Zertifikate und Trusted Computing

Technische Wegbereiter zur Kontrolle des Internet. Teil IV: Ende des Internet?

Ein Zertifikat ist eine digitale Identifizierung eines physischen oder abstrakten Objektes. Hierbei kann es sich um Personen, eine Firma (Geschäft, Organisation, Verein...), einen Computer, ein Programm oder ein Dokument handeln. Ein Zertifikat ist einfach eine Abfolge von Bits, die einwandfrei das Objekt identifiziert, dem sie zugeordnet ist.

Normalerweise ist garantiert, dass es lediglich eine 1:1-Zuordnung zwischen Zertifikat und Objekt gibt. Um dies einmal weniger abstrakt zu erklären, muss man sich einfach eine passende Analogie aus dem Bereich denken, der nichts mit Computern zu tun hat: Pässe. Ein Pass weist eine bestimmte Person eindeutig als Einwohner des Staates aus, der den Pass ausgestellt hat (da es unter bestimmten Umständen möglich ist, mehrere Pässe zu besitzen, die aber alle die gleiche Passnummer aufweisen, wäre es eigentlich präziser, hier von der Passnummer zu sprechen). Es gibt keine zwei Personen, die die gleiche Passnummer besitzen, und der Versuch, zwei verschiedene Pässe (bzw. Passnummern) zu erhalten, gilt als Straftat, welche mit einer Falschaussage verbunden ist.

Ein digitales Zertifikat ist einem Pass bzw. der Passnummer ziemlich ähnlich. Es wird von einer Zertifizierungsstelle ausgestellt, die für die Authentizität haftet (im Falle des Passes wäre die Zertifizierungsstelle also die ausstellende Regierungsbehörde). Die Zertifizierungsstelle lebt von ihrer durch Verlässlichkeit erworbenen Reputation. Um ein qualitativ hochwertiges persönliches Zertifikat von angesehenen Zertifizierungsstellen zu erhalten, muss man Dokumente von gleicher oder besserer Qualität vorlegen als jene, die man benötigt, um einen Pass ausgestellt zu bekommen. Zertifikate, die von obskuren oder mit einem schlechten Ruf behafteten Stellen ausgestellt werden, behandelt man weniger vertrauenswürdig als jene, welche von den Stellen mit den "großen Namen" stammen. Auch hier gilt wieder die Analogie zu Pässen.

Zertifikate werden heutzutage großflächig benutzt. Um sicherzustellen, dass man tatsächlich mit der gewünschten Webseite kommuniziert, und um sichere, verschlüsselte Kommunikation zu ermöglichen, wird jedes Mal, wenn eine sichere Kauftransaktion im Netz ansteht, vom Browser ein Zertifikat der E-Commerce-Seite empfangen. Die meisten Emailprogramme erlauben es uns, persönliche Zertifikate zu nutzen, um Mail an Nutzer, die auch im Besitz eines Zertifikats sind, zu signieren und zu verschlüsseln. Aber zur Zeit nutzen nur wenige diese Möglichkeit, sie entscheiden sich eher dazu, ihre Mails im Klartext zu senden, so dass jeder sie abfangen und mitlesen kann (und "Sie wissen schon wer" wird diese Möglichkeit auch routinemäßig nutzen).

Ein persönliches Zertifikat zu besitzen bedeutet, dass die Zertifizierungsstelle dafür garantiert, dass angemessene Dokumente die Identität des Zertifikatnehmers belegt haben. Normalerweise wird dies durch einen Antrag geschehen, der von einem Notar, Rechtsanwalt, der Bank oder einem Maklerbüro für rechtsgültig erklärt wurde. Sollte der Zertizierte Falschangaben gemacht haben, um das Zertifikat zu erlangen, behält sich die Zertifizierungsstelle das Recht vor, das Zertifikat zu löschen.

Zertifizierungsstellen offerieren einen Onlineservice um die von ihnen ausgestellten Zertifikate zu validieren. Durch diesen Dienst erhält man jene Informationen, die der Zertifikatsnehmer angab um seine Identität nachzuweisen. Wer ein Zertifikat erhalten hat, muss dieses genauso schützen wie seinen Pass, die Kreditkarte oder andere persönliche Dokumente. Wird das Zertifikat von jemandem gestohlen, so kann er die private Mail lesen, Mails verändern, so dass sie wie Mails des Zertifizierten erscheinen, und all die Betrügereien begehen, die mit dem heutigen "Identitätsdiebstahl" verbunden sind. Obwohl gestohlene Zertifikate zurückgenommen und durch neue Zertifikate ersetzt werden können, ist eine solche Erfahrung eines Identitätsdiebstahl ähnlich schmerzhaft wie der Verlust der Geldbörse und man sollte daher ähnliche Anstrengungen unternehmen um diese Erfahrung zu vermeiden.

Ein Zertifikat besteht aus zwei Teilen: einem privaten und einem öffentlichen. Der private Teil ist derjenige, mit dem der Nutzer seine Berechtigung für den Internetzugang nachweist, mit dem er Dokumente unterzeichnet, Zahlungen legitimiert oder private Dateien auf dem eigenen Computer sowie verschlüsselte Mails von anderen entschlüsseln kann. Der private Teil des Zertifikates ist der Teil, der vom Nutzer mit aller Vorsicht geschützt werden muss. Oft wird er durch ein sogenanntes Mantra (Passphrase) geschützt, auf einem Wechselmedium wie einer Smartcard aufbewahrt oder ist erst mit Hilfe eines biometrisches Systems (zum Beispiel durch den Abgleich des Fingerabdruckes) zugänglich.

Der öffentliche Teil des Zertifikates ist die sichtbare Identifikation des Nutzers gegenüber anderen. Viele Nutzer werden ihre öffentlichen Teile in Verzeichnissen feilbieten, genauso wie sie ihre Telefonnummer veröffentlichen. Wer das öffentliche Zertifikat eines Nutzers kennt, der kann diesem verschlüsselte Nachrichten senden (mit Hilfe des öffentlichen Schlüssels, der Teil des öffentlichen Zertifikates ist), welche nur mit Hilfe des privaten Schlüssels (der seinerseits im privaten Zertifikat enthalten ist) entschlüsselt werden können.

Wenn ich jetzt davon spreche, dass ein Zertifikat eines Nutzers zusammen mit einem Aufruf über das Netz gesendet oder etwas durch ein Zertifikat markiert wird, dann beziehe ich mich auf das öffentliche Zertifikat, das den Nutzer identifiziert. Das private Zertifikat wird nur dem Eigentümer offenbart.

Natürliche und juristische Personen

Der Anwendungsbereich von Zertifikaten ist unbegrenzt. Nachfolgend sind einige Beispiele aufgeführt, die entweder bereits existieren oder aber voraussichtlich in der nahen Zukunft existieren werden.

Natürliche Personen

Jeder kann ein persönliches Zertifikat von einer angesehenen Zertifizierungsstelle erhalten, wenn er die erforderlichen Beweise für seine Identität erbringt. Die Zertifizierungsstelle wird zuerst die Identität des Antragstellers prüfen um sicherzugehen, dass dieser nicht bereits ein Zertifikat von dieser oder einer anderen Stelle besitzt, dann wird sie das Zertifikat verifizieren und auf Anfrage die Informationen über den Zertifikatsinhaber herausgeben, welche dieser genau für diesen Zweck freigegeben hat.

Minderjährige

Minderjährige können ein Zertifikat erhalten, wenn sie das Einverständnis der Erziehungsberechtigten hierfür erhalten haben. Dies ist eine Praxis, wie sie auch beim Erhalt der Fahrerlaubnis bzw. bei der Rekrutierung der Armee angewandt wird. Ein Erziehungsberechtigter wird das Zertifikat eines Minderjährigen zum Beispiel benötigen, um den Zugang zu unangemessenen Inhalten im Netz zu blockieren oder zu filtern (unangemessen = nicht für die jeweilige Altersstufe geeignet). Der Erziehungsberechtigte wird weiterhin gegebenenfalls verlangen, dass das Zertifikat des Minderjährigen mit dem eigenen verknüpft wird, so dass Daten, die den Minderjährigen verschlüsselt erreichen, auch von dem Erziehungsberechtigten entschlüsselt werden können.

Zertifizierungsstellen verpflichten sich, die privaten Schlüssel der von ihnen ausgestellten Zertifikate zu schützen, gleiches gilt für die persönlichen Informationen, die der Zertifizierte nicht ausdrücklich zur Weitergabe freigegeben hat (sofern sie nicht im rechtlichen Rahmen weitergegeben werden). Zertifizierte haben dagegen die persönlichen Informationen zu aktualisieren (bei einem Namenswechsel sind zum Beispiel entsprechende Dokumente vorzulegen) und werden ihre Zertifikate entweder löschen oder zurücknehmen, wenn diese kompromittiert wurden oder der Verdacht einer Kompromittierung besteht. Sollte es zu einer Verletzung der Sicherheit bei der Zertifizierungsstelle kommen, so müssen alle Zertifizierten, die betroffen sein könnten, benachrichtigt werden. Die Zertifizierungsstellen richten sich dann nach den Anfragen der Strafverfolgungsbehörden, die in einer solchen Situation anfallen, um private Schlüssel wiederherzustellen oder Informationen zu identifizieren (unter anderem jene, die mit den zurückgenommenen Zertifikaten zu tun haben).

Unternehmen/Organisationen

Wie bereits erläutert, verlassen sich die meisten Netznutzer fast bedingungslos auf Zertifikate, wenn es darum geht, die Identität der Firmen bestätigt zu bekommen, mit denen sie im Netz Geschäfte machen. Es geht eine Menge vor sich hinter dem kleinen Schlosssymbol des eigenen Browsers. Wenn eine Webseite dadurch ihre Identität beweisen will, dass sie ein Zertifikat des "Bob's Discount Passports and Pawn Shop" (sinngemäß "Bobs Billigladen für Pässe und Bauernopfer") anbietet, erscheint eine Warnung für die jeweiligen Nutzer. Sie weist darauf hin, dass sie, die Nutzer, gerade dabei sind, eventuell etwas sehr Dummes zu tun. Das könnte man damit vergleichen, dass man vor Unterzeichnung eines Vertrages bezüglich einer Organspende erst nachprüfen sollte, ob man bei "Instant Ca$h for Kidneys" (sinngemäß "Niere gegen Bargeld - sofortige Auszahlung garantiert") und der betreffenden Zertifizierungsstelle wirklich gleich gutgläubig handeln sollte.

Da das Internet sicherer und sicherer wird, werden die Bedingungen für eine Organisation, wenn es um die Erlangung eines Zertifikates geht, denen der Einzelpersonen immer mehr angepasst. Unternehmen (egal ob Einzelunternehmen, Personengesellschaften oder Aktiengesellschaften), Non-Profit Organisationen, Bildungseinrichtungen, staatliche Gremien und Institutionen and andere legale juristische Personen werden Zertifikate dann bekommen, wenn sie ihre Identität derart nachweisen, wie es auch notwendig wäre, um eine "sales tax number" (Umsatzsteuernummer), eine "VAT number" (Mehrwertsteuernummer) oder eine "employer number for income tax" (erforderliche Nummer für die Einkommenssteuer) zu erhalten. Wie auch bei den Zertifikaten für Einzelpersonen, wird die Verifikation gewährleisten, dass keine juristische Person mehr als ein gültiges Zertifikat besitzt.

Anders als bei den Zertifikaten der Einzelpersonen kann das einer Organisation erteilte Zertifikat genutzt werden, um Teilen der Organisation "Sub-Zertifikate" (untergeordnete Zertifikate) auszustellen. Einzelne Büros, Abteilungen etc. können so ihre eigenen Zertifikate erhalten, welche durch das der Organisation verwaltet werden und direkt mit ihm verknüpft sind. Dieses Delegieren kann auf verschiedenen Ebenen stattfinden und hängt davon ab, ob die Bestimmungen der Zertifizierungsstelle es erlauben, dass ein Subzertifikat genutzt werden kann, um weitere Subzertifikate zu vergeben (dies wird bei der Zertifizierung festgelegt, kann aber auch im Nachhinein noch geändert werden).

Eine wichtige Form der Subzertifikate sind Zertifikate für das Personal (Angestellte etc) einer Organisation. Sie identifizieren ein Mitglied des Unternehmens und werden von diesem für geschäftliche Angelegenheiten genutzt. Welche Daten jemand außerhalb der Organisation über das Mitglied erfahren kann, hängt einerseits von den Regelungen der Organisation selber, andererseits auch von den betreffenden gesetzlichen Datenschutzbestimmungen ab. Die Organisation oder das Unternehmen ist verantwortlich für die Handlungen, welche das Mitglied unter Verwendung des Zertifikates vornimmt. Sie wird gegebenenfalls gegenüber Strafverfolgern eine entsprechende Identifikation vornehmen müssen. Ob ein Organisationsmitglied Internetzugang erhält, indem es das private Zertifikat (und nicht das Mitgliedszertifikat) nutzt, oder ob das Mitgliedszertifikat auch außerhalb des Organisation bzw. des Unternehmens benutzt werden darf, wird der Zertifizierer entscheiden und dementsprechend technisch umsetzen. Die privaten Schlüssel eines Mitgliedszertifikates können durch den Zertifizierer wiederhergestellt werden (oder durch eine entsprechende Stelle innerhalb der Organisation). Dies stellt sicher, dass gegebenenfalls die Aktivitäten des Mitarbeiters überwacht und sein Arbeitsergebnis wiederhergestellt werden kann.

Computer, Programme und Inhalte

Computer

Die "System-Signaturen", die heutzutage aus Eigenschaften der Hardware gewonnen werden, sind recht krude Formen von Zertifikaten. Die Seriennummer der CPU in den neueren Pentium-Chips (die wegen des öffentlichen Widerstandes gegenwärtig deaktiviert werden kann), sind schon eine bessere Annäherung an ein Zertifikat. "Trusted Computing"-Plattformen ("Vertauenswürdige Computer") werden ein eindeutiges Zertifikat für jede Maschine beinhalten, das als "Credential" ("Vertrauensmerkmal") bezeichnet wird.

Computer werden im Zeitalter des Trusted Computing ein Zertifikat von ihren Herstellern zugewiesen bekommen, das von einem Anwender nicht verändert werden kann (wie weiter unten im Detail beschrieben wird, mag es möglich sein, ein Zertifikat auf eine neue Maschine zu übertragen, falls das Originalsystem defekt ist). Ein Zertifikat für einen Computer identifiziert eindeutig eine Maschine. Es wird benutzt werden, um Software freizuschalten, die für den exklusiven Gebrauch auf einem Computer lizenziert ist und um jeden Netzwerkverkehr zu identifizieren, der von diesem Computer ausgeht.

Programme

Ein Programm kann ein Zertifikat erhalten, welches nicht nur seine Signatur durch den Veröffentlicher bestätigt, sondern außerdem sicherstellt, dass der Inhalt einer Datei nicht verändert wurde. Dazu wird ein Hashwert, eine Signatur oder ein "Message Digest" (eine Dateiprüfsumme) mit einem Algorithmus wie z. B. MD5 verwandt. Diese Technologie wird heute bereits für "signierte Applets" bei WWW-Browsern eingesetzt, wie etwa beim Microsoft Internet Explorer. Mit ihr kann ein Nutzer die Gültigkeit der Angaben zum Veröffentlichen eines Programms überprüfen und vor der Ausführung der Anwendung sicherstellen, dass sie nicht verändert wurde (so zumindest die Behauptung).

In der "Trusted Computing"-Architektur wird jedes Programm ein Zertifikat enthalten, welches die Identität des Veröffentlichers bestätigt und es dem Betriebssystem ermöglicht zu gewährleisten, dass es nicht korrumpiert wurde. Ein "Trusted Computing"-Betriebssystem wird kein Programm ausführen, dessen Signatur von der seines Zertifikates abweicht. Das BS wird auch gelegentlich, wenn das System mit dem Internet verbunden ist, die Programm-Zertifikate überprüfen, um sicher zu stellen, dass kein Zertifikat zurückgezogen wurde. Der Rückzug des Zertifikates eines bereits veröffentlichten Programms, "ver-un-öffentlicht" es sozusagen (Revoke). Ein solches Programm ohne gültiges Zertifikat wird nur noch auf Maschinen laufen, auf denen es bereits installiert war und die danach keine Verbindung zum Internet hatten.

Obwohl der Rückruf eines Programms eine extreme Maßnahme ist und man daher mit entsprechend seltener Anwendung dieser Möglichkeit rechnen kann, bietet sie eine Schutzmöglichkeit der Internet-Infrastruktur gegen ständig wachsende Bedrohungen. Wenn eine kritische Sicherheitslücke gefunden wird, die kurzfristig eine Gefahr durch eine weit verbreitete Software verursacht, kann der Rückruf des Zertifikats für dieses Programm "den Stecker ziehen" und seine Nutzer dazu zwingen, ein Update zu installieren, welches das Problem behebt.

Inhalte

Als "Inhalte" wird jede Form von digitalen Daten bezeichnet: Dokumente, Bilder, Audio, Video, Datenbanken usw. Hierbei geht es nicht um Identität oder Sicherheit, sondern mehr um die Authentizität und die Eigentümerrechte. Das Zertifikat des Herausgebers von Moby Dick zu einem Dokument garantiert, dass es sich um den Text von Melvilles Novelle im Original handelt, nicht etwa um eine "verbesserte" Version eines Cheesy-Poof Abhängigen, in der Ahab den Weißen Wal abschlachtet, ein Raumschiff aus dessen Knochen baut und dann aufbricht, um überall in der Galaxie die Wale auszurotten.

Programme sind faktisch lediglich ein spezieller Fall von Inhalten. Wegen des Risikos, das bösartige Programme einzelner Nutzer für das Internet darstellen können, wird die Priorität darauf gelegt werden, die Anwenderprogramme zu sichern. Mit dem Aufkommen des "Digital Rights Management" ("Verwaltung Digitaler Rechte", s. u.) werden aber für alle Arten von Daten, die auf Computern gespeichert werden, ähnliche Maßnahmen eingeführt werden. Vielleicht wird jegliche Datei mit einem Zertifikat ihres Erzeugers versehen werden und eine Signatur erhalten, mit der sich dann überprüfen lässt, dass der Dateiinhalt unverändert vorliegt. Wenn der Inhalt eines Dokumentes verändert oder auch wenn sein Zertifikat zurückgerufen wurde, wird eine Trusted Computing Plattform nicht zulassen, dass man das Dokument öffnet. Und das sichere Internet wird nicht zulassen, dass man dieses Dokument überträgt. Ein Dokument, welches an das Zertifikat eines bestimmten Nutzers gebunden ist, an das einer Organisation oder eines bestimmten Computers, kann nicht von anderen geöffnet werden. Es wird in verschlüsselter Form gespeichert und die Verschlüsselung kann nicht ohne das dazu notwendige Zertifikat dekodiert werden.

Trusted Computing

Was heutzutage als "Trusted Computing" bezeichnet wird, hat wenig oder gar nichts mehr mit dem traditionellen Konzept der zuverlässigen Software oder dem Datenschutz zu tun. Stattdessen geht es mittlerweile um die Bemühung, eine Validierung zwischen der Herkunft und der Datenintegrität in Computerhardware und Systemsoftware einzubetten. Ein Schlüsselkomponente hierbei ist die Identifikation eines jeden Rechners durch ein einmaliges Zertifikat, aber die Konsequenzen des "Trusted Computing" gehen weit darüber hinaus.

Zusätzlich zu dem Schutz vor unsicherer Software (Software, die nicht vom einen bekannten Händler zertifiziert wurde und keine digitale Signatur aufweist, die bestätigt, dass die Software unverändert ist) erhalten die Computernutzer auch einen Schutz vor der Korrumpierung der Daten auf dem eigenen Computer. Daten, die sich auf der Festplatte des Nutzers befinden, werden verschlüsselt und signiert, so dass die Zugriffsrechte und die Datenintegrität jedes Mal, wenn Daten in den Speicher geladen werden, verifiziert werden müssen. Dies wird die von Viren ausgehende Gefahr (nämlich das Korrumpieren installierter Programme oder Dateien) komplett beseitigen.

Ein Softwarehersteller kann so das Ausführen jeglichen Programms, das als schädlich angesehen wird, blockieren - und dies sogar rückwirkend (da Zertifikate online verifiziert werden). Wird eine Schwachstelle in einer Software gefunden, die bereits auf Millionen von Rechnern installiert wurde, so kann diese Software sofort "abgeschaltet" werden, bevor die Nutzer durch sie gefährdet werden. Der Nutzer wird so gezwungen, ein Upgrade seines Systems vorzunehmen, so dass er eine neue, sichere Version erhält. In vielen Fällen wird dies automatisch vor sich gehen, der Nutzer muss nichts dafür tun, er muss sich nicht einmal darüber bewusst sein, dass das System ein Upgrade erfährt.

Die Möglichkeiten, Daten zu übertragen, einen Mirror oder ein Backup anzufertigen, werden bei einem "Trusted Computing"-System selbstverständlich begrenzt sein. Durch Hardware und passende Betriebssysteme wird auch der Transfer von Daten von einem System auf ein anderes begrenzt. Zum Beispiel wird Software, die an ein Zertifikat eines Rechners gebunden ist, sich nicht auf einem Rechner mit einem anderen Zertifikat laden lassen. Zwangsläufig wird sich dies bis auf die wichtigste und, was Sicherheit anbelangt, kritischste Software von allen auswirken - dem ROM BIOS und dem Betriebssystemkernel. Konsequenterweise muss eine "Trusted Computing Platform" die Signatur eines Betriebssystems verifizieren, bevor es geladen wird. Betriebssysteme, welche nicht zertifiziert sind (weil sie nicht den Anforderungen des "Trusted Computing" entsprechen), können auf solchen Systemen somit nicht geladen werden.

Übersetzt von Twister/Jürgen Buchmüller