Erich fragt: Was muss ein sicheres Schreibgerät können?

Der Paranoiker in mir fragt sich bei Werbegeschenken zuerst, was das Ding wohl wirklich tut, während es auf dem Schreibtisch herumliegt oder -steht. Gleich danach kommt die Neugier. Taugt es was und was kann ich damit anstellen?

Heute gab’s eine Ladung Stifte, die der Hersteller als außerordentlich fälschungssicher anpreist. Ein Fall fürs Testlabor? Ist zwar keine IT und damit außerhalb unserer <BWL>Kernkompetenz</BWL>, aber die grundlegende Fragen sind dieselben:

  • Welche Sicherheitsanforderungen muss ein Schreibgerät unter welchen Randbedingungen erfüllen, damit es als fälschungssicher gelten darf?
  • Welche Sicherheitseigenschaften muss er dazu haben?
  • Welche Eigenschaften darf er nicht haben?
  • Welche Anforderungen an ein Gesamtsystem kann der Stift schon prinzipbedingt überhaupt nicht selbst abdecken?
  • Wie hängt die Sicherheit von der Einsatzumgebung ab?

Je länger ich darüber nachdenke, desto absurder erscheint mir die Idee eines fälschungssicheren Stiftes, aber erst mal sind meine Leser dran. Was heißt Fälschungssicherheit und was muss ein fälschungssicherer Stift können?

Advertisements

About Sven Türpe

Sven Türpe is a computer scientist. His current research focus is on security engineering methods, techniques, and tools. All opinions expressed in this blog are his own.

11 thoughts on “Erich fragt: Was muss ein sicheres Schreibgerät können?

  1. Moin Meister,

    stell doch mal ein Foto des fälschungssicheren Stifts ein, dann kann ich mir ein Bild machen. Das bisschen Produktwerbung hält das Blog aus.

    Oliver

  2. Gemäß dem Motto, dass es keine schlechten Fragen gibt…

    ad a) Hier muss tatsächlich erst einmal geklärt werden was konkret nicht gefälscht werden soll. Das Wort Fälschung beschreibt, so soll es hier jetzt verwendet werden, einen Angriff auf die Authentizität eines (abstrakten, realen, digitalen) Objektes, beziehungsweise die Schaffung einer falschen Authentizität. Aus der Frage (und der Anpreisung) geht geht hervor, daß es nicht möglich sein soll den Stift zu fälschen. Ich halte das tatsächlich für einen, durch Ungenauigkeit erzeugten, Anschein. Genauer ist vermutlich gemeint, dass der Stift ein Werkzeug für Fälschungssicherheit ist, präzise wohl Unterschriften.

    Damit wäre die Aussage “fälschungssicherer Stift” als “Stift mit dem Fälschungssichere Unterschriften geleistet werden können” interpretiert und wir können an die Beantwortung der Fragen gehen.

    ad b) Das Sicherheitsziel ist ein Stift der Unterschriften ermöglicht die nicht fälschbar sind. Präzise bedeutet dies, daß niemand eine Unterschrift fälschen kann die ich mit diesem Stift geleistet habe. Präzise bedeutet dies, daß der Stift es unmöglich macht, daß, auch mit Kenntnis der Unterschrift, eine zweite Unterschrift von einer weiteren Person (Authentizität nicht gegeben) erzeugt werden kann. Bei der zweiten Unterschrift ist es dabei unerheblich ob derselbe, dergleiche oder ein völlig anderer Stift verwendet wird. Sobald die Fälschung den Anschein der Authentizität erzeugt muss sie als gelungen gelten.

    ad c) Die “Use-Case White-List” ad b) sollte diese Frage weitestgehend beantwortet haben. (Auch ich spreche BWL.)

    ad d) Prinzipienbedingt kann der Stift nicht verhindern, dass Information über grafologische Eigenschaften der Unterschrift und die chemische Tintenzusammensetzung dem potentiellen Fälscher bekannt werden. Ebensowenig kann die Wahl der Werkzeuge des Fälschers allgemein eingeschränkt sein. Das physische Objekt der geleisteten Unterschrift, also das Schriftstück, müssen als dem Fälscher bekannt (in seinem Besitz befindlich) angenommen werden.

    Weiterhin beeinflusst der Stift nicht direkt die Gründlichkeit der Authentizitätsprüfung. Der Stift kann nicht sicherstellen, daß die Prüfungsstelle die geleistete Unterschrift in irgendeiner Weise als authentisch erkennen kann. Für die weitere Analyse muss also festgelegt werden in welcher Form die Prüfung der Unterschrift erfolgt. Liegen zum Beispiel Referenzunterschriften vor, besteht die Möglichkeit zur chemischen Analyse der Tinte oder des auf dem Papier hinterlassenen Handschweisses?

    ad e) Unter der unter ad d) gemachten Annahme, dass der Fälscher im Besitz einer geleisteten Unterschrift ist, kann die Einsatzumgebung nur noch zum Zeitpunkt der Unterschriftserstellung bestimmt werden. Es kann angenommen werden, daß der Fälscher dabei ergänzende Informationen die eine Fälschung erleichtern erlangen kann. Zur Vereinfachung kann hier allerdings zunächst angenommen werden, daß der Fälscher zur Erstellung der Unterschrift nicht anwesend ist. Für hochsichere Anwendungen muss allerdings davon ausgegangen werden, daß der Angreifer nicht nur lesenden, sondern bestimmenden Zugriff auf die komplette Umgebung zum Zeitpunkt der Unterschriftserstellung hat. Im Rahmen einer hochkritischen Anwendung muß davon ausgegangen werden, daß ausschließlich der Stift vom Unterschreibenden kontrolliert wird. (Unter der Annahme, daß, wer einen fälschungsischeren Stift verwendet, zumindest dieses Sicherheitswerkzeug vollständig kontrollieren will, sich selbst beschafft und gegebenenfalls auch die korrekte Funktionsweise des Stiftes (und seiner Sicherheitseigenschaften) kontrolliert hat.)

    Zusammenfassend muss sich eine Analyse der Sicherheitseigenschaften des Stiftes nicht nur auf den Stift selbst, sondern auf das mit dem Stift erzeugte Dokument erstrecken. Für eine erste Analyse sollte nur die Eigenschaft des Stiftes unkopierbare Unterschriften zu erzeugen betrachtet werden.

    Im nächsten Schritt muss allerdings sichergestellt werden, daß die Verwendung des Stiftes jegliche Fälschung der Unterschrift des Besitzers verhindert. Ein, nach obiger Analyse eher esoterisches Sicherheitsziel.

    1. Nun ja, wie so oft sind Marketingaussagen und belastbare Zusicherungen nicht dasselbe. Wenn ich die Werbung wegfiltere, dann verspricht der Hersteller laut Begleitschreiben lediglich überragende Dokumentenechtheit, Wasserfestigkeit und Lichtbeständigkeit der verwendeten Tinte. Sicherheit steht als Assoziation daneben.

      Jetzt steht hier viel Text darüber, was ein Stift nicht oder nicht alleine leistet. Mal umgekehrt betrachtet, was kann die Tinte alleine eigentlich sicherstellen? Zuallererst wohl, dass niemand eine Unterschrift von einem Dokument entfernen kann, ohne das Dokument erkennbar zu beschädigen. Was nur einen Sinn ergeben dürfte, wenn das Dokument in fremder Hand ist, den Täter belastet und das Entfernen spurlos erfolgt.

      Hätte ich einen Stift für Unterschriften zu entwerfen, würde ich ihn wohl so bauen, dass er neben Tinte auf jeden Fall auch mechanische Spuren auf dem Papier hinterlässt. In die Tinte könnte man dann Zusatzfeatures einbauen, die nützlich, aber nicht notwendig sind. Chemische Timer zum Beispiel, mit denen sich später der Zeitpunkt der Unterschrift eingrenzen lässt.

      Meine Paranoia aus der Einleitung kann ich inzwischen übrigens auch konkretisieren. Stifte wären ideale Träger für Kontakt- und andere Gifte. Dafür habe ich aber noch nicht genug angestellt.

      1. Die Anforderungen an die Tinte kann ich unterschreiben. Ich hatte mich ja auch nur etwas umständlich darüber amüsiert, dass ein Stift als “fälschungssicher” bezeichnet wird.

        Ich denke man kann Unterschriftensicherheit im Kern auf zwei Eigenschaften reduzieren die so eine Tinte (oder der Stift mit der Tinte) haben muss. Die Unterschrift darf nicht zu entfernen sein ohne Spuren zu hinterlassen und es muß möglichst unmöglich sein eine Unterschrift zu kopieren.

        Ich denke das Problem der spurlosen Entfernung kann man weitestgehend als lösbar betrachten. Eine Kombination aus Tinte und Papier die durch chemische oder mechanische Eigenschaften eine spurlose Entfernung bis zur Umöglichkeit erschwert könnte schon durch Kugelschreiber mit entsprechendem mechanischem Druck gegeben sein. Müsste man mal ausprobieren. (Huhu Testlabor *wink*)

        Das zweite Problem ist IMHO deutlich schwieriger. Eine Unterschrift ist per se durch den Angreifer eben lesbar. Welche auf Papier auftragbare Komponente kann gelesen aber nicht kopiert werden? Ich denke hier sind eher Lösungen ausserhalb des Papier-Stift-Tinte-Raumes gefragt. (unabhängige Dritte als Zeugen, mehrteilige Unterschriften wobei ein Teil nur von vertrauenswürdigen Dritten zugreifbar ist. Ein organisationstechnischer Albtraum)

      1. Offenbar nicht. Eigentlich nicht einmal für direkte Replies, wenn ich mal ehrlich bin. Bin zufällig wieder hier.

  3. Fälschungssichere Stifte (und Tinte) sind ein stehender Begriff.
    – Die Tinte darf sich nicht ohne Manipulationsspuren entfernen lassen.
    – Überschreiben/übermalen muß möglichst einfach nachweisbar sein.
    – der Stift soll bei Durchschreibpapier gut funktionieren.
    – es muß möglichst einfach nachweisbar sein, daß tatsächlich genau diese eine Tinte verwendet wurde.

    Das Protokoll:
    Für die Gültigkeit eines Vertrages wird die Verwendung dieses Stiftes mit dieser Tinte vorgeschrieben.
    Alle Kopien des Vertrages werden damit unterschrieben, die Kopien werden sofort unter die Vertragspartner aufgeteilt.

    Abgewehrte Angriffe:
    – Barkauf mit verschwindender Tinte auf dem Vertrag
    – Provokation langjähriger Gerichtsverfahren durch nachträgliche Veränderung von Unterschriften mit dem Ziel, ausstehende Zahlungen oder Rückzahlungen zu verweigern.

    1. Wenn schon paranoid, dann aber richtig: dieses Protokoll erfordert einen vertrauenswürdigen Dritten zur Auswahl der Tinte und Bereitstellung des Stiftes. Zu jenem Zeitpunkt, da die Vertragskopien verteilt werden, sollte ja jeder Partner in der Lage sein, die Gültigkeit des Vertrages eindeutig zu beurteilen. Da wäre es blöd, wenn jemand falsche Tinte in den Prozess eingebracht hätte. Man könnte dafür eine existierende Infrastruktur nutzen und zum Notar gehen. Wenn man sich aber einen professionellen Zeugen ins Boot holt, werden solche Spiele vielleicht formal wichtiger, tatsächlich aberr weniger bedeutsam. Verträge hat man, um Streitfälle besser vor Gericht klären zu können, und wer dem Richter mit Zaubertinte kommt, sollte ihm dazu eine gute Begründung liefern, warum er sich damit beschäftigen muss.

  4. Achja, und ursprünglich der häufigste Angriff: Manipulation von Schecks und Überweisungsformularen. In Deutschland nicht mehr so relevant.

Comments are closed.