Der Begriff "Steganographie" kommt aus dem Griechischen: steganos (bedeckt) und graphein (schreiben) Q1

1967 definierte ihn der Historiker David Kahn: Steganographie bezieht sich auf Verfahren zur Verheimlichung der Existenz einer geheimen Botschaft, die chiffriert sein kann. Botschaften werden so "verkleidet", dass sie wie ganz normale Sendungen aussehen. Die Steganographie verbirgt Informationen in größeren unverdächtigen Informationseinheiten.Q2

Man kann zwei Ziele unterscheiden:

Unsichtbarkeit
Eine Nachricht wird in einer anderen Nachricht versteckt.

Markieren
Eine Seriennummer wird in Dokumente hineincodiert, so dass illegale Kopien zurückverfolgt und Copyright-Verletzungen nachgewiesen werden können. Q5

Methoden:

Vor allem in Grafik- oder Sounddateien wird die versteckte Nachricht am wenigsten bemerkt. Duch Überschreiben einzelner Bits werden die geheimen Daten dann in den Dateien versteckt. Die niederwertigsten Bits haben den geringsten Einfluss auf die Darstellung des Bildes, und ihr Überschreiben führt nur zu minimalen Bildstörungen. Das Prinzip ist also das Ersetzen von unbedeutenden Daten durch geheime Informationen. Q4

Die Kombination aus Steganographie und Kryptographie scheint die sicherste zu sein. Eine Nachricht verschlüsseln und als Steganogramm tarnen gilt als nahezu unüberwindlich. Q3 In der Kryptographie sind die Daten zwar verschlüsselt, aber sie sind auch sichtbar und man erkennt sofort, dass es sich um wichtige Daten handelt. Mit Hilfe der Steganographie wird gar nicht deutlich, dass Daten ausgetauscht werden und auch die Tatsache, dass Daten verschlüsselt wurden bleibt verborgen.

Steganographische Produkte siehe Q5

Probleme:
Thorsten Dikmann versucht anhand eines Beispiels die Probleme der Steganographie aufzuzeigen: Nehmen wir an, Alice will Bob eine versteckte Nachricht über ihren nächsten Banküberfall senden. Der Angreifer, Eve hört aber ihren kompletten E- Mail Verkehr ab. Er findet ein Urlaubsbild und vermutet eine steganographische Nachricht im Bild. Die Chancen, dass Eve die Botschaft entschlüsseln kann liegen zwar gering, da er weder weiß welches Pixel den Anfang der Botschaft bildet und welche Pixel überhaupt verwendet wurden, oder welches Bit verändert wurde. Ein Problem entsteht jedoch dann, wenn der Angreifer das Trägermedium kennt und es vergleichen kann. Er sieht genau wo Informationen hineingeschrieben wurden, die er nun entschlüsseln kann. Er kann auch die verborgenen Botschaften zur Unkenntlichkeit verändern indem er weitere zufällige Werte einfügt. Steganographie ist deshalb als „funktionierendes echtes Modell des digitalen Wasserzeichens ungeeignet“. Q3

Quellen:
Q1 Steganographie. Über die Kunst des Versteckens
Q2 Universität Rostock. Institut für Informatik
Q3 Thorsten Dikmann, Steganographie (2004)
Q4 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Q5 Steganographie als Verschlüsselungstechnik. Sag’s durch die Blume

In Österreich gibt es seit dem Jahr 2000 das Signaturgesetz. Hier werden auch die Kriterien für die Zertifizierungsstellen definiert. DieTelekom-Kontroll-Kommission ist auch mit den Aufgaben der Aufsichtsstelle nach dem Signaturgesetz betraut. Q1

Das Zertifikat gilt als „Ausweis“ im Internet, damit die Signatur vom Empfänger nachgeprüft werden kann. Die Zertifizierungsanbieter stellen mögliche Zertifikate zur Auswahl.

Zertifizierungsstellen in Österreich:

1) A-Sign
Seit 2002 Zusammenschluss mit a-trust. (siehe unten)

User Zertifikate:
Für den elekronischen Datenaustausch via e-mail und für die Verbindung über Webbrowsern. (Client Authentifizierung)
Dabei gibt es Abstufungen, das Light Zertifikat, Medium Zertifikat sowie das Strong Zertifikat.

Server Zertifikate:
Diese authentifizieren den Web-Server, ermöglichen eine sichere Kommunikation mit Browsern via SSL und erlauben eine verschlüsselte Übertragung aller Daten zwischen Server und Browser

Developer Zertifikate:
Sie erlauben eine digitale Signatur der Codes, um die Authentizität der Entwickler zu gewährleisten

2) A-Cert

User Zertifikat:
Ermöglicht eine zertifizierte elektronische Signatur die vom Gesetzgeber als Beweismittel anerkannt wird. (jedoch nicht nach Signaturgesetz gültig).

Server Zertifikat:
Es gibt eine Garantie der Identität, die durch Firmenbuchauszug Servername und IP Adresse festgelegt wird.

3) Generali Office-Service und Consulting AG

Bietet Zertifizierungsangebote nur in Verbindung mit einer Versicherung (net.surance security).
Light-Zertifikat:
Es wird die Korrektheit der e-mail Adresse überprüft (hauptsächlich zum Test des Systems)

Medium-Zertifikat:
Identität wird persönlich per Lichtbildausweis überprüft, Erhalt eines Passwortes, Garantie der Daten, nur in Kombination mit Versicherung

Server-Zertifikat:
persönliche Überprüfung, bei Firmen Handlungsbevollmächtigung, Prüfung der Korrektheit der Domäne des Servers.

4)A-Trust

Ist hauptsächlich auf SmartCards spezialisiert, normale Zertifikate sind nur ein Nebenprodukt
Am 28.09.2002 schlossen sich a-sign und a-trust zusammen, um sowohl in Österreich als auch in Europa konkurrenzfähig zu sein.

Benutzerzertifikate:
Smartcard / Softwarezertifikat
für einfache oder sichere Signaturen inklusive Bürgerkartenfunktionalität.

Serverzertifikate und Developer Zertifikate: (siehe a-sign)

5)Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie Graz

Das Institut an der Universität Graz beschäftigt sich vor allem mit Forschung auf dem Gebiet der Zertifizierung.

Quellenangabe:
Q1 http://www.internet4jurists.at