Vertrauenswürdige Verteilung von Verschlüsselungsschlüsseln (VVV)

Teilvorhaben „Rechtsverträgliche Gestaltung und Anwendung“

Eine unberechtigte Einsichtnahme in den Inhalt von E-Mails lässt sich zuverlässig verhindern, wenn die Nachrichten durch Ende-zu-Ende-Verschlüsselung geschützt sind. Obgleich die Prinzipien der E-Mail-Verschlüsselung bereits lange bekannt sind, bedient sich, wegen der Komplexität der eingesetzten Verfahren, derzeit nur eine überschaubare Zahl an Nutzern kryptographischer Schlüssel, die für eine verschlüsselte Kommunikation, etwa mittels PGP oder S/MIME, notwendig sind. Beabsichtigen Kommunikationspartner verschlüsselt miteinander zu kommunizieren, sehen sie sich zudem mit dem Problem konfrontiert, benutzungsfreundlich und vertrauenswürdig überprüfen zu können, ob der jeweilige Verschlüsselungsschlüssel auch wirklich dem gewünschten Kommunikationspartner gehört.

Ziel des Forschungsprojektes „Vertrauenswürdige Verteilung von Verschlüsselungsschlüsseln“ (VVV) ist die Entwicklung eines Verfahrens zur Stärkung des Selbstdatenschutzes, mit dem jeder E-Mail-Nutzer einen vertrauenswürdigen und benutzungsfreundlichen Zugang zu den Zertifikaten seiner Kommunikationspartner erhält. Hierzu soll die sichere und nutzerfreundliche Verteilung kryptographischer Schlüssel durch die Betreiber des „Domain Name Systems“ (DNS) übernommen werden und auf der Grundlage von „DNS-based Authentication of Named Entities“ (DANE) und „DNS-Security“ (DNSSEC) aufbauen.

Das Teilvorhaben „Rechtsverträgliche Gestaltung und Anwendung“ wird das Projekt VVV aus rechtswissenschaftlicher Sicht bearbeiten und Vorschläge zur Gestaltung und Anwendung des Verfahrens zur Schlüsselverteilung erarbeiten, um Rechtssicherheit und Grundrechtsschutz für DNS-Betreiber, E-Mail-Anbieter und Nutzer zu gewährleisten. Überdies werden die Anforderungen staatlicher Sicherheitsbehörden bezüglich Gefahrenabwehr und Strafverfolgung Beachtung finden. Die Untersuchung wird ferner der Frage nachgehen, wie die Zusammenarbeit zwischen DNS-Services, Zertifizierungsstellen und Domain-Inhabern rechtlich implementiert werden sollte. Auch werden Vorschläge zur Ausgestaltung des Nutzerverhältnisses im Rahmen der Selbstregulierung gemacht, damit Nutzer die Schlüssel möglichst unkompliziert und ohne Rechtsrisiken nutzen können. Schließlich wird analysiert, welche sicherheitsrechtlichen Anforderungen für Erzeugung, Export und Import von Schlüsseln, die Authentifizierung und andere technische Maßnahmen bestehen.

Diese Ziele werden im Teilvorhaben erreicht, indem die rechtlichen Anforderungen der betroffenen Rechtsgebiete (Verfassungsrecht, Datenschutzrecht, Vertragsrecht, Haftungsrecht, Strafprozessrecht und Gefahrenabwehrrecht) auf deutscher und europäischer Ebene schon in der Entwicklung als Gestaltungsvorschläge eingebracht werden. Die Forschungsresultate sollen zudem Vorschläge zu förderlichen Gesetzesänderungen ermöglichen.

Das Projekt VVV wird vom Bundesministerium für Bildung und Forschung (BMBF) im Rahmen der Unterstützung von Forschungsinitiativen auf dem Gebiet des Selbstdatenschutzes gefördert.

Projektpartner

    Projektinfos

    Förderung:
    Bundesministerium für Bildung und Forschung (BMBF)

    Laufzeit:
    Januar 2016 - März 2018

    Projektverantwortlicher:
    Prof. Dr. Alexander Roßnagel

    Ansprechpartner:
    Stephan Blazy, LL.M.

    Projektverlauf

    • Veranstaltung Kick-Off Workshop in Darmstadt. (9.3.2016)
    • Veranstaltung Konsortialtreffen in Kiel. (23.9.2016)
    • Veranstaltung Konsortialtreffen in Berlin. (3.2.2017)
    • Veranstaltung Konsortialtreffen in Berlin. (12.5.2017)
    • Veröffentlichung Stephan Blazy/ Susan Gonscherowski/ Annika Selzer: Anforderungen des künftigen europäischen Datenschutzrechts an die vertrauenswürdige Verteilung von Verschlüsselungsschlüsseln, in: Maximilian Eibl, Martin Gaedke (Hrsg.): INFORMATIK 2017, Lecture Notes in Informatics (LNI), Gesellschaft für Informatik, Bonn 2017, 751-762. (9.2017)
    • Vortrag Stephan Blazy: Datenschutzrechtliche Problemstellungen der Ende-zu-Ende-Verschlüsselung – Anforderungen des künftigen europäischen Datenschutzrechts an die vertrauenswürdige Verteilung von Verschlüsselungsschlüsseln, 47. Jahrestagung der Gesellschaft für Informatik e.V. (GI), Chemnitz. (26.9.2017)
    • Veröffentlichung Stephan Blazy/ Susan Gonscherowski/ Thomas Kunz/ Annika Selzer/ Ulrich Waldmann: Die vertrauenswürdige Verteilung von Verschlüsselungsschlüsseln als Hemmschuh der E-Mail-Verschlüsselung – ein Lösungsansatz, in: BvD-News 2017, Ausgabe 3, 72-75. (12.2017)
    • Veröffentlichung Stephan Blazy: Verantwortung für die Datenverarbeitung, in: Roßnagel (Hrsg.), Das neue Datenschutzrecht - Europäische Datenschutz-Grundverordnung und deutsche Datenschutzgesetze, Baden-Baden 2018, 155 – 163. (1.2018)
    • Veranstaltung Konsortialtreffen in Kassel. (25.1.2018)