Verfahren und Speichermedium zum sicheren Austausch und Nut¬ zen von Informationen in einem Kommunikationsnetz
Mit stetig steigenden Benutzerzahlen und der Zunahme an Diensten und Inhalten ist das Internet momentan der treibende Faktor für Weiterentwicklungen in der Informations— und Kom¬ munikationstechnik (IT) . Zwei Bereiche die hiervon besonders profitieren sind zum einen die Netzinfrastruktur selbst, die proportional zum Wachstum des Internets ausgebaut werden muss, zum anderen der Bereich der PC-Industrie, an die mit steigender Komplexität der Anwendungen immer höhere Anforde¬ rungen gestellt werden.
Bei der Netzinfrastruktur ist diese Entwicklung vor allem durch die Bereitstellung von Kommunikationswegen mit immer größeren Kapazitäten gekennzeichnet, die dem wachsendem Be¬ darf an den zu übertragenden Datenmengen angepasst werden. Mit dieser Entwicklung verknüpft geht eine Vereinheitlichung der genutzten Übertragungsprotokolle einher, mit der Absicht, zukünftig möglichst alle unterschiedlichen Ausprägungen von Diensttypen über ein einheitliches Transportnetz bedienen zu können. Mit der Deregulierung der Märkte stieg der Kosten¬ druck auf die Hersteller, insbesondere durch eine Modulari— sierung und Standardisierung bisher proprietärer Komponenten und Schnittstellen, stark an.
Weiterentwicklungen im Bereich der PC-Industrie unterliegen schon seit langem einem allgemein bekannten Kostendruck und das bei steigenden Anforderungen an Ressourcen wie Rechen¬ leistung, Speicherausbau oder auch Art und Umfang von peri¬ pheren Komponenten wie Festplatten und DVD-Laufwerke. Ähnlich der Netzinfrastruktur wachsen die Anforderungen an die tech¬ nischen Komponenten auch in diesem Bereich kontinuierlich an, Schnittstellen sind bereits seit langem standardisiert und die Geräte unterschiedlicher Hersteller werden sich immer ähnlicher. Interessant in diesem Zusammenhang ist ein seit kurzem aktueller Trend, bei dem der Sicherheitsgedanke in den Mittelpunkt der Diskussion um neue Produkte geschoben wird.
Unter der Überschrift „TCPA" laufen momentan Bestrebungen seitens der PC-Industrie und von Anbietern, die Anwendungen bzw. deren Inhalte bereitstellen, die Eigenschaften zukünfti¬ ger PCs derart zu verändern, dass ein sicherer Schutz der di- gitalen Informationen (d. h. Anwendungen und Daten) innerhalb einer Plattform gewährleistet werden soll.
Form einer gestörten Kommunikation
Wie das Beispiel der PC-Industrie zeigt, scheint die Entwick¬ lung zumindest in diesem Bereich heute an einen Punkt gekom¬ men zu sein, an dem die technische Weiterentwicklung durch ein Thema wie die InformationsSicherheit einen neuen Fokus bekommt. Momentan werden insbesondere auf diesem Feld techni- sehe Lösungen gesucht und definiert, die einen sicheren Um¬ gang mit personenbezogenen Daten bzw. sicherheitsrelevanten Anwendungen gewährleisten oder einen Kopierschutz von digita¬ len Inhalten ermöglichen sollen. In diesem Zusammenhang sind heute besonders auch Themen wie „Digital Rights Management" (DRM) oder auch „Digital Content Management" (DCM) in der öf¬ fentlichen Diskussion und werden aktuell kontrovers disku¬ tiert.
Hiervon lässt sich der Schluss ableiten, dass die Weiterent- Wicklung von Produkte der IT Branche heute weniger durch technische Probleme der eingesetzten Geräte behindert wird, als vielmehr durch „Beziehungsprobleme", die zwischen den be¬ teiligten Akteuren, d. h. den Benutzern der Systeme, offen¬ sichtlich existieren. Ähnlich der Entwicklung innerhalb de'r PC—Industrie können Betreiber der Netzinfrastruktur zukünftig davon profitieren, wenn sie verstärkt Lösungen anbieten, die eine objektive „Moderation" zwischen den einzelnen beteilig¬ ten Nutzern möglich macht, um damit der gestörten „anwender¬ bezogenen Kommunikation" entgegenzuwirken und auch neue For- men von Kommunikation zu bieten. Es besteht sogar ein begrün¬ deter Anlass zu der Aussage, dass eine technische Lösung für dieses Problem gerade innerhalb der Netzinfrastruktur zu su¬ chen ist und weniger an der Peripherie, wo sie heute gesucht wird.
Folgende Fälle werden in diesem Zusammenhang als Beispiele für eine gestörte anwenderbezogene Kommunikation gesehen:
- Die Überflutung von Kommunikationseinrichtungen durch das Versenden von Nachrichten, die der Empfänger als uner¬ wünscht und störend empfindet (SPAM, Werbung) ,
- die Beschränkung von Informationen auf einen fest definier¬ ten Benutzerkreis (DCM) zur Herstellung von Informationssi— cherheit oder auch zum Jugendschutz,
- das gegenseitige Misstrauen von Geschäftspartnern (bzw. Kommunikationspartnern) bei der Abwicklung von Geschäften über das Internet (z. B. kann ein Kind unerkannt teure Ge- schäfte tätigen oder ein Geschäftspartner versteckt sich hinter der Anonymität des Netzes und hält getroffene Ver¬ einbarungen nicht. ein),
oder auch
- der Missbrauch von digitalen Anwendungen oder Inhalten durch den Benutzer, z. B. durch das Anfertigen von Kopien und ihre unzulässige Weiterverbreitung (DRM) .
Allen genannten Beispielen gemeinsam ist, dass es sich hier¬ bei weniger um technische Probleme der Netzinfrastruktur bzw. der angeschlossenen Geräte selbst handelt, als vielmehr um Probleme der Art und Weise, wie diese Geräte durch die Anwen¬ der benutzt werden. Bisher wurde versucht, diesem Problem durch entsprechende „Firewalls", an der Peripherie des Netzes zu begegnen. Daten werden zunehmend verschlüsselt über das an sich unsichere Transportnetz transportiert. Die Netzinfra¬ struktur selbst nahm sich dieser Problematik jedoch bisher nicht an, da sie sich vor allem auf die Bereitstellung von leistungsfähigen, transparenten Transportkanälen zwischen den jeweiligen Endpunkten des Netzes konzentrierte.
Diese Beschränkung der Netzinfrastruktur auf die Bereitstel¬ lung von technischen Einrichtungen, die lediglich einen transparenten Kommunikationskanal zur Verfügung stellen kön-
nen, überläset die Nutzer sich, selbst, was zu den genannten Problemen führt. Die Infrastruktur wird zu großen Teilen mit Daten belastet, die vom Empfänger unerwünscht sind oder sie lädt geradezu ein, dass Anwender sich Informationen verschaf— fen, die für sie eigentlich nicht bestimmt waren.
Nachfolgend werden zunächst einige Begriffe erläutert, die zum weiteren Verständnis erforderlich sind.
Definitionen
Asymmetrisches Schlüsselpaar:
Bei der Verschlüsselung von digitalen Inhalten ist der Ein— satz von asymmetrischen Schlüsseln heute weit verbreitet und Stand der Technik. Unter dem Begriff „Schlüssel" verbergen sich in diesem Zusammenhang zwei große Bitfolgen (z.B. 2048 Bit) , die derart in Beziehung stehen, dass Operationen auf digitalen Inhalten, wie z.B. die Verschlüsselung und die Sig- natur, die mit dem einen Teil dieser Schlüssel ausgeführt werden, nur mit dem anderen Teil wieder rückgängig bzw. ana¬ lysiert werden können. Der Trick an diesem Mechanismus ist, dass hierzu nur ein Teil des Schlüssel geschützt beim Anwen¬ der verwahrt werden muss (geheimer bzw. privater Schlüssel) , wohingegen, der andere Teil öffentlich zugänglich sein kann (öffentlicher Schlüssel) . In FIG 1 wird das Symbol für einen geheimen Schlüssel vorgestellt. Derartige Symbole werden spä¬ ter für die Beschreibung des E-Depots zur Illustration ge¬ nutzt.1 u'
FIG 2 zeigt das Symbol für einen öffentlichen Schlüssel. Die angehängte Schriftrolle soll ein „Zertifikat" symbolisieren, ohne das der Schlüssel wertlos wäre. Nur mit diesem Zertifi¬ kat, das von einer für beide Kommunikationspartner vertrau— enswürdigen Stelle ausgestellt wurde, kann der Empfänger da¬ von ausgehen, dass die empfangene Nachricht auch wirklich vom vermuteten, „echten" Sender stammt.
Vertrauenswürdige Plattform:
Als eine Plattform wird, ein technisches Gerät bezeichnet, das mittels Hard— und Software eine aktive Funktionalität bereit- stellt. Primitive Plattformen haben einen sehr eingeschränk¬ ten Funktionsumfang und können nur für eine ganz bestimmte Aufgabe verwendet werden (Telefon, Monitor... ) , komplexe Plattformen, wie z.B. ein PC, sind hingegen in der Lage un¬ terschiedliche Anwendungen bereitzustellen. In diesem Sinne kann auch jede Einrichtung eines Kommunikationsnetzes als ei¬ ne Plattform bezeichnet werden. Unter einer vertrauenswürdi¬ gen Plattform verstehen wir ein Gerät, dessen Funktionalität exakt bekannt ist und nicht ohne das wissen des Nutzers mani¬ puliert werden kann. Die Trusted Computing Group (TCG) , frü- her vor allem unter der Bezeichnung „Trusted Computing Piat- form Alliance" (TCPA) bekannt, schlägt in ihren Standards vor, dass jede „trusted Platform" mit ihrer Herstellung ein einziges, weltweit eindeutiges asymmetrisches Schlüsselpaar erhält. Der geheime Schlüssel verbleibt innerhalb der Platt- form und wird zur Verschlüsselung bzw. Signatur von Daten ge¬ nutzt, der öffentliche Schlüssel wird veröffentlicht. Die Vertrauenswürdigkeit der Plattform wird mittels Zertifizie¬ rung ihres öffentlichen Schlüssels durch eine vertrauenswür¬ dige Stelle (z.B. den Hersteller) garantiert.
FIG 3 zeigt das allgemeine Symbol für eine Plattform, wobei der im Hintergrund verdeckte Schlüssel kennzeichnen soll, dass es sich in diesem Fall um eine vertrauenswürdige Platt¬ form handelt, die den geheimen Sdhlüssel eines asymmetrischen Schlüsselpaares besitzt.
Identitäten:
Unter einer „echten" Identität verstehen wir einen bestimmten Menschen, der in diesem Fall die Rolle des Anwenders oder
Nutzers einnimmt, digitale Inhalte selbst erzeugt oder auch fremde Inhalte konsumiert. Diese Identität kann sich zum Bei¬ spiel anhand eines Personalausweises eindeutig ausweisen und authentifiziert sich gegenüber dem Netz beispielsweise anhand von
- einer Smartcard (Besitz) ,
- der Eingabe einer PiN (Wissen) und/oder
- biometrischen Daten (Eigenschaft) .
FIG 4 zeigt das allgemeine Symbol für eine Identität, wobei durch die schwarze Farbe des „Fotos" und das „P" als Unter¬ schrift deutlich gemacht werden soll, dass es sich hierbei um eine „echte" (primary) Identität handelt. Auch bei diesem Symbol wird durch den 'verdeckten (geheimen) Schlüssel ver¬ deutlicht, dass es sich hierbei um eine „vertrauenswürdige" Identität handelt, die eine geschützte Kommunikations¬ verbindung zu technischen Einrichtungen aufbauen kann. Dieser Schlüssel ist z.B. sicher auf einer Smartcard gespeichert, die selbst aktive Komponenten wie einen Prozessor enthalten kann und somit im oben genannten Sinne auch als eine vertrau¬ enswürdige Plattform angesehen wird.
Für die Beachtung datenschutzrechtlicher Belange ist es sinn- voll, wenn ein Anwender „sekundäre" Identitäten, wie z.B. ei¬ nen Aliasnamen, benutzt, damit sein Konsumverhalten oder all¬ gemein seine Interessen nicht ausgeforscht werden können. Diese Möglichkeit ist bereits in heute verfügbaren Ansätzen vorgesehen und kommt auch im E-Depot zum Einsatz.
Der Stand der Technik
Einleitend wurde bereits Bezug auf die momentan laufenden,.Ak¬ tivitäten im Zusammenhang mit der Entwicklung von vertrauens- würdigen Plattformen genommen. Die Trusted Computing Group (TCG) ist eine Organisation, in der sich führende Hardware- und Softwarehersteller zusammengeschlossen haben, um Stan¬ dards und darauf basierende Mechanismen für vertrauenswürdige Plattform zu erarbeiten. Inzwischen sind zu diesem Thema ers— te Standards veröffentlicht worden, auf denen kurzfristig erste Produkte basieren werden.
Alle momentan vorhandenen Standards setzen hierbei auf einem so genannten „Trusted Platform Module" (TPM) auf. Dieses Mo-
dul, das heute von mehreren Herstellern in Form eines Schalt¬ kreises angeboten wird, wird zunehmend in vertrauenswürdigen Plattformen integriert werden. Es enthält vor allem folgende Funktionen:
^- Zufallszahlengenerator
Ein „echter" Zufallszahlengenerator, der für die Erzeugung von Schlüsseln benötigt wird.
^- Kryptografischer Prozessor
Ein Spezialprozessor, der asymmetrische Schlüssel generie¬ ren kann (RSA) , Ver- und Entschlüsselung von Daten reali¬ siert und Hash-Funktionen berechnet (SHA-I) , die für die Signierung benötigt werden.
> Geschützte Speicherbereiche z.B. für:
Endorsement Key
Asymmetrisches Schlüsselpaar, das für jedes TPM einzigartig ist. Der geheime Anteil verbleibt immer im TPM und ist da¬ mit Grundlage der Vertrauenswürdigkeit des TPMs.
Platform Configuration Register
160 Bit Register, in denen bestimmte Zustände der Plattform (z.B. Hardwarebestückung) gespeichert werden. Mit Hilfe dieser Register ist es möglich, bestimmte Operationen, wie das Entschlüsseln von Daten, an ganz .bestimmte zustände der Plattform zu binden und somit nur dann zuzulassen, wenn ganz bestimmte Bedingungen erfüllt werden.
Die Funktionen eines TPM lassen sich mit denen von modernen Smartcards zur Identifizierung einer Person vergleichen (z.B. bei Bankgeschäften) , mit dem einen unterschied, dass ein TPM fest in eine Plattform eingebaut wird. Großen Raum nimmt mo- mentan auch die Diskussion um vertrauenswürdige Betriebssys¬ teme ein.
Die Funktionsweise einer vertrauenswürdigen Plattform kann nach dem heutigen stand der TCG folgendermaßen zusammenge- fasst werden: Eine „Trusted Authority" (deren Identität heute noch nicht abschließend geklärt ist) zertifiziert eine Platt— form, wie z.B. einen PC, als vertrauenswürdig. Diese Eigen¬ schaft kann dann von externen Kommunikations—Partnern verifi¬ ziert werden, so dass eine sichere Kommunikationsbeziehung aufgebaut werden kann. Daten können auf der Plattform selbst sicher aufbewahrt werden und Anwendungen können darauf sicher operieren, ohne Gefahr zu laufen, dass sie Schaden anrichten bzw. selbst manipuliert werden. Als Beispiel könnte eine sol¬ che Plattform von Anbietern digitaler Inhalte genutzt werden, um z.B. Musik oder Filme auf einem (sicheren) PC abspielen zu lassen, ohne dass der Anwender diese Inhalte kopieren kann (DRM) . Mit anderen Worten: mittels vertrauenswürdigen Platt¬ formen ist es möglich, dass sich Kommunikationspartner davon überzeugen können, dass an einer bestimmten Plattform keine unzulässigen Manipulationen vorgenommen wurden. Diese Funkti¬ on wird somit insbesondere auch für die Betreiber von Firmen- netzen interessant, die PCs von Angestellten an Heimarbeits¬ plätzen sicher mit in ihr eigenes Netzwerk integrieren möch— ten.
Das zugrunde liegende Rollenmodell ist in FIG 5 dargestellt.
Gerade das letzte Beispiel macht jedoch auch deutlich, dass der PC entweder dem Arbeitgeber eines zu Hause arbeitenden Mitarbeiters gehören kann und dann frei zugänglich für einen autorisierten" Administrator sein soll, womit kein Anwender ein Problem haben sollte, oder aber der PC ist im Besitz des Anwenders selbst, der dann schon ein Problem hat, wenn sein Rechner „ferngesteuert" werden kann. Dieser Ansatz hat somit vor allem Vorteile für Anbieter, die die Vertraulichkeit ih¬ rer Daten auf fremden Plattformen sichern wollen (z.B. Set Top Box eines „Pay-τv" Anbieters) .
Zusammengefasst ergeben sich somit folgende Nachteile der heutigen Lösung:
> Das TCG Modell unterscheidet nicht zwischen dem Individuum (Anwender) und der Plattform. Obwohl ein digitaler Inhalt
an ein Individuum gebunden sein kann, wird er nach TCG Vorstellungen an eine Plattform gebunden. Es ist heute nicht ausreichend geklärt, was passieren soll, wenn ein Anwender seine Plattform wechseln möchte und geschützte Inhalte auf die neue Plattform mitnehmen möchte (DRM) .
> Die Idee, eine Plattform als Ganzes zu begreifen scheint nicht auszureichen, da insbesondere externe Peripherie ei¬ nes PCs kritisch in Bezug auf die Sicherheit sein kann. Somit ist zu erwarten, dass selbst die Tastatur, die Maus, der Monitor oder auch die Grafikkarte selbst als vertrau¬ enswürdige Plattformen realisiert werden müssen. Diese Szenario ist zwar für den Anbieter interessant, der z.B. einen Film direkt auf der Grafikkarte des Anwenders ausge- ben könnte, widerspricht aber den Interessen des Kunden, der den Film gern in seine Sammlung stellen möchte und insbesondere nicht möchte, dass der Anbieter sein Konsum- verhalten verfolgen kann.
> Der heutige Ansatz widerspricht den Wünschen des Anwen¬ ders, selbst Änderungen an seinem PC ausführen zu wollen, wie z.B. die spätere Erweiterung des Funktionsumfangs durch das Nachrüsten von Einzelkomponenten. Flexibilität weicht dann der Funktionalität. Sollten nur noch „ge- schlossene" Plattformen in den Handel kommen, so könnte ähnlich den Handys auch bei PCs der Müll an frühzeitig „zerschlissenen" Plattformen zunehmen.
>• Kauft ein Anwender ein Produkt, wie z.B. Musik, so möchte er diese zu Hause, im Auto oder auch auf dem Handy konsu¬ mieren können. Der heutige Ansatz widerspricht diesem Wunsch, indem er ihn geradezu auszuschließen versucht.
>■ Ein defektes TPM kann zum Verlust aller Daten einer Platt- form führen. Das Thema Sicherheitskopien auf anderen Plattformen ist hoch brisant und noch in Diskussion.
Datenschützer kritisieren folgende Eigenschaften des TPM:
> Der „Endorsement Key" (EK) bildet die Grundlage aller Ver¬ traulichkeit des TPM. Er wird bei der Herstellung durch einen herstellerspezifischen Prozess generiert und in das Modul programmiert. Nur wenn sichergestellt ist, dass das Modul in der Lage ist, den EK selbst zu generieren und zu programmieren, ist die Vertraulichkeit des TPM gegeben.
> Das TPM besitzt die Möglichkeit, zur Kommunikation mit externen Partnern auf so genannte „Attestation Identity Keys" (AIK), d.h. die Nutzung von sekundären Identitäten, die als Pseudonyme für den EK genutzt werden, zurückzu¬ greifen. Diese Funktion ist insbesondere in Bezug auf den Datenschutz relevant, da sie verhindert, dass das Kommuni¬ kationsverhalten eines Anwenders nachvollzogen werden kann, indem man ihn mit einer speziellen ID (wie z.B. den EK) verknüpfen kann. Als sensibel sind in diesem Zusammen¬ hang alle Stellen zu betrachten, die eine Verknüpfung zwi¬ schen AIK und dem Anwender ableiten können. Da mindestens eine Stelle die Vertraulichkeit des AIK zertifizieren muss, ist zumindest diese CA in der Lage eine solche Ab¬ bildung vorzunehmen.
> Der Migrationsprozess, d.h. Mechanismen zum Transfer von Daten einer Plattform auf eine andere ist heute nur unzu— reichend geklärt. Hierbei ist der Anwender heute noch auf die Unterstützung durch den Hersteller der Plattform ange¬ wiesen.
Eine heute bekannte Lösung beschreibt die Druckschrift wo 03/047191 Al. Es beschreibt ein System und eine Methode „pro- viding conditional access to digital content". In diesem An¬ satz wird eine „dritte Partei" eingeführt (verification enti- ty; VE), die Lizenzen für bestimmte Inhalte verwaltet. Möchte der Anwender auf einen bestimmten Inhalt zugreifen, so stellt er eine Anfrage an die VE und erhält daraufhin die notwendi¬ gen Mittel z.B. in Form eines Schlüssels auf den Zugriff. Die VE kann somit unterschiedlichste Bedingungen an den Zugriff auf den Inhalt überprüfen und hebt erstmals die feste Bindung zwischen Anwender und Plattform auf. Bei diesem Ansatz kommt der VE eine zentrale Rolle zu. Sie überprüft und verteilt Li—
zenzen auf Anfrage an die Endgeräte (Plattformen) . Das Ver¬ halten dieser Plattformen kann somit indirekt über die von der VE verteilten Lizenzen gesteuert werden. Schwachpunkt des Ansatzes ist somit die dominierende Rolle der VE. Der Anwen- der ist dauerhaft auf deren „good will" angewiesen. Unklar bleibt auch, inwieweit die Privatsphäre des Anwenders beim Umgang mit der VE gewahrt bleibt.
Der Erfindung liegt somit die Aufgabe zugrunde, den Austausch und/oder Nutzen vertrauenswürdiger Informationen zu verbes¬ sern. Die Aufgabe wird gemäß den Merkmalen der Patentansprü¬ che 1 und 9 gelöst„
Beim erfindungsgemäßen Verfahren zum sicheren Austausch und/oder Nutzen von Informationen ist zumindest ein zumindest einem Anwender zuordenbares Speichermedium in einem Kommuni- kationsnetz eingerichtet. Durch das zumindest eine Speicher— medium werden vertrauenswürdige Funktionen bereitgestellt, durch welche zugeordnete Eigenschaften aufweisende Informati- onen sicher in dem Speichermedium gespeichert und/oder verar¬ beitet werden sowie zumindest vertrauenswürdige Kommunikati¬ onseinrichtung dem zumindest einem Speichermedium zugeordnet wird. Die Informationen werden in Abhängigkeit von den je¬ weils zugeordneten Eigenschaften und in Abhängigkeit von der zumindest einen zugeordneten, vertrauenswürdigen Kommunikati¬ onseinrichtung verarbeitet.
Der wesentliche Vorteil des erfindungsgemäßen Verfahren liegt in der Bereitstellung vertrauenswürdiger Funfetionen, die das sichere Aufbewahren und Verarbeiten von Informationen ermög¬ lichen, wobei die Privatsphäre des Inhabers in das Kommunika¬ tionsnetz ausgeweitet wird und dadurch datenschutzrechtliche Vorbehalte in Bezug auf die Nutzung von anwenderbezogenen In¬ formationen gelöst werden.
Gemäß einer vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens werden durch die vertrauenswürdigen Funktionen zu¬ mindest eine Pseudoidentität eingerichtet und verwaltet, über welche zumindest eine vertrauenswürdige Komrrvunkationsbezie— hung von und zum Speichermedium eingerichtet werden kann -
Anspruch 3. Durch die vertrauenswürdigen Funktionen wird si¬ chergestellt, dass Informationen zwischen Kommunikationspart- nern ausgetauscht werden können, ohne dass diese selbst einen direkten Zugriff auf die Informationen erlangen können.
Weitere vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens sowie ein Speichermedium zum sicheren Austausch und Nutzen von Informationen sind den weiteren Ansprüchen zu entnehmen.
Im Folgenden wird das erfindungsgemäße Verfahren näher erläu¬ tert:
Das E-Depot
Das erfindungsgemäße Speichermedium bzw. E-Depot ist grund¬ sätzlich eine technische Einrichtung, die innerhalb eines Kommunikationsnetzes zwischen den Interessen der beteiligten Kommunikationspartner vermittelt und damit zu einer störungs- freieren Kommunikation beiträgt. Es baut weitestgehend auf den bisher vorgeschlagenen Mechanismen der TCG auf, erweitert diese jedoch um einen entscheidenden Beitrag, indem es die Kommunikationsinfrastruktur selbst mit ins Spiel bringt, an Stelle sich auf die Kommunikationsendpunkte zu beschränken.
Das E—Depot lässt sich am besten mit einem Bankkonto oder ei¬ nem Aktiendepot vergleichen, dass von einer neutralen, drit¬ ten Partei (der Bank) verwaltet wird und den Transfer sowie eine vertrauenswürdige Aufbewahrung von kostbaren .Dingen (Geld bzw. Aktien) ermöglicht. Das Depot wird selbst von dem Nutzer eröffnet (bzw. gemietet) , der weiterhin alle Rechte dafür behält und es neben der reinen Aufbewahrung vor allem auch zum Austausch von deponierten Inhalten (Einzahlung, Aus¬ zahlung bzw. Überweisung) benutzt. Interessant in diesem Zu- sammenhang ist besonders der Vergleich mit dem Aktiendepot, da es dem Nutzer hierbei nicht darum geht, das eigentliche Papier in den Händen zu halten, sondern vielmehr darum, damit Handel zu treiben bzw. damit verbundene Vorteile wie Dividen¬ den zu konsumieren.
Das E-Depot selbst ist eine (technische) Einrichtung, die ei¬ ne sichere Umgebung bereitstellt, um im Datenverkehr zwischen Kommunikationspartnern zu „vermitteln". D.h. es bietet Funk- tionalitäten, anwenderbezogene digitale Inhalte sicher zu speichern und ermöglicht ihm wie bei einem Konto unabhängig vom Ort auf diese Daten zugreifen zu können. Darüber hinaus bietet es auch anderen Kommunikations-Partnern die Möglich¬ keit, Daten „einzuzahlen" (d.h. zu übergeben) oder „abzubu— chen" (d.h. herunter zu laden) , solange sie hierzu durch den Inhaber berechtigt sind. Das E-Depot selbst wird durch eine dritte Partei, dem „Operator", bereitgestellt und betrieben, der innerhalb der Kommunikationsbeziehung eine neutrale Rolle einnimmt.
Somit stellt der Operator dem Inhaber eine Einrichtung zur Verfügung, die die Privatsphäre des Inhabers in einen Teil des Kommunikationsnetzes hin ausweitet. Nach der „Eröffnung" eines Ξ-Depots beim Operator verfügt der Inhaber allein über das E-Depot, über die Daten, die darauf gespeichert werden und über die Zugriffsrechte von anderen Parteien - siehe FIG 6.
Entscheidend für das weitere Verständnis ist eine strikte Trennung der Begriffe Plattform und Identität. Bisher bekann¬ te Ansätze der TCG machen an dieser Stelle eine nur unzurei¬ chende Trennung. Beide Begriffe werden eng miteinander ver¬ knüpft, indem z.B. angenommen wird, dass ein Anwender eine Plattform besitzt, die dann selbst wieder Identitäten gene- rieren kann, um unterschiedliche Kommunikations-Beziehungen aufbauen zu können. In diesem Modell werden Inhalte fest an eine bestimmte Plattform gebunden, obwohl sie doch eigentlich für ein Individuum (und damit für eine Identität) bestimmt waren. Gerade Probleme wie „was passiert, wenn die Plattform ausgemustert wird" oder „wie werden Inhalte zwischen zwei
Plattformen eines Besitzer übertragen" sind heute noch nicht abschließend gelöst.
Das E-Depot ist in der Lage gerade dieses Problem zu lösen, indem es die „.Mittlerfunktion" zwischen Identitäten und Plattformen ein und desselben Inhabers übernimmt. Gegenüber dem Kommunikationspartner stellt sich das E-Depot als eine (von mehreren möglichen) Identität dar. Der Inhaber hingegen kommuniziert mit dem TMD über eine (von mehreren möglichen) Plattform(en) . Die Beziehung zwischen beiden Gruppen sind hierbei nur dem Inhaber selbst überlassen, der darüber im Rahmen von vorher fest definierten Regeln frei verfügen kann.
Die Funktionsweise
Wesentliche Eigenschaft des E-Depots ist, dass es neben der sicheren Ablage von Daten bzw. Inhalten auch deren weitere Verwendung steuert. D.h. es stellt auch Funktionen bereit, die es erlauben, dass Inhalte, die ihm anvertraut werden, spezifisch nach den Wünschen der Kommunikationspartner behan¬ delt werden. Dieses wird erreicht, indem das E-Depot selbst als eine vertrauenswürdige Plattform realisiert wird. Sein Funktionsumfang ist klar definiert und jedem Anwender be- kannt, der seine Inhalte in einem „Paket" zusammen mit einer so genannten „Lizenzdatei" an das E—Depot übergibt. Diese Li¬ zenz enthält alle notwendigen Angaben, die das E—Depot benö¬ tigt, um die Inhalte nachfolgend im Sinne des Anwenders be¬ handeln zu können. Wichtigste Eigenschaft hierbei ist, dass das E-Depot in der Lage ist, intern kryptografische Operatio¬ nen auf den digitalen Inhalten durchzuführen, ohne dass die eigentlichen Inhalte jemals das E—Depot unverschlüsselt ver¬ lassen können. Diese Funktionalität entspricht dem Vergleich mit der „Aktie", die im Depot sicher aufbewahrt wird, ohne dass der Inhaber selbst Zugriff auf das eigentliche Papier hat. Das E—Depot geht diesbezüglich noch einen Schritt weiter und stellt sicher, dass noch nicht einmal der Operator in der Lage ist, unbefugt auf die Inhalte zuzugreifen.
Wie bei einem Depot oder einem Konto mietet der Anwender das E-Depot bei einem Operator an. Im initialzustand besitzt das E-Depot selbst keine Identifikationsdaten und der neue Inha¬ ber kann es so konfigurieren, dass es nur von ihm verwaltet
und genutzt werden kann. Hierzu meldet der Inhaber zunächst seine Plattformen beim E—Depot an, indem er unter anderem de¬ ren öffentliche Schlüssel übermittelt. Somit ist das E-Depot in der Lage, nachfolgend zu jeder dieser Plattform eine si— chere Verbindung aufzubauen und Daten auszutauschen. Darüber hinaus kann der Inhaber das E-Depot veranlassen, sekundäre Identitäten zu erzeugen. Hierzu generiert das E—Depot jeweils ein neues asymmetrisches Schlüsselpaar. Der geheime Anteil verbleibt innerhalb des E-Depots und der öffentliche Teil kann nachfolgend für die Kommunikation mit einem externen Partner bzw. einer Gruppe genutzt werden - siehe FIG 7.
Die Plattform
Jede Plattform, die von einem E-Depot verwaltet wird, muss im Sinne der TCG vertrauenswürdig sein. Da es sich bei dem E- Depot selbst jedoch um eine vertrauenswürdige Plattform han¬ delt, die dem Anwender noch dazu selbst „gehört", sollte er damit kein Problem haben, wenn er seine Plattformen perio— disch mit dem E-Depot synchronisiert bzw. Inhalte zwischen ihnen austauscht.
Als vertrauenswürdige Plattformen sollten die Endgeräte des Anwenders Funktionen bereitstellen, die eine Steuerung durch das TMD erlauben. Eine Plattform ist durch gewisse Eigen¬ schaften, wie z.B. mögliche Ein-/Ausgabeverfahren, charakte¬ risiert, die ihr z.B. durch den Hersteller oder eine andere CA zertifiziert werden.
Die sekundäre Identität
Der Anwender bedient sich zur Kommunikation mit der Außenwelt sekundärer Identitäten. Neben den innerhalb der TCG bisher definierten Mechanismen, die lediglich die Übermittlung des geheimen Schlüssels einer neuen Identität (AIK) vorsehen, ist der Begriff sekundäre Identität im Zusammenhang mit einem E- Depot weiter gefasst. Hier erhält der Kommunikationspartner neben dem Schlüssel weitere Attribute, die die Kommunikati¬ onsbeziehung charakterisieren und die durch beide beteiligten
TMDs interpretiert werden können. Zu diesen Attributen zählen beispielsweise:
•Name oder Alias des Anwenders • geheimer Schlüssel •Datum der Erstellung
•Datum der Gültigkeit
•Alter des Anwenders > IdentityQOperator »Anzahl der möglichen Zugriffe
• Zugriffsrechte im TMD des Anwenders
• Signatur durch TMD
Die Ablage von Inhalten
Bevor Inhalte an das E-Depot übergeben werden können, müssen diese zunächst nach einer festen Prozedur präpariert werden. In FIG 8 ist diese Prozedur illustriert. Die Inhalte werden zusammen mit einer Lizenz mit dem öffentlichen Schlüssel des Empfängers (bzw. einer von ihm abgeleiteten Identität) ver¬ schlüsselt. Danach signiert der Anbieter den verschlüsselten Inhalt. In FIG 8 ist die Lizenz hingegen außen am Siegel an¬ gebracht gezeichnet, was deutlich machen soll, dass sein In¬ halt entgegen dem der Rohdaten im späteren Ablauf keine ge- heimen Informationen enthält. Über die gemeinsame Verschlüs¬ selung stellt der Anbieter lediglich sicher, dass eine feste Verknüpfung zwischen Inhalt und Lizenz gewährleistet ist, die auch innerhalb des E—Depots bzw. bei späterer Weiterleitung beibehalten wird.
Nachdem das E—Depot ein so verpacktes Datenpaket bekommen hat, prüft es zunächst die Kommunikationsattribute der betreffenden sekundären Identität und wird das Paket dann mit Hilfe des geheimen Schlüssels der genutzten Identität ent- schlüsseln. Zuvor kann das E-Depot natürlich auch die Echt¬ heit des Absenders und die Unversehrtheit der betreffenden Daten überprüfen.
Sowohl der Inhalt, als auch die Lizenz werden daraufhin vom E-Depot mit einem eigenen geheimen Speicherschlüssel neu ver¬ schlüsselt und gespeichert. Der Inhaber des E-Depots kann sich jederzeit ein Verzeichnis mit den im E—Depot gespeicher- ten Daten anzeigen lassen. An Stelle der eigentlichen Inhalte kann er auf die Lizenz zugreifen und diese lesen.
Die Lizenz
Die Lizenz enthält eine Zusammenstellung von Attributen, die vom E—Depot interpretiert werden können und die damit den weiteren Umgang mit dem damit verknüpften Inhalt steuern kann. Sie enthält z.B. Angaben darüber, ob die Nutzung des Inhaltes an ganz bestimmte Plattformen gebunden ist, ob die Anzahl an Plattformen limitiert ist, ob der Inhalt an ein an- deres E-Depot weitergegeben werden darf oder welchen Certi— fied Authorities (CA) der Anbieter selbst vertraut.
Mit anderen Worten enthält die Lizenz eine Reihe von Anwei¬ sungen und Attributen, die einem Programmcode vergleichbar, die weiteren Methoden des E-Depots in Bezug auf einen Inhalt steuern.
Folgende Zusammenstellung enthält eine Liste an möglichen Attributen:
•Name des Urhebers oder Anbieters
•Datum der Erstellung
• Datum der Gültigkeit
•Dauer einer Probe »Altersgrenze des Nutzers
•Liste zulässiger Plattformtypen •Anzahl an möglichen Plattformen
•Liste akzeptierter CAs •Anzahl möglicher Abrufe • Inhalt kopierbar ja/nein
• Inhalt migrierbar ja/nein
• Signatur des Anbieters
Möchte der Inhaber des E-Depots auf einen Inhalt zugreifen, richtet sich das E-Depot nach der Lizenz, die durch niemanden verändert werden kann und es kopiert den Inhalt auf eine oder mehrere Plattformen des Inhabers, sofern diese von der Lizenz als vertrauenswürdig eingestuft werden. Widerspricht ein Att¬ ribut einem Auftrag des Inhabers, ist er z.B. noch zu jung für einen bestimmten Inhalt, so kann das durch das E-Depot berücksichtigt werden und der Auftrag wird nicht durchge¬ führt. Möchte ein Anbieter einen Inhalt nur zur Probe anbie- ten, so kann auch das in der Lizenz vermerkt werden. Dann stellt das E-Depot den Inhalt nur für eine ganz bestimmte Dauer bereit (z.B. nur die ersten 10 min. eines Filmes), be¬ vor die widergabe durch das E-Depot automatisch unterbrochen wird.
Einen Sonderfall stellt das Sichern bzw. das Weitergeben (Migrieren) von Inhalten dar. Auch dieser Fall, der heute auch von der TCG noch nicht zufrieden stellend gelöst ist, kann mit Hilfe der Lizenz gesteuert werden: Zur Sicherung von Daten, die sich auf dem E-Depot befinden, kann der Anwender sich eine eigene Plattform anschaffen, die als vertrauenswür¬ diges Speichermedium fungiert, sie anmelden und alle Daten dorthin transferieren. Da er weiterhin keinen Zugang auf die Plattform haben wird, sollte diese Möglichkeit in keiner Li- zenz ausgeschlossen sein. Möchte ein Anwender einen bestimm¬ ten Inhalt weitergeben bzw. weiterverkaufen, so ist auch die¬ ses möglich, falls die Lizenz dieses zulässt. Da des E-Depot selbst eine vertrauenswürdige Plattform ist, kann es selbst bei einem anderen E-Depot angemeldet werden. Als Grundlage hierfür dient eine Log-Datei, die vom E—Depot mit jedem neuen Inhalt angelegt und dann weiter gepflegt wird.
Das Log
Mit der Aufnahme eines neuen Inhaltes in das Ξ-Depot wird durch das E—Depot gleichzeitig ein neues Log generiert, das - und das ist ein besonderer Aspekt — zu Treuhandzwecken beim Operator hinterlegt wird. In diesem Log werden (ähnlich einem Kontoauszug) alle relevanten Operationen, die vom E-Depot mit einem Inhalt durchgeführt werden, mit einem Zeitstempel ver-
sehen aufgezeichnet. Hierbei bietet es sich an, die -Bezüge auf einzelne Inhalte innerhalb des Logs zu verschlüsseln, da der Operator keine relevanten Informationen daraus entnehmen soll.
Aus dem Log kann das E-Depot z.B. ermitteln, auf welchen Plattformen ein bestimmter Inhalt bereits transferiert wurde. Vor einer Migration des Inhaltes könnte der Inhalt somit durch das E-Depot „zurückgerufen" und anschließend freigege- ben werden. Um möglichen Manipulationen durch den Inhaber vorzubeugen, darf er selbst nur Leserechte auf das Log haben. Gesetzt den Fall, das E-Depot würde zerstört, könnten alle darin gespeicherten Informationen mit einer Kombination aus einer Datensicherung des E-Depots und dem beim Operator hin- terlegten Log zurückgeholt werden.
Der Eintrag
Jeder Inhalt wird innerhalb des E-Depots durch folgende vier Komponenten dargestellt, die zusammen als ein „Eintrag" be- zeichnet werden. Hierzu zählen: Der verschlüsselte Inhalt, die Lizenz, das Log und ein Verweis (Link) auf einen Speiche¬ rort. Wie anschließend noch erläutert wird, ist die Ablage des Inhaltes nicht lokal an das E-Depot selbst gebunden, son¬ dern es reicht aus, wenn das Ξ-Depot anhand des Links einen Zugriff auf den Datensatz innerhalb des Netzes ausführen kann.
Der interne Aufbau des E-Depots :•...
Das E-Depot wird im folgenden Teil mit der Abkürzung TMD für „Trusted Mediation Device" abgekürzt. Es besteht aus folgen¬ den Einzelkomponenten:
> Ein „Trusted Platform Module" (TPM) das die notwendigen kryptografischen Grundfunktionen bereitstellt. Es ent- spricht den heutigen Vorstellungen der TCG und bildet die Grundlage dafür, dass das TMD als vertrauenswürdige Platt¬ form angesehen werden kann.
)> Einem so genannten „Trusted Encryption Module" (TEM) , das eine vertrauenswürdige Entschlüsselung und erneute Ver¬ schlüsselung eines digitalen Inhaltes realisiert. Die ent— scheidende Besonderheit hierbei ist, dass die eigentlichen Inhalte das TEM nie verlassen, sondern lediglich die bei der Verschlüsselung genutzten Schlüssel ausgetauscht wer¬ den.
> Ein „Storage Root Key" (SKK) , der bei Übernahme des E-
Depots durch den Inhaber generiert wird und zur Verschlüs¬ selung aller vom E-Depot verwalteten Daten benutzt wird. Dieser Schlüssel ist nur innerhalb des TMD vorhanden und nach außen für niemanden sichtbar.
>■ Ein „Signature Key" (SIG) bzw. der geheime Schlüssel einer CA (dem Hersteller?), mit dem die sekundären Identitäten zertifiziert werden.
> Einen „Trusted E-Depot Controller" (TMC) , der alle aktiven Prozesse des TMD, wie z.B. die lizenzgerechte Behandlung von digitalen Inhalten, steuert.
> Ein „Trusted E-Depot Operating System" (TMOS) , das alle notwendigen Betriebsabläufe des TMD beinhaltet.
> Eine Echtzeituhr (RTC) , die vom Operator initialisiert wird.
>■ Ein RAM—Speicher, in dem temporäre Daten gespeichert wer¬ den können.
>- Ein FLASH-Speicher, in den die persönlichen Daten zur I— dentifikation des Inhabers und wichtige Schlüssel dauer- haft gespeichert werden.
^- Eine Kommunikationsschnittstelle (CI) , über die externe Identitäten (Inhaber, Operator oder Kommunikationspartner) mit dem E—Depot in Kontakt treten.
^- Ein (oder mehrere verteilte) Speichermedium (—medien) (SM; z.B. Festplatte) zur Ablage von Inhalten.
Zur Sicherstellung der Vertrauenswürdigkeit des TMD sollten sein interner Aufbau, seine Funktionsweise und damit auch sein Betriebssystem (TMOS) öffentlich bekannt gemacht werden.
Die Eröffnung eines E-Depots (siehe Figur 9)
Zur Eröffnung eines TMD wendet sich der Anwender an einen O— perator seiner Wahl und identifiziert sich hier mit seinem Ausweis entsprechend einer Kontoeröffnung bei einer Bank. Hierbei übergibt er dem Operator einen öffentlichen Schlüs¬ sel, der seine Identität repräsentiert. Der Operator program¬ miert diesen öffentlichen Schlüssel und ggf. zusätzliche per- sonen—spezifischen Daten, wie z.B. Name und Geburtsdatum, in den FLASH des TMD und informiert den zukünftigen Inhaber über die erfolgreiche Eröffnung, indem er ihm einen aktuell gülti¬ gen öffentlichen Schlüssel des TMD übergibt.
Ab jetzt ist der Inhaber in der Lage, eine gesicherte Kommu¬ nikationsverbindung zu „seinem" TMD aufzubauen. Er wird zu¬ nächst das TMD komplett zurücksetzen.
Ein Reset des TMD bewirkt folgende Operationen: '
P- Das TMD setzt sich in den Ursprungszustand, d.h. es löscht alle Informationen bis auf die im Festspeicher gespeicher¬ ten Daten des Inhabers, :
>■ es generiert ein neues asymmetrisches Schlüsselpaar, das zur Kommunikation mit dem Inhaber genutzt wird und sendet den öffentlichen Teil an den Inhaber und
> es generiert einen neuen SRK, der als Wurzelschlüssel für alle von nun an gespeicherten Informationen dienen wird.
Von jetzt an kann der Inhaber frei über das TMD verfügen. So¬ wohl der Inhaber als auch das TMD besitzen von nun an eine geheime Kommunikationsbeziehung, auf dessen Grundlage die weitere sichere Nutzung des TMD erfolgen kann.
Die Rolle des Inhabers
Nach erfolgreicher Initialisierung des TMD kann der Inhaber weitere Konfigurationsschritte vornehmen. Wesentliche Be¬ standteile der Konfiguration beinhalten die Anmeldung von Plattformen und die Erzeugung von sekundären Identitäten.
Mit der Anmeldung von neuen Plattformen macht der Inhaber ein spezielles Endgerät über dessen öffentlichen Schlüssel beim TMD bekannt. Unter der Voraussetzung, dass die Plattform mit einem für das TMD vertrauenswürdigen Schlüssel ausgestattet ist, nimmt es zu der Plattform Kontakt auf und bringt hier- über alle notwendigen technischen Eigenschaften der Plattform in Erfahrung. UJ
Bei der Erzeugung von sekundären Identitäten beauftrag der Inhaber das TMD ein neues „Identitätsobjekt" zu erzeugen. Hierzu gehört ein neues asymmetrisches Schlüsselpaar, dass für die Kommunikationsbeziehungen dieser Identität verwandt wird, und eine neue Netzadresse, die vom Operator zur Verfü¬ gung gestellt wird. Darüber hinaus kann eine sekundäre Iden¬ tität auch Eigenschaften des Inhabers, wie z.B. dessen Alter, erben, falls dieses für die Transaktionen eine Rolle spielen sollte.
Sind alle Plattformen und Identitäten eingerichtet, so kann der Inhaber das TMD auf vielfältige weise nutzen. Er kann dort Daten einlagern bzw. abrufen, er kann auf Daten, die an¬ dere Kommunikationspartner bereitgestellt haben zugreifen o- 5 der für diese selbst auch Daten zur Verfügung stellen. Im
„normalen" Betriebsfall erscheinen die innerhalb des TMD lie¬ genden Informationen lediglich als weiteres Dateisystem in¬ nerhalb einer Plattform des Inhabers.
10 Die Rolle des Operators
Der Operator stellt das TMD bereit und bindet es in sein Kom¬ munikationsnetz ein. Je nach Anwendungsfall kann er dem TMD bestimmte Eigenschaften, wie z.B. die maximale Anzahl an
15 Plattformen oder Identitäten, die es unterstützen soll, zu¬ weisen. Mit der Eröffnung des TMD übergibt er die Kontrolle an seinen Inhaber. Von nun an stellt er dessen Betrieb inner¬ halb des Netzes sicher und weist dem TMD auf Anfrage neue Netzadressen zu, falls dieses eine neue Identität erzeugen
20 möchte.
Eine weitere wichtige Funktion des Operators ist die treuhän¬ derische Pflege des Logs. In ihm werden alle Operationen des TMD chronologisch erfasst. Anhand dieser Dateien kann das E-
25 Depot alle bisher erfolgten Operationen nachvollziehen, was abhängig von den Lizenzen wichtig für zukünftige Operationen sein kann. Mit Hilfe des Logs lässt sich z.B. auch der Inhalt "'■ eines E-Depots jederzeit aus einer zuvor erfolgten Datensi¬ cherung wiederherstellen, ohne dass der Inhaber Manipulatio-
30 nen vornehmen kann.
Somit ist nur der Operator in der Lage, Inhaber und dessen Kommunikationsbeziehungen miteinander zu verknüpfen. Da die¬ ses ein sehr sensibler, für den Datenschutz relevanter Aspekt 35 ist (s. o.), müssen hierfür ähnlich dem „Bankgeheimnis" neue : Regeln definiert werden, die sicherstellen, dass derartige Informationen nicht missbraucht werden können bzw. nur in strafrechtlich relevanten Fällen ermittelt werden können.
Eine weitere wichtige Rolle, die dem Operator zugeordnet wer¬ den könnte, ist die der Wahrung von einer nationalen Gesetz¬ gebung. Das internet ist heute global verfügbar und Inhalte werden weltweit zur Verfügung gestellt. Hiermit einher geht heute eine gewisse Machtlosigkeit von nationalen Belangen in Hinblick auf die Einhaltung von nationalen Gesetzen. Bei¬ spiel: Gesetzt den Fall, dass ein Inhalt einer Altersbe¬ schränkung unterliegt, die von Land zu Land unterschiedlich sein kann, so könnte dieses in der Lizenz vermerkt sein. Der Operator hätte dann die Aufgabe, dem TMD die entsprechende Altersgrenze mitzuteilen.
Die Anwendungsfelder
Im Folgenden wird eine Reihe von möglichen Anwendungen aufge¬ führt, die durch das TMD unterstützt bzw. erst ermöglicht werden. Diese Liste ist sicherlich noch unvollständig, zeigt jedoch bereits jetzt, wie vielfältig das TMD eingesetzt wer¬ den kann:
1. Einschränkung von Kommunikation auf den Bekanntenkreis: Dadurch, dass der Inhaber des TMD mit Hilfe von sekundären Identitäten kommuniziert, kann er diese seinen Kommunikati¬ onspartnern zur Verfügung stellen. Diesen Identitäten können Eigenschaften zugeordnet werden, die Art und Umfang der Kom¬ munikation definieren. Sollte ein Kommunikationspartner eine Identität missbrauchen und z.B. zu Werbe- oder SPAM-Zwecken verwenden, so kann der Inhaber diese Identität einfach lö¬ schen und damit den Zugang zu seinem TMD sperren.
2. Datensicherung von sensiblen Daten:
Der Inhaber des TMD kann jederzeit Datensicherungen seiner lokalen Daten anfertigen und diese auf dem TMD sicher abspei- ehern. Allein die räumliche Trennung zwischen zwei Aufbewah¬ rungsorten hilft z.B. im Falle einer Haverie an einem Ort, die Daten an dem anderen wieder herzustellen („Geld, das auf der Bank liegt, kann zu Hause nicht abhanden kommen.").
3. Ortsunabhängiger Zugriff: Ohne, dass Inhalte auf einer bestimmten Plattform vorgehalten
werden müssen, kann der Inhaber ortsungebunden über sein TMD auf die für ihn wichtige Daten zugreifen.
4. Konsum auf Probe:
Der Anbieter eines Inhaltes kann über die damit verbundene Lizenz erreichen, dass der Inhalt zu vorher vorgegebenen Be¬ dingungen „zur Probe" konsumiert werden kann. Mögliche Bedin¬ gungen hierfür können z.B. die Dauer oder die Anzahl der Nut¬ zung(en) sein. In diesem Fall überträgt das TMD den betref¬ fenden Inhalt nicht als Ganzes sondern es überträgt nur einen Teil des Inhaltes zu der betreffenden Plattform.
5. Kontrollierte Weitergabe von Inhalten:
Der Inhaber eines TDM kann unabhängig von der Plattform frei über die Nutzung von Inhalten verfügen, soweit dieses Be¬ standteil der Lizenz ist. D.h. er kann einen einmal erworbe- nen Inhalt auf mehreren Plattformen konsumieren, ihn aber auch weiterverschenken bzw. verkaufen. Hierfür stellt das TMD sicher, dass der Inhalt zuvor auf allen betreffenden Platt¬ formen des Inhabers gelöscht wurde, bevor es den Inhalt zur Weiterleitung an ein anderes TMD frei gibt. Durch die feste Verbindung zwischen Inhalt und Lizenz kann der Urheber sicher sein, dass der Inhalt nicht unzulässig vervielfältigt wird.
6. Externer Zugriff auf bestimmte Inhalte:
Als Bestandteil einer sekundären Identität kann der Inhaber seinen Kommunikationspartnern unter anderem auch Zugriffs- rechte auf Inhalte einräumen die in seinem E-Depot liegen. In diesem Fall ist der Partner in der Lage, sich bei Bedarf ak¬ tuelle Inhalte von diesem E-Depot herunter zu laden.
7 . 24h-Service
Das TMD ist (entgegen der Computertechnik der meisten Anwen- der) 24 stunden am Tag online. Da es selbst über einen eige¬ nen Prozessor verfügt, ist auch denkbar, dass es für den An¬ wender rund um die Uhr gewisse Serviceleistungen erledigt. Denkbar ist, dass es auf bestimmte Ereignisse reagiert und automatisch eine Nachricht an eine Plattform (z.B. Handy) verschickt oder dass dieser Prozessor vom Anwender beauftragt wird, aktive Prozesse im Netz anzustoßen, wie z.B. die konti-
nuierliche Erfassung von Messwerten.
Neue Geschäftsmodelle
Entsprechend den oben genannten Anwendungsfeidern lassen sich mit Hilfe des E-Depots neue Geschäftsmodelle erschließen, die insbesondere auch für den Operator interessant sein sollten. Dieser nimmt als Betreiber des E—Depots eine „•Mittlerfunkti¬ on'" zwischen den Kommunikationspartnern im Netz wahr, indem er eine neutrale Position einnimmt und im Falle von evtl. auftretenden Streitigkeiten als „Treuhänder" des Logs objek¬ tive Informationen zur Verfügung stellen kann.
Die folgenden Geschäftsmodelle sind zum Beispiel denkbar:
1. Die Vermietung des E—Depots durch den Operator an den An- wender. Unterschiedliche Tarife könnten nach Speicher¬ platzgröße und/oder Anzahl der möglichen Plattformen und/oder Identitäten gewählt werden. Zusätzliche Tarife könnten für Zugriffen „von unterwegs" definiert werden.
2. Befristete „Ausleihe" digitaler Inhalte (Anwendungen, Mu¬ sik, Film...) durch den Anbieter an den Anwender bzw. „Konsum auf Probe".
3. Befristete Probe von Plattformen durch den Anwender (Pro- bebetrieb zu Werbezwecken...).
4. Anbieter könnten zu Werbezwecken an Stelle des Anwenders für letzteren zusätzliche Ressourcen (z.B. Speicher) beim Operator anmieten um ihre Inhalte bei ihren Kunden zu pu— sehen.
5. Anwender könnten selbst Inhalte legal weiterverkaufen, wenn sie diese nicht mehr nutzen möchten.
6. Der elektronische Handel könnte allgemein erleichtert wer¬ den. Geschäfte über das E-Depot könnten zukünftig nach dem „Thekenprinzip" erfolgen: Der Anwender äußert eine Anfrage an den Anbieter, dieser Antwortet mit einem Angebot (Li-
zenz) und legt das Produkt auf die „Verkaufstheke" (d.h. zur Probe in das E-Depot) . Der Anwender testet Angebot und Leistung und entscheidet sich. Der gesamte Prozess wird chronologisch in dem Log erfasst und könnte im Streitfall von einer unabhängigen Stelle (d.h. einen Beobachter) durch den Operator bezeugt werden.
7. Noch darüber hinausgehend ist die Idee, dem Operator ent¬ weder direkten Zugriff auf das eigene Bankkonto einzuräu- men und damit bei der Auslösung einer Bestellung über ei¬ nen „vertrauenswürdigen Dritten" eine automatische Bezah¬ lung zu veranlassen oder gleich beim Operator eine gewisse Summe zu hinterlegen, die dann für Transaktionen genutzt werden kann. Besonders interessant ist der letzte Fall, da sich hier Funktionen des E—Depots und des Bankkontos mit¬ einander vermischen.
Nachfolgend werden nochmals die Besonderheiten des E—Depots anhand eines Anwendungsscenarios beispielhaft verdeutlicht:
Ein Nutzer bestellt bei einem Anbieter einen Film über das Internet. Im klassischen Fall gemäß Stand der Technik bezahlt der Nutzer mit seiner Kreditkarte, übergibt hierfür seine Kreditkartennummer und registriert seine Plattform (Endgerät oder Smartcard) beim Anbieter. Der Anbieter (oder einer sei¬ ner Stellvertreter) verschlüsselt den Inhalt plattformspezi¬ fisch (mit dem öffentlichen Schlüssel der Plattform) und ü— hergibt den verschlüsselten Inhalt zusammen mit einer Lizenz- datei*' (rights object) an den Nutzer. Der Zugriff des "Nutzers auf den Inhalt ist fest an seinen „Besitz einer registrierten Plattform" geknüpft. Möchte der Nutzer den Inhalt auf eine andere Plattform portieren, so muss er diese zunächst beim Anbieter neu registrieren und den Inhalt danach neu ver¬ schlüsseln lassen.
Beim erfindungsgemäßen Verfahren bestellt der Nutzer beim An¬ bieter einen Film über das Internet, indem er eine Pseudo- identität nutzt, die er zuvor selbst im Ξ-Depot erzeugt hat. Der Nutzer nimmt hierzu mit dem E—Depot des Anbieters Kontakt auf und übergibt diesem notwendige Daten, wie Kreditkarten-
nummer und Identifikationsdaten der Pseudoidentität (öffent¬ licher Schlüssel) . Wichtig ist, dass diese Daten durch den Nutzer selbst mit einer Lizenz versehen werden können, mit der er z.B. steuern kann, dass seine Kreditkartennummer vom E-Depot des Anbieters lediglich für eine Kontoabbuchung ge¬ nutzt werden (als Lizenz gesteuerte vertrauenswürdige Opera¬ tion) und nicht an den Anbieter selbst weitergegeben werden! Der Anbieter selbst kann sich anhand der übergebenen Daten von der Vertrauenswürdigkeit des Nutzers (bzw. dessen E- Depots) überzeugen und den Film erst nach einer erfolgreichen Bezahlung, die durch sein eigenes E-Depot vorgenommen und bestätigt wird, mit dem öffentlichen Schlüssel verschlüsseln und herausgeben. D.h. der Anbieter wird lediglich über das Ergebnis einer Operation informiert und nicht über die von der Operation genutzten Daten (Kredikartennummer) des Nut¬ zers.
Mit dem Transfer des Inhaltes an die Pseudoidentität wird dieser automatisch im E—Depot des Nutzers abgelegt, von nun an entscheidet der Nutzer selbst (im Rahmen der Lizenz des Anbieters) auf welchen Plattformen er den Inhalt konsumiert, bzw. er ist sogar in der Lage, den Inhalt an das E-Depot ei¬ nes Freundes weiterzuleiten, indem sein E-Depot alle damit verbunden Rechte ebenfalls in das E-Depots des Freundes ko- piert. Der Anbieter wird hierfür nicht mehr benötigt, kann aber dennoch versichert sein, dass seine Inhalte nicht miss- bräuchlich (d.h. entgegen seiner Lizenz) verwendet werden.
Die Realisierung Wie bereits des Öfteren angemerkt, stellt das E—Depot selbst eine vertrauenswürdige Plattform dar, die selbst ein TPM be¬ sitzt und über eine CA (z.B. durch den Hersteller) zertifi- ziert ist. Diese Voraussetzung ist ein wichtiger Bestandteil dieses Konzeptes. Die folgende „Chain of Trust" macht diesen Zusammenhang deutlich: a) Die TCG definiert allgemeine Mechanismen zur Realisierung von vertrauenswürdigen Plattformen. Betroffene Plattformen werden durch eine CA zertifiziert, damit der Nutzer davon
ausgehen kann, dass sie gemäß ihrer Bestimmung funktio¬ niert.
b) Das TMD kann selbst als eine solche Plattform realisiert werden, deren Funktionalität klar definiert ist. Die CA bestätigt dieses mit einem Zertifikat und die Nutzer (d.h. Inhaber und Kommunikationspartner) können darauf vertrau¬ en.
c) Die Erzeugung von sekundären Identitäten stellt eine ent¬ scheidende Funktionalität des TMD dar. Vorausgesetzt das (b) gilt, kann jede sekundäre Identität aber auch stell¬ vertretend für die CA durch das TMD zertifiziert werden. Hierzu müsste das TMD einen geheimen Schlüssel der CA (z.B. des Herstellers) enthalten, der für diesen Fall be¬ nutzt werden kann. Dieses jedoch sollte kein Problem sein, da der Hersteller der seiner Plattform trauen sollte, was er durch diese Maßnahme nur noch einmal unterstreicht.
Der dargestellte Zusammenhang löst ein datenschutzrechtliches Problem auf sehr elegante Weise, da der Inhaber des TMD nicht für jede sekundäre Identität eine neue Anfrage bei der CA vornehmen muss.
Unter den genannten Voraussetzungen ist das TMD selbst rela¬ tiv klein. Es könnte sich z.B. um einen integrierten Schalt¬ kreis handeln, der ähnlich dem TPM alle sicherheitsrelevanten «(Funktionalitäten des TMD beinhaltet. Zusätzlich müsste das TMD noch Zugriff auf mindestens einen Speicher haben (z.B. Festplatte) , auf dem die Inhalte abgelegt werden. Da die Da¬ ten auf dem Speichermedium verschlüsselt abgelegt werden, ist dessen Lage im System „unkritisch" und eine Festplatte könn¬ te sogar zwischen mehreren TMD aufgeteilt werden. Darüber hinaus ist denkbar, das zugehörige Speichermedium nicht auf eine Lokation allein zu beschränken, sondern es auf mehrere Orte aufzuteilen. Einige Inhalte könnten an verteilten stel¬ len im Netz abgelegt werden, andere könnten selbst beim An¬ wender sicher abgelegt werden. In einem solchen Szenario wür¬ de es dem TMD obliegen, eine Liste mit Verweisen (Links) zu
verwalten, in der die Adressen der betreffenden Speicherbe¬ reiche aufgeführt sind.
Diese Anordnung bestehend aus TMD und Speichermedium (bzw. - 5 medien) könnte natürlich an jedem Punkt innerhalb eines Kom¬ munikations—Netzes platziert werden, wenn nur ausreichende Transportwege zu den Nutzern vorgesehen werden. Als vorteil¬ haft bietet sich jedoch an, diese Anordnung möglichst dicht an den Inhaber heran zu platzieren, da er sein TMD quasi als
10 Erweiterung seiner lokal vorhandenen Informationstechnik nut¬ zen möchte. Größte Akzeptanz der Einrichtung würde erreicht, wenn der Inhaber hierfür zwar eine monatliche Miete zahlen müsste, Zugriffe auf das TMD dafür jedoch kostenlos erfolgen können. Dieses Ziel lässt sich am ehesten verwirklichen, wenn
15 das TMD zukünftig als Bestandteil eines Access-Netzes defi¬ niert würde.
FIG 10 zeigt ein Beispiel für eine derartige Realisierung in¬ nerhalb eines Ethernet basierten DSLAMs. Neben den obligato- 20 rischen, heute bereits bekannten Strukturen bestehend aus xDSL-Baugruppen, an denen die Teilnehmerleitungen angeschlos¬ sen werden und zentralen Komponenten, die den Verkehr zwi— sehen mehreren Zugangsbaugruppen bündeln, könnte zukünftig eine weitere Komponente installiert werden, die mehrere TMD
25 Module sowie evtl. das dazugehörigen Speichermedium enthalten könnte. Der Anwender könnte dann leicht eine direkte, unge¬ schützte Verbindung ins Netz aufnehmen (Pfad 1) , oder auf ,.., sein TMD zugreifen (Pfad 2) . Hier könnte er entweder direkt auf dessen Inhalte zugreifen oder mittels einer sekundären
30 Identität eine geschützte Verbindung ins Netz aufbauen. Dar¬ über hinaus ist beispielsweise auch die Implementierung des TMD Moduls innerhalb eines Netzabschlussgerätes (z.B. xDSL- Modem) denkbar, das lokal beim Anwender installiert wird aber dennoch zum Hoheitsbereich des Netzbetreibers gezählt werden
35 kann.
Die PC-Anwendung
Zur Steuerung des E-Depots benötigt der Inhaber eine neue PC- Anwendung, die alle Funktionen des TMD anwenderfreundlich un-
terstützt. Hierbei kann man sich eine Anwendung vorstellen, die wesentliche Teile folgender Funktionen miteinander kombi¬ niert:
»Anlage und Verwaltung von sekundären Identitäten •Anlage und Verwaltung von Plattformen
•Mail-Programm (entspr. Outlook), in dem der Anwender selbst über mehr als eine Identität mit der Außenwelt in Kontakt tritt. D.h. alle Mails werden den entsprechenden Identitä- ten zugeordnet. Mails unbekannter Identitäten werden entwe¬ der gleich verworfen oder in eine separate Rubrik gelegt. •Dateiverwaltung (entspr. Explorer) mit der Neuerung, dass diese sich auf die Eigenschaften der vom Anwender benutzten Plattform einstellt bzw. dass die Dateiverwaltung auch die aktuell vom Anwender genutzten sekundären Identitäten sei¬ ner Kommunikation berücksichtigt. • Identitätsspezifischer Internet Browser •Mechanismen zur Konfiguration des TMC (24h Dienste)
Zusammengefasst kann man festhalten, dass der Anwender mit dieser neuen PC-Anwendung eine bestimmte Rolle einnimmt, die sich aus der genutzten Plattform und der aktuellen sekundären Identität des Anwenders definiert.
Die Erfindung betrifft zusammengefasst die Vorstellung einer neuen technischen Einrichtung mit der Bezeichnung „E-Depot", die innerhalb der 'Infrastruktur eines Kommunikationsnetzes zum Einsatz kommen soll und dort eine vertrauenswürdige Mitt¬ lerfunktion zwischen den Interessen von Kommunikationspart— nern realisiert. Das E-Depot ist eine vertrauenswürdige
Plattform, die zur sicheren Aufbewahrung von digitalen Inhal¬ ten (Dokumenten, Anwendungen, Medien usw.) benutzt wird. Sie stellt vertrauenswürdige Operationen bereit, die sicherstel¬ len, dass diese Inhalte, zwischen den Kommunikationspartnern ausgetauscht werden können, ohne dass diese selbst einen di¬ rekten Zugriff auf die Inhalte erlangen können. Hierzu wird jeder Inhalt vom Urheber mit einer Lizenz versehen, die alle weiteren Operationen des E-Depots bzgl. dieses Inhaltes steu-
ern kann. Eine wichtige Operation hierbei ist eine vertrau¬ enswürdige, kombinierte Ent— und Verschlüsselung eines Inhal¬ tes, bei der der Inhalt selbst unangetastet bleibt. Darüber hinaus bietet das E-Depot Operationen, die die PrivatSphäre des Inhabers in das Kommunikationsnetz hin ausweiten und da¬ durch datenschutzrechtliche Vorbehalte in Bezug auf die Nut¬ zung von anwenderbezogenen, digitalen Inhalte löst.
AbkürzungsVerzeichnis
AIK Attestation Identity Key (inside TPM)
CA Certified Authority CI Communication Interface
DCM Digital Contents Management
DRM Digital Rights Management
DSLAM (x)DSL Access Multiplexer
EK Endorsement Key (inside TPM) IT Informationstechnik
LAN Local Area Network
PC Personal Computer
PIN Personal Identification Number
RTC Real Time Clock SAN Storage Area Network
SIG Signature Key
SRK Storage Root Key
TCG Trusted Computing Group
TCPA Trusted Computing Platform Alliance TEM Trusted Encryption Module
TPM Trusted Platform Module
TMC Trusted E-Depot Controller
TMD Trusted E-Depot Device (= E-Depot)
TMOS Trusted E-Depot Operating System VE Verification Entity
WAN Wide'Αrea Network IJ%