Zertifikate für Dokumente: Die digitale Imprimatur

Teil VIII: Ende des Internet?

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Wenn erst alle am Internet teilnehmenden Parteien durch die Zertifikate identifizierbar sind, die sie benötigen, um überhaupt Zugang zum Internet zu bekommen oder Transaktionen zu tätigen (womit sie zugleich auch verantwortlich für ihre Onlinetransaktionen sind), wenn Trusted Computing-Plattformen gegen betrügerische, gefälschte Berechtigungsnachweise oder gegen den Missbrauch des geistigen Eigentums schützen, dann ist der Grundstein gelegt, Zertifikate auch komplett auf Inhalte anzuwenden: auf jedes Dokument, das durch das Internet verbreitet wird.

Da es immer wieder Probleme mit der Intention dieser Serie gegeben hat (hier der Überblick über die bislang erschienen Artikel: Ende des Internet?), ist vielleicht ein Blick auf das erste Kapitel hilfreich: Wie der "Große Bruder" und die "Großen Medien" den Internet-Geist wieder in seine Flasche einsperren könnten.

Die erste Anwendung von Dokumentzertifikaten wird bereits genutzt: signierte Applets, die nur dann vom Webbrowser ausgeführt werden, wenn das Zertifikat als eines verifiziert wurde, das zu einem vertrauenswürdigen Händler gehört, und eine Signatur enthält, die zum Inhalt des auszuführenden Codes passt (die MD5-Checksummen oder PGP-/GPG-Signaturen, die für manche Open Source Softwaredistributionen gepostet werden, können als eine krude Form des Dokumentzertifikates angesehen werden. Sie werden manuell durch die Signatur oder Checksumme validiert, die auf der Webseite veröffentlicht wird, sobald das Paker heruntergeladen wird.

Trusted Computing-Systeme setzen voraus, dass jede Software, die sie ausführen, mit Zertifikaten signiert ist. Sie verifizieren jede Signatur vor dem Ausführen und überprüfen, wenn man online ist, in regelmäßigen Abständen die Zertifikate der installierten Software bei den Händlern. Wurde ein Programmzertifikat zurückgezogen (weil man beispielsweise eine kritische Sicherheitslücke gefunden hat, welche nur durch ein Update geschlossen werden kann), so wird die Trusted Computing-Plattform sich weigern, das Programm auszuführen, und den Nutzer über die Gründe für den Rückruf des Zertifikates informieren. Das Betriebssystem eines Computers wird ein eigenes Zertifikat besitzen, das jedes Mal vor dem Systemstart durch das BIOS validiert wird. Dies schützt vor unautorisierten Veränderungen des installierten Systems oder vor nonkonformistischen Betriebssystemen, die die Trusted Computing-Architektur nicht implementiert haben.

Ein Computerprogramm ist nicht mehr oder weniger als eine Folge von Bytes, genau wie ein digitales Dokument. Ebenso wie ein ausführbares Programm mit Zertifikaten signiert werden kann (und wird), können Webseiten, Textdateien, Bilder, Musikdateien und jede andere Form der digitalen Daten signiert werden. Zertifikate sind tatsächlich ein entscheidender Bestandteil des Digital Rights Management und werden normalerweise Dateien mitliefern, die DRM nutzen. Letzten Endes werden sie so alle Dateien umfassen, die kommerziell erworben wurden.

Stellen wir uns jetzt einmal vor, was passieren würde, wenn diese Architektur auf das Internet ausgedehnt wird. Ich glaube, die beschriebenen technischen Vorreiter werden letztlich so angewandt werden, dass sie das gesamte Internet in eine Trusted Computing-Plattform umwandeln. Was bedeutet das konkret?

Nun, genauso wie ein Trusted Computing-System keine Programme oder Daten lädt, die kein validiertes Zertifikat aufweisen, das zu den jeweiligen Inhalten passt, wird das Sichere Netz kein einziges Dokument durch ein Standardprotokoll senden, das kein derartiges Zertifikat mit sich trägt. Zu dem Zeitpunkt, an dem dies etabliert wird, wird der Zugang zum Internet für den Konsumenten längst auf eine kurze List von Protokollen für Standardports beschränkt sein: HTTP, FTP, SMTP, POP, etc. Das Peer-to-Peer-Internet, bei dem jeder durch frei wählbare Ports und Protokolle Kontakt zu jedem aufnehmen konnte, wird dann bereits Geschichte sein. Dieser Prozess hat bereits begonnen: NAT-Router und Firewalls können nicht mehr vom Nutzer frei konfiguriert werden, um eingehende Verbindungen zu akzeptieren.

Im Sicheren Internet werden Emails erst dann ausgeliefert, wenn sie durch das Zertifikat des Verfassers signiert wurden. Der Empfänger weiß dann genau, wer die Mail gesandt hat. Ein Entwurf für einen Standard eines solchen Zertifikat-basierten Mail Transfer Protocol wurde im August 2003 veröffentlicht. Wird eine Webseite aufgerufen, so wird dieser "Request" durch das Zertifikat des Aufrufenden signiert; die Webseite bzw. der Betreiber werden dann wissen, wer ihre Besucher sind. And was ist mit der Webseite, die dem Nutzer als Antwort angezeigt wird? Tja, das ist der Teil, der richtig interessant ist.

Dokumente, die vom Webserver geliefert werden, müssen mit einem Zertifikat signiert sein. Wie auch bei jedem anderen Traffic wird dieses Zertifikat den Urheber der Seite identifizieren und eine Signatur enthalten, die sicherstellt, dass der gelieferte Inhalt nicht korrumpiert wurde. Aber das ist nicht alles, was ein Zertifikat möglicherweise enthalten muss.

Wie könnte die nahe Zukunft im Sicheren Internet aussehen?

Stellen wir uns vor, dass ein Dokument, welches als Antwort auf einen HTTP- oder FTP-Request über das Internet gesendet wird, außerdem noch von einer autorisierten Dokumentenregistry signiert sein muss, genauso wie Zertifikate von einer Zertifizierungsstelle. Einmal angenommen, Sie haben gerade eine neue Seite zu Ihrer eigenen Homepage hinzugefügt, die den eigenen idyllischen Urlaub auf den Nibi-Nibi-Inseln beschreibt. Alle Fehler sind beseitigt und Sie sind nun bereit, die Seite mit der Welt zu teilen. Da wäre nur noch eins... bevor die Seite wirklich "gesendet" wird und den Einflussbereich hinter dem lokalen Netzwerk erreicht, benötigen Sie ein Dokumentenzertifikat. Deshalb öffnen Sie einfach die "Sign Page"-Box im Editor, klicken auf "Signieren" und einige Sekunden später haben Sie eine signierte Seite, die auf dem Server ihren Platz findet, wo jeder sie downloaden kann.

Was passierte in den paar Sekunden, nachdem Sie den "Signieren"-Knopf betätigt haben? Als Erstes wurde die URL der Seite, zusammen mit Ihrem persönlichen Zertifikat, an die Zertifizierungsstelle Ihrer Dokumente übermittelt (wenn Sie mehrere haben, so werden Sie gebeten, die gewünschte auszuwählen). Die Zertifizierungsstelle lädt dann den Quellcode Ihrer Seite sowie den gesamten eingebundenen Inhalt herunter (also Bilder, Animationen etc.) und generiert ein Zertifikat, das Sie als Urheber der Seite identifiziert. Dies geschieht durch eine Signatur für die Seite und jede einzelne eingebettete Komponente. Dieses Zertifikat wird dann an Sie geschickt, so dass Sie dieses zusammen mit der Webseite auf Ihrem Server speichern. Wahrscheinlich wird die Zertifizierungsstelle Ihnen dann eine eher vernachlässigbare Summe für das Zertifikat in Rechnung stellen, welche Sie automatisch per Micropayment zahlen. Wenn Sie nun das Dokument aktualisieren, dann veröffentlichen Sie einfach nur die neue Version und erhalten ein ebenfalls aktualisiertes Zertifikat, das das Dokument "begleitet".

Wenn jemand Ihr Dokument aufruft, wird das Zertifikat validiert und das Dokument an denjenigen gesendet, der es aufgerufen hat (davon ausgehend, dass es nach der Validierung für "in Ordnung" befunden wurde). Das Zertifikat wird natürlich mit übersendet. Der Aufrufende kann die Signatur prüfen, um sicher zu gehen, dass das Erhaltene auch mit dem Signierten übereinstimmt. Falls der Nutzer eine lokale Kopie des Dokuments speichert, wird das Zertifikat dem Dokument weiterhin angefügt sein und kann somit jedes Mal, wenn es aufgerufen wird, überprüft werden. Ob eine lokale Speicherung einer Kopie möglich ist und, falls dem so ist, auf welcher Basis, ist natürlich Ihre Sache - Sie sind der Autor der Seite.

Digital Rights Managements wird die Policy, die Sie aussuchen, implementieren. Wenn Sie Ihr Dokument updaten, können Sie beispielsweise die Signatur der alten Version markieren, so dass jeder, der eine Kopie besitzt, automatisch erfährt, dass ein Update verfügbar ist. Das nächste Mal, wenn sie ihre lokale Kopie zu lesen versuchen, erhalten sie eine Benachrichtigung von der Dokumentenzertifizierungsstelle und werden so auf das Update aufmerksam gemacht. Sie können sogar, falls Sie sich entscheiden, Ihre Worte "digital aufzuessen" (ergo: zu löschen), das Zertifikat zurückziehen; jeder mit einer lokalen Kopie würde dann, sofern online, davon benachrichtigt werden, dass das Dokument "unveröffentlicht" wurde und ihre Kopie nun nicht mehr zur Verfügung steht. Das verletzt die Rechte des Nutzers in keiner Weise - Sie sind der Urheber, Sie haben das Urheberrecht und Sie können die Zugangskontrolle so gestalten, wie Sie dies wollen.

Ohne Zweifel werden die Leser mir weit voraus sein, wenn es darum geht, sich noch andere Dinge auszumalen, die die Zertifizierungsstellen tun können... Sie werden vor allem kollektiv wissen, wann eine Seite publiziert oder verändert wurde und können diese Information an die Betreiber von Suchmaschinen weitergeben. Dies wird im nächsten Abschnitt besprochen werden. Da die Zertifizierungsstellen eine Signatur berechnen, indem sie das Dokument sowie die eingebetteten Inhalte überprüfen, können sie beispielsweise auch die Signaturen mit denen bereits existierender Dokumente (welche sich bei all den Dokumentregistrierungen angesammelt haben) vergleichen und so überprüfen, ob es Übereinstimmungen mit kopiergeschützten Dokumenten gibt. Eine solche Übereinstimmung wird dann vielleicht den Urheberrechtsinhaber von der potentiellen Verletzung seiner Rechte durch Ihre Seite informieren.

Im Interesse eines umfassenden Netzarchivs könnte die Zertifizierungsstelle auch sämtliche Dokumente, für die sie Zertifikate erteilt hat, kopieren und archivieren. Vielleicht wird sie dazu sogar durch ein Gesetz verpflichtet. Man stelle sich vor, wie nützlich ein solches Archiv wäre, um nachträglich entstehende Streitereien bezüglich der Inhalte zu klären. Ein anderes denkbares Szenario: Die Zertifizierungsstelle untersucht (im Interesse der Allgemeinheit oder inspiriert durch ein Gesetz) den Inhalt der Dokumente und markiert ihn ggf. für eine genaue Überprüfung durch entsprechende Stellen, wenn er z.B. gewisse Profile oder gewisse "verbotene Inhalte" aufweist.

Da ein Dokument solange nicht veröffentlicht werden kann, bis das Zertifikat validiert wurde, und ein Nutzer, der eine Kopie eines Dokuments erhalten hat, dieses nicht mehr lesen, nachdem das Zertifikat zurückgezogen wurde (es sei denn, der Rechner wird nie wieder nach Empfang des Dokuments ans Netz angeschlossen), kann die Zertifizierungsstelle beauftragt werden, ein Dokumentenzertifikat zurückzuziehen, wenn es sich herausgestellt hat, dass das Dokument die Rechte einer anderen Partei oder das Gesetz in irgendeiner Form verletzt hat. Das Dokument wird also nachträglich "unveröffentlicht". Dies muss natürlich erst durch ein Gesetz ermöglicht werden.

Einige werden sich vielleicht sogar vorstellen können, dass die Zertifizierungsstellen ein Zertifikat ablehnen könnten, falls es verdächtig im Hinblick auf das Urheberrecht oder bestehende Gesetze erscheint. Ein solcher Verdacht würde sich ja im Zuge des Signaturvergleichs und der heuristischen Untersuchung des Inhaltes ergeben. Aber dies würde eine Zensur vor der Veröffentlichung bedeuten, was in einer freien Gesellschaft undenkbar ist.

Das ist dann die digitale Imprimatur das Recht zum Drucken/Publizieren, wie es vor langer Zeit durch Staat oder Kirche gewährt wurde. Ein Dokumentzertifikat, sozusagen seine Druckerlaubnis, identifiziert die (natürliche oder juristische) Person, die für die Veröffentlichung verantwortlich ist, stellt eine Signatur zur Verfügung, die es möglich macht herauszufinden, dass der Inhalt des Dokuments nicht nachträglich modifiziert oder korrumpiert wurde, und identifiziert gleichzeitig auch die Zertifizierungsstelle selbst, die die Druckerlaubnis erteilte und die bei Bedarf das Zertifikat (die Imprimatur) validiert und bestätigt, dass es nicht zurückgezogen wurde. Das Trusted Computing-System und das Sichere Netz werden diese Funktionen automatisch und transparent ausführen; für den Nutzer, der im Netz surft, wird alles genauso aussehen wie heutzutage.

Dynamische, ihren Inhalt verändernde Dokumente

Zertifikate für Dokumente mit sich veränderndem Inhalt (zum Beispiel Börsenberichte, Wetterberichte, Suchergebnisse, Inhalt des virtuellen Einkaufswagens beim Händler etc.) können keine Signatur für den Inhalt enthalten, da jede Seite, die dem Aufrufenden zurückgesandt wird, einzigartig ist. Es wäre absurd, für jede Antwortseite ein Dokumentzertifikat zu verlangen. Täte man dies, so würde es die Sicherheit der im Zertifikat enthaltenen Nutzerinformationen gefährden. Dynamische Dokumente können mit der digitalen Imprimatur in Einklang gebracht werden, indem eine Vorlage (Template) registriert und ein Dokumentenzertifikat für die Seite, die auf dieser Vorlage aufbaut, vergeben wird.

Zertifizierungsstellen werden Anfragen nach dieser Art Zertifikat besonders vorsichtig behandeln, vor allem dann, wenn sie von Unbekannten oder von Personen kommen, bei denen der Verdacht besteht, dass sie so die Erfordernisse für das herkömmliche Dokumentenzertifikat umgehen wollen. Nutzer von solchen "Vorlagenzertifikaten" unterliegen dann einer strengen Kontrolle durch die Zertifizierungsstelle, damit sichergestellt wird, dass sie die Vorlage auch so nutzen, wie das Zertifikate es erlaubt.

Bitte beachten: Ich bin mir sehr wohl bewusst, dass dynamische Dokumente ein großes, hässliches, klaffendes Loch im Modell der "digitalen Imprimatur" darstellen. Ich habe mir bisher keine großartigen Gedanken über Möglichkeiten, solche Dokumente besser abzusichern, gemacht. Ich bin sicher, dass dieses Thema detailliert angegangen wird, wenn Dokumentzertifikate im Netz eingeführt werden.

Auch wenn dynamische Seiten für eine hohe Prozentzahl des Netzverkehrs verantwortlich sind, stellen sie dennoch nur einen kleinen Anteil an den Gesamtseiten des Netzes dar. Die großen Firmen, die für solche Seiten verantwortlich sind und eine hohe Anzahl von "Hits" verzeichnen, können es sich nicht leisten, das Privileg des "Vorlagenzertifikats" zu missbrauchen.

Selbstzertifizierung für Verlage

Kommerzielle Verlage, Medienagenturen and andere Organisationen, die eine Vielzahl von Informationen oder sich regelmäßig ändernden "Content" veröffentlichen (zum Beispiel Zeitungen), können die Befugnis erhalten, als ihre eigene Zertifizierungsstelle zu betreiben, was ihnen Effizienz und eine kurze Reaktionszeit ermöglicht. Dies ist analog zu den kommerziellen Rundfunk- und Fernsehsendern zu sehen, die ihre eigenen Programmaufzeichnungen führen. Genau wie bei Programmaufzeichnungen wird auch die Dokumentenzertifizierung eines Verlages einer steten Überprüfung unterliegen und öffentlich zugänglich sein, um Dokumentzertifikate verifizieren zu können und um neue Publikationen anzukündigen. Gibt es Beweise für einen Missbrauch dieser Selbstzertifizierung, so wird dieses Privileg wieder entzogen.

Übersetzt von Twister/Jürgen Buchmüller

nach oben