(von Wolfgang Redtenbacher, <wolfgang@redtenbacher.de>)
Das Internet ist ein freiwilliger Zusammenschluß von vielen Teilnetzen und wird im wesentlichen von ca. 7 Mio. sogenannten "Hosts" (= Knotenrechnern mit Standleitungsverbindungen) getragen. In der Regel passiert eine E-Mail-Nachricht auf ihrem Weg vom Absender zum Empfänger mehrere solche Knotenrechner.
Dabei ist es theoretisch möglich, daß eine Nachricht von jemandem, der einen Internet-Host betreibt, abgehört und/oder verfälscht werden kann.
Dieses Risiko läßt sich mit modernen kryptographischen Verfahren vermeiden:
Durch Verschlüsselung kann dafür gesorgt werden, daß nur der vorgesehene Empfänger eine Nachricht verstehen kann, und durch Authentisierung/Signatur läßt sich verifizieren, ob eine E-Mail auch wirklich von dem angegebenen Absender stammt.
Bei konventioneller Verschlüsselung wird eine Nachricht mit Hilfe eines geheimen Schlüssels/Paßworts/Verfahrens so "durcheinandergewürfelt", daß die Nachricht nur durch erneute Anwendung des gleichen Verfahrens wieder lesbar gemacht werden kann. Kennt niemand außer dem Absender und dem Empfänger einer Nachricht den geheimen Schlüssel, so lassen sich auf diese Weise auch über einen unsicheren Kanal wie das Internet vertrauliche Nachrichten geschützt übermitteln.
Diese Art der Verschlüsselung erfordert jedoch, daß der geheime Schlüssel vorher auf einem "sicheren" Weg (z. B. durch einen persönlichen Kurier) zwischen den Kommunikationspartnern ausgetauscht wurde. Das ist insbesondere dann unpraktisch, wenn die Anzahl der Kommunikationspartner, mit denen ein "sicherer" Nachrichtenaustausch gewünscht wird, ansteigt.
Bei der asymmetrischen Verschlüsselung wird ein Schlüsselpaar (= 2 Schlüssel als "Gegenspieler") benutzt. Die beiden Schlüssel sind so gestaltet, daß eine mit dem einen Schlüssel kodierte Nachricht nicht mit demselben Schlüssel, sondern nur mit dem jeweils anderen Schlüssel (dem "Gegenspieler") lesbar gemacht (d. h. entschlüsselt) werden kann. Dabei gilt die Besonderheit, daß es mathematisch möglich ist, passende Schlüssel zu erzeugen, ohne daß anschließend aus der Kenntnis des einen Schlüssels der jeweils andere mathematisch abgeleitet werden könnte.
Jemand, der ein solches Schlüsselpaar für sich (per Programm) erzeugt hat, hält anschließend einen der beiden Schlüssel streng geheim ("privater Schlüssel"), während er den zweiten Schlüssel ("öffentlicher Schlüssel") publik machen kann (und sollte). Damit lassen sich dann (ohne daß Kuriere o. ä. erforderlich wären) sowohl eine sichere Verschlüsselung als auch eine verläßliche Authentisierung/Signatur erreichen:
Verschlüsselung: Will der Absender eine Nachricht so verschlüsseln, daß nur der vorgesehene Empfänger sie entschlüsseln/lesen kann, so kodiert er sie einfach mit dem öffentlichen Schlüssel des Empfängers. (Dieser Schlüssel kann z. B. auf der Homepage des Empfängers publiziert sein.)
Eine so kodierte Nachricht kann nur mit dem "Gegenspieler" des benutzten Schlüssels wieder lesbar gemacht werden. Dieser "Gegenspieler" ist aber der private Schlüssel des Empfängers, der nur dem Empfänger bekannt ist (und von diesem nie an irgend jemand anderen weitergegeben werden darf!). Somit kann außer dem vorgesehenen Empfänger niemand etwas mit der verschlüsselten Nachricht anfangen.
Absenderauthentisierung/Signatur: Soll der Empfänger prüfen können, daß eine Nachricht auch wirklich vom angegebenen Absender stammt und nicht unterwegs verfälscht wurde, geht der Absender folgendermaßen vor:
Er läßt von der Nachricht eine bestimmte "Quersumme" (eine sog. Einweg-Hash-Funktion) errechnen, die so gestaltet ist, daß jede Textänderung zu einer Änderung der "Quersumme" führt und das absichtliche Erzielen einer bestimmten Quersumme praktisch unmöglich ist. Diese Quersumme verschlüsselt er anschließend mit seinem privaten (= geheimen) Schlüssel und schickt die Nachricht samt kodierter Quersumme an den Empfänger. Der Empfänger entschlüsselt die "Quersumme" mit dem öffentlichen Schlüssel des Absenders und errechnet ebenfalls die Quersumme der Nachricht, die bei ihm ankam. Stimmen die beiden Quersummen überein, so ist sowohl die Authentizität des Absenders als auch des Inhalts der Nachricht sichergestellt.
Bei der asymmetrischen Verschlüsselung ist der öffentliche Schlüssel keineswegs geheim. Wichtig ist jedoch, daß ein Schlüsselpaar (öffentlicher/privater Schlüssel) auch wirklich zu der Person/Organisation gehört, die ihm zugeordnet wird (ähnlich wie ein Personalausweis durch ein Photo an die richtige Person "geknüpft" wird).
Eine solche Zuordnung kann auf verschiedene Weise verifiziert werden. Kennen sich Absender und Empfänger, so läßt sich der öffentliche Schlüssel z. B. durch Vorlesen am Telefon verifizieren. Über sog. Garantieketten ("Web of Trust") läßt sich diese Identifizierung auch auf Personen ausdehnen, die man nicht persönlich kennt, deren Identität jedoch von "Vertrauenspersonen" bestätigt wird, denen beide Partner trauen.
Eine spezielle Form solcher "Vertrauenspersonen" sind sog. "Trust Centers": öffentliche Dienstleister, die als neutral gelten und sich darauf spezialisiert haben, die Zugehörigkeit bestimmter (öffentlicher) Schlüssel zu den entsprechenden Personen/Organisationen zu prüfen und dann zu bestätigen.
Manche "Trust Centers" bieten einen Service an, bei dem ein Schlüsselpaar (privat + öffentlich) erzeugt, dem Antragsteller zugeordnet und so auf einer Chipkarte abgespeichert wird, daß nur der öffentliche Schlüssel ausgelesen werden kann. Der private Schlüssel ist nicht direkt auslesbar, sondern kann nur unmittelbar auf der Chipkarte zum Verschlüsseln/Entschlüsseln benutzt werden. Als Sicherung gegen Verlust oder Diebstahl ist zur Nutzung der Chipkarte außerdem eine PIN (ähnlich wie bei einer Geldkarte) erforderlich.
Chipkarten haben den Vorteil, daß ein Kopieren (= Diebstahl) des privaten Schlüssels wesentlich erschwert wird und ein ungewolltes Weitergeben des privaten Schlüssels nahezu unmöglich gemacht wird.
Fälschungssicher sind Chipkarten jedoch nicht, da mittlerweile im Internet Techniken publiziert sind (sog. "differentielle Kryptanalyse"), mit denen indirekt der Inhalt einer Chipkarte erschlossen (d. h. de-facto eben doch ausgelesen) werden kann. Der Einsatz von Chipkarten ist daher nur dann sicher, wenn die Karte nie in einen "fremden" Chipkartenleser gesteckt wird, d. h. wenn die Karte nur dem internen Einsatz in einer geschlossenen Umgebung/Firma dient.
Außerdem erzeugt bei Chipkarten das "Trust Center" das Schlüsselpaar und hat somit zumindest theoretisch die Möglichkeit, den privaten Schlüssel illegal zu speichern. Diese Schwachstelle existiert bei vom Anwender selbst erzeugten Schlüsselpaaren nicht: Dort bekommt das "Trust Center" den privaten Schlüssel nie zu Gesicht, sondern prüft und bestätigt nur die Zugehörigkeit des öffentlichen Schlüssels zum Antragsteller.
Für eine sichere Verschlüsselung gibt es im wesentlichen 4 relevante "Bewerber":
SSL ("Secure Socket Layer"): Bei SSL - das z. B. zum sicheren Übertragen von Kreditkarteninformationen im Internet benutzt wird - wird das technische Übertragungsprotokoll selbst zwischen den beiden Endpunkten (in der Regel ein Browser und ein Internet-Shopping-Host) verschlüsselt. SSL erfordert jedoch, daß Absender und Empfänger gleichzeitig "online" sind, und ist daher für E-Mail (wo die Übertragung in der Regel asynchron erfolgt) nicht direkt nutzbar.
S/MIME ("Secure MIME"): S/MIME ist ein ursprünglich von RSA Data Security Inc. entwickelter Standard eines Industriekonsortiums. Derzeit ist die Version 2 der Spezifikation in diversen Produkten von Microsoft, Netscape, Siemens usw. im Einsatz. Bei der Abstimmung zum Internet-Standard ist S/MIME V. 2 jedoch durchgefallen, weil es
Derzeit wird an einer Nachfolgeversion (S/MIME V. 3) gearbeitet, die die Schwächen von S/MIME V. 2 beseitigen wird.
OpenPGP: PGP ("Pretty Good Privacy") war 1991 das erste Programm, das starke kryptographische Verfahren der breiten Öffentlichkeit zugänglich machte. Da das Programm frei im Internet (inkl. Quellcode) publiziert wurde, mauserte es sich binnen weniger Jahre zum de-facto-Standard für Verschlüsselung im Internet. 1998 wurde das "Open PGP Message Format" schließlich zum offiziellen Internet-Standard, der nun unabhängig von einem bestimmten Produkt ist (und mittlerweile von vielen Herstellern unterstützt wird).
MailTrusT: MailTrusT ist ein 1994 von 8 deutschen Firmen unter Mitarbeit des Bundesamts für Sicherheit in der Informationstechnik (BSI) entwickelter Verschlüsselungsstandard, der für die sichere Kommunikation zwischen Bundes- und Landesbehörden gedacht war.
Er fand bisher allerdings keine Verbreitung außerhalb von Pilotprojekten (z. B. dem SPHINX-Projekt), da er
Derzeit arbeiten die beteiligten Firmen an einer Umstellung auf MailTrusT 2.0, was zukünftig eine Kompatibilität zu S/MIME ermöglichen soll.
Eine "perfekte" Anwendung kryptographischer Verfahren erfordert, daß die Verschlüsselung/Entschlüsselung beim Endbenutzer erfolgt und zu keiner Zeit unverschlüsselte Dokumentversionen auf der Festplatte gespeichert werden. Die meisten kryptographischen Produkte sind auf dieses Ziel hin ausgerichtet ("Ende-zu-Ende"-Sicherheit). Diese Anwendung setzt jedoch voraus, daß jeder Endbenutzer das Konzept des Schlüsselmanagements versteht und fehlerfrei anwenden kann (sonst geht die Sicherheit der asymmetrischen Verschlüsselung verloren).
Im Kommunikationsverkehr der Städte ist dieses Modell jedoch nicht angemessen: Erstens muß schon allein wegen der großen Zahl der kommunalen Mitarbeiter mit Fehlern bei der Schlüsselhandhabung gerechnet werden. Zweitens ist die kryptographische Sicherheit bis zum Arbeitsplatz des Endbenutzers hin im kommunalen Alltag normalerweise nicht erforderlich; auch der Aktenverkehr im Hause ist keineswegs kryptographisch gesichert und bereitet dennoch, wie die Erfahrung gezeigt hat, in der Praxis kein relevantes Sicherheitsproblem.
Der gesicherte E-Mail-Verkehr über das Internet soll vielmehr die E-Mail-Kommunikation über das bestehende Landes-Verwaltungsnetz (LVN) erübrigen und mit allen Internet-Nutzern, also auch mit Privatunternehmen und Bürgern, eine E-Mail-Kommunikation ermöglichen, die die Forderungen der Datenschutzbeauftragten an die Übermittlung personenbezogener Daten erfüllt. Dazu ist lediglich eine Sicherung der Verbindungsstrecke außer Haus (d. h. vom Mail-Server des Absenders zum Mail-Server des Empfängers) erforderlich.
Dieses modifizierte Modell ermöglicht, die Verschlüsselung/Entschlüsselung nicht beim Endbenutzer, sondern automatisiert auf dem jeweiligen Mail-Server-PC der Stadt abzuwickeln und somit Fehler des Endbenutzers beim Schlüsselmanagement auszuschalten. Lediglich der Administrator des Mail-Server-PCs muß das korrekte Schlüsselmanagement beherrschen. Für alle anderen entsteht weder ein Zusatzaufwand, noch ist eine Zusatzausbildung erforderlich.
Zum Zeitpunkt des Projektbeginns (Mai 1999) gab es leider noch keine fertigen Software-Produkte, die exakt dieses Modell realisieren. Daher bestand eine der Aufgaben des Projekts darin, eine Vorgehensweise zu erarbeiten, wie bestehende Produkte ohne allzu großen Aufwand entsprechend ergänzt werden können. Die gefundene Vorgehensweise, die eine automatische Ver-/Entschlüsselung mit jeder bestehenden E-Mail-Software unter den Betriebssystemen DOS, Windows 3.x/9x/ME/NT/2000/XP und Linux ermöglicht, wurde als Teil der Projektdokumentation frei publiziert, damit sowohl Hersteller von E-Mail-Software als auch Anwender davon profitieren können.
Die "Software-Landschaft" in den Städten ist keineswegs homogen. Außerdem soll auch den Bürgern eine Teilnahme am gesicherten E-Mail-Verkehr ermöglicht werden, was die zu erwartende Vielfalt noch erheblich steigern wird. Daher empfiehlt der Städtetag Baden-Württemberg, im vorliegenden Projekt von Anfang an proprietäre Lösungen zu vermeiden, die auf bestimmte Programme, Hersteller oder Betriebssysteme beschränkt sind. Vielmehr sind offene Standards zugrunde zu legen, deren Stabilität nachgewiesen ist.
Derzeit erfüllt nur das "OpenPGP Message Format" nach dem Internet-Standard RFC 2440 dieses Kriterium. Daher wurde dieser Standard der Pilotphase des Projekts zugrunde gelegt.
Diese Festlegung auf das "OpenPGP Message Format" gilt jedoch nur für die Pilotphase des Projekts. Der Städtetag Baden-Württemberg plant, in der Fortschreibung des Projekts zukünftig auch alle weiteren Verschlüsselungsverfahren einzubeziehen, die das Internet-Standardisierungsverfahren erfolgreich durchlaufen haben.