Grundlagen digitaler Identität
Online nachweisen, wer man ist
Fortsetzung des Artikels von Teil 1
Absicherung digitaler Identitäten
Die Übertragung eines analogen Identitätsnachweises in den digitalen Raum ist nur eine der Herausforderungen bei elektronischen Identitäten (eIDs). Die andere besteht darin, eIDs gegen Missbrauch und Datenlecks zu schützen: Es muss einen einfachen Weg geben, mit dem eine prüfende Instanz feststellen kann, ob eine ihr vorgelegte eID echt ist.
Hier spielt die Instanz, die die digitale Identität herausgibt und verwaltet, eine große Rolle. Ihre Integrität ist entweder dadurch garantiert, dass es sich um eine staatliche Institution handelt, oder – bei Privatunternehmen – über Zertifizierungs- und Auditverfahren. In der EU ist das beispielsweise in der eIDAS-Verordnung (eIDAS: Electronic Identification, Authentication, and Trust Services) geregelt.
Die prüfende Instanz weiß, welche Aussteller von Zertifikaten, die die digitale Identität bestätigen, als vertrauenswürdig gelten, und wird generell nur solche Zertifikate annehmen. Weiterhin ist aber noch zu klären, ob das Zertifikat echt ist. Dies erfordert einen Prozess, der eine sehr hohe Fälschungssicherheit sowie einfache Überprüfbarkeit gewährleistet und sich automatisieren lässt.
Hier kommt asymmetrische Kryptografie ins Spiel. Das Verfahren basiert auf einem privaten und einem öffentlichen Schlüssel. Deren Zusammenhang stellt ein Verschlüsselungsverfahren über schwer umkehrbare mathematische Operationen wie die Multiplikation großer Primzahlen her. Es ist somit trivial, den öffentlichen aus dem privaten Schlüssel zu erzeugen. Aus dem öffentlichen Schlüssel auf den privaten Schlüssel zu kommen, ist dagegen nicht mit vertretbarem Aufwand möglich. Deshalb kann man den öffentlichen Schlüssel für jeden verfügbar bereitstellen. Passt dieser zu einem Zertifikat, das mit dem entsprechenden privaten Schlüssel erstellt ist, gilt das Zertifikat als echt.
Ein aktuelles Beispiel für die Anwendung asymmetrischer Kryptografie zur Echtheitsprüfung sind die Impfzertifikate mit QR-Code. Dieser Code ist mit einem privaten Schlüssel erstellt, der öffentliche Schlüssel zur Überprüfung lässt sich in einer App speichern. Dadurch funktioniert das System auch offline.
Eine Achillesverse hat aber auch diesen Verfahren: Die privaten Schlüssel müssen unbedingt geheim bleiben. Ob private Vertrauensdienstleister oder staatliche Institutionen: Wer Identitätsdienstleistungen auf Basis asymmetrischer Kryptografie anbietet, muss sicherstellen, dass die privaten Schlüssel optimal geschützt sind.
Für die Erzeugung und sichere Verwahrung starker privater Schlüssel sind Hardware-Sicherheitsmodule (HSM) das Mittel der Wahl. Gegenüber Softwarelösungen haben sie den Vorteil, dass die Schlüssel selbst nicht in den Hauptspeicher eines Rechners eingelesen werden, was eine Kompromittierung aus der Ferne ausschließt. Hochwertige HSMs verfügen über einen echten Zufallszahlengenerator – wichtig für die Erzeugung von Schlüsseln erster Güte.
Fazit
Man kann nicht sagen, dass eine digitale Identität per se sicher oder unsicher wäre. Vielmehr muss man verstehen, dass es unterschiedliche Anforderungen und dementsprechend stärkere oder schwächere Prüfverfahren gibt. Das ist auch in der analogen Welt nicht anders: Reserviert man einen Tisch im Restaurant, reicht in der Regel die Nennung eines Namens (ob dieser echt ist, wird niemand prüfen) als Identifikation, bei Bankgeschäften sieht es freilich anders aus. Ähnlich verhält es sich im digitalen Raum. Probleme können auftreten, wenn sensible Informationen oder Transaktion mit unzureichender Absicherung einhergehen. Für manche einfache Dienstleistungen mag die Identifikation über Nutzername und Passwort nach wie vor ausreichen. Geht es aber um sensible Informationen mit Bezug zur realen Welt wie Finanz- oder Gesundheitsdaten, ist ein höheres Sicherheitsniveau angebracht. Zudem brauchen wir mit dem Siegeszug des IoT (Internet of Things) wir neue Lösungen, um Geräten, Dokumenten und Transaktionen eindeutige und fälschungssichere Identitäten zuzuweisen. Auf dem Gebiet der Kryptografie befinden sich auch für dieses Problem bereits vielversprechende Ansätze in Entwicklung.
Malte Pollmann ist Chief Strategy Officer bei Utimaco.
- Online nachweisen, wer man ist
- Absicherung digitaler Identitäten
Lesen Sie mehr zum Thema
