Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

03.10.1986 - 

Technischer Datenschutz in diensteintegrierenden Digitalnetzen (ISDN), letzte Folge:

Gestaltung eines Anonymität garantierenden B-ISDN

Im zweiten Kapitel (Folge 2, CW 39) wurden Grundverfahren beschrieben, die es den Teilnehmern eines Digitalnetzes ermöglichen, anonym voreinander wie auch vor dem Netz Nachrichten auszutauschen. Dieses Kapitel setzt diese Lösungsansätze in Beziehung zur Gesamtheit der Forderungen, die an ein Anonymität garantierendes breitbandiges diensteintegrierendes Digitalnetz (B-ISDN) gestellt werden.

In diesem Abschnitt wird nach Implementierungen für die Verfahren zum Schutz innerhalb des Netzes aus Kapitel 2 gesucht, die die hohen Leistungsanforderungen (nach großem Durchsatz und kurzen Verzögerungszeiten) eines breitbandigen diensteintegrierenden Digitalnetzes erfüllen.

Die genauen Forderungen sind zwar bei unterschiedlichen Diensten verschieden, da es aber mit dem Bildfernsprechen mindestens einen Dienst gibt, der alle Forderungen zusammenstellt, muß man ein Netz entwerfen, das alle diese Forderungen gleichzeitig hinreichend gut erfüllt.

Zumindest im Teilnehmeranschlußbereich sollten aus Kostengründen auch alle anderen Dienste auf derselben physischen Netzstruktur abgewickelt werden. Dabei kann man aber Dienste, die weniger hohe Leistungsanforderungen stellen, mit anderen Protokollen behandeln, um noch stärkeren Datenschutz zu garantieren.

Beschränkt man sich darauf, ein Netz für die Bundesrepublik Deutschland, also einen Staat mit Fernmeldemonopol, zu konstruieren, so ist der Lösungsansatz der umcodierenden MIXe kaum zu verwirklichen: Da erforderlich ist, daß die MIXe nicht zusammen gegen die Benutzer arbeiten, sollten sie verschiedene Betreiber haben. Dies bedeutet, daß jede Nachricht das öffentliche Netz mehrmals durchläuft, da nicht einfach dessen Vermittlungsstellen allein als MIXe eingesetzt werden können. Dadurch wird das Verfahren für ein breitbandiges Netz sehr übertragungsaufwendig. Dabei müßte auch noch die Verantwortung für die Dienstqualität zwischen der Post und den MIX-Betreibern geregelt werden.

Außerdem kann es, um die Summe der Kosten aller MIXe und die durch ihr gleichzeitiges Ausgeben von Nachrichten beziehungsweise Schalten von Kanälen bedingten Verzögerungszeiten erträglich zu halten, nur relativ wenige MIXe geben, die dann sehr leistungsfähig, aber auch sehr komplex sind [Pfi 1 85]. Die große Mehrzahl der Teilnehmer ist damit gezwungen, ihren Datenschutz in wenige "fremde Hände" zu legen und genießt daneben keinen oder nur sehr ineffizienten Schutz ihres Sendens.

Man benötigt also überlagerndes Senden oder Ring-Netze zum Schutz des Senders und Verteilung zum Schutz des Empfängers.

Aus Leistungsgründen ist ein breitbandiges diensteintegrierendes Digitalnetz, in dem alle Nachrichten an alle Teilnehmerstationen verteilt werden, jedoch undenkbar. So ist es zum Beispiel nicht nur aus Leistungs-, sondern auch aus Zuverlässigkeits- und Kostengründen nicht sinnvoll, Ringe mit mehr als 10000 Teilnehmerstationen zu bauen. Da das überlagernde Senden aufwendiger ist als das Ring-Netz, dürfte die maximale Teilnehmerzahl dieses Verfahrens erst recht unter 10000 liegen. Ein breitbandiges diensteintegrierendes Digitalnetz muß folglich ab einer gewissen Größe hierarchisch unterteilt werden. Die Nachrichten werden dabei nicht an alle, sondern nur an hinreichend viele Teilnehmerstationen verteilt (multicast). Eine mögliche effiziente Realisierung einer solchen Hierarchie ist ein Vermittlungs-/Verteilnetz [Pfit 83, Pfi 1 83, Pfit 84]. Es besteht aus Verteilnetzen im Teilnehmeranschlußbereich und einem Vermittlungsnetz, das diese Verteilnetze verbindet (Bild 7, links).

Das Vermittlungsnetz kann dabei ohne Rücksicht auf den Datenschutz nach Leistungsgesichtspunkten gebaut werden. (In Staaten ohne Fernmeldemonopol könnten MIXe eine Alternative sein.)

Die Verteilnetze müssen somit die Hauptlast der Anonymisierungsmaßnahmen tragen. Sie können entsprechend den gegebenen Anforderungen hinsichtlich Leistung und Kosten und in Abhängigkeit von (bei der Bebauungsart des zu verkabelnden Gebietes) zu erwartenden Angreifern durch physikalische Ringe als Ring-Netz oder durch überlagerndes Senden in einer dafür geeigneten Topologie realisiert werden.

Hält man das im Abschnitt über das Ring-Netz beschriebene Angreifermodell für realistisch, ist also die in Bild 7 rechts dargestellte Topologie (Ringstruktur im Teilnehmeranschlußbereich) günstig.

Genügend schnelle Übertragungssysteme zur Implementierung von Ringstrukturen sind im Laborstadium verfügbar [BeEn 85], die Realisierung eines Vermittlungs-/Verteilnetzes mit dem Verfahren des Ring-Netzes also möglich. Die Ergebnisse erster Übertragungsleistungs-, Zuverlässigkeits- und Kostenuntersuchungen [Pfi 1 83, Bürl 84, Bürl 85, Mann 85, Papa 84] lassen für diese Netze ein in etwa gleichgroßes Leistung-Kosten-Verhältnis wie für die üblichen reinen Vermittlungsnetze erwarten.

Möchte man auch bei Umzingelung einzelner Teilnehmerstationen das Senden von Nachrichten verbergen, muß man überlagerndes Senden mit Hilfe paarweise gemeinsamer Schlüssel verwenden, für das es möglicherweise günstigere Topologien als Ringstrukturen im Teilnehmeranschlußbereich gibt. Außerdem ist es dann möglich, die Grenze zwischen Vermittlungsnetz und Verteilnetzen für verschieden sensitive und verschieden übertragungsaufwendige Verkehrsklassen verschieden zu wählen oder in Abhängigkeit von der Netzbelastung dynamisch zu verschieben [Pfi 1 85].

Realisiert man im Teilnehmeranschlußbereich Ringe, so können beide Verfahren zum Schutz des Senders auch kombiniert werden, indem die Bandbreite jedes Ringes unter sie aufgeteilt wird.

Adressierung und Adreßverwaltung

Entsprechend der hierarchischen Struktur des Vermittlungs-/Verteilnetzes sind die verwendeten Adressen ebenfalls zweistufig: Jede Nachricht enthält als Adresse eine explizite Adresse des Verteilnetzes des Empfängers und eine implizite Adresse des Empfängers innerhalb seines Verteilnetzes.

Verdeckte implizite Adressierung wird dabei nur bei öffentlichen Adressen verwendet, und diese wiederum bei breitbandigen Diensten und Telefon nur beim Kanalaufbau. Hierfür gibt es genügend schnelle Implementierungen von Kryptosystemen mit öffentlichen Schlüsseln [Rive 85]. Für die Übertragung von Folgenachrichten kann dann offene Adressierung mit privaten Adressen verwendet werden.

Es kann sinnvoll sein, die für das Vermittlungsnetz bestimmte explizite Adresse des Verteilnetzes des Empfängers für die übrigen Teilnehmerstationen des Verteilnetzes des Senders unkenntlich zu machen, etwa indem man die vollständige Adresse mit einem öffentlichen Schlüssel des Vermittlungsnetzes verschlüsselt.

Netzabschluß

Im Vermittlungs-/Verteilnetz muß jede Schutzmaßnahme, die innerhalb des Netzes angesiedelt ist, durch die Teilnehmerstationen und deren Netzabschlüsse realisiert werden. Zur Teilnehmerstation zählt man dabei die Teile, die ausschließlich unter Kontrolle der Teilnehmer stehen, während das, wofür die Post verantwortlich ist, zum Netzabschluß gerechnet wird.

Sofern die Post weiterhin für die Dienstqualität verantwortlich sein soll, bedeutet dies, daß neben dem Netzanschluß bei Verwendung des Ring-Netzes auch das Zugriffsverfahren und beim überlagernden Senden zusätzlich noch die Pseudozufallszahlenerzeugung zum Netzabschluß gehören, denn sofern diese bei einem Teilnehmer Leistungs- oder Zuverlässigkeitsmängel aufweisen, sind auch alle anderen Teilnehmer desselben Verteilnetzes betroffen.

Wäre im Netzabschluß von der Post oder dem Hersteller ein "Trojanisches Pferd" untergebracht, so könnte dieses also das Senden der betroffenen Station registrieren. Man hat somit dieses Problem von den Vermittlungszentralen auf die Netzabschlüsse verlagert. Dennoch ist die Situation hier besser:

þNetzabschlüsse sind um einige Größenordnungen einfacher als Vermittlungsrechner, so daß eine Prüfung auf "Trojanische Pferde" möglich ist.

þSie müssen nicht so häufig gewartet werden und können auch nicht so leicht ausgetauscht werden, so daß Kontrollen auf "Trojanische Pferde" nur selten nötig sind.

Um "Trojanische Pferde" ausschließen zu können, müßte man wohl die Netzabschlüsse unter öffentlicher Kontrolle nach geprüften Entwürfen herstellen.

Abrechnung

Ein diensteintegrierendes Digitalnetz muß auch die Abrechnung der Kosten für die Netzbenutzung mit dem Netzbetreiber und für die Dienstnutzung mit den Dienstanbietern ermöglichen. Bei der Organisation der Abrechnung muß darauf geachtet werden, daß durch Abrechnungsdaten die Anonymität im Netz nicht verloren geht.

Prinzipiell hat man dabei zwei Möglichkeiten: Individuelle Abrechnung nach Einzelnutzung (oder auch für Abonnements und ähnliches) mit Verfahren, bei denen der bezahlende Teilnehmer (und gegebenenfalls auch der Zahlungsempfänger) anonym ist oder generelle, das heißt von allen Netzteilnehmern zu leistende, pauschale Bezahlung, die nicht anonym erfolgen muß, da dabei keine interessanten Abrechnungsdaten entstehen.

Für die erste Möglichkeit gibt es anonyme kryptografische Geldtransfersysteme, zum Beispiel anonyme Bankschecks von David Chaum [Chau 83, Chau 84, Cha8 85, Bürk 86] und zwei auf anonymen Nummernkonten beziehungsweise nicht manipulierbaren Zählern beruhende [Pfi 1 83, Pfit 84]. Die genauen Abrechnungsprotokolle müssen dabei so entworfen werden, daß von vornherein niemand betrügen kann, da die Anonymität eine nachträgliche Strafverfolgung be- oder gar verhindert [WaPf 85].

Bei individueller Abrechnung gibt es ein von der Anonymität unabhängiges ungelöstes Problem: Da die Übertragung von Information in Zukunft sehr schnell und billig sein wird, kann man bei Diensten von hinreichend allgemeinem Interesse (zum Beispiel Zeitungen) die Abrechnung mit dem Diensterbringer für die Dienstbereitstellung, die für ihn nicht billiger sein wird als bisher, umgehen, indem man Information im Netz kopiert und weiterverteilt.

Dies gilt sogar für Information, die nicht im Netz angeboten wird. Alles, was ein Mensch sehen oder hören kann, kann er digital kopieren beziehungsweise aufnehmen und dann über das Netz verteilen, zum Beispiel gedruckte Zeitungen, Bücher oder Schallplatten. Dies verschärft das bisherige Urheberrechtsproblem mit Kopierern und Musikkassetten. Außerdem ist das Urheberrechtsproblem bezüglich für den Menschen sicht- oder hörbarer Werke schwerer zu lösen als das des Softwareschutzes, denn hier muß lediglich das Ergebnis eines Programmes wahrnehmbar sein, während man das Programm als solches oder Teile davon in einen sicheren Hardware-Modul einschließen kann.

Durch Verwendung von generellen Pauschalen vermeidet man alle Probleme bezüglich Betrugssicherheit.

Sobald genügend Bandbreite zur Verfügung steht, ist zum Beispiel eine pauschale Gebühr an den Netzbetreiber für schmalbandiges Senden und Fernsehempfang möglich.

Wollte man jedoch, um das obige Problem des Weiterkopierens zu umgehen, auch für die gesamte Nutzung von Informationsdiensten eine generelle Pauschale erheben, so müßte man ein Verfahren finden, nach dem die von einer GEZ-ähnlichen Organisation eingezogenen Gebühren "gerecht" auf die verschiedenen Anbieter verteilt würden.

Dieses müßte die unterschiedlichen, von der Qualität, nicht aber von der Nachfrage abhängigen Bereitstellungskosten der Anbieter von Diensten berücksichtigen, ohne jedoch Meinungszensur zu betreiben oder bestehende Märkte festzuschreiben und damit letztendlich den Informationspluralismus zu gefährden. Ein solches Verfahren ist uns nicht bekannt.

Weitere höhere Protokolle

Auf einem anonymen Netz sind beliebige, auch nicht anonyme Kommunikationsformen realisierbar. Fast alle Verfahren, sich über ein Netz aneinander zu erkennen zu geben (das heißt sich zu authentizieren), machen bereits heute keinen Gebrauch davon, daß man dem Netz gegenüber identifizierbar ist. Zum Beispiel erkennt man Telefonpartner an ihrer Stimme und Sprechweise sowie ihrem Wissen, Briefpartner an ihrer (Unter-)Schrift. Da es für beides digitale Entsprechungen gibt, können übliche Authentikationsprotokolle weiterverwendet werden [DaPr 84].

Es sei angemerkt, daß man auch bei vielen Kommunikationsarten (zum Beispiel Bürger bei Ämtern), bei denen man heute namentlich auftreten muß, die Möglichkeit zur anonymen Kommunikation nutzen und unter verschiedenen Pseudonymen auftreten kann, wenn man ein Verfahren hat, um Dokumente, die auf eines dieser Pseudonyme lauten, in sicherer und anonymer Weise auf ein anderes eigenes Pseudonym umzuformen [Chau 84, Cha8 85].

Resümee

Breitbandige diensteintegrierende Digitalnetze, die auch Interessens- und Verkehrsdaten (vgl. Kapitel 1, CW 38/ 86, Seite 56/58) in überprüfbarer Weise schützen, benötigen auf jeden Fall eine passende physische Netzstruktur.

Ohne Verteilnetze im Teilnehmeranschlußbereich scheint ein Schutz der Empfänger unmöglich zu sein. Dies bedeutet, daß hier Leitungen mit sehr hoher Bandbreite benötigt werden. Verwendet man Ring-Netze zum Schutz des Senders, so ist zusätzlich die Topologie des Netzes (Ringe im Teilnehmeranschlußbereich) vorgegeben.

Solche Netze sind realisierbar, und es ist ein etwa gleichgroßes Leistung/Kosten-Verhältnis wie für die üblichen reinen Vermittlungsnetze zu erwarten.

In gewissem Sinne ist das Problem, die Verkehrs- und Interessensdaten zu schützen, beim Entwurf eines Netzes also dringender als die Probleme des Schutzes der Nutzdaten und der Authentikation, mit denen sich die öffentliche Diskussion zur Zeit hauptsächlich beschäftigt. Letztere lassen sich auf jeder Netzstruktur im nachhinein durch kryptographische Verfahren lösen, während ersteres bereits beim Entwurf berücksichtigt werden muß.