|
|
|
Nachdem die verschiedenen kryptographischen Verfahren vorgestellt wurden, ist klar geworden, dass der Erzeugung und Vergabe der zu verwendenden Schlüssel eine besondere Rolle zukommt. Hierbei ist es wichtig, noch einmal genau darauf einzugehen, dass ein Schlüssel mehr als nur eine bestimmte Abfolge von Bits ist. Zusätzlich zur Schlüsselinformation selbst beinhalten diese - je nachdem ob es sich um einen öffentlichen oder privaten Schlüssel handelt - noch zusätzliche Daten. Beispielsweise ist im öffentlichen Schlüssel eine Benutzer-ID notwendig (z.B die E-Mail-Adresse des Inhabers zusätzlich zu dessen vollem Namen), um eine eindeutige Zuordnung zum Inhaber treffen zu können. Zusätzlich sollte es moderne Verschlüsselungssoftware (wie z.B. PGP) vorsehen, den privaten Schlüssel mit einem Passwortschutz zu versehen, wodurch eine Aktivierung des Schlüssels nur über einen entsprechenden „Login-Vorgang“ möglich ist.( Zwar ist der Verlust des privaten Schlüssels für einen Wähler sehr unangenehm, jedoch ist der maximale Schaden, der hierdurch entstehen kann - der Missbrauch einer Stimme -, unter gesamtwahlstatistischen Gesichtspunkten zu betrachten und daher nicht relevant. Durch den zusätzlichen Passwortschutz kann aber eine für den Wähler wesentliche psychologische Komponente geschaffen werden. Außerdem ist, ähnlich dem Verlust einer Kreditkarte, der Schaden nur in der Zeit zwischen dem Verlust und der Meldung des Verlusts möglich).
Um öffentlichen und privaten Schlüssel einander zuordnen zu können, benötigen beide eine entsprechende Identifikationskennung. Doch wie bereits erwähnt, liegt das Problem bei Public-Key-Verfahren darin, dass man nicht sicher sein kann, ob ein öffentlicher Schlüssel wirklich zu dem in der Benutzer-ID des Schlüssels genannten Absender gehört, solange man den Schlüssel nicht persönlich erhalten hat. Nehmen wir an, Teilnehmer B hätte seinen öffentlichen Schlüssel zu einem öffentlichen Verzeichnis hinzugefügt. Ein Angreifer A könnte nun den echten öffentlichen Schlüssel von B durch seinen eigenen ersetzen und als (falsche) Benutzer-ID die von B angeben. Wenn Teilnehmer C an B, den er nicht kennt, eine Nachricht schicken möchte, so sucht er im öffentlichen Schlüsselverzeichnis nach dem Schlüssel von B, den er auch gefunden zu haben glaubt, obwohl es sich um den Schlüssel von A handelt. C verschlüsselt dann die Nachricht mit dem vermeintlichen Schlüssel von B und schickt diese an ihn. Wenn A nun auf dem Kommunikationsweg zwischen B und C die Nachricht abfängt (beim E-Mail Verkehr im Internet könnte man z.B. an jedem Rechner (Router), der auf dem Weg von B nach C durchlaufen wird, diese E-Mail herausfiltern), so kann er diese entschlüsseln (da er den passenden privaten Schlüssel hat) und sogar danach mit dem wirklichen Schlüssel von B verschlüsseln und an diesen weiterleiten. Weder B noch C hätten dann bemerkt, dass jemand mitgelesen hat (Dieser Angriff wird auch als „Man-in-the-Middle-Attack“ bezeichnet).
Zur Lösung dieser Problematik werden die sogenannten „Trust Center“ benötigt. Eine solche Institution stellt eine vertrauenswürdige Instanz dar, welche - je nach Zertifikatsklasse auf unterschiedliche Weise - die Identität der Schlüsselinhaber überprüft und als Zertifizierungsinstanz durch eine Unterschrift bestätigt, dass der Schlüssel wirklich zu der Person gehört, die in der Benutzer-ID des Schlüssels angegeben ist. Das Zertifikat, das hierbei erstellt wird, ist also ein vom Trust Center (Certification Authority) beglaubigter und unterschriebener öffentlicher Schlüssel. Es ist deshalb vergleichbar mit einem elektronischen Ausweis. Die am weitesten verbreiteten Zertifikat-Formate sind derzeit PGP und X.509 (X.509 ist ein Standardformat der ITU-T (International Telecommunication Union-Telecommunication) für Zertifikate. Es beinhaltet den Namen des Ausstellers (üblicherweise eine Certification Authority), Informationen über die Identität des Inhabers sowie die digitale Signatur des Ausstellers. Auf dem X.509-Format basieren z.B. SSL und S/MIME).
Die Bedeutung, die den digitalen Schlüsseln in einem computerbasierten Wahlsystem zukommt, ist eminent. Durch sie und die damit verbundenen Verschlüsselungsverfahren wird sichergestellt, dass die Sicherheitsanforderungen der Vertraulichkeit und Integrität erfüllt werden können, und damit direkt verbunden ist natürlich auch die Schaffung des Vertrauens in das Wahlsystem für die Gesellschaft. Da alle in einem solchen System anfallenden Kommunikationsvorgänge mittels der vorgestellten Public-Key-Verfahren geschützt werden müssen, wird klar, dass der Erzeugung und Verteilung der benötigten Schlüssel eine hohe Bedeutung zukommen muss.
Außer den einzelnen topologischen Entitäten einer Wahl muss jeder einzelne Wähler zum Nachweis seiner Identität und dem Schutz seiner Wahldaten Inhaber eines solchen Schlüssels sein. In Bezug auf diesen Schlüsseltyp verwenden wir im Folgenden den Begriff „Personen-Schlüssel“.
Die Komplexität der Vorgänge bei der Anwendung solcher Schlüssel muss dem Wähler im allgemeinen natürlich verborgen bleiben. Daher ist der Einsatz eines Mediums für die Speicherung der Schlüssel vorzusehen, welches es ermöglicht, dass der Wahlvorgang aus Sicht des Wählers nicht komplizierter ist, als die Bedienung eines elektronischen Geldautomaten. Denkbar wäre der Einsatz von Chipkarten, Mini-CD-ROM oder ähnlichen Datenträgern, für die wir im Folgenden den Begriff „ID-Card“ verwenden.
Beispielsweise wäre der Aufbau einer Kommunikationsverbindung zwischen Wähler und Wahlsystem so denkbar, dass der Wähler in der Wahlkabine die Wahl-Chipkarte in einen Chipkartenleser führt und durch Eingabe des Passworts seinen Schlüssel aktiviert. Anschließend würde der Rechner der Wahlkabine ein beliebiges, aber definiertes Datenpaket zur Authentifikation erzeugen, mittels des aktivierten privaten Schlüssels auf der Chipkarte digital unterschreiben und dem Wahlsystem schicken. Da das Wahlsystem den öffentlichen Schlüssel des Wählers kennt, kann es nun überprüfen, ob die Identität des Wählers korrekt ist, und anhand der Daten des Wählerverzeichnisses überprüfen, ob dieser zur Wahl berechtigt ist.
Aufgrund der Notwendigkeit einer ID-Card für den Wähler, der Komplexität der Schlüsselerzeugung und –verteilung sowie der Tatsache, dass die öffentlichen Schlüssel zertifiziert werden müssen, ist die Voraussetzung zu erbringen, eine Institution mit den Aufgaben eines Trust-Centers einzurichten, welche die Schlüssel der Wähler bzw. des Wahlsystems erzeugt, verteilt und verwaltet.
|
|
|
|
©1998 by Andreas Fahrig & Christian Stamm