[Authentizität]  [Was tun mit neuen Schlüsseln] [Rechtliche Anerkennung [Meine PGP-Public-Keys
[Links zu PGP/Kryptographie]



Kryptographie - Sicherer E-Mail- und sicherer Internetverkehr

Trotz steigender Internet-Piraterie und mit zunehmendem Fortschritt auch größeren Angriffsmöglichkeiten durch Hacker wird eine sichere globale Kommunikation und Interaktion - nicht nur bei ECommerce - zu wenig thematisiert und praktiziert. Kryptographie ist ein Schlüsselwort für Sicherheit im Internet.

 

Die rechtliche Anerkennung PGP-verschlüsselter Signaturen:

Leider stößt PGP hierbei in Deutschland derzeit an seine Grenzen. Nach dem deutschen Signaturgesetz (=Art.3 des IuKDG) ist erforderlich, daß der Schlüssel - vereinfacht ausgedrückt - sicher verwahrt wird. Diese Voraussetzung erfüllt nach dem Willen des Gesetzgebers zur Zeit jedoch nur eine Chip-Karte, auf welcher die nötigen Informationen gespeichert sind, die nur mittels eines speziellen Lesegeräts ausgelesen werden können (also ähnlich der HBCI-Karte im Online- Banking-Bereich!).

PGP bietet (derzeit) jedoch keine Möglichkeit für die Verwendung eines derartigen Chipkarten systems. Damit können mittels einer PGP-signierten Unterschrift derzeit nach deutschem Recht Verträge online nicht rechtswirksam geschlossen werden, da keine i.S.d. Signaturgesetz gültige Unterschrift geleistet wurde.
Derzeit gibt es nur 2 Stellen, die als TrustCenter i.S.d. Signaturgesetz agieren können. Dies sind eTrust von der deutschen Post und ...... (muß ich nochmals nachschaün). Derzeit führt die staatlich bestätigte Zertifizierungsstelle eTrust an der Universität Saarbrücken ein Pilotprojekt bzgl. digitaler Signatur durch. Hierbei erhalten ca. 80 Studenten die Gelegenheit, Erfahrungen im Umgang mit dem - Signaturgesetz-konformen - Chipkarten-System zu sammeln. Gegebenenfalls ist es mir deshalb möglich, in nächster Zeit, auch eigene Erfahrungsberichte diesbezüglich hier bekanntzugeben.

Persönliche Anmerkung:
Diese Entwicklung ist zwar aus rechtlicher Sicht verständlich, gleichermaßen jedoch bedauerlich angesichts der Qualität von PGP und der Vorreiterrolle, die es spielte, bis überhaupt einmal die Politik zu reagieren begann.
PGP findet dennoch ein gutes Einsatzfeld, wenigstens im außerrechtsgeschäftlichen Bereich wie z.B. privater e-Mail-Verkehr. Voraussetzung ist jedoch gemäß dem Grundgedanken von PGP vom Web of Trust, daß tatsächlich Schlüssel nur als vertrauenswürdig eingestuft werden, die von einem selbst bekannten anderen Personen signiert wurden. Hilfreich wäre auch ein Zertifikat von einem Trust Center. Jedoch sollte man auch auf die Art des Zertifikats achten; so bedeutet bei TC Trustcenter Hamburg eine Class 3 - Zertifikat, daß ein Post-ID-Verfahren durchgeführt wurde, welches wenigstens eine recht große Sicherheit der Identitätsfestellung bedeutet. Leider, aber auch verständlicherweise, verlangen diese TrustCenter inzwischen auch einen jährlichen Obulus, so daß angesichts der rechtlichen Problematik die Hemmschwelle der Nutzer steigen dürfte. Desweiteren sollte der private Schlüssel unbedingt auf einem externen Medium wie einer Diskette und nicht auf Festplatte abgespeichert werden ! Dies bietet wenigstens ein noch größeres Maß an Sicherheit bzgl. der Entwendbarkeit des private key !

Logo Alexander Gessinger

© 1997-2001 by Alexander Gessinger, all rights reserved