Wer es lesen kann und was privat bleibt

Manchmal möchten Sie etwas nicht der ganzen Welt beweisen, sondern nur wenigen Menschen. Den Koautoren einer Entdeckung, die Sie noch nicht bekannt geben wollen. Den Parteien eines vertraulichen Vertrags. Einem Freund, dem Sie ein geheimes Rezept anvertrauen. Den dauerhaften Zeitstempel einer Blockchain, bei dem jede nachträgliche Änderung auffällt, wollen Sie trotzdem haben. Sie möchten nur nicht, dass Fremde mitlesen.

Die versiegelten Existenznachweise von Label 309 lösen das. Sie verschließen den Inhalt, sodass nur die von Ihnen gewählten Personen ihn öffnen können, und verankern dennoch einen Datensatz mit Zeitstempel im öffentlichen Hauptbuch. Die naheliegende Sorge: Es ist ein öffentliches Hauptbuch. Jeder kann hineinschauen. Was also sieht man dort wirklich?

Die ehrliche Antwort lautet: überraschend wenig. Aber nicht nichts, und Label 309 achtet darauf, den Unterschied genau zu benennen.

Stellen Sie sich eine Reihe verschlossener Boxen vor

Stellen Sie sich vor, Sie legen Ihre versiegelte Nachricht in eine Tresorwand, an der jeder vorbeigehen kann. In dieser Wand reiht sich eine Folge kleiner, gleich aussehender verschlossener Boxen aneinander, eine für jede Person, an die Sie senden. Jede Box enthält einen Schlüssel, der dieselbe Nachricht öffnet, doch jede Box lässt sich nur mit dem privaten Schlüssel einer ganz bestimmten Person aufschließen.

Ein Vorübergehender sieht die Wand. Er sieht, dass dort eine Reihe von Boxen steht. Er kann sie sogar zählen. Was er nicht kann: eine Box öffnen, erkennen, welcher Schlüssel zu welcher passt, oder auch nur ein einziges Wort des Inhalts lesen.

Fast genau so funktioniert das Versiegeln bei Label 309.

Was ein Fremder sehen kann

• Dass etwas versiegelt wurde. Der Datensatz weist offen aus, dass er verschlossenen Inhalt trägt und nicht im Klartext vorliegt. (Ein Beobachter kann sogar erkennen, ob Sie gewöhnliche oder post-quantensichere Verschlüsselung verwendet haben, aber nichts darüber hinaus.)
• Den Zeitstempel, also den Moment, in dem sich das Netzwerk darauf geeinigt hat, dass der Datensatz existiert, sekundengenau. Das ist der eigentliche Zweck; er soll öffentlich sein.
• Den Fingerabdruck des Inhalts, denselben Einwegcode wie bei einem gewöhnlichen Existenznachweis. Er verrät nichts über den Inhalt selbst und lässt sich nicht in ihn zurückverwandeln.
• Ungefähr, wie viele Empfänger es gibt, also die Anzahl der verschlossenen Boxen. Das ist das Einzige, was durchsickert, und darauf kommen wir noch zurück.

Was verborgen bleibt

• Der eigentliche Inhalt. Er steht nie im Hauptbuch, dort liegen nur sein Fingerabdruck und die verschlossenen Boxen, und die verschlüsselte Datei selbst lebt off-chain. Ohne einen der passenden privaten Schlüssel ist der Inhalt nur Rauschen.
• Wer die Empfänger sind. Label 309 trägt nirgends im Datensatz den Namen oder den öffentlichen Schlüssel eines Empfängers ein. Es gibt kein „An:"-Feld zum Ablesen. Ein Empfänger entdeckt nur dadurch, dass eine Nachricht ihm gilt, dass er still seinen Schlüssel an jeder Box ausprobiert, bis sich eine öffnet. (Eine ehrliche Fußnote: Wenn ein Beobachter die genaue öffentliche Adresse einer Person, die er verdächtigt, bereits besitzt, bestätigt das klassische X25519-Schloss ihm das trotzdem nicht, das standardmäßige post-quantensichere Schloss gibt dieses bestimmte Versprechen aber nicht. Siehe den Vorbehalt weiter unten.)
• Wer sie gesendet hat, sofern Sie nicht signieren. Die Urheberschaft per Signatur zu belegen, ist in Label 309 immer freiwillig. Verzichten Sie darauf, enthält der Datensatz nichts, das auf Sie zurückführt: Jede Box enthält nur frisches, einmaliges Schlüsselmaterial, das auf niemanden zeigt.

Und zwei feinere Schutzmechanismen wiegen ebenso schwer:

• Die Empfänger sehen einander nicht. Ihre eigene Box zu öffnen verrät Ihnen nichts über die der anderen. Sie können nicht erfahren, wer sonst noch dabei war, und die anderen erfahren nichts über Sie.
• Die Reihenfolge ist gemischt. Vor der Veröffentlichung werden die Boxen in eine zufällige Reihenfolge gebracht. So gibt selbst die Position einer Box, ob erste oder letzte, keinen Hinweis darauf, wer „der Wichtigste" ist oder wie die Gruppe zusammengesetzt war.

Der eine ehrliche Vorbehalt

Die Anzahl ist sichtbar. Ein Fremder kann zwar nicht erkennen, wer Ihre Empfänger sind, aber er kann die Boxen zählen und so erfahren, wie viele es sind. Für die meisten Zwecke ist das harmlos: drei Koautoren, zwei Vertragsparteien. Ist jedoch schon die Zahl heikel, können Sie sie verschleiern: ein paar zusätzliche Boxen als Füllmaterial einfügen oder den Versand auf mehrere Datensätze aufteilen. Label 309 verbirgt die Anzahl nicht von sich aus; wenn es also darauf ankommt, liegt dieser Schritt bei Ihnen.

Und noch eine Ehrlichkeit dazu, wem eine Box gilt und wie gut das verborgen bleibt. Das klassische X25519-Schloss ist nachweislich „schlüsselprivat": Selbst ein Beobachter, der eine Liste der öffentlichen Adressen vermuteter Empfänger besitzt, kann nicht prüfen, welche Box, wenn überhaupt, an einen von ihnen gerichtet ist. Das standardmäßige post-quantensichere Schloss (X-Wing) verbirgt vor einem gewöhnlichen Fremden dasselbe, doch Label 309 beansprucht diese stärkere Garantie für es nicht: Gegen einen Angreifer, der die genauen öffentlichen Schlüssel Ihrer vermuteten Empfänger bereits hat, verspricht nur das klassische Schloss, den Test ins Leere laufen zu lassen. Ist genau das Ihre Bedrohung, wählen Sie für die Versiegelung die klassischen age1…-Schlüssel; andernfalls ist der post-quantensichere Standard die richtige Wahl.

Noch zwei kleinere Offenlegungen, wo wir schon bei Genauigkeit sind. Der Zeitstempel ist sekundengenau; geht es um etwas, bei dem allein die zeitliche Einordnung heikel ist, stellt das für sich schon eine echte Preisgabe dar. Und der Datensatz kann nicht verbergen, welche Wallet die Cardano-Transaktion bezahlt hat, denn das steht in der Transaktion selbst, außerhalb des versiegelten Datensatzes; wer auch das verborgen halten muss, löst es auf Wallet-Ebene.

Bedenken Sie außerdem: Jeder, dem Sie tatsächlich einen Schlüssel geben, kann die Nachricht lesen, solange der gespeicherte Inhalt existiert. Das Versiegeln schützt Sie vor der Welt, nicht vor den Personen, denen Sie bewusst vertraut haben.