Public-Key-Infrastrukturen: Realismus ist angesagt

Regelmäßig beschäftigt sich das Darmstädter CAST-Forum mit Public-Key-Infrastrukturen (PKI) und der Bedeutung von digitalen Signaturen. Diesmal stand die jüngst erfolgte Veröffentlichung der Common PKI 2.0 im Mittelpunkt. Ein neuerlicher Blick auf die e-Card Strategie der Bundesregierung ergab, dass die digitale Signatur künftig bei der Langzeitarchivierung von Dokumenten eine Rolle spielen soll.

Zum Auftakt der Veranstaltung warnte Tagungsleiter Jürgen Schwemmer, bei der Bundesnetzagentur für die qualifizierte elektronische Signatur zuständig, vor unrealistischen Erwartungen an die Technik. Weder gäbe es Selbstläufer, mit der sich die Signaturtechnik verbreiten könne, noch seien Projekte ohne Nebenwirkungen planbar. Er appellierte an die versammelten Experten, sich nicht ausbremsen zu lassen und forderte staatliche Vorbildprojekte, bei denen etwa der vom Bundestag für 2010 beschlossene elektronische Personalausweis wirklich im digitalen Behördenverkehr eingesetzt werden kann.

Mit dem Personalausweis, dem gerade beschlossenen elektronischen Einkommensnachweis und den Signaturmöglichkeiten bei Arztausweis und der Gesundheitskarte sei man schon recht weit, eine Infrastruktur für die digitale Signatur aufzubauen. Seit Anfang 2009 sei der Einsatz der qualifizierten elektronischen Signatur beim elektronischen Gerichtspostfach und im elektronischen Mahnwesen möglich. Außerdem eröffnete die ebenfalls seit diesem Jahr mögliche Nutzung der Signatur im Emissionshandel und bei der Vollständigkeitsprüfung nach der Verpackungsverordnung neue Chancen. Seit der Bestandsaufnahme 2008 gebe es also deutliche Fortschritte

Die hessische Datenschützerin Gisela Quiring-Kock setzte einen Gegenpunkt. Sie beklagte die zunehmende Verwässerung der qualifizierten digitalen Signatur durch Vorhaben wie das "Bürgerportal" samt De-Mail, De-Safe und De-Ident. Indem der Staat hier auf die qualifizierte Signatur (QES) zugunsten einer einfachen Identifikation verzichte, stoße er eine verhängnisvolle Fehlentwicklung an. Wenn Steuererklärungen anstelle der QES mit "anderen sicheren" Verfahren wie der Nutzung der ID-Funktion des kommenden elektronischen Personalausweises übertragen werden dürfen, sei dies ein großer Rückschritt. Kleine, aber feine Fortschritte macht nach Meinung von Hajo Bickenbach das Common PKI 2.0. Der Leiter des technischen Arbeitskreises der deutschen Trustcenter stellte die "behutsam angepassten" Spezifikationen vor und freute sich, dass von der Bundesregierung bis zu Microsoft die Common PKI akzeptiert wird.

Wie die sogenannte E-Card-Strategie der Bundesregierung weiter ausgebaut wird, zeigte Detlef Hühnlein von der Firma Secunet. Er stellte analog zur Technischen Richtlinie TR-03112 für das API-Framework die TR-03125 für die Langzeitarchivierung von Dokumenten mit ArchiSafe und ArchiSig vor. Die neue Schnittstelle soll es ermöglichen, dass man mit einer qualifizierten Signatur bei der Archivierung fälschungssichere Dokumente erzeugt, die später bei einer Langzeitarchivierung nur noch übersigniert werden müssen, wenn neue Algorithmen verpflichtend sind. Kühnlein vertrat mit seinem Referat Manuel Bach vom Bundesamt für Sicherheit in der Informationstechnik (BSI), der über die sichere eID des elektronischen Personalausweises referieren sollte.

Dass dieser neue Ausweis kaum den technischen Durchbruch und Akzeptanz für eID-Verfahren bringen wird, wie das Innenministerium erhofft, legte Christian Breitenstein vom Fraunhofer-Institut FOKUS dar. Sein Institut untersucht die Auswirkungen der europäischen Dienstleistungsrichtlinie auf digitale Geschäftsprozesse. Technisch müsste etwa ein französischer Bäcker einen Antrag auf Genehmigung eines Baguette-Ladens in Deutschland über den zuständigen DEA (Deutscher einheitlicher Ansprechpartner) mit qualifizierter digitaler Signatur an die zuständigen Behörden schicken können. Praktisch ist dieses Verfahren nach Auffassung von Breitenstein illusorisch, da viele Behörden und je nach Bundesland unterschiedliche Ämter beteiligt sind, die nicht gerne zusammenspielen und sich im Zweifelsfall lieber ein Fax schicken lassen. Wichtig wäre es in jedem Fall, dass sich die Signaturfunktion in Deutschland schneller verbreitet als mit einem Personalausweis, von dem pro Jahr nur 10 Prozent aller Ausweise erneuert würden.

Wie ein europäisches Signatursystem mit national zuständigen Aufsichtsbehörden und unterschiedlichen Zertifikatsanbietern aussehen könnte, erläuterte Ulrich Latzenhofer von der FESA. Dieses "Forum of European Supervisory Authorities for Electronic Signatures" versucht, die doch sehr unterschiedlichen Standards einzelner Länder zusammenzuführen. Weil die Signatur der territorialen Zuständigkeit unterliegt, auf die die europäischen Staaten nicht verzichten wollen, ist ein EU-weites interoperables PKI-Gefüge in den nächsten 10 Jahren nicht absehbar. "Wir müssen ein gegenseitiges Verständnis entwickeln., sofern ein gemeinsames Verständnis unmöglich ist", erklärte Latzenhofer. Solange die Aufsicht über Zertifikateanbieter und Signaturen hoheitsrechtlich an der geografischen Staatsgrenze endet dürfte es keine Fortschritte geben, so der Referent, der das Problem sinnigerweise mit dem Grenzschild eines untergegangenen Staates illustrierte.

Zwei weitere Referate zeigten zum Schluss kurz die Zukunft der Signaturen und stellten die mathematische Basis für quantencomputerresistente Kryptoverfahren vor. Digitale Signaturen müssen für das Zeitalter der Quantencomputer gewappnet sein, daher wird jetzt schon intensiv über die Quantenalgorithmen von Merkle (PK Signaturverfahren) und McEliece (PK Verschlüsselungsverfahren) geforscht. (Detlef Borchers) / (vbr)