rating service  security service privacy service
 
1997/04/22 OECD empfiehlt starke Verschlüsselung!
Kürzlich verabschiedete die OECD eine Kryptographie-Empfehlung, (lokale Textkopie) die die Bedeutung wirksamer Verschlüsselungstechnologien zum Schutz der Privatsphäre/Privacy ('Datenschutz') und der Kommunikations- und Betriebsgeheimnisse ('Datensicherheit') betont.

Verschlüsseln (Kryptographie) ist die notwendige Basistechnologie für eine Reihe von Online-Diensten, wie digitale Unterschrift, Benutzer-Zertifizierung und -Authentisierung, Secure-Web, Digital-Cash, Secure-Commerce und 'Virtual Private Networks'.

Kernaussage der Empfehlung ist, daß alle OECD-Staaten (darunter auch Österreich) wirksame (= starke) Verschlüsselungsverfahren erlauben, fördern und auch die Verbreitung des Einsatzes, etwa durch Anerkennung bei Behördenkorrespondenzen, unterstützen sollen.

Diese Empfehlung entstand nach mehrmonatiger Beratung einer internationalen Expertengruppe, zum Teil gegen den vehementen Widerstand einzelner Staaten. Einige dieser Staaten wollten Kryptographie für ihre nationalen Unternehmen und Organisationen reservieren und damit die weltweite Verbreitung beschränken, oder Kryptographie nur unter sehr engen Regeln zulassen. De facto wäre dies einem Kryptographieverbot für nichtstaatlich kontrollierte Organisationen und Unternehmen gleichgekommen.

Die jetzt verabschiedete vergleichsweise liberale Position ist auch dem Einlenken der Sicherheits- und Strafverfolgungsbehörden zu verdanken. Auch dort ist man zur Erkenntnis gelangt, daß ein Kryptographieverbot sehr leicht umgehbar wäre und keine Abschreckung der Benutzung durch das organisierte Verbrechen (OK) darstellen würde. Gleichzeitig besteht aber die Gefahr, völlig legale Firmen- und Privatkorrespondenz, die aus den verschiedensten Gründen verschlüsselt wird, zu kriminalisieren.


Was ist starke Verschlüsselung?

Weltweit gelten asymetrische Verschlüsselungsverfahren bei offenen Systemen, wie dem INTERNET, als Standard im kryptographischen Einsatz. Jeder Teilnehmer an diesen Verschlüsselungssystemen erzeugt ein Schlüsselpaar (den private und den public Key). Der 'public Key' wird öffentlich verteilt und dient etwa zum Verschlüsseln einer Nachricht oder zum Prüfen einer digitalen Unterschrift. Der private, und nur dem Benutzer bekannte Schlüssel, dient zum Entschlüsseln oder zum Unterschreiben.
Heute gelten Schlüssellängen jenseits von 80 bit als sicher bzw. nicht mit technisch und zeitlich vertretbarem Aufwand zu entschlüsseln. Die bisherigen 40bit-Exportversionen mancher Software-Produkte, etwa der Netscape-Verschlüsselung, gelten als schwach und können von einem entschlossenen Angreifer nach nur wenige Minuten überwunden werden. Übliche Kryptographieschlüssellängen, wie 128 bit, 512 oder 1024 bit gelten - nach dem Stand der Technik - als sicher.

Um sicher zu stellen, daß public und private Key tatsächlich von einer bestimmten Person stammen, werden weltweit Zertifizierungsstellen eingerichtet. Die ARGE DATEN hat mit AD-CERT (secure Server) in Österreich die erste derartige Stelle eingerichtet.

Die OECD-Empfehlung ist auch eine Absage an alle verpflichtenden Schlüssel-Hinterlegungssysteme. Mittels sogenannter Key-Escrow-Verfahren wollten einige Staaten die Verbreitung von Verschlüsselungstechnologien steuern und von den Benutzern verlangen, ihren - geheimen - privaten Schlüssel bei einger Agentur zu hinterlegen. Bei Bedarf könnten dann Strafverfolgungsbehörden den Schlüssel benutzen, um Nachrichten leicht entschlüsseln zu können.

Die Mißbrauchsmöglichkeiten derartiger Hinterlegungssysteme sind jedoch allzu offensichtlich und außerdem blieben die Betreiber dieser Idee eine Erklärung schuldig, warum gerade Straftäter bzw. potentielle Straftäter ihre geheimen Informationen bei einer staatlich kontrollierten Stelle hinterlegen sollten.


ARGE DATEN-Linie wurde bestätigt

Mit dieser Empfehlung wurde auch die ARGE DATEN - Linie eindrucksvoll untermauert. Wir haben uns schon sehr früh mit den Problemen der Authentisierung von Benutzern und des Schutzes von Informationen beschäftigt und bieten seit mehreren Monaten das AD-CERT-Service an. AD-CERT unterstützt einerseits das asymetrische Verschlüsselungsverfahren PGP in der Anwendung, andererseits hält es den öffentlichen Schlüssel von zertifizierten Usern in einer Datenbank bereit.


Folgerungen für Österreich

Die OECD-Empfehlung enthält leider einen Wermutstropfen, sie hat keinen verbindlichen Charakter. Es bleibt den Mitgliedsstaaten überlassen, in welchem Umfang Sie die Richtlinie übernehmen wollen, wie sie die Richtlinie interpretieren oder ob sie sogar die Richtlinie ignorieren. Es ist daher für Österreich wichtig, den öffentlichen Stellen den Bedarf an Kryptographie-Diensten frühzeitig bekannt zu machen. Es muß auch sicher gestellt werden, daß eine breite Palette unterschiedlicher Verfahren und Methoden verwendet werden kann. Nur ein Vielzahl verwendeter Produkte und preiswert und gemäß des Stands der Technik betrieben werden können.

Für Rückfragen stehe ich gerne zur Verfügung.

Mit herzlichen Grüßen

Dr. Hans G. Zeger




Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2018 Information gemäß DSGVOwebmaster