Mobile digitale Signatur – eine erste Studie über den Stand der Technik (Teil 1)

Von Thomas Gast, BSI

Die vertrauenswürdige kombinierte Nutzung von Internet- und Mobilfunkdiensten verbindet die Vorteile der weltweiten Verfügbarkeit von Information über Internet und die Ortsunabhängigkeit des Mobilfunks. Beide Technologien sind weit verbreitet mit anhaltend hohen Zuwachsraten. Es scheint exakt der richtige Zeitpunkt zu sein, die entstehenden mobilen Internet-Applikationen bezüglich ihrer Vertrauenswürdigkeit zu analysieren und seitens der IT-Sicherheit parallel zu den Entwicklungsaktivitäten unterstützend und regulierend mitzuwirken. Die vorliegende Studie gibt einen kurzen Überblick über den aktuellen Sachstand mit einer ersten Analyse bezüglich Stärken und Schwächen der zur Verfügung stehenden Technologien und Architekturen.

Die Akzeptanz von Aktivitäten im E-Commerce via Internet, mobil oder statisch, hängt von der Sicherstellung der rechtlichen Verbindlichkeit der implementierten Geschäftsprozesse und der damit getätigten Transaktionen ab. Sicherheitstechnisch bietet die Funktionalität der digitalen Signatur auf der mobilen Kommunikationskomponente dieselben Vorteile wie in der klassischen Festnetzanwendung. Transaktionen werden mit der digitalen Signatur abgeschlossen. Die digitale Signatur bietet die Grundlage für eine rechtswirksame Bindung des Unterzeichners an die geleistete Transaktion. Der Inhaber des Signaturschlüssels ist eindeutig bestimmbar, die Unverfälschtheit der Daten der Transaktion ist erkennbar und die signierte Transaktion erfüllt das Kriterium der Nicht-Abstreitbarkeit.

Die Einbindung der mobilen Funkgeräte in das Internet unter Verwendung der digitalen Signatur bietet eine Weiterentwicklung des Electronic (E-)Commerce zum Mobile Electronic (M-)Commerce. Das mobile Endgerät wandelt sich vom Telefon zum mobilen Internetzugriffsmedium.

[Mobile Signaturen bewirken rechtswirksame Verbindlichkeit]
Abb. 1: Übergang vom E-Commerce zum M-Commerce

Vorteile der mobilen Signatur

Ist das mobile Endgerät ausschließlich im persönlichen Zugriff eines Anwenders und kann diesem eindeutig zugeordnet werden, so kann es zur Identifikation und Authentisierung beim Zugang zu Diensten eingesetzt werden. Internet-Anwendungen im herkömmlichen Bereich mit statischen, fest vernetzten PCs oder Workstations erfordern zum Abschluss einer kostenpflichtigen Transaktion in vielen Fällen die Eingabe der Kreditkartennummer als Grundlage für das Abrechnungsverfahren. Dies veranlasst erfahrungsgemäß viele potenzielle Kunden, die Transaktion abzubrechen. Eine höhere Akzeptanz soll durch die Bestätigung des Abschlusses über eine PIN mit Übergabe der Mobilfunknummer und durch Abrechnung der Leistung über den Mobilfunkbetreiber erreicht werden.

Ein Kernproblem bei der Anwendung der digitalen Signatur ist die manipulationssichere und eindeutige Darstellung der Daten. Das Zusammenspiel von Software, Firmware und Hardware im statischen PC bietet viele Manipulationsmöglichkeiten. Die eindeutige Präsentation von Daten auf dem PC ist aufgrund der Komplexität der Standard-Editoren und -Viewer mit den vielen Einstellungsmöglichkeiten, Systemdateien etc. bis heute nicht befriedigend gelöst. Die Aufwände zur Sicherstellung der Vertrauenswürdigkeit und Eignung des klassischen PC mit Standardanwendungen als Signaturkomponente sind nach jetzigem Wissensstand unverhältnismäßig hoch, weshalb zurzeit Kompromisslösungen akzeptiert werden müssen. Die Signaturerstellung und -verifikation am PC birgt ein Restrisiko, dem man nach jetzigem Stand nicht technisch, sondern durch Belehrung des Anwenders und durch anwenderfreundliche Haftungsregeln begegnet.

Hierbei wird der Zwang zur Minimalisierung aufgrund der begrenzten Ressourcen Platz, Speicher und Energie des mobilen Endgerätes in Verbindung mit der Bereitstellung einer vollständigen, abgeschlossenen Funktionalität zum Vorteil für die digitale Signatur. Die mobile Signaturkomponente bietet:

Technische Umsetzung

Die mobilen Komponenten werden mit denselben mathematischen Signaturalgorithmen wie die fest vernetzten Komponenten ausgestattet. Die Implementierung von zum Beispiel RSA und Elliptic Curve Cryptography Algorithmen (ECC) in mobilen Geräten garantiert dieselbe Stärke der Signaturverfahren.

Im Gegensatz zu herkömmlichen PCs und Workstations sind die Anzeigemöglichkeiten des mobilen Gerätes sehr beschränkt. Das bedarf der Implementierung eigenständiger WAP-Browser, welche die Funktionalität der bekannten Internet-Browser unter den Beschränkungen der mobilen Einsatzumgebung realisieren. Das Wireless Application Protocol WAP ist ein offenes Standardprotokoll, das den Zugriff auf internetbasierte Dienste wie E-Mail, E-Commerce und andere Informationsdienste von mobilen Geräten wie Telefonen oder Personal Digital Assistants (PDAs) aus zur Verfügung stellt. Die Funktionalität der mobilen digitalen Signatur wird durch die Implementierung der Signieralgorithmen ECC und RSA im WAP-Browser bereitgestellt [1].

Die Verarbeitung der Signaturschlüssel-Zertifikate wird in die Sicherheitsarchitektur des WAP-Gerätes integriert. Dies umfasst die Bereitstellung von Datenstrukturen für X.509-v3-Zertifikate, das Parsen und die Verifikation von Zertifikatketten nach X.509 [2] oder nach dem Schalenmodell [3], die Bereitstellung von Zertifikatabfrage- und -generierungsroutinen in dem Embedded System des WAP-Gerätes als technisches Umfeld für die digitale Signatur.

Digitale Signaturen werden eingesetzt, um den Empfänger signierter Daten technisch in die Lage zu versetzen, die Integrität der Daten und die Authentizität des Signierers verifizieren zu können. Dies setzt die Implementierung einer Public Key Infrastruktur (PKI) voraus. Die Schnittstelle zur PKI wird auf dem SIM der GSM-Smartcard implementiert. PKI-Betreiber finden nur mäßige Akzeptanz bei Nutzern, sich offiziell registrieren zu lassen. Dieses Akzeptanzproblem soll im M-Commerce umgangen werden, indem der Mobilfunkbetreiber, bei dem der Anwender bereits zur Nutzung mobiler Dienste registriert ist, gleichzeitig Betreiber einer Wireless Public Key Infrastruktur (WPKI) für die Anwendung der mobilen digitalen Signatur ist. Eine explizite Registrierung wird somit obsolet, die bestehende Registrierung wird um das Signatur-Zertifikat als zusätzlicher Dienst erweitert.

Wichtiger Punkt bei der Umsetzung dieser technischen Lösungen ist die Sicherstellung der Interoperabilität, um einen ganzheitlich nutzbaren und vertrauenswürdigen M-Commerce zu implementieren.

WAP – die Basis für M-Commerce

Das Wireless Application Protocol (WAP) stellt eine Menge von Regeln zur Umsetzung von Internet-Daten auf das Format mobiler Geräte zur Verfügung. Damit wird es möglich, Informationen aus dem Internet über das WAP-Gerät (Telefon, PDA etc.) direkt abzurufen und auf dem speziellen, notwendigerweise beschränkten Display darzustellen. WAP stellt somit die notwendige Verbindung zwischen dem Internet und den leistungsfähiger werdenden mobilen Endgeräten zur Verfügung. Das WAP basiert auf einer Menge von Spezifikationen für Protokolle im Client/Server-Bereich [4]. Dabei wurde WAP auf die spezifischen Eigenheiten mobiler Endgeräte zugeschnitten:

So ermöglicht WAP die Anbindung mobiler Geräte und Applikationen an Internet-Dienste. Web-Technologien werden auf die Beschränkungen mobiler Geräte angepasst. WAP bietet eine vollständige Entwicklungsumgebung zur Implementierung von Internet-Applikationen auf mobilen Endgeräten:

Sicherheitsmaßnahmen

Sicherheit ist eine Schlüsselanforderung beim mobilen Internetzugang. Bei traditionellen Internet-Applikationen mit fest installierten und vernetzten Rechnersystemen erfolgt die Zugangskontrolle meist über Password, PIN oder Chipkarte auf Anwendungsebene. Den Schutz des internen Rechnersystems gegen externe Angriffe übernimmt eine Firewall, die eigenständig und unabhängig von der eigentlichen Anwendung funktioniert.

Mobile, persönliche Endgeräte bieten hier einen entscheidenden Vorteil beim sicheren Internet-Zugang, bei der Anwendung der digitalen Signatur und bei der Nutzung von E-Services. Die Sicherheitsmaßnahmen liegen direkt in der Hand des Endnutzers, der die volle Kontrolle über das Gerät besitzt. Die Möglichkeit der Manipulation durch Dritte wird bei verantwortungsbewusstem Umgang minimiert. Durch die Bereitstellung einer Sicherheitsinfrastruktur und technischer IT-Sicherheitslösungen werden die Prinzipien der Vertraulichkeit, der Datenintegrität, der Nichtabstreitbarkeit und des Datenschutzes bereitgestellt. Die gegenseitige Authentifizierung ist mittels Tunnelling-Protokoll und durch die Nutzung unabhängiger Third-Party-Authentifizierungsinstanzen implementiert. Vertrauenswürdigkeit wird durch die Bereitstellung von Verschlüsselungsinfrastrukturen erreicht. Die Verwendung von Hash-Algorithmen macht eine Verletzung der Datenintegrität sichtbar. Die Anwendung der digitalen Signatur sichert die Nichtabstreitbarkeit.

Das Ziel der Entwicklungen im WAP-Bereich ist die Integration aller technischen Sicherheitsmaßnahmen in das WAP-Endgerät. Das mobile Gerät bietet eine abgeschlossene vertrauenswürdige Einheit mit eigenständiger Sicherheitsfunktionalität. Verbunden mit einer sicheren Übertragung, die der Provider gewährleisten muss, sollen sichere mobile GSM-Applikationen bereitgestellt werden. Neben anwendungsspezifischen Protokollen finden zwei Sicherheitsprotokolle Berücksichtigung [5]:

Die Kombination dieser Sicherheitsmaßnahmen mit Verwendung von SSL, WTLS und in das Gerät fest integrierte Sicherheitsfunktionen zu einer speziell für die drahtlose Kommunikation entwickelte Sicherheitslösung schafft die Voraussetzung für sichere, authentische WAP-Transaktionen [6].

----------Anfang Textkasten----------

Glossar

API
Application Interface
Bluetooth
Universelle Funkschnittstelle für drahtlose Ad-hoc-Verbindung
ECC
Elliptic Curve Cryptography
GPRS
General Packet Radio Service
GSM
Global System for Mobile Communication
ISDN
Integrated Services Digital Network
MSIS-DN
Mobile Station Integrated Services Digital Number
PDA
Personal Digital Assistant
PKI
Public Key Infrastruktur
PIN
Personal Identification Number
SIM
Subscriber Identity Module
SMS
Short Message Service
SSL
Secure Socket Layer
TLS
Transport Layer Security
UMTS
Universal Mobile Telecommunications System
WAP
Wireless Application Protocol
WML
Wireless Markup Language
WPKI
Wireless Public Key Infrastruktur
WTA
Wireless Telephone Application
WTLS
Wireless Transport Layer Security
XHTML
eXtensible Hypertext Markup Language
3DES
Triple Digital Encryption Standard

----------Ende Textkasten----------

Die erste Schicht der Sicherheitsmaßnahmen betrifft den Schutz vor unbefugter Nutzung des Endgerätes durch eine PIN, die auf dem SIM gespeichert ist. Mittels der PIN authentifiziert das Gerät auf Anwendungsebene den Benutzer durch Verifikation der gerätespezifischen Mobile Station Integrated Services Digital Number (MSIS-DN).

Die zweite Schicht betrifft den Schutz der durchgeführten Transaktionen. Es wird zwischen 2-Zonen-Modellen und Modellen der Ende-zu-Ende Sicherheit unterschieden. Bei dem 2-Zonen-Modell enthält Zone 1 die Kommunikation vom mobilen Endgerät zur PKI oder zum Mobilfunkbetreiber, Zone 2 von der PKI zum Empfänger der Transaktion. Unter Berücksichtigung dieser beiden Modelle sind vier Ebenen mit aufsteigender Stärke der Authentisierungsmechanismen spezifiziert, die in aktuellen M-Commerce Anwendungen implementiert sind [4]:

Ebene 1: PIN-Security – 2-Zonen-Modell

Ebene 1 zeichnet sich durch eine Kombination von persönlicher PIN des Absenders und gerätegebundener SSL-Authentifizierung des Mobilfunkbetreibers aus. Die Sicherheit der Zone 1 hängt von den Mechanismen ab, die im jeweiligen Mobilfunknetz implementiert sind. Durch Eingabe der PIN bestätigt der Absender die Transaktion. Der Mobilfunkbetreiber verifiziert die übertragene PIN des Senders und leitet die Transaktion an den Zielempfänger weiter, Zone 2. In Zone 2 erfolgt die Identifikation der Kommunikationspartner, Mobilfunkbetreiber und Empfänger, über SSL.

Ebene 2: PKI-Security – 2-Zonen-Modell

Ebene 2 zeichnet sich durch eine Kombination von persönlicher PIN und zugeordnetem ECC/RSA-Signaturschlüssel aus. Die Verwaltung und Anwendung der Signaturschlüssel erfolgt in einer PKI, die unter Umständen auch vom Mobilfunkbetreiber bereitgestellt wird. Vor der Durchführung einer Transaktion werden die Daten dem Anwender visualisiert. Das Einverständnis erfolgt durch Eingabe einer PIN. Beim PKI-Betreiber wird mit einer Kombination aus Identifikationsnummer des Endgerätes, zum Beispiel der Telefonnummer, und der persönlichen PIN des Endnutzers der geheime Signaturschlüssel des Anwenders entschlüsselt. Damit sind die Aktivitäten in Zone 1 abgeschlossen.

In Zone 2 werden die Daten vom PKI-Betreiber, quasi in Vertretung zum eigentlichen Absender, mit diesem Signaturschlüssel digital signiert und die Transaktion durchgeführt. Der PKI-Betreiber spielt somit die Rolle einer unabhängigen Partei, die die Durchführung einer Transaktion mittels digitaler Signatur beglaubigt. Das erfordert beim PKI-Betreiber die Erfüllung hoher Anforderungen an die organisatorischen und technischen Maßnahmen, um einen vertrauenswürdigen Dienst anbieten zu können.

Ebene 3: 3DES-Security – Ende-zu-Ende Sicherheit

Ebene 3 zeichnet sich durch die Anwendung des 3DES zur MAC-Authentisierung aus (Message Authentication Code). Durch die Bildung des MAC mittels 3DES bestätigt der Absender die Transaktion. Der 3DES-Schlüssel ist im Anwendungsmodul des Endgeräts gespeichert.

Ebene 4: WPKI Security – Ende-zu-Ende Sicherheit

Ebene 4 zeichnet sich durch eine Kombination von persönlicher PIN und zugeordnetem ECC/RSA-Signaturschlüssel aus. Die Verwaltung der Signaturschlüssel erfolgt in einer PKI. Der geheime Schlüssel wird in der SIM des Endgeräts gespeichert. Vor der Durchführung einer Transaktion werden die Daten dem Anwender visualisiert. Das Einverständnis erfolgt durch Eingabe einer PIN. Die Daten werden digital signiert und die Transaktion durchgeführt. Ebene 4 bietet somit eine Ende-zu-Ende-Sicherheit mit gesetzeskonformer digitaler Signatur des Absenders und stellt die Nichtabstreitbarkeit sicher.

[Vier Ebenen der Übertragungssicherheit: Ebene 1 - PIN Security, Ebene 2 - PKI Security, Ebene 3 - 3DES Security, Ebene 4 - WPKI Security]
Abb. 2: Sichere Übertragung

Für einen vertrauenswürdigen Einsatz im M-Commerce muss bei der Implementierung dieser Sicherheitsarchitektur berücksichtigt werden, dass die im Internet eingesetzte Secure-Socket-Layer-Technologie (SSL) aufgrund der zusätzlich erforderlichen Rechenleistung der Endgeräte nicht für den Einsatz bei der mobilen Kommunikation anwendbar ist. Das WAP-Forum hat deshalb mit dem Wireless Transport Layer Security Protokoll WTLS ein eigenständiges, speziell auf die Eigenheiten mobiler Kommunikation abgestimmtes Sicherheitsprotokoll für die Datenübertragung spezifiziert. Es wird definiert, wie sichere drahtlose Kommunikationsverbindungen aufgebaut werden und wie die Anbindung an das Internet erfolgt.

Das Problem der notwendigen Umsetzung der Daten beim Übergang vom mobilen Netz zum Internet-Festnetz hat seine Ursache in der Inkompatibilität der Protokolle HTML und WTML. WTML ist angepasst an die begrenzten Ressourcen der mobilen Endgeräte und die hohen Anforderungen an die Übertragungsgeschwindigkeit im mobilen Netz. WTML überträgt die Daten sehr kompakt, während HTML sie im Klartext über das Internet überträgt.

[Grafik: Protokoll-Bridging zwischen Internet- und WAP-Stack auf der TLS/WTLS-Ebene]
Abb. 3: Protokoll-Bridging

Bei dieser Umsetzung von Internet-SSL handelt es sich um einen so genannten Bridging Approach mit all seinen inhärenten Sicherheitsproblemen. Die Umsetzung der Daten zwischen mobilem Gerät und Internet-Server geschieht durch eine Übersetzung der Nachrichten vom WTLS- in das SSL-Format und umgekehrt. Diese Dienstleistung wird vom Mobilfunkbetreiber durch Bereitstellung eines Gateway-Rechners erbracht. Das Problem besteht darin, dass zu diesem Zweck die Daten beim Auspacken aus dem Eingangsprotokoll entschlüsselt und zur Übergabe an das Ausgangsprotokoll erneut verschlüsselt werden müssen. Somit liegen die Daten im Gateway-Rechner im Klartext vor. Der Mobilfunkbetreiber hat potenziell die Möglichkeit, auf die Information der Kunden zuzugreifen. Das erfordert ein hohes Maß von Vertrauenswürdigkeit des Betreibers. Ist dies nicht uneingeschränkt gegeben, so wird dieses Gateway von den Kommunikationspartnern in gesicherten, internen Bereichen – geschützt hinter Firewalls – selbst betrieben. Der Nachweis der Vetrauenswürdigkeit des Betreibers erfolgt durch periodisches Auditieren oder auch Benchmarking.

Den zweiten Teil dieses Artikels finden Sie im nächsten BSI-Forum.

Literatur

[1]
[externer Link] TTPCom
[2]
ITU-T X.509: Information Technology – Open Systems Interconnection – The Directory: Authentication Framework; 1997
[3]
Signatur-Interoperabilitätsspezifikation des BSI, A6 Gültigkeitsmodell V1.1A, 17.06.99, www.bsi.bund.de
[4]
[externer Link] Ericsson WAP
[5]
[externer Link] Certicom
[6]
[externer Link] Sony

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2/2001, Seite 37