2b. Kryptographische Protokolle
2b.4 Pseudonyme
Problembereich
Pseudonyme sind kryptographische Protokolle zur Wahrung der Anonymität:
- kontrollierter Datenabgleich
- unter Wahrung der informationellen Selbstbestimmung.
Exemplarische Problembereiche:
- Spuren im Netz, z. B. beim E-Business.
- Auswertung medizinischer Daten (Forschung, Qualitätssicherung)
Ist der Personenbezug vermeidbar? Z. B. in der medizinischen
(epidemiologischen) Forschung benötigt man ihn scheinbar zum
Zusammenführen der Daten aus verschiedenen Quellen und zur Nacherhebung
von Daten der jeweiligen Person.
Pseudonyme verschleiern den Personenbezug so, dass faktische Anonymität
entsteht, ohne die Verwendung der Daten zu Forschungszwecken oder die
Rechtssicherheit von geschäftlichen Transaktionen zu behindern.
Der Personenbezug ist damit zur Erfüllung der Zweckbestimmung
der Daten sehr oft nicht notwendig, seine Beibehaltung somit
gesetzwidrig, wenn es ein praktikables Pseudonymisierungsverfahren
gibt.
Pseudonyme im täglichen Leben: bei Schriftstellern, Schauspielern oder
Spionen als »Decknamen« verwendet.
Literatur
David Chaum:
Security without identification:
Transaction systems to make Big Brother obsolete.
Communications of the ACM 28 (1985), 1030 - 1044.
Klaus Pommerening:
Chipkarten und Pseudonyme.
FIfF Kommunikation 1/96, 9-12.
[online]
Anna Lysyanskaya, Ronald L. Rivest, Amit Sahai, Stefan Wolf:
Pseudonym systems.
[online oder
hier als
PDF-Datei.]
Gesetze zur Pseudonymisierung
In einer Reihe von neueren Gesetzen wird Pseudonymisierung
gefordert, z. B.
- Krebsregistergesetze:
- pseudonyme Langzeitspeicherung, z. T. ohne Einwilligung
der Patienten erlaubt.
- Telekommunikations-Datenschutzverordnung:
- pseudonyme Nutzungs-/ Bezahlungsverfahren,
- pseudonyme Nutzungsprofile.
- Bundesdatenschutzgesetz (BDSG).
- Sozialgesetzbuch (SGB X).
- Gesundheitsmodernisierungsgesetz (GMG):
- gesundheitsökonomische Auswertung pseudonym.
Beispiel:
BDSG §3 (6a): Pseudonymisieren ist das Ersetzen des Namens und
anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck,
die Bestimmung des Betroffenen auszuschließen oder wesentlich zu
erschweren.
[»Ausschließen« entspricht ungefähr einem Einweg-Pseudonym,
»wesentlich erschweren« ungefähr einem reversiblen Pseudonym.]
BDSG §3a: ... Insbesondere ist von den Möglichkeiten der
Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies
möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem
angestrebten Schutzzweck steht.
Pseudonyme
... sind unterscheidbar und zusammenführbar, aber nicht zuordenbar.
Anmerkung: Die Zuordnung ist nicht notwendig bijektiv. Eine
Person kann mehrere Pseudonyme oder natürlich auch gar kein Pseudonym
haben. Im mathematischen Sinn ist also nur p-1 eine
Abbildung.
Realisierung von Pseudonymen I - das Referenzlistenmodell (»Codebuch«)
[Naive Erzeugung von Pseudonymen]
Die Zentralstelle ...
- ... wird auch bezeichnet als
- »Trusted-Third-Party-Service«,
- »Vertrauensstelle« im Krebsregistergesetz,
- »Datentreuhänder«,
- ... ist Herr über die Pseudonyme,
- ... kann ohne Mitwirkung des Betroffenen rückidentifizieren,
- ... ist ein herausgehobenes Angriffsziel,
- ... benötigt Vertrauen von allen Beteiligten, hohen technischen und
organisatorischen Schutz und evtl. besonderen gesetzlichen Schutz -
- dann spricht man auch vom »Datentreuhänder«; das kann
z. B. ein Notar sein.
Vereinfachung: Schlüssel statt Codebuch
- Deterministische Pseudonym-Erzeugung durch ein Verschlüsselungsverfahren
statt Führung einer Referenzliste.
- Um die eindeutige Zuordnung zu garantieren, wird ein
Personenidentifikator (PID) verschlüsselt.
- Die Zentralstelle speichert nichts außer ihrem geheimen Schlüssel.
- Es handelt sich also vergleichsweise um einen »schlanken«
TTP-Service.
- Bei Verwendung einer (schlüsselabhängigen) Einweg-Funktion:
Einweg-Pseudonym, nicht reversibel.
Klassifikation von Pseudonymen
Pseudonyme können unterschieden werden nach:
Erzeugungsart -
- deterministisch: z. B. schlüsselabhängige Hash-Funktion aus
Identitätsdaten;
- willkürlich: z. B. Einweg-Funktion von Passphrase;
- zufällig: frei gewählt oder nach Zufallsverfahren.
Verknüpfbarkeit -
- Wer kann verschiedene Pseudonyme zusammenführen?
- Wer kann das Pseudonym lüften?
Im Idealfall sollte, gemäß der Idee der informationellen
Selbstbestimmung, nur der Besitzer seine Pseudonyme lüften oder
verschiedene Pseudonyme zusammenführen können. Das ist allerdings
nicht bei allen Anwendungen (etwa bei medizinischen) sinnvoll.
Realisierung von Pseudonymen II - kryptographische Pseudonyme
Die kryptographische Realisierung von Pseudonymen basiert auf der blinden
Unterschrift.
Mögliche Anforderungen:
- Möglichst wenig Macht bei der Zentralstelle:
- Keine zentrale Rückidentifikationsmöglichkeit.
- Zentralstelle soll nur als »Certification Authority« mitwirken.
- Der Pseudonyminhaber verwaltet sein Pseudonym selbst.
- Zusammenführung von Daten bleibt ohne Bruch der Pseudonyme möglich.
- Transaktionen unter Pseudonym können beweissicher gestaltet werden.
Je nach Ausgestaltung des Protokolls werden diese Anforderungen mehr oder
weniger erfüllt, wie im folgenden gezeigt wird.
Beweissicherheit - gewährleistet
- durch stark vertrauenswürdige Zentralstelle mittels Referenzliste
oder Schlüssel oder
- durch schwach vertrauenswürdige Zentralstelle mittels Beglaubigung
durch blinde Unterschrift.
Musterbeispiele
I. Kryptographische Pseudonyme
- Spurenfreies elektronisches Geld -
- »DigiCash«, D. Chaum ca. 1980,
- Pilotversuch Deutsche Bank ca. 1998 abgebrochen.
- Elektronisches Rezept und
- pseudonyme Krankenkassenabrechnung
(Vorschlag zur datenschutzgerechten Umgestaltung der Datenströme) -
- Anonyme Berechtigungsausweise (»Credentials«) -
- z. B. Fahrkarten ohne Bewegungsprofil,
- anonyme Verträge,
- elektronische Wahlen,
- alles bisher höchstens in Pilotprojekten realisiert.
II. Pseudonyme mit starker Zentralstelle
- Krebsregister,
- Datentreuhänderlösung QuaSiNiere (Qualitätssicherung für die
Langzeitbehandlung von chronisch Nierenkranken),
- Pseudonymisierungsdienst für die TMF (Telematikplattform für die
medizinischen Forschungsnetze)
- mit zentralem Datentreuhänderdienst,
- in einigen Forschungsnetzen umgesetzt, in vielen im Aufbau.
Anmerkung: Für solche medizinischen Anwendungen sind die
kryptographischen (selbstbestimmten) Pseudonyme nicht geeignet:
(Es liegt in der Verantwortung des behandelnden Arztes, dem Patienten
Diagnosen, z. B. aus Forschungsergebnissen mitzuteilen –
der Patient hat sogar Recht auf Nichtwissen.
Zusammenfassung
- Durch die Einführung von Pseudonymen lässt sich in vielen
Anwendungsbereichen der Informationstechnik ein tragbarer Kompromiss
zwischen dem informationellen Selbstbestimmungsrecht der Bürger
und dem Datenhunger von Forschung und Gesellschaftspolitik
bzw. dem Anspruch auf Rechtssicherheit im Geschäftsverkehr finden.
- Chipkarten (als Ausweiskarten aller Art) werden durch die Verwendung von
Pseudonymen von einem Instrument der informationellen Entblößung
zu einem Instrument der informationellen Selbstbestimmung.
- Kryptographische Pseudonyme stellen eine Grundtechnik des praktischen
Datenschutzes dar. Sie sollten, wo immer möglich, eingesetzt werden.
- Die Einführung von Pseudonymen ist in vielen Fällen politisch nicht
gewollt, da sie die Machtanhäufung bei politischen Exekutivorganen
und kommerziellen Datensammlungen behindert. Musterbeispiele:
- Elektronisches
Geld, das keine Spuren hinterlässt, setzt sich mangels Interesse von
seiten der Wirtschaft nicht durch. Favorisiert werden Bezahlsysteme,
die das Erstellen von Käuferprofilen ermöglichen.
- Das von der Bundesregierung geplante elektronische Rezept wird nicht
pseudonym sein. Es wird allenfalls - als Datenschutzfeigenblatt -
eine Freischalt-PIN für den Patienten vorsehen.
- Andererseits wird die Verwendung von Pseudonymen an vielen Stellen
gesetzlich gefordert.
- Durchsetzbar ist das »triviale« Codebuch- oder »Datentreuhänder«-Modell,
weil es für Laien verständlich ist.
- Kaum durchsetzbar sind kryptographische Pseudonyme (die vom Besitzer
kontrolliert werden), weil
- ihre Funktionsweise für Laien nicht verständlich ist,
- sie oft rechtspolitisch unerwünschte Nebenwirkungen haben.
Nachtrag zur Anwendung von Pseudonymen
Authentisierung oder Autorisierung?
Authentisierung: Ist sie das wirklich?
Autorisierung: Darf sie das?
- ID-gebundene Autorisierung:
- Erst Authentisierung, dann Nachsehen in Rechteliste oder
Abfragen von Rechtedienst.
- ... oder Abfrage von TANs oder ähnlichen rechtenachweisen.
- Sinn: Nachvollziehbarkeit durch Protokollierung (Log-Datei).
[Oder: Abgleich mit Fahndungsliste (Grenzübertritt).]
- Gefahr: Überwachungsmaßnahme.
- ID-freie Autorisierung:
- Pseudonymes Credential oder Ticket (blind signiert).
Nutzen und Kosten der kryptographischen Infrastruktur
Was bekommt der Nutzer?
- starke kryptographische Methoden,
- Möglichkeiten zum rechtssicheren Handeln in der elektronischen Welt.
Was bezahlt er dafür?
- Kosten für Chipkarten und Zertifikate und den zugehörigen Aufwand,
- universelle Identifizierbarkeit.
Wenigstens der letzte Punkt lässt sich durch die Technik der Pseudonyme mildern.
Autor: Klaus Pommerening, 31. März 1999;
letzte Änderung: 5. Juli 2007.
E-Mail an Pommerening »AT« imbei.uni-mainz.de.