SYSTEM

Die verschiedenen Schlüssel im luca-System

By April 9, 2021Juni 17th, 2021No Comments

In luca kommen zahlreiche kryptografische Schlüssel zum Einsatz, um sicherzustellen, dass die Kontaktdaten der Nutzer:innen nur für Gesundheitsämter und nur im Falle einer Infektions-Nachverfolgung lesbar sind.

Die Verschlüsselung

Jedes Gesundheitsamt erhält einen individuellen Schlüssel, um am luca-System überhaupt teilnehmen zu können und Daten entschlüsseln zu können. Da die Zuordnung von Wohnort und Einrichtung zum Gesundheitsamt nicht möglich ist, gibt es zusätzlich rotierende Tagesschlüssel, der täglich von allen Gesundheitsämtern gemeinsam erzeugt, verteilt und der öffentliche Teil davon bekannt gemacht wird (Details, siehe [1] — Englisch). Bei jedem Check-in werden die Zugänge zu den persönlichen Kontaktdaten der luca App-Nutzer:innen mit diesem Schlüssel und dem individuellen Schlüssel der Betreiber:innen doppelt verschlüsselt abgespeichert. Somit ist sichergestellt, dass Betreiber:innen nicht auf die Daten zugreifen können, wenn Nutzer:innen bei ihnen einchecken und am Ende nur das Gesundheitsamt im Infektionsfall mit seinem individuellen Schlüssel eine Datenabfrage entschlüsseln kann.

Beim Einchecken wird, wie beschrieben, von Betreiber:innen die wichtige weitere Verschlüsselungsschicht mit ihrem eigenen Schlüssel hinzugefügt. Das doppelt gesicherte Datenpaket wird beim luca-Server für 4 Wochen abgelegt. Durch diese doppelte Verschlüsselung können die Gesundheitsämter ohne die Zustimmung der Betreiber:innen auch keine Daten einsehen.

Damit das Gesundheitsamt die persönlichen Daten lesen kann, werden also vier Dinge benötigt: das doppelt verschlüsselte Paket (beim luca-Server), der Betreiber:innen-Schlüssel (bei der Betreiber:in), der Tagesschlüssel (bei den Gesundheitsämtern) und der individuelle Schlüssel des Gesundheitsamtes.

Die Entschlüsselung im Rahmen einer Kontakt­nachverfolgung

Um die doppelte Verschlüsselung im Falle einer Konaktnachverfolung aufzuheben, bitten die Gesundheitsämter die betroffenen Betreiber:innen, die äußere Verschlüsselungsschicht aufzuheben. Hier kommt ein weiterer Schlüssel ins Spiel: der öffentliche Schlüssel des anfragenden Gesundheitsamts. Diesen verwenden die Betreiber:innen, um die teilweise entschlüsselten Daten verschlüsselt zurück an das Gesundheitsamt zu schicken.

Nun hat das Gesundheitsamt das Datenpaket, das die mit dem Tagesschlüssel verschlüsselten Kontaktdaten enthält. Mit dem individuellen privaten Gesundheitsamt-Schlüssel kann das Gesundheitsamt den gültigen Tagesschlüssel des Check-in Objektes heraus suchen und entschlüsseln. Diese letzte Verschlüsselungsschicht kann das Gesundheitsamt mit dem entschlüsselten Tagesschlüssel aufheben, und die Nutzer:innen können vor einer möglichen Ansteckung gewarnt werden.

[1] https://luca-app.de/securityconcept/processes/daily_key_rotation.html#daily-public-key-rotation