![[ Aufmachergrafik: heller, corporate design ]](04-4-058-0.jpg)
Zwischenzeit-Stempel Einsparpotenzial durch intervallqualifizierte Zeitstempel Zwischenzeit-Stempel Einsparpotenzial durch intervallqualifizierte ZeitstempelIm Rahmen der elektronischen Abwicklung von Geschäftsprozessen werden Zeitstempel zur verbindlichen Verknüpfung elektronischer Daten mit Zeitattributen eingesetzt. Für hohe Rechtsverbindlichkeit kommen üblicherweise qualifizierte Zeitstempel gemäß Signaturgesetz zum Einsatz (§ 2 Nr. 14 SigG). Das Gesetz definiert einen qualifizierten Zeitstempel als eine "Bescheinigung eines Zertifizierungsdiensteanbieters" (ZDA), dass ihm "bestimmte elektronische Daten zu einem bestimmten Zeitpunkt" vorgelegen haben. Da solche Zeitstempel nur bei signaturgesetzkonformen Zertifizierungsdiensteanbietern über das Internet bezogen werden können, sind mit dem massenhaften Einsatz qualifizierter Zeitstempel nicht nur hohe Netzlasten, sondern zumeist auch hohe Kosten verbunden.
Eine weniger aufwändige Lösung können Intervall-qualifizierte (IQ) Zeitstempel sein. Diese erzeugt man im eigenen Haus und verknüpft sie auf geschickte Art und Weise mit jeweils einem (eine größere Zeitspanne) davor und danach erstellten qualifizierten Zeitstempel. Es lässt sich dann beweisen, dass die IQ-Zeitstempel tatsächlich in dem Zeitfenster der beiden qualifizierten Zeitstempel angefertigt wurden. Dadurch ist für viele Applikationen der tägliche Bezug eines einzigen qualifizierten Zeitstempels ausreichend.
Die qualitativen Unterschiede zwischen selbsterzeugten und qualifizierten Zeitstempeln, die vor allem den Beweiswert der Zeitstempel beeinflussen, ergeben sich anhand der hohen Anforderungen gemäß Signaturgesetz (SigG) und -verordnung (SigV), die ein Anbieter qualifizierter Zeitstempel erfüllen muss:
Da bei organisationsinternen Zeitstempeldiensten die meisten dieser anspruchsvollen – und in der Umsetzung vergleichsweise teuren – Anforderungen grundsätzlich verzichtbar sind, ist es wenig verwunderlich, dass selbsterzeugte Zeitstempel in aller Regel wesentlich kostengünstiger sind als qualifizierte Zeitstempel.
Insbesondere entfallen bei den selbsterzeugten Zeitstempeln die transaktionsabhängigen Gebühren pro Zeitstempel, mit denen ein Zertifizierungsdiensteanbieter seine zusätzlichen Investitionen und den Betriebsaufwand umlegt. Deshalb ist es – unter wirtschaftlichen Gesichtspunkten, besonders bei einer großen Anzahl benötigter Zeitstempel – wünschenswert, qualifizierte Zeitstempel durch selbsterzeugte Zeitstempel zu ersetzen.
Da der Beweiswert selbsterzeugter Zeitstempel aber unter Umständen sehr gering ist, könnte dies in Streitfällen zu Problemen führen. Hat ein Zeitstempel, dessen Zweck per Definition der Beweis der Existenz bestimmter Daten zu einem bestimmten Zeitpunkt ist, keinen Beweiswert, so ist er praktisch wertlos. Deshalb ist die Verwendung selbsterzeugter Zeitstempel statt qualifizierter Zeitstempel nur dann ratsam, wenn der Beweiswert der Zeitstempel unter dieser Substitution nicht oder nicht wesentlich leidet.
Die wesentliche Errungenschaft der hier vorgestellten IQ-Zeitstempel ist, dass der Beweiswert dieser speziellen selbsterzeugten Zeitstempel beinahe dem Beweiswert qualifizierter Zeitstempel gleichkommt: Man kann für einen IQ-Zeitstempel nämlich beweisen, dass er in einem Zeitintervall erzeugt wurde, das durch zwei qualifizierte Zeitstempel definiert wird.
Ein Zeitstempeldienst TSS erzeugt einen Zeitstempel QS typischerweise, indem er die Konkatenation (in Zeichen: |) aus bestimmten Daten d und einem Zeitattribut t mit seinem geheimen Schlüssel skTSS signiert:
(1) QS = SigTSS (d | t , skTSS)
Dieser Zeitstempel QS dokumentiert, dass die Daten d zum Zeitpunkt t beim Zeitstempeldienst TSS vorgelegen haben. Kann niemand derartige Signaturen fälschen und ist TSS hinreichend vertrauenswürdig, sodass stets die aktuelle Zeit t zur Produktion solcher Zeitstempel verwendet wird, dann beweist QS, dass d bereits vor dem Zeitpunkt t existiert hat.
Sei h: {0,1}* → {0,1}n eine kryptographische Hashfunktion, sodass es bei gegebenem h(x) praktisch unmöglich ist, x zu ermitteln (Einwegeigenschaft) und es praktisch unmöglich ist ein Paar x1,x2 zu finden, sodass h(x1)=h(x2) (Kollisionsresistenz).
Dann induzieren die Einwegeigenschaft und Kollisionsresistenz von h eine relative zeitliche Ordnung zwischen dem Argument und dem Funktionswert von h (vgl. bspw. Section 3.1 von [6]). Existiert der Wert h(x) zum Zeitpunkt t, so impliziert die Einwegeigenschaft und die Kollisionsresistenz von h, dass das Dokument x bereits vor dem Zeitpunkt t existiert haben muss.
Seien A ein mit einem Signaturschlüsselpaar (skA, pkA) ausgestattetes Subjekt (z. B. ein organisationsinterner Zeitstempeldienst) und r beliebige Daten. Seien weiterhin
(2) QS1 = SigTSS (r | T1 , skTSS),
(3) S = SigA (h (QS1) | m | t , skA)
und
(4) QS2 = SigTSS (h (S) | T2 , skTSS).
Unterstellt man, dass TSS vertrauenswürdig ist, dann wurde die Signatur in (2) zum Zeitpunkt T1 und die Signatur in (4) zum Zeitpunkt T2 erstellt. Ist t der Zeitpunkt der Erstellung der Signatur in (3), dann gilt
(5) t > T1
weil bei der Signatur in (3) der Hashwert h (QS1) des Zeitstempels QS1 verwendet wurde. Andererseits fließt der Hashwert h (S) der Signatur S aus (3) in den Zeitstempel aus (4) ein. Deshalb ist außerdem
(6) t < T2.
Aus (5) und (6) folgt schließlich, dass A die Signatur S in (3) im offenen Zeitintervall ]T1,T2 [ erzeugt haben muss (vgl. Abb. 1).
![[Illustration]](04-4-058-1.jpg)
Abbildung 1: Relative zeitliche Ordnung mittels Hashfunktion
Sollen mehrere Signaturen Si zwischen den beiden vertrauenswürdigen Zeitstempeln erzeugt werden, so bezieht man den Zeitstempel QS1 in jede Signatur Si ein und integriert die verschiedenen Signaturen Si wiederum in geeigneter Weise in den Zeitstempel QS2 . Hierfür bietet sich die Verwendung der Stapelsignatur-Strategie aus [7] an, die im Kern auf Merkles Authentisierungsbaum basiert (s. [5]). Dabei werden die Signaturen Si, wie in Abbildung 2 angedeutet, als Blätter eines binären Hashbaumes aufgefasst, wobei die Wurzel dieses Baumes schließlich im Rahmen der Erstellung von QS2 signiert wird.
![[Illustration]](04-4-058-2.jpg)
Abbildung 2: Binärer Hashbaum für Stapelsignatur mit drei Blättern
Durch die Kombination der beiden einfachen Ideen einer relativen zeitlichen Ordnung durch die Hashfunktion sowie der Stapelsignatur mit binärem Hashbaum erhält man schließlich die Intervall-qualifizierten Zeitstempel (vgl. Abb. 3). Analog zur obigen Konstruktion (vgl. Abb. 1), ist auch hier leicht einzusehen, dass die Signaturen Si nach T1 und vor T2 erstellt worden sind. Ein formaler Beweis dieser Aussage findet sich in [3] (Theorem 1).
![[Illustration]](04-4-058-3.jpg)
Abbildung 3: Konstruktion Intervall-qualifizierter Zeitstempel
Die Erzeugung eines IQ-Zeitstempels erfolgt grob gesagt in drei Schritten (vgl. Abb. 4, für eine detaillierte Spezifikation der Syntax und Prozesse siehe [4]):
![[Illustration]](04-4-058-4.jpg)
Abbildung 4: System zur Erstellung von IQ-Zeitstempeln
Da Zeitstempel vor Gericht als Objekte des richterlichen Augenscheins behandelt werden, muss man bei der Betrachtung des Beweiswertes eines Zeitstempels hinterfragen, wie schwierig es sein würde einen Beweis durch Augenschein (§ 371ff ZPO) zu erschüttern, der sich auf den Zeitstempel stützt.
In der Praxis erfolgt das Ausstellen von (qualifizierten oder selbsterzeugten) Zeitstempeln zumeist durch die elektronische Signatur (des Hashwertes) der Nutzdaten und einer Zeitangabe. Deshalb ist insbesondere zu untersuchen, ob
Bei der ersten Frage muss nach der Art der verwendeten Signatur unterschieden werden. Verwendet man eine qualifizierte elektronische Signatur, so kann gemäß Zivilprozessordnung der Anschein der Echtheit der Signatur nur durch Tatsachen erschüttert werden, die ernstliche Zweifel daran begründen (§ 292a ZPO). Wird eine qualifizierte elektronische Signatur mit Anbieterakkreditierung verwendet, so dürfte es noch schwieriger sein, den Anschein der Echtheit zu erschüttern – in der Begründung zum Signaturgesetz ist gar von einer "Art Sicherheitsvermutung" die Rede.
Werden lediglich fortgeschrittene oder gar einfache elektronische Signaturen zur Erstellung der Zeitstempel eingesetzt, so kann es unter Umständen sehr einfach sein, einen Anscheinsbeweis, der sich auf einen solchen Zeitstempel stützt, zu erschüttern – der Beweiswert dieser Zeitstempel wäre also eher gering.
Während die Möglichkeit der Signaturfälschung durch den Einsatz qualifizierter elektronischer Signaturen (mit Anbieterakkreditierung) praktisch auszuschließen ist, so bleibt es ungleich schwieriger zu beweisen, dass die im Zeitstempel angegebene Zeit mit der bei der Erstellung des Zeitstempels aktuellen Zeit übereinstimmt.
Hier wird man sich (bei einer vorab oder auf Grund eines Streitfalles durchgeführten Prüfung) mit dem Nachweis begnügen müssen, dass beim Zeitstempeldienst mehr oder weniger wirkungsvolle (technische, organisatorische und personelle) Sicherheitsmechanismen implementiert sind, die dafür Sorge tragen, dass dieser stets die gesetzlich gültige Zeit zur Zeitstempelung verwendet.
Geht man davon aus, dass zur Erstellung von (selbsterzeugten oder qualifizierten) Zeitstempeln immer qualifizierte elektronische Signaturen mit Anbieterakkreditierung eingesetzt werden, dann hängt der Beweiswert des Zeitstempels vor allem von der Authentizität der bei der Erzeugung verwendeten Zeitquelle sowie der Integrität des Gesamtsystems ab.
Der Unterschied zwischen selbsterzeugten und qualifizierten Zeitstempeln besteht darin, dass ein Zertifizierungsdienstanbieter (ZDA), der qualifizierte Zeitstempel erstellt, die eingangs aufgelisteten Mindestanforderungen erfüllen muss. Im Hinblick auf den Beweiswert sind besonders die im Sicherheitskonzept (und den darin referenzierten Produktdokumentationen und Prüfberichten) aufgeführten Sicherheitsmaßnahmen von Bedeutung, welche die Integrität und Authentizität der Zeitquelle und des Gesamtsystems gewährleisten. Durch die Anbieterakkreditierung (§ 15 SigG) wird zudem der "Nachweis der umfassend geprüften technischen und administrativen Sicherheit" erbracht. Deshalb dürfte es – umso mehr bei einem ZDA mit Anbieterakkreditierung – äußerst schwierig sein, den Augenscheinsbeweis zur Echtheit eines qualifizierten Zeitstempels zu widerlegen. Der qualifizierte Zeitstempel eines akkreditierten Anbieters dürfte im Streitfall also einen sehr hohen Beweiswert haben.
Wie bereits erläutert, besteht ein Intervall-qualifizierter Zeitstempel im Wesentlichen aus drei Zeitstempeln (QS1, Si und QS2), die durch eine kryptographische Hashfunktion h so in Beziehung gesetzt sind, dass Si erst nach der Erstellung von QS1 und QS2 erst nach der Erstellung von Si erzeugt worden sein kann (auf Grund der Einwegeigenschaft und Kollisionsresistenz von h).
Sofern eine geeignete Hashfunktion h zur Konstruktion der Intervall-qualifizierten Zeitstempel verwendet wurde, lässt sich somit beweisen, dass der Zeitpunkt der Erstellung der Signatur Si zwischen der Erstellung von QS1 und QS2 liegen musste.
Hashfunktionen, die nach dem jeweils aktuellen Stand der Wissenschaft und Technik, die Einwegeigenschaft und Kollisionsresistenz aufweisen, werden von der Regulierungsbehörde für Telekommunikation und Post (RegTP) regelmäßig im Bundesanzeiger veröffentlicht. In der aktuellen Bekanntmachung [8] wird davon ausgegangen, dass die Algorithmen RIPEMD-160 und SHA-1 mindestens bis zum Jahr 2008 einsetzbar sind.
Bei Produkten, die Intervall-qualifizierte Zeitstempel realisieren, muss außerdem noch vorab (im Rahmen einer Prüfung und Bestätigung gemäß § 15 Abs. 7 SigG) oder im Streitfall vor Gericht nachgewiesen werden, dass die genannten Mechanismen tatsächlich implementiert sind und die eingesetzten Komponenten zum fraglichen Zeitpunkt in einem einwandfreien Zustand waren. Sind diese Voraussetzungen gegeben, so ist bewiesen, dass der fragliche Zeitstempel Si tatsächlich zwischen QS1 und QS2 erstellt wurde.
Bezüglich der Intervallzugehörigkeit T1 < ti < T2 bleibt also der hohe Beweiswert der qualifizierten Zeitstempel erhalten, wohingegen der genaue Zeitpunkt ti der Erstellung von Si nur mit dem geringeren Beweiswert des selbsterzeugten Zeitstempels dokumentiert ist. Wird beispielsweise täglich ein qualifizierter Zeitstempel angefordert, so ist zwar das Datum der Intervall-qualifizierten Zeitstempel nachweislich authentisch, aber möglicherweise nicht die Uhrzeit. Für etliche Anwendungsfälle sollte diese Genauigkeit der Zeitangabe jedoch völlig genügen.
Wie sich direkt aus dem in Abbildung 3 skizzierten Aufbau der IQ-Zeitstempel erkennen lässt, benötigt man zusätzlichen Speicherplatz für die beiden Zeitstempel QS1 und QS2 . Für die Speicherung eines einfachen, in [1] definierten Zeitstempels werden etwa 300 Byte benötigt (als Näherung ca. 100 Byte für die Zeitstempel-Rohdaten und ca. 200 Byte für eine 1024-Bit-RSA-Signatur).
Der Speicherbedarf für den reduzierten Hashbaum hängt von der Tiefe des Baumes ab, die wiederum logarithmisch von der Anzahl n der zwischen T1 und T2 selbst erzeugten Zeitstempel abhängt. Bei einer Million selbsterzeugter Zeitstempel Si müssen beispielsweise höchstens 20 (= ⌈log2(106)⌉) Knoten zu 21 Byte gespeichert werden – der zusätzliche Speicherbedarf pro Zeitstempel läge in diesem Fall also bei rund 1 kByte.
| Anzahl x der Zeitstempel pro Jahr | Stückkosten in Euro k=1/log10(x) | Kosten pro Jahr qual. Zeitstempel in Euro (k*x) | Anzahl der Zeitstempel pro Tag (x/250) | Break-Even nach y Monaten |
|---|---|---|---|---|
| 10 | 1,00 € | 10,00 € | 0,04 | |
| 100 | 0,50 € | 50,00 € | 0,40 | |
| 1.000 | 0,33 € | 333,33 € | 4 | 1.152,00 |
| 10.000 | 0,25 € | 2.500,00 € | 40 | 101,05 |
| 100.000 | 0,20 € | 20.000,00 € | 400 | 12,08 |
| 1.000.000 | 0,17 € | 166.666,67 € | 4.000 | 1,44 |
| 10.000.000 | 0,14 € | 1.428.571,43 € | 40.000 | 0,17 |
| 100.000.000 | 0,13 € | 12.500.000,00 € | 400.000 | 0,02 |
Tabelle 1: Wirtschaftlichkeit der Intervall-qualifizierten Zeitstempel
Die Abschätzung des wirtschaftlichen Effektes eines IQ-Zeitstempel-Einsatzes in Tabelle 1 geht davon aus, dass
Aufgrund dieser Annahmen amortisiert sich die Investition in ein System zur Erstellung Intervall-qualifizierter Zeitstempel bereits nach etwa einem Jahr, sofern mindestens 400 Zeitstempel pro Tag benötigt werden (vgl. Tab. 1).
Detlef Hühnlein ist Senior Consultant bei der secunet Security Networks AG.
![[externer Link]](../../../../images/link.gif)
www.rfc-editor.org/rfc/rfc3161.txt www.tcs.hut.fi/~helger/papers/thesis/thesis.pdf http://sky.fit.qut.edu.au/~boydc/papers/treefinal.ps www.regtp.de/imperia/md/content/tech_reg_t/digisign/143.pdf www.iid.de/iukdg/gesetz/SigAendG2.pdf
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#4, Seite 58
| 