[Chaos CD]
[Datenschleuder] [58]    Was ist eigentlich ein Trust-Center und warum sollte ich einem vertrauen?
[Gescannte Version] [ -- ] [ ++ ] [Suchen]  

 

Chaos Communication Congress 96

Was ist eigentlich ein Trust-Center und warum sollte ich einem vertrauen?

Im ersten Trust-Center-Workshopauf diesem Congress ging es um die Grundlagen von Trust-Centern, die möglicherweise schon bald als Autoritäten unsere digitalen Existenzen bestimmen werden. Trust-Centers (korrekterweise wohl besser als "CA", also "Certification Authority" zu bezeichnen) nehmen sich eines der großen Probleme im Internet an: Wer garantiert eigentlich, daß die Person, m#it der ich Geschäfte tätigen oder Nachrichten austauschen möchte, tatsächlich diejenige ist, die sie vorgibt zu sein?

CAs sind Institutionen, die elektronische Unterschriften beglaubigen -- damit sitzen sie an den Schaltstellen der Macht im elektronischen Handel, entscheiden sie doch über die Identität (und damit die Glaubwürdigkeit) von Geschäftspartnern oder Privatpersonen. Wodurch sind diese wichtigen Stellen autorisiert? So seltsam es auch klingen mag, aber sie sind es gar nicht. Verisign Inc. aus den USA und Thawte aus Süd-Afrika sind die beiden Unternehmen, die am lautesten und finanzkräftigsten erklärt haben, daß sie für diese Aufgabe geeignet sind.

Dies hat dazu geführt, daß die Zertifikate dieser beiden Firmen fest in den beiden wichtigsten Internetbrowsern (Netscape Navigator und Microsoft Internet Explorer) eingebaut sind. Andere Zertifizierungsstellen für digitale Unterschriften sind entweder nicht vorgesehen (Internet Explorer) oder nur über komplizierte Umwege zu benutzen (Netscape).

Nicht jeder möchte aber bei einer so wichtigen Sache wie die Bestätigung der digitalen Identität auf Privatunternehmen hoffen. Und wer hat schon das nötige Kleingeld, um zur Beglaubigung in die USA oder nach Süd-Afrika zu reisen?

In Deutschland gibt es mit der DFN-CA (für das Deutsche ForschungsNetz, das sich um universitäre Rechenzentner und ihre Internetanbindung kümmert) auch eine Initiative aus den Reihen des Individual Network e.V. Dieser Verein fühlt sich den privaten Internetbenutzern verpflichtet und möchte mit seinem Projekt IN-CA vor allem Kompetenz in Sachen Authentifizierung beweisen. Nur rechtlich verbindlich möchte die Initiative bitte nicht sein; nach Aussagen des IN-CA-Sprechers Lutz Donnerhacke ist die CA des Individual Networks "nur eine Spielerei".

Abseits der ebenfalls im Workshop erläuterten technischen Fragen zu Vor- und Nachteilen von SSL (Secure Sockets Layer, die die Authentifizierung möglich machen) stand vor allem die Frage nach dem gesellschaftsrelevanten "CA, quo vadis?" im Raum: "Wollen wir nur ein Spielzeug haben, oder bieten wir eine echte Hacker-Alternative zu den kommerziellen Stellen wie Verisign oder Thawte? Wollen wir Verantwortung übernehmen und eine eigene CA schaffen und damit selbst in die Rolle der bösen, nur auf Kommerz und Sicherheit bewußten Buben schlüpfen?", fasste Hacker Rop Gronggrijp aus den Niederlanden die Vorbehalte im Workshop-Publikum zusammen.

Mit der eventuellen Umsetzung der kühnen Pläne von einer eigenen Zertifizierungsstelle wollen sich Congressteilnehmerinnen und -teilnehmer morgen in einem weitern Workshop beschäftigen.

Zusammenfassung von Jens Ohlig, j.ohlig@bionic.zerberus.de

 

  [Chaos CD]
[Datenschleuder] [58]    Was ist eigentlich ein Trust-Center und warum sollte ich einem vertrauen?
[Gescannte Version] [ -- ] [ ++ ] [Suchen]