In der vernetzten Welt von heute können wir uns auf alle Arten von Verbindungen verlassen - von der typischen Nutzung zu Hause, wo wir Computer haben, Smartphonesund Haushaltsgeräten, bis hin zu Unternehmen, in denen es Server mit sensiblen Kundendaten oder eine Vielzahl von Steuerungen gibt, die für die Herstellung oder umsatzfördernde Dienste anbieten.
Bei all diesen Beispielen verlassen wir uns darauf, dass unsere Geräte wissen, mit wem wir kommunizieren, und dass wir die Gewissheit haben, dass die Daten integer und vertraulich sind - sei es der Zeitplan für das Einschalten unserer Smart-Home-Geräte oder die Anweisung an die Maschine in der Fabrik, was sie tun soll, und alles, was man sich dazwischen vorstellen kann. Unser modernes Leben hängt davon ab, wie sehr wir den Systemen und Geräten vertrauen können, die unser Leben angenehmer machen, bestimmte Aufgaben erfüllen und unsere Gesellschaft in vielerlei Hinsicht effizienter machen.
Wie üblich denke ich über den Kern all dieser Dinge nach: Mathematik und angewandte Kryptografie. Für manche Leute ist das eine beängstigende Sache. Für andere, wie mich, ist es eine Leidenschaft, mit der ich gerne meine Zeit verbringe, seit über 30 Jahren. Wichtig ist jedoch, dass wir uns alle daran erinnern, dass viele talentierte Menschen das Konzept des digitalen Vertrauens in den letzten vier Jahrzehnten entwickelt haben. Diese Leute, die Kryptographen, haben Algorithmen und Protokolle entwickelt, die das Gewebe des Vertrauens und verschiedene Sicherheitsmechanismen schaffen, die die meisten von uns tagtäglich nutzen, manchmal wissentlich/absichtlich, während in vielen Fällen alles automatisch für uns erledigt wird und "es einfach funktioniert". Es ist schon komisch, dass die Mathematik es uns manchmal erlaubt, uns Dinge vorzustellen, die noch nicht realisierbar sind - früher waren die Computer rechnerisch zu schwach, und wir hatten noch keine Infrastruktur entwickelt, die es uns ermöglicht hätte, uns mit jedem und überall zu verbinden.
Das Entstehen von Vertrauen - von Browsern zu Personalausweisen
Wir, die wir vor dem Aufkommen von Smartphones geboren wurden, bevor es Google oder Facebook überhaupt gab, erinnern uns an das letzte Jahrzehnt des 20. Jahrhunderts, als alles begann, in die Praxis umgesetzt zu werden.
Alles begann mit Browsern. Als die Menschen begannen, Browser zu verwenden, um die im Internet verfügbaren Informationen zu konsumieren, musste unbedingt sichergestellt werden, dass wir dem, was wir im Browser sahen, vertrauen konnten und dass andere nicht einfach wissen konnten, was wir ansahen. Der Browser, der die Welt veränderte, war Netscape, wo ein Team unter der Leitung des brillanten Kryptographen Tahel El Gamal uns die Möglichkeit gab, die Sicherheit der Internetkommunikation zu gewährleisten. Man nannte es SSL Protokoll, und die heutige Version heißt TLS. Das Protokoll SSL basiert auf der Verwendung so genannter digitaler Zertifikate und der Kryptographie mit öffentlichen Schlüsseln. Diese Erfindung gab den Internetnutzern die Möglichkeit, sich sicher mit Websites zu verbinden und so Vertrauen in das Internet zu schaffen, und man kann mit Sicherheit sagen, dass sie einen enorm wichtigen Beitrag zur digitalen Transformation unserer Gesellschaft geleistet hat. So gab es beispielsweise vor dieser Innovation praktisch keinen elektronischen Handel.
Die ersten Umsetzungen von "öffentlichem Vertrauen" und Diensten im Zusammenhang mit vertrauenswürdigen Systemen waren umständlich, überhaupt nicht benutzerfreundlich und erreichten oft nicht die angestrebten Ziele. Die Produkte waren einfach noch nicht ausgereift, und wie die meisten guten Absichten bei der öffentlichen Auftragsvergabe führten sie meist nur zur Verschwendung von Steuergeldern.
Langsam aber sicher stellten sich einige Erfolge und wertvolle Lehren ein. Die B2C-Dienste wurden von einigen Banken eingeführt, da die Banken aufgrund der Art ihrer Tätigkeit wussten, wie wichtig Vertraulichkeit ist. Diese Systeme waren zwar für die damalige Zeit gut, ließen sich aber nicht gut skalieren. Die Benutzer benötigten ein spezielles Gerät, das an einen Computer angeschlossen werden musste (Smartcard-Lesegerät). Die (Neu-)Installation des Treibers software bei jedem Windows-Upgrade war ein wahrer Alptraum.
Einige Regierungen hatten den kühnen Ehrgeiz, G2C-Dienste anzubieten. Neben den technischen Schwierigkeiten gab es auch länderspezifische "Standards" und Vorschriften, die bestenfalls nationale oder bevorzugte Anbieter schützten und schlimmstenfalls unzureichend sicher waren. Wir haben jedoch viel gelernt - während die ersten von der Regierung ausgegebenen ID-Karten mit "Smart Chips" vor mehr als 20 Jahren ein Fehlschlag waren, haben wir heute wunderbare Beispiele, bei denen die Mehrheit der Bevölkerung elektronische ID-Karten für den Zugang zu staatlichen und geschäftlichen Dienstleistungen verwendet.
Wenn man in Schweden lebt, ist es fast unmöglich, sich vorzustellen, wie die Welt funktionierte, bevor BankID - Wir greifen täglich über diesen Dienst auf alle möglichen Dienstleistungen zu. Ein weiteres Beispiel sind die digitalen Personalausweise in Estland, die weithin als Erfolgsmodell gelten. Beide Beispiele sind seit mehr als zehn Jahren weit verbreitet, funktionieren für den Großteil der Bevölkerung und bieten der Gesellschaft Dienste, die den Steuerzahlern eine Menge Geld sparen.
Die Herausforderungen des digitalen Vertrauens bei zunehmender Technologie
Doch mit der Verbesserung der Technologien sind auch Missbrauch und "Angriffe" einhergegangen. Das Problem der Skalierung auf eine große Zahl von Nutzern ist vielschichtig, und ich werde hier nur einige Beispiele nennen.
Die Validierung eines einzelnen Zertifikats ist einfach, aber bei Millionen von ausgestellten Zertifikaten braucht jede Partei eine effiziente Methode, um sicherzustellen, dass sie mit der beabsichtigten und genehmigten Gegenseite kommuniziert. Selbst für das einfachste System mit nur einer Vertrauenshierarchie bedeutet dies große Datenübertragungen, nur um alle mit aktuellen Validierungsinformationen auszustatten.
Außerdem sind in unseren Browsern mehr als 100 Vertrauenshierarchien eingebaut, und ein gewöhnlicher Benutzer hat keine Chance, sich an allen zu vergewissern, da dies eine enorme Aufgabe wäre. Übrigens waren einige dieser Vertrauensanker, die so genannten öffentlichen Zertifizierungsstellen, Ziel von böswilligen Angriffen und anschließendem Missbrauch. Wenn ein solches System kompromittiert wird und Millionen von Nutzern hat, kann es praktisch unmöglich sein, das Vertrauen wiederherzustellen.
Es wurden Verbesserungen vorgenommen, und heute verfügen wir über Technologien, die eine bedarfsgerechte Validierung von Zertifikaten ermöglichen, und es haben sich Regeln und branchenübergreifende Vorschriften entwickelt, die regeln, wie die öffentlichen Vertrauenszertifikate ausgestellt werden. Ist es perfekt? Nein. Funktioniert es? Ja. Die Debatte wird nie enden - neue Angriffsmethoden müssen ständig berücksichtigt werden.
Hier in Europa haben wir die länderspezifischen Standards weitgehend aufgegeben und sind zumindest zu europaweiten Standards übergegangen. Dies eröffnete einen wichtigen Wettbewerb zwischen den Anbietern, aber auch die Möglichkeit, dass ein Bürger von Land X Dienste in Land Y nutzen kann. Aber die Welt endet weder in Spitzbergen noch in Malta - wir müssen mit "allen" kommunizieren.
Zum Wohle der Menschheit (meistens) haben die großen Technologieunternehmen eine wichtige Rolle bei der Durchsetzung von Technologien gespielt, die überall funktionieren (wo sie nicht verboten sind oder von bestimmten Regierungen kontrolliert werden). Ja, es war in ihrem Eigeninteresse, aber was soll's - es funktioniert (meistens)!
Ein Beispiel, das recht erfolgreich war, ist das 3GPP-Konsortiumdas eine Reihe von Standards für die mobile Telekommunikation entwickelt hat. Das Vertrauensmodell (im Zusammenhang mit dem digitalen Vertrauen und der Verwendung von PKI) aus den 3GPP-Standards ist wohl eines der am besten entwickelten und wird nun seit fast 20 Jahren weltweit verwendet.
Es gibt so viele Details, die ich hier auslasse, aber es wäre unfair, die Beiträge von Unternehmen und Einzelpersonen zur Schaffung der offenen Standards zu vergessen, die es uns ermöglichen, die Vorteile der Struktur des Vertrauens. Wenn die Kryptographen eine brillante neue Entdeckung machen, dann sorgen die Ingenieure dafür, dass sie in einer konsistenten, interoperablen Weise funktioniert. Das ist so viel leichter gesagt als getan. Die Ingenieure, die an Standards arbeiten, müssen sowohl zurückblicken, damit die neuen Systeme mit den alten zusammenarbeiten können, als auch in die Zukunft blicken, um künftige Verbesserungen in einem Bereich zu ermöglichen, der sich schnell weiterentwickelt. Die unbesungenen Helden der letzten 25 Jahre sind die Ingenieure, die zur Entwicklung interoperabler Standards beigetragen haben. Wenn ich eine Organisation herausgreifen sollte, dann wäre es die IETFwo Mitarbeiter vieler Unternehmen Hunderte von De-facto-Standards entwickelt haben, ohne die das digitale Zeitalter, das wir genießen, ein digitaler "Wilder Westen" wäre.
Schauen Sie nächste Woche wieder vorbei, um einen Blick auf drei Trends zu werfen, die die Entwicklung des digitalen Vertrauens beeinflussen. In der Zwischenzeit, lesen Sie unser White Paper.
