Zu den heute im Internet am weitesten verbreiteteten kryptografischen Techniken gehört die Public-Key- oder Zwei-Schlüssel-Methode (Vergleiche Kasten). Damit kann der Empfänger eines Dokuments schnell erkennen, ob die Signatur echt ist und das Dokument somit wirklich vom Absender stammt. Zudem lässt sich über die Schlüssel-Ausgabestelle die Identität des Absenders überprüfen. Was bisher viele Anwender trotzdem zögern liess, beispielsweise eine Kreditkartenummer im Internet zu verschicken, waren Zweifel am Datenschutz und die Unsicherheit über die Gültigkeit von Verträgen, die über Internet abgeschlossenen werden, da es bisher keine Rechtsnormen gab.
Jetzt hat sich die Europäische Union auf Standards für digitale Signaturen geeinigt. Die Direktive regelt nicht nur die Zertifizierung digitaler Unteschriften, sie sagt auch, unter welchen Umständen eine elektronische Untschrift rechtsgültig ist und erhöht den Datenschutz. Damit soll die Skepsis europäischer Anwender beschwichtigt werden und der elektronischen Handel neue Impulse erhalten. «Die Europäische Union will ihren Internetrückstand gegenüber den USA möglichst rasch aufholen», erklärt der zuständige EU-Kommissar Liikanen dazu.
Die Schweiz in Zugzwang
Mit der Brüsseler Verordnung kommt die Schweiz in Zugzwang. Christian Graber, Geschäftsführer der vorerst einzigen Schweizer Zentrifikationsstelle für elektronische Schlüssel, Swisskey: «Nach dem Beschluss der EU muss die Schweiz aufpassen, dass sie den Anschluss nicht verpasst.»
Immerhin hat das Bundesamt für Kommunikation (Bakom) eine Public-Key-Infrastruktur Verordnung (PKIV) vorbereitet. Darin wird die Zertifizierung der Schlüssel-Anbieter geregelt. Mit Inkrafttreten können sie sich freiwillig von der Schweizer Akkreditierungsstelle überprüfen und ein Gütesiegel verpassen lassen. «In erster Linie wollen wir damit Vertrauen schaffen», meint der stellvertretende Direktor des Bakom, Peter Fischer.
Doch selbst wenn der Bundesrat die PKIV wie vorgesehen im ersten Quartal 2000 verabschiedet, fehlt noch immer eine wichtige Voraussetzung: Im Gegensatz zu den EU-Ländern ist in der Schweiz die gesetzliche Anerkennung der elektronischen Unterschrift nicht geregelt. «Die Public-Key-Infrastruktur ist ohne gesetzliche Anerkennung der elektronischen Unterschrift nutzlos», schrieb etwa der Schweizerische Versicherungsverband in der Vernehmlassung zur PKIV. Und Graber kritisiert: «Wenn man jetzt nicht schnell vorwärts macht, ist der E-Commerce-Zug für die Schweizer Unternehmen abgefahren.»
Für die Gleichstellung der elektronischen mit der handschriftlichen Unterschrift ist jedoch eine Überarbeitung des OR notwendig und der Begriff der Urkunde muss neu definiert werden. Zuständig ist das Justizdepartement. Bundesrätin Ruth Metzler hat dem Parlament zwar versprochen, das Problem anzugehen. Trotzdem werden die Schweizer wohl kaum vor 2003 Verträge per Mausklick unterschreiben können.
Public-Key Verschlüsselung
Das Public-Key Verfahren benutzt zwei Schlüssel, einen öffentlichen und einen privaten. Jeder Nutzer bekommt ein Schlüsselpaar. Aufgrund des mathematischen Zusammenhangs zwischen den beiden Schlüsseln kann eine Nachricht, die mit einem der beiden Schlüssel verschlüsselt wurde, nur mit dem dazu gehörenden anderen wieder entschlüsselt werden.
Der öffentliche Schlüssel («public key») wird allgemein zugänglich gemacht und benutzt, um Informationen zu verschicken, die nur der Eigentümer dieses Schlüssels mittels seines privaten Schlüssels lesen kann. Ausserdem kann mit dem öffentlichen Schlüssel des Absenders dessen Signatur überprüft werden.
Der private Schlüssel ist nur für den Eigentümer greifbar. Er benutzt ihn, um Nachrichten zu entschlüsseln, die mit seinem öffentlichen Schlüssel verschlüsselt wurden und um seine Signatur zu setzen, die wiederum nur mit seinem öffentlichen Schlüssen überprüft werden kann.
Manche Internet Browser und Server enthalten Programme, die Schlüsselpaare erzeugen. Vermehrt werden heute auch Smart Cards genutzt, um private Schlüssel sicher zu speichern. (vergl. Seite 28)
Die Qualität des Schlüssels wird durch dessen Länge bestimmt. Als sicher anerkannt sind heute Schlüsselpaare von je 1024 Bit. (fis)
