Kryptographische Protokolle: Pseudonyme

2b. Kryptographische Protokolle

2b.4 Pseudonyme

Problembereich

Pseudonyme sind kryptographische Protokolle zur Wahrung der Anonymität:

kontrollierter Datenabgleich
unter Wahrung der informationellen Selbstbestimmung.

Exemplarische Problembereiche:

Spuren im Netz, z. B. beim E-Business.
Auswertung medizinischer Daten (Forschung, Qualitätssicherung)

Ist der Personenbezug vermeidbar? Z. B. in der medizinischen (epidemiologischen) Forschung benötigt man ihn scheinbar zum Zusammenführen der Daten aus verschiedenen Quellen und zur Nacherhebung von Daten der jeweiligen Person.

Pseudonyme verschleiern den Personenbezug so, dass faktische Anonymität entsteht, ohne die Verwendung der Daten zu Forschungszwecken oder die Rechtssicherheit von geschäftlichen Transaktionen zu behindern. Der Personenbezug ist damit zur Erfüllung der Zweckbestimmung der Daten sehr oft nicht notwendig, seine Beibehaltung somit gesetzwidrig, wenn es ein praktikables Pseudonymisierungsverfahren gibt.

Pseudonyme im täglichen Leben: bei Schriftstellern, Schauspielern oder Spionen als »Decknamen« verwendet.

Literatur

David Chaum: Security without identification: Transaction systems to make Big Brother obsolete. Communications of the ACM 28 (1985), 1030 - 1044.

Klaus Pommerening: Chipkarten und Pseudonyme. FIfF Kommunikation 1/96, 9-12. [online]

Anna Lysyanskaya, Ronald L. Rivest, Amit Sahai, Stefan Wolf: Pseudonym systems. [online oder hier als PDF-Datei.]

Gesetze zur Pseudonymisierung

In einer Reihe von neueren Gesetzen wird Pseudonymisierung gefordert, z. B.

Krebsregistergesetze:
- pseudonyme Langzeitspeicherung, z. T. ohne Einwilligung der Patienten erlaubt.
Telekommunikations-Datenschutzverordnung:
- pseudonyme Nutzungs-/ Bezahlungsverfahren,
- pseudonyme Nutzungsprofile.
Bundesdatenschutzgesetz (BDSG).
Sozialgesetzbuch (SGB X).
Gesundheitsmodernisierungsgesetz (GMG):
- gesundheitsökonomische Auswertung pseudonym.

Beispiel:

BDSG §3 (6a): Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

[»Ausschließen« entspricht ungefähr einem Einweg-Pseudonym, »wesentlich erschweren« ungefähr einem reversiblen Pseudonym.]

BDSG §3a: ... Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Pseudonyme

... sind unterscheidbar und zusammenführbar, aber nicht zuordenbar.

Anmerkung: Die Zuordnung ist nicht notwendig bijektiv. Eine Person kann mehrere Pseudonyme oder natürlich auch gar kein Pseudonym haben. Im mathematischen Sinn ist also nur p^-1 eine Abbildung.

Realisierung von Pseudonymen I - das Referenzlistenmodell (»Codebuch«)

[Naive Erzeugung von Pseudonymen]

Die Zentralstelle ...

... wird auch bezeichnet als
- »Trusted-Third-Party-Service«,
- »Vertrauensstelle« im Krebsregistergesetz,
- »Datentreuhänder«,
... ist Herr über die Pseudonyme,
... kann ohne Mitwirkung des Betroffenen rückidentifizieren,
... ist ein herausgehobenes Angriffsziel,
... benötigt Vertrauen von allen Beteiligten, hohen technischen und organisatorischen Schutz und evtl. besonderen gesetzlichen Schutz -
- dann spricht man auch vom »Datentreuhänder«; das kann z. B. ein Notar sein.

Vereinfachung: Schlüssel statt Codebuch

Deterministische Pseudonym-Erzeugung durch ein Verschlüsselungsverfahren statt Führung einer Referenzliste.
Um die eindeutige Zuordnung zu garantieren, wird ein Personenidentifikator (PID) verschlüsselt.
Die Zentralstelle speichert nichts außer ihrem geheimen Schlüssel.
- Es handelt sich also vergleichsweise um einen »schlanken« TTP-Service.
Bei Verwendung einer (schlüsselabhängigen) Einweg-Funktion: Einweg-Pseudonym, nicht reversibel.

Klassifikation von Pseudonymen

Pseudonyme können unterschieden werden nach:

Erzeugungsart -

deterministisch: z. B. schlüsselabhängige Hash-Funktion aus Identitätsdaten;
willkürlich: z. B. Einweg-Funktion von Passphrase;
zufällig: frei gewählt oder nach Zufallsverfahren.

Verknüpfbarkeit -

Wer kann verschiedene Pseudonyme zusammenführen?
Wer kann das Pseudonym lüften?

Im Idealfall sollte, gemäß der Idee der informationellen Selbstbestimmung, nur der Besitzer seine Pseudonyme lüften oder verschiedene Pseudonyme zusammenführen können. Das ist allerdings nicht bei allen Anwendungen (etwa bei medizinischen) sinnvoll.

Realisierung von Pseudonymen II - kryptographische Pseudonyme

Die kryptographische Realisierung von Pseudonymen basiert auf der blinden Unterschrift.

Mögliche Anforderungen:

Möglichst wenig Macht bei der Zentralstelle:
- Keine zentrale Rückidentifikationsmöglichkeit.
- Zentralstelle soll nur als »Certification Authority« mitwirken.
- Der Pseudonyminhaber verwaltet sein Pseudonym selbst.
Zusammenführung von Daten bleibt ohne Bruch der Pseudonyme möglich.
Transaktionen unter Pseudonym können beweissicher gestaltet werden.

Je nach Ausgestaltung des Protokolls werden diese Anforderungen mehr oder weniger erfüllt, wie im folgenden gezeigt wird.

Beweissicherheit - gewährleistet

durch stark vertrauenswürdige Zentralstelle mittels Referenzliste oder Schlüssel oder
durch schwach vertrauenswürdige Zentralstelle mittels Beglaubigung durch blinde Unterschrift.

Musterbeispiele

I. Kryptographische Pseudonyme

Spurenfreies elektronisches Geld -
- »DigiCash«, D. Chaum ca. 1980,
- Pilotversuch Deutsche Bank ca. 1998 abgebrochen.
Elektronisches Rezept und
pseudonyme Krankenkassenabrechnung (Vorschlag zur datenschutzgerechten Umgestaltung der Datenströme) -
- beides nicht umgesetzt.
Anonyme Berechtigungsausweise (»Credentials«) -
- z. B. Fahrkarten ohne Bewegungsprofil,
anonyme Verträge,
elektronische Wahlen,
- alles bisher höchstens in Pilotprojekten realisiert.

II. Pseudonyme mit starker Zentralstelle

Krebsregister,
Datentreuhänderlösung QuaSiNiere (Qualitätssicherung für die Langzeitbehandlung von chronisch Nierenkranken),
Pseudonymisierungsdienst für die TMF (Telematikplattform für die medizinischen Forschungsnetze)
- mit zentralem Datentreuhänderdienst,
- in einigen Forschungsnetzen umgesetzt, in vielen im Aufbau.

Anmerkung: Für solche medizinischen Anwendungen sind die kryptographischen (selbstbestimmten) Pseudonyme nicht geeignet: (Es liegt in der Verantwortung des behandelnden Arztes, dem Patienten Diagnosen, z. B. aus Forschungsergebnissen mitzuteilen – der Patient hat sogar Recht auf Nichtwissen.

Zusammenfassung

Durch die Einführung von Pseudonymen lässt sich in vielen Anwendungsbereichen der Informationstechnik ein tragbarer Kompromiss zwischen dem informationellen Selbstbestimmungsrecht der Bürger und dem Datenhunger von Forschung und Gesellschaftspolitik bzw. dem Anspruch auf Rechtssicherheit im Geschäftsverkehr finden.
Chipkarten (als Ausweiskarten aller Art) werden durch die Verwendung von Pseudonymen von einem Instrument der informationellen Entblößung zu einem Instrument der informationellen Selbstbestimmung.
Kryptographische Pseudonyme stellen eine Grundtechnik des praktischen Datenschutzes dar. Sie sollten, wo immer möglich, eingesetzt werden.
Die Einführung von Pseudonymen ist in vielen Fällen politisch nicht gewollt, da sie die Machtanhäufung bei politischen Exekutivorganen und kommerziellen Datensammlungen behindert. Musterbeispiele:
- Elektronisches Geld, das keine Spuren hinterlässt, setzt sich mangels Interesse von seiten der Wirtschaft nicht durch. Favorisiert werden Bezahlsysteme, die das Erstellen von Käuferprofilen ermöglichen.
- Das von der Bundesregierung geplante elektronische Rezept wird nicht pseudonym sein. Es wird allenfalls - als Datenschutzfeigenblatt - eine Freischalt-PIN für den Patienten vorsehen.
Andererseits wird die Verwendung von Pseudonymen an vielen Stellen gesetzlich gefordert.
Durchsetzbar ist das »triviale« Codebuch- oder »Datentreuhänder«-Modell, weil es für Laien verständlich ist.
Kaum durchsetzbar sind kryptographische Pseudonyme (die vom Besitzer kontrolliert werden), weil
- ihre Funktionsweise für Laien nicht verständlich ist,
- sie oft rechtspolitisch unerwünschte Nebenwirkungen haben.

Nachtrag zur Anwendung von Pseudonymen

Authentisierung oder Autorisierung?

Authentisierung: Ist sie das wirklich?

Autorisierung: Darf sie das?

ID-gebundene Autorisierung:
- Erst Authentisierung, dann Nachsehen in Rechteliste oder Abfragen von Rechtedienst.
- ... oder Abfrage von TANs oder ähnlichen rechtenachweisen.
- Sinn: Nachvollziehbarkeit durch Protokollierung (Log-Datei). [Oder: Abgleich mit Fahndungsliste (Grenzübertritt).]
- Gefahr: Überwachungsmaßnahme.
ID-freie Autorisierung:
- Pseudonymes Credential oder Ticket (blind signiert).

Nutzen und Kosten der kryptographischen Infrastruktur

Was bekommt der Nutzer?

starke kryptographische Methoden,
Möglichkeiten zum rechtssicheren Handeln in der elektronischen Welt.

Was bezahlt er dafür?

Kosten für Chipkarten und Zertifikate und den zugehörigen Aufwand,
universelle Identifizierbarkeit.

Wenigstens der letzte Punkt lässt sich durch die Technik der Pseudonyme mildern.

Autor: Klaus Pommerening, 31. März 1999; letzte Änderung: 5. Juli 2007.
E-Mail an Pommerening »AT« imbei.uni-mainz.de.