PCNINFO 97075: Kryptographie-Empfehlung der OECD

Quelle: ARGE-Daten

Kuerzlich verabschiedete die OECD eine Kryptographie-Empfehlung,
die die Bedeutung wirksamer Verschluesselungstechnologien zum Schutz
der Privatsphaere/Privacy ("Datenschutz") und der Kommunikations-
und Betriebsgeheimnisse ("Datensicherheit") betont.

Die Empfehlung kann unter der Adresse
http://www.oecd.org/dsti/iccp/crypto_e.html
nachgelesen werden, eine Textkopie finden Sie auch unter:
ftp://ftp.ad.or.at/privacy/text/crypto_e.txt

Verschluesseln (Kryptographie) ist die notwendige Basistechnologie
fuer eine Reihe von Online-Diensten, wie digitale Unterschrift,
Benutzer-Zertifizierung und -Authentisierung, Secure-Web,
Digital-Cash, Secure-Commerce und "Virtual Private Networks".

Kernaussage der Empfehlung ist, dass alle OECD-Staaten
(darunter auch Oesterreich) wirksame (= starke)
Verschluesselungsverfahren erlauben, foerdern und auch die
Verbreitung des Einsatzes, etwa durch Anerkennung bei
Behoerdenkorrespondenzen, unterstuetzen sollen.

Diese Empfehlung entstand nach mehrmonatiger Beratung
einer internationalen Expertengruppe, zum Teil gegen den
vehementen Widerstand einzelner Staaten. Einige dieser
Staaten wollten Kryptographie fuer ihre nationalen Unternehmen und
Organisationen reservieren und damit die weltweite Verbreitung
beschraenken, oder Kryptographie nur unter sehr engen Regeln
zulassen. De facto waere dies einem Kryptographieverbot fuer
nichtstaatlich kontrollierte Organisationen und Unternehmen
gleichgekommen.

Die jetzt verabschiedete vergleichsweise liberale Position
ist auch dem Einlenken der Sicherheits- und
Strafverfolgungsbehoerden zu verdanken. Auch dort ist man zur
Erkenntnis gelangt, dass ein Kryptographieverbot sehr leicht
umgehbar waere und keine Abschreckung der Benutzung durch
das organisierte Verbrechen (OK) darstellen wuerde.
Gleichzeitig besteht aber die Gefahr, voellig legale Firmen- und
Privatkorrespondenz, die aus den verschiedensten Gruenden
verschluesselt wird, zu kriminalisieren.


Was ist starke Verschluesselung?

Weltweit gelten asymetrische Verschluesselungsverfahren bei
offenen Systemen, wie dem INTERNET, als Standard im
kryptographischen Einsatz. Jeder Teilnehmer an diesen
Verschluesselungssystemen erzeugt ein Schluesselpaar (dem
privat und dem public Key). Der "public Key" wird oeffentlich
verteilt und dient etwa zum Verschluesseln einer Nachricht oder
zum Pruefen einer digitalen Unterschrift. Der private, und nur dem
Benutzer bekannte Schluessel, dient zum Entschluesseln oder
zum Unterschreiben.

Heute gelten Schluessellaengen jenseits von 80 bit als sicher bzw.
nicht mit technisch und zeitlich vertretbarem Aufwand zu
entschluesseln. Die bisherigen 40bit-Exportversionen mancher
Software-Produkte, etwa der Netscape-Verschluesselung, gelten
als schwach und koennen von einem entschlossenen Angreifer
nach nur wenige Minuten ueberwunden werden. Uebliche
Kryptographieschluessellaengen, wie 128 bit, 512 oder
1024 bit gelten - nach dem Stand der Technik - als sicher.

Um sicher zu stellen, dass public und private Key tatsaechlich
von einer bestimmten Person stammen, werden weltweit
Zertifizierungsstellen eingerichtet. Die ARGE DATEN hat mit
AD-CERT in Oesterreich die erste derartige Stelle eingerichtet
(https://keyserver.ad.or.at/ bzw. http://keyserver.ad.or.at/).

Die OECD-Empfehlung ist auch eine Absage an alle verpflichtenden
Schluessel-Hinterlegungssysteme. Mittels sogenannter
Key-Escrow-Verfahren wollten einige Staaten die Verbreitung von
Verschluesselungstechnologien steuern und von den Benutzern
verlangen, ihren - geheimen - privaten Schluessel bei einger Agentur
zu hinterlegen. Bei Bedarf koennten dann Strafverfolgungsbehoerden
den Schluessel benutzen, um Nachrichten leicht entschluesseln
zu koennen.

Die Missbrauchsmoeglichkeiten derartiger Hinterlegungssysteme
sind jedoch allzu offensichtlich und ausserdem blieben die Betreiber
dieser Idee eine Erklaerung schuldig, warum gerade Straftaeter bzw.
potentielle Straftaeter ihre geheimen Informationen bei einer
staatlich kontrollierten Stelle hinterlegen sollten.


ARGE DATEN-Linie wurde bestaetigt

Mit dieser Empfehlung wurde auch die ARGE DATEN - Linie
eindrucksvoll untermauert. Wir haben uns schon sehr frueh mit den
Problemen der Authentisierung von Benutzern und des Schutzes von
Informationen beschaeftigt und bieten seit mehreren Monaten das
AD-CERT-Service an. AD-CERT unterstuetzt einerseits das asymetrische
Verschluesselungsverfahren PGP in der Anwendung, andererseits haelt
es den oeffentlichen Schluessel von zertifizierten Usern in einer
Datenbank bereit.


Folgerungen fuer Oesterreich

Die OECD-Empfehlung enthaelt leider einen Wermutstropfen, sie hat
keinen verbindlichen Charakter. Es bleibt den Mitgliedsstaaten
ueberlassen, in welchem Umfang Sie die Richtlinie uebernehmen
wollen, wie sie die Richtlinie interpretieren oder ob sie sogar die
Richtlinie ignorieren. Es ist daher fuer Oesterreich wichtig, den
oeffentlichen Stellen den Bedarf an Kryptographie-Diensten
fruehzeitig bekannt zu machen. Es muss auch sicher gestellt werden,
dass eine breite Palette unterschiedlicher Verfahren und Methoden
verwendet werden kann. Nur ein Vielzahl verwendeter Produkte und
preiswert und gemaess des Stands der Technik betrieben werden
koennen.

Fuer Rueckfragen stehe ich gerne zur Verfuegung.

Mit herzlichen Gruessen
Hans G. Zeger, ARGE DATEN


PS: Sie erinnern sich noch? Im Maerz wurde die komplette
Providerausruestung der VIP beschlagnahmt. Ueber unsere
WWW-Seite http://www.ad.or.at/zensur haben wir ueber die
laufende Entwicklung berichtet und einige hundert
INTERNET-Teilnehmer haben ihren Protest per Mail formuliert.
Wir haben diese Mails gesammelt und nun an die Parlamentsklubs,
dem Bundeskanzler und die Bundesminister Michalek/Justiz,
Schloegl/Inneres, Einem/Verkehr und Fahrnleitner/Wirtschaft
weitergegeben. Bleibt zu hoffen, dass nun doch Regulierungen
geschaffen werden, die die Rechtssicherheit im INTERNET erhoehen.

Es besteht noch weiterhin die Moeglichkeit seinen Protest zu
dokumentieren. Wir werden auch die Mails der zweiten Welle
sammeln und weiterleiten.

- - --------------------------------------------------------
Protect Your Documents -> Use AD-Certification-Service
Testen Sie unseren certifizierten Commerce-Server:
https://keyserver.ad.or.at/cgi-bin/Web_store/web_store.cgi
- - --------------------------------------------------------
   _/    _/_/     ARGE DATEN, 1170 Wien, Sauterg. 20
  _/_/   _/  _/   Tel.: ++43/1/4897893,
 _/  _/  _/  _/   Fax: ++43/1/4897893-10,
_/    _/ _/_/     e-mail: hans@adis.at
- - --------------------------------------------------------
AD-CERT - Information -> http://keyserver.ad.or.at
- - --------------------------------------------------------


PCNEWS, Siccardsburggasse 4/1/22, 1100 Wien
Tel: 01-604 5070 Fax: DW2 Mobil: 0664-101 5070
WWW: http://pcnews.at/ E-Mail: pcnews@pcnews.at