ist das Projekt inzwischen eingestellt worden, doch haben wir in den letzten Jahren eine Lösung erarbeitet.

Unser Netzwerksicherheitssystem SELANE (Secure Local Area Network) soll im folgenden beschrieben werden. Der Name spielt auch an auf die Mondgöttin Selene, die sich gleichberechtigt zwischen ihren Geschwistern Eos und Helios im offenen Himmel bewegt. Und ebenso wie Selene sich ihren Geliebten Endymion wählte, haben die Partner einer Kommunikation Freiheit in der Auswahl ihrer Chiffrierverfahren.


Gemeinsame geheime Schlüssel

Der Übersichtlichkeit halber sei zunächst die Lösung des Vertraulichkeitsproblems dargestellt. Alice und Bob (so pflegen die Kryptographen die Partner einer Kommunikation zu nennen) sind weit voneinander entfernt; ihre einzige Verbindung besteht in einer abhörbaren Leitung. Wie können sie einander über diese Leitung einen Schlüssel – das heißt eine Zeichenfolge, mit der sie nachfolgende Nachrichten chiffrieren – so übermitteln, daß er mit Sicherheit nur ihnen beiden bekannt ist?

Aus der Perspektive des Computers sind eine Nachricht, ein Schlüssel, der weiter unten besprochenene digitale Ausweis und die zugehörige digitale Unterschrift nichts weiter als Bit-Ketten, Folgen aus den Ziffern 0 und 1. Es ist hilfreich, sie als (sehr große, typischerweise 600 Bit lange) ganze Zahlen zu interpretieren, da diese innerhalb des Computers in derselben Weise dargestellt werden. Alles, was man mit diesen Zeichenketten tut, läuft auf Rechenoperationen mit den zugehörigen Zahlen hinaus. Kryptographie ist zu einem wesentlichen Teil die Kunst, die altbekannten Gesetze der Arithmetik in ungewohnter Umgebung zu verwenden – mit gelegentlich überraschenden Resultaten.

Martin E. Hellman und seine damaligen Studenten Whitfield Diffie und Ralph Merkle entwickelten in den siebziger Jahren an der Universität Stanford (Kalifornien) ein Verfahren, mit dem Alice und Bob sich beide den Besitz desselben Schlüssels verschaffen können, ohne daß er selbst oder Information zu seiner Rekonstruktion über die Leitung transportiert wird.

Entscheidend ist dabei die Verwendung einer sogenannten Einwegfunktion. Eine solche Funktion ist zwar ohne großen Aufwand berechenbar, ihre Umkehrung zu berechnen ist jedoch praktisch unmöglich. Sie verwandelt ihren Gegenstand gewissermaßen in ein Zerrbild (die Mathematiker verwenden die Begriffe "Funktion" und "Abbildung" synonym), aus dem er unter keinen Umständen wiederzuerkennen oder zu rekonstruieren ist. Auf einen Klartext angewandt würde eine solche Funktion einen Chiffretext liefern, den niemand mehr entziffern kann – auch der legitime Empfänger nicht. Als Chiffrierverfahren ist also eine Einwegfunktion absolut sicher und zugleich absolut nutzlos, wie eine Tresortür, die einmal ins Schloß fällt und mit keinem Mittel wieder zu öffnen ist (Kasten Seite 50/51).

Nur kurz angemerkt sei, daß es auch das Äquivalent von Türen gibt, die zuschnappen, aber mit einem Spezialschlüssel wieder zu öffnen sind. Die Umkehrung einer solchen sogenannten Falltürfunktion ist also dann (aber nur dann) praktisch berechenbar, wenn man eine geheime Zusatzinformation zur Verfügung hat. Die Kryptographie mit veröffentlichtem Schlüssel (public-key cryptography, vergleiche Spektrum der Wissenschaft, Januar 1989, Seite 6) basiert auf Falltürfunktionen; in diesem Artikel soll von ihnen jedoch nicht weiter die Rede sein.

Anders als bei der Übermittlung normaler Information kommt es beim Schlüsselaustausch nicht auf den Inhalt einer Zeichenkette an, sondern nur darauf, daß sie beiden Beteiligten bekannt ist und niemandem sonst. Dazu nimmt Alice eine öffentlich verfügbare Zeichenkette, wendet ihre Einwegfunktion (die ihr persönliches Geheimnis enthält) darauf an und schickt das Ergebnis an Bob; der wendet seine Einwegfunktion darauf an und speichert das Endergebnis. Dieselbe Aktion findet mit vertauschten Rollen statt. Am Ende haben beide dieselbe Zeichenkette gespeichert – vorausgesetzt, es ist einerlei, in welcher Reihenfolge man die beiden Einwegfunktionen anwendet (Bild 2).

Einwegfunktionen mit dieser Eigenschaft heißen kommutativ. Die interessanteste unter ihnen ist ein Abkömmling der in der klassischen Mathematik wohlbekannten Exponentialfunktion (Kasten Seite 50/51). Aus einer Addition wird durch ihre Wirkung eine Multiplikation; die eine Operation ist so kommutativ wie die andere. Die Exponentialfunktion ermöglicht also das Kunststück, einen Text bis zur Unkenntlichkeit zu verschlüsseln und trotzdem gewisse seiner Struktureigenschaften in den Chiffretext zu retten.

Das geniale und im Prinzip absolut sichere Verfahren von Diffie und Hellman läßt allerdings ein Problem ungelöst: Wie kann Alice sicher sein, daß tatsächlich Bob der Absender der Nachricht ist, aus der sie ihre Version des gemeinsamen Schlüssels herstellt? Noch vermag sich ein Eindringling zwischen beide Partner zu schalten, sich gegenüber jedem für den jeweils anderen auszugeben und ihre Kommunikation nach Belieben zu manipulieren (Bild 3). Für die Vertraulichkeit ist also die Authentizität zwingende Voraussetzung. Wie aber kann man die ohne Password oder andere kopierbare Merkmale gewinnen?


Passport statt Password

In dieser Situation, die vielen als fast unlösbar erschien, fiel uns auf, daß ein Zugangssystem mit ähnlichen Anforderungen weltweit täglich erfolgreich benutzt wird: im internationalen Reiseverkehr unter Verwendung von modernen Pässen. Als physischer Gegenstand ist ein solches Dokument erheblich schwerer fälschbar als ein – beliebig kopierbarer – Datensatz. Paßbild und Unterschrift schaffen eine authentische Verbindung mit dem Inhaber, die durch die übrigen Merkmale – Insignien des Staates, Stempel und Unterschrift der ausstellenden Behörde – beglaubigt wird. Verschiedene Länder erkennen ausländische Pässe an. Die Paßbehörde eines Landes kann einen Paß unbenutzbar machen, indem sie seinen Inhaber auf die internationale Fahndungsliste setzt, aber sie muß nicht rund um die Uhr zur Gültigkeitsbestätigung bereitstehen.

Selbst das raffinierteste kryptographische Verfahren kann Vertrauen nicht aus dem Nichts schaffen; es ist jedoch möglich, einen Beweis dafür sicher über unsichere Kanäle zu transportieren. Ein Kontoinhaber kann eine Lieferfirma vielleicht nicht davon überzeugen, daß er Geld hat, wohl aber, daß er bei seiner Heimatbank kreditwürdig ist. Ein Paß beweist – strenggenommen – nicht, daß zu dem abgebildeten Gesicht der dazu verzeichnete Name gehört, sondern daß die ausstellende Behörde dieser Überzeugung ist.

Wir entschlossen uns deshalb bereits im Winter 1986/87, nach dem Vorbild des Reisepasses einen physischen Gegenstand als Schlüssel und Authentifikationseinheit für offene und sichere Netze zu realisieren. Das kann eine Plastikkarte mit eingebautem Chip oder eine entsprechend ausgestattete Armbanduhr sein (Bilder 4 und 5). Als Benennung wählten wir "Token", denn das englische Wort bezeichnet sowohl eine Wertmarke als auch einen Beweis, allgemein einen materiellen Gegenstand mit Beweiskraft. Im Gegensatz zur Chipkarte ist die Armbanduhr – normalerweise – physisch eng an den Körper des Berechtigten gekoppelt, was einem Gelegenheitsdieb das Handwerk erschwert.

An die Stelle der Paßbehörde tritt eine sichere Schlüsselausgabestelle (Secure Key Issuing Authority, SKIA); das ist beispielsweise der Verwalter eines lokalen Netzes. Die SKIA stellt jedem Teilnehmer – ob Person, Terminal oder Rechner – des Netzes, für das sie zuständig ist, eine elektronisch-algorithmische Authentifikationseinheit aus. Wäre diese, analog zu einem mechanischen Schlüssel, ein physisch – etwa auf dem Chip einer Plastikkarte – gespeichertes festes Password, so wäre nichts gewonnen; denn auch der Schreib- und Leseschutz eines Speicherbausteins ist nichts weiter als eine Anweisung an den Zugriffsmechanismus, den Inhalt nicht direkt zu lesen. Das Terminal, in das diese Karte eingeschoben wird, kann aber so umprogrammiert sein, daß es diese Anweisung mißachtet und das Password liest, speichert oder an Unbefugte weiterreicht.

Die in dem Artikel über das System Athena beschriebenen Tickets mit Zeitstempel, die jeden Mißbrauch auf etwa zehn Stunden begrenzen, reichen zur Absicherung von vertraulichen Planungsunterlagen, datenschutzrelevanten Kundendateien oder Klausurtexten nicht aus. Auch die zusätzliche Abfrage eines Kennworts bietet keinen Schutz gegen Terrorismus-Attacken.

Diese kurze Analyse zeigt, daß praktisch jede passive und statische Authentifikationseinheit – ob sie nun im Kopf des Benutzers oder auf einem Chip steckt – unsicher ist. Die Lösung war darum nur von einer aktiven Einheit zu erwarten, die an einem dynamischen Identifikationsprozeß mit veränderlichen Testdaten teilnimmt. Der Chip in einer Uhr oder in der von uns entwickelten ICE-Card enthält nach wie vor ein Geheimnis (Password, Geheimzahl oder zufallsbestimmte Zeichenkette), durch dessen Besitz sich der Inhaber legitimiert. Er ist technisch unfähig, es direkt preiszugeben; statt dessen kann er gewisse spezielle Fragen über Eigenschaften des Geheimnisses beantworten. Wer die Identität des Chip-Inhabers überprüfen will, stellt derartige Fragen (challenge-response-Prinzip). Sie sind so konstruiert, daß man nachzuprüfen vermag, ob die Antworten richtig sind, ohne das Geheimnis zu kennen, und aus den Antworten das Geheimnis auch nicht erschließen kann.

Die vertrauensbildende Interaktion findet im Prinzip zwischen drei Beteiligten statt: der Paßausgabestelle SKIA, einem Netzteilnehmer – wieder Alice genannt –, der seine Vertrauenswürdigkeit beweisen will, und einem anderen (Bob), der das nachprüft. Jeder Teilnehmer hat ein legitimierendes Geheimnis, das inhaltlich völlig belanglos ist. Er behält das Geheimnis für sich, veröffentlicht jedoch dessen Bild unter einer (bekannten) Einwegfunktion. Das genügt zur Nachprüfung, hingegen nicht zur Rekonstruktion des Geheimnisses, weil man aus einem Zerrbild nicht das Urbild rekonstruieren, wohl aber zwei (möglicherweise mehrfach verzerrte) Bilder auf Gleichheit überprüfen kann.

Bevor die SKIA den ersten Ausweis ausstellt, legt sie sich gleichsam einen unnachahmlichen Krakel, eine unfälschbare Unterschrift, zu: Sie führt ein Zufallsexperiment durch, dessen Ergebnis – es werde x genannt – sie geheimhält. Dann gibt sie bekannt, daß sie Ausweise mit Hilfe von x unterzeichnen wird, veröffentlicht aber nicht x selbst, sondern dessen Bild y unter der (Einweg-)Exponentialfunktion. Genaugenommen ersetzt y zugleich das Dienstsiegel und die Unterschrift einer klassischen Behörde.

Jeder, der Ausweise dieser SKIA zu überprüfen gedenkt, speichert y, ebenso wie jede ausländische Grenzkontrollstelle ein Muster eines deutschen Reisepasses kennt. Eine weitere direkte Kommunikation mit der SKIA ist nicht erforderlich; das System funktioniert auch dann noch weiter, wenn die Paßbehörde vorübergehend ausfällt.

Das Prinzip einer digitalen, mit Hilfe der Exponentialfunktion erzeugten Unterschrift, die man zwar überprüfen, aber nicht nachmachen kann, hat Taher ElGamal 1985 an der Universität von Kalifornien in Berkeley gefunden. Das am E.I.S.S. 1988 entwickelte digitale Unterschriftsverfahren EES (exponentielle elektronische Signatur) wurde ursprünglich für ein deutsches Bankenkonsortium vorgeschlagen; aber erst als sich zwischen 1990 und 1992 die amerikanische Normungsbehörde NIST durch die Veröffentlichung ihres digitalen Unterschriftsverfahrens DSA (digital signature algorithm) auf die Exponentialchiffre als Hauptwerkzeug festlegte, wurde dieses Prinzip international akzeptiert. Einzelheiten dieser Prozedur sowie der folgenden finden sich im untenstehenden Kasten.

Wenn nun Alice bei der SKIA einen Ausweis beantragt, läuft das darauf hinaus, daß sie eine Nachricht vorlegt und um deren Beglaubigung bittet. Die Nachricht könnte zum Beispiel aus einem Paßbild bestehen und einer Auskunft wie "Der Mensch mit diesem Gesicht heißt Alice Wunderkind, ist am 13. März 1961 geboren und darf das Land verlassen" oder "Zahlen Sie dem Inhaber dieses Ausweises bis zu 1000 DM auf mein Risiko" oder "Der Inhaber dieses Ausweises ist bei unserer Universität unter der Nummer 260425 immatrikuliert und bisher nicht beim Mogeln in einer Klausur ertappt worden". Daraufhin übergibt die SKIA Alice einen Ausweis, der die Nachricht m lesbar sowie eine von m und x abhängige geheime Nachricht s in unzugänglicher Form enthält.

Alice besitzt damit zwar das Geheimnis, aber selbst sie kennt es nicht und kann es auf keinem Wege ermitteln. Das macht sie von vornherein über den Verdacht erhaben, sie hätte es in krimineller Absicht weitergegeben. Die SKIA ihrerseits löscht die geheimen Daten und macht damit jede Art von Einbruch zwecklos: Sie ist unfähig, die Rolle des Big Brother zu spielen.

Um Bob davon zu überzeugen, daß sie einen gültigen Ausweis besitzt, legt Alice ihm m vor sowie anstelle von s, das sie weder preisgeben kann noch darf, ein spezielles Zerrbild von s. Bob verzerrt seinerseits die vorgelegten Daten sowie das von der Paßbehörde vorab verbreitete y so, daß auf die Daten aus beiden Quellen im Prinzip dieselben Verzerrungen angewendet werden, allerdings in unterschiedlicher Reihenfolge. Beide Ergebnisse müssen also übereinstimmen; da es sich um sehr lange Zahlen handelt, ist so gut wie ausgeschlossen (die Wahrscheinlichkeit ist 2-600 oder ungefähr 10-180), daß man die Überprüfung mit anderen als den echten Daten besteht.

Bob darf also sicher sein, daß die vorgelegten Daten von einem gültigen Ausweis stammen. Ein Betrüger könnte jedoch eben diese Daten bei einer früheren Kontrolle mitgeschrieben haben und sie jetzt wieder abspielen, um sich für Alice auszugeben (die sogenannte Replay-Attacke). Deshalb stellt Bob ihr Kontrollfragen, die man nur mit Hilfe von s richtig beantworten kann.

Bob hat dabei null Ahnung (zero knowledge) von s; er kann und darf sie im Verlauf des Verfahrens auch nicht erwerben. Für den theoretischen Beweis, daß und wie er trotzdem Sicherheit über Alices Identität gewinnen kann, ist der israelische Informatiker Avi Wigderson 1994 mit der Nevanlinna-Medaille ausgezeichnet worden (Spektrum der Wissenschaft, Oktober 1994, Seite 22).

Die erste praktikable Realisierung des Zero-Knowledge-Prinzips habe ich 1987/88 entwickelt. Dabei werden die widerstreitenden Interessen von Alice und Bob durch ein poker-ähnliches Wechselspiel zur Deckung gebracht. Alice legt gleichsam eine Anzahl von Karten verdeckt vor Bob hin. Dabei hat sie zwar die Möglichkeit zu bluffen, muß aber damit rechnen, daß Bob sie auffordert, gewisse Karten offenzulegen, und damit den Bluff entlarvt; dadurch ist sie zur Ehrlichkeit gezwungen. Eine verdeckte Karte dagegen kann sie nutzen, um ihr Geheimnis zu verschleiern und in dieser Form verifizierbar, aber unaufdeckbar an Bob zu übergeben.

Einer sicheren und vertraulichen Kommunikation müssen mithin drei Schritte vorausgehen: Bob vergewissert sich der Identität Alices, indem er ihren Ausweis überprüft; Alice verfährt in gleicher Weise mit Bob; beide vereinbaren nach dem Diffie-Hellman-Protokoll (Bild 2) einen Schlüssel, mit dem sie den nun folgenden eigentlichen Informationsaustausch vor Abhören und Manipulation schützen.

In Fortentwicklung dieser Ideen haben Fritz Bauspieß, Christoph Günther, Hans-Joachim Knobloch und ich ein Verfahren erarbeitet, das durch geschickte algebraische Umformungen alle drei Schritte in einen zusammenfaßt. Das Protokoll KATHY (die Buchstabenfolge steht für ATH wie Authentifikation eingebettet in KY wie key exchange, Schlüsselaustausch) arbeitet mit so geringem Rechenaufwand, daß ein Chip auf einer Plastikkarte ihn in Bruchteilen einer Sekunde erledigen kann. Selbst das explizite Berechnen irgendwelcher Zeichenketten zu dem einzigen Zweck, sie auf Gleichheit zu überprüfen, ist nicht mehr erforderlich: Am Ende der Vorbereitungsphase verfügen beide Beteiligten dann und nur dann über einen gemeinsamen Schlüssel, wenn beider Ausweise in Ordnung sind. Das Scheitern einer Authentifizierung macht sich also einfach dadurch bemerkbar, daß anstelle einer echten Nachricht sinnlose Zeichenketten aus der Dechiffrierung hervorgehen.

Um das System SELANE in der Praxis anwendbar zu machen, haben wir die Protokolle in Software und Hardware in praktisch alle gängigen Netzwerkprotokolle für Kommunikations- und Rechnerbetrieb integriert. Aus Kostengründen haben wir uns zunächst dafür entschieden, das intelligente Token in Form einer Chipkarte zu realisieren. Zugleich entwickelten wir ein preisgünstiges Chipkarten-Lesegerät namens ICEBox, das über eine übliche serielle Schnittstelle mit jeder Workstation verbunden werden kann (Bild 5). Das System läuft im Testbetrieb im Netz der Universität Karlsruhe; ein Feldversuch mit ungefähr 1000 Chipkarten und 130 ICE-Lesegeräten sowie mit ausgewählten Partnern in Europa, Amerika und Australien ist geplant.


Vertrauensketten: Ausweis über einen Ausweis

In der bisher beschriebenen Form hängt das Authentifikationsverfahren daran, daß Bob die Heimatbehörde von Alice – insbesondere den öffentlichen Teil y ihrer Unterschrift – kennt und ihr vertraut. Wer also digitale Ausweise von Angehörigen deutscher Universitäten überprüfen will, muß von jeder SKIA der Universitätsrechenzentren die digitale Unterschrift vorrätig haben. Das kann den begrenzten Speicherplatz einer Chipkarte bereits überfordern.

Im internationalen Verkehr wird das Verfahren vollends unpraktikabel: Wenn ein Angehöriger der Universität Karlsruhe sensible Daten an einen Unbekannten herausgeben soll, der sich mit einer Chipkarte des Oakwood College in Huntsville (Alabama) ausweist, wird er kaum feststellen können oder wollen, ob diese Institution überhaupt existiert und auf ihre Angehörigen sorgfältig aufpaßt. Umgekehrt wird es einer amerikanischen Firma nicht ausreichen, wenn Alice bei der Aufgabe einer Bestellung nachweist, daß sie bei der Kreissparkasse Rastatt Kredit hat. Die SKIAs selbst müssen sich also legitimieren – und zwar, indem sie sich ihrerseits bei einer übergeordneten SKIA einen Ausweis verschaffen.

So wäre für alle deutschen Universitäten eine gemeinsame Paßausgabestelle einzurichten. Die SKIA jeder einzelnen Universität läßt sich – in der Rolle eines Paßantragstellers – ihre Vertrauenswürdigkeit von dieser Zentrale beglaubigen. Sie erhält also von dieser eine öffentliche Nachricht K und eine geheime, nicht direkt zugängliche Nachricht sK, entsprechend den Nachrichten m und s, die eine gewöhnliche SKIA an einen gewöhnlichen Benutzer ausgibt. Das Geheimnis sK tritt nun an die Stelle des Geheimnisses x, das die SKIA sich in der bisherigen Beschreibung durch Würfeln verschafft hat.

Bob braucht nun den öffentlichen, zu x gehörigen Teil y der Unterschrift nicht wie bisher vertrauensvoll hinzunehmen. Er muß ihn noch nicht einmal vorrätig halten, sondern kann ihn bei Bedarf aus öffentlich zugänglichen Daten dieser SKIA sowie der übergeordneten Behörde ausrechnen. Das Verfahren gleicht dem der Authentifikation eines gewöhnlichen Benutzers. Zusätzlich zu y hat er die Gewißheit, daß die zugehörige SKIA das Vertrauen der übergeordneten Zentrale genießt.

Das Schema läßt sich auf beliebig verzweigte Hierarchie-Bäume erweitern. So würde etwa die deutsche Zentrale sich durch den digitalen Ausweis einer europäischen Ausweisausgabestelle legitimieren und diese wiederum durch den einer weltweiten Organisation. Im Ergebnis müßte der Nachprüfer eines Ausweises nur noch eine relativ begrenzte Anzahl digitaler Unterschriften wirklich kennen (und deren Urhebern Vertrauen schenken), nämlich die bis zum kleinsten gemeinsamen Vorgesetzten beider Kommunikationspartner. Die Authentifikationshierarchie kann der baumartigen Namensstruktur des Internet genau nachgebildet werden (Kasten Seite 55 ).

Abermals müssen die SKIAs, die jetzt die Glieder der Vertrauenskette bilden, zur Zeit des Verbindungsaufbaus nicht aktiv sein. Dieser wesentliche Unterschied zu Athena mit Kerberos macht SELANE zu einem wirklich offenen sicheren System.


Lineare Gleichungen und die Stellvertreter des Direktors

Schon immer wird die Verantwortung für große Beträge oder folgenschwere Verpflichtungen auf mehrere Schultern verteilt: Ein Tresor ist nur mit zwei Schlüsseln zu öffnen, die in den Händen verschiedener Bankangestellter sind; um die Unterschrift des Direktors zu ersetzen, müssen mindestens zwei von insgesamt drei Stellvertretern unterzeichnen. Es ist durchaus möglich, digitale Schlüssel und Unterschriftensysteme mit genau diesen Eigenschaften zu konstruieren. Wiederum sind dabei die algebraischen Eigenschaften der Exponentialfunktion entscheidend.

Für das Folgende ist es hilfreich, sich eine Zeichenkette nicht als eine einzige Zahl, sondern als – beispielsweise – drei Zahlen vorzustellen: Man zerlege die ganze Zeichenkette einfach in drei gleich lange Teile, die wieder als entsprechend kleinere Binärzahlen zu interpretieren sind. Von Gustavus J. Simmons von den Sandia-Laboratorien in Albuquerque (New Mexico) stammt die Idee, diese als Koordinaten eines Punktes in einem dreidimensionalen Raum aufzufassen. Insbesondere ist also ein Geheimnis ein Punkt P in diesem Raum (Bild 6). Nur der Direktor ist im Besitz von P.

Nun sind aber alle Geheimnisse so konstruiert, daß sie auf einer öffentlich bekannten Geraden g liegen. (Diese Einschränkung ist nicht weiter problematisch; es bleiben immer noch genug geheime Zeichenketten zur Auswahl übrig, so daß einem Kriminellen, der das Geheimnis erschließen möchte, die Arbeit nicht wesentlich erleichtert wird.) Man lege eine Ebene durch den Raum, die g im Punkt P schneidet, und wähle willkürlich drei Punkte P1, P2 und P3 in dieser Ebene, die ihrerseits nicht alle auf einer Geraden liegen. Jedem der drei Stellvertreter werden zwei dieser drei Punkte ausgehändigt.

Durch die drei Punkte P1, P2 und P3 ist die Ebene eindeutig bestimmt. Sowie sich also zwei von drei Stellvertretern zusammentun, verfügen sie gewissermaßen über die Ebene. Sie kennen sie allerdings nicht, denn die Geheimnisse sind – wie beschrieben – nur indirekt zugänglich. Wenn sie auch noch den Schnittpunkt der Ebene mit der Geraden g bestimmen könnten, hätten sie P und damit das Geheimnis des Direktors zu ihrer Verfügung.

Eben das ist jedoch nicht möglich. Die Bestimmung des Schnittpunkts einer Ebene und einer Geraden läuft nämlich algebraisch auf die Lösung eines linearen Gleichungssystems hinaus. Das sind Gleichungen, in denen die unbekannten Koordinaten des Punktes mit gewissen bekannten Zahlen – sogenannten Koeffizienten – multipliziert und die Ergebnisse addiert werden. Ein solches Gleichungssystem zu lösen ist im Prinzip nicht schwer; nur muß man an einer entscheidenden Stelle beide Seiten einer Gleichung durch einen Koeffizienten dividieren, damit die Unbekannte isoliert auf einer Seite steht.

Die Beteiligten an der Interaktion haben indes die bekannten Punkte und damit die Koeffizienten des Gleichungssystems gar nicht zur Verfügung, sondern nur ihre Zerrbilder unter der Exponentialfunktion. Die gesetzmäßige Beziehung, die durch eine lineare Gleichung ausgedrückt wird, bleibt allerdings trotz Verzerrung erhalten; man spricht von der Homomorphieeigenschaft der Exponentialfunktion. Aus einer Addition wird eine Multiplikation und aus einer Multiplikation eine Exponentiation, denn aab+cd=(aa)b(ac)d.

Das Äquivalent des Dividierens ist allerdings praktisch unmöglich, denn das wäre die Berechnung des diskreten Logarithmus. Folglich kann man, wenn man nur Zerrbilder zur Verfügung hat, auch den Schnittpunkt einer Geraden und einer Ebene nicht bestimmen. Selbst wenn also ein Stellvertreter einem anderen seine Geheimnisse offenlegt, vermag keiner von beiden sich dadurch die Privilegien des Direktors anzueignen.

Trotzdem ist es ohne weiteres möglich festzustellen, ob ein gegebener Punkt in einer vorgelegten Ebene liegt. Dazu muß man nämlich kein Gleichungssystem lösen, sondern nur nachsehen, ob beide Seiten einer vorgelegten – ursprünglichen oder verzerrten – Gleichung tatsächlich gleich sind. Ein Nachprüfer kann dadurch mithin die Gewißheit gewinnen, daß die nachfolgende Nachricht von der Firma – in Gestalt der beiden Stellvertreter – autorisiert ist. Eine entsprechend programmierte Automatik öffnet eine Tresortür, wenn zwei gültige Chipkarten eingeschoben werden; und selbst wer den Datentransfer zwischen Kartenlesegerät und Tresorautomat mitschreibt, kann hinterher den Tresorautomaten nicht überlisten.

Das Prinzip läßt sich auf beliebige Anzahlen (Gesamtzahlen und erforderliche Mindestzahlen) von Stellvertretern verallgemeinern. Damit eröffnet die Exponentialchiffre zusammen mit den beschriebenen Authentifikationsprotokollen Aussichten auf die Lösung eines Problems, das derzeit heftig diskutiert wird.

Auf der einen Seite steht das Interesse des einzelnen an vertraulicher Kommunikation, auf der anderen das von Geheimdiensten und Strafverfolgungsbehörden an der Aufdeckung dieser Kommunikation im Falle von Straftaten. Dieser alte Konflikt hat durch die Verfügbarkeit effizienter Chiffrierverfahren neue Gestalt angenommen.

In der Befürchtung, das Abhören von Telephon- und Datenleitungen würde der Polizei und den Geheimdiensten schon bald nur noch unbrauchbare Chiffretexte einbringen, versucht die amerikanische Regierung mit verschiedenen Mitteln, Kenntnisse über Chiffriermethoden auf einen möglichst kleinen Kreis zu beschränken. Zugleich versucht sie dem Verschlüsselungssystem Clipper ein Monopol am Markt zu verschaffen. Dessen Einzelheiten werden geheimgehalten; es ist lediglich bekannt, daß es mit einer falltürähnlichen Verschlüsselung arbeitet; eine besonders gesicherte Stelle verwahrt die Nachschlüssel und gibt sie nur auf richterliche Anordnung heraus.

Diese Auskünfte sind nicht geeignet, dem System Clipper Vertrauen und entsprechende Akzeptanz zu verschaffen. Immerhin ist nicht auszuschließen, daß es außer dem Nachschlüssel, dessen Existenz die Regierung einräumt, weitere Möglichkeiten der Entschlüsselung gibt, die dann beispielsweise ein Geheimdienst auch ohne richterliche Anordnung nutzen könnte. Demgegenüber ist auf der Basis der Exponentialchiffre ein System konstruierbar, zu dem nachweislich und für jedermann nachprüfbar nur unter speziellen Bedingungen Nachschlüssel überhaupt herstellbar sind. Die Geschäftswelt könnte sich also unbedenklich auf ein derartiges System einlassen.

Man würde beispielsweise alle Mitglieder des zuständigen Bundestagsausschusses mit Chipkarten ausstatten. Die darin niedergelegten Geheimnisse wären so konstruiert, daß das Entschlüsseln eines speziellen Gesprächs erst dann möglich ist, wenn eine Mehrheit der Ausschußmitglieder dem zustimmt. Die Verteilung der Verantwortung auf hinreichend viele Schultern macht auch den Geheimnisbruch durch Gewaltanwendung, Erpressung oder Bestechung erheblich mühsamer.

Mit der Vernetzung und der zunehmenden Leistungsfähigkeit der Computer sind also die häufig beschworenen Gefahren wie Überwachungsstaat einerseits und organisierte Kriminalität andererseits keineswegs zwangsläufig verbunden. Man muß sich nur etwas mehr Mühe geben, sie zu vermeiden.

Die Geißlein sagten: "Liebe Mutter, wir wollen uns schon in acht nehmen, Ihr könnt ohne Sorge fortgehen." Da meckerte die Alte und machte sich getrost auf den Weg.

Literaturhinweise

- Public Key Cryptography: State of the Art and Future Directions. E.I.S.S.-Workshop, Oberwolfach, July 1991. Final Report. Herausgegeben von Thomas Beth, Markus Frisch und Gustavus J. Simmons. Springer Lecture Notes in Computer Science, Band 578. Springer, Heidelberg 1992.

– Kryptologie. Von F. L. Bauer. Springer, Heidelberg 1993.

– Kryptographie. Von Thomas Beth, Peter Heß und Klaus Wirl. Teubner, Stuttgart 1983.

– Contemporary Cryptology. The Science of Information Integrity. Herausgegeben von Gustavus J. Simmons. IEEE Press, New York 1992.

– Efficient Zero-Knowledge Identification Scheme for Smart Cards. Von Thomas Beth in: Advances in Cryptology – Eurocrypt '88. Herausgegeben von Christoph Günther. Springer Lecture Notes in Computer Science, Band 330. Springer, Heidelberg 1988, Seiten 77 bis 84.

– A Public Key Cryptosystem and a Signature Based on Discrete Logarithms. Von Taher ElGamal in: IEEE Transactions on Information Theory, Band 31, Seiten 469 bis 472, 1985.

– A Method for Obtaining Digital Signatures and Public-Key Cryptosystems. Von Ron L. Rivest, Adi Shamir und Leonard Adleman in: Communications of the ACM, Band 21, Seiten 120 bis 126, 1978.


Aus: Spektrum der Wissenschaft 5 / 1995, Seite 46
© Spektrum der Wissenschaft Verlagsgesellschaft mbH