Einsatz von SPHINX in der öffentlichen Verwaltung

Von Olaf Erber, BSI

Zurzeit läuft die Überführung des SPHINX-Projektes für Verschlüsselung und digitale Signatur vom Pilot- in den Wirkbetrieb. Noch in diesem Jahr sollen eine respektable Zahl von Anwendern mit SPHINX-Produkten ausgestattet werden. Das Bundesamt für Sicherheit in der Informationstechnik bereitet seit Mitte 2000 den Aufbau einer Zertifizierungsinfrastruktur für SPHINX vor.

Die flächendeckende Vernetzung der Arbeitsplätze in der öffentlichen Verwaltung sowie das rasante Wachstum der über das Internet ausgetauschten Informationen zwischen Staat, Bürger und Wirtschaft, verursachen - wie alle vorliegenden Studien bestätigen - einen großen und zunehmenden Bedarf an Ende-zu-Ende-Sicherheitsmechanismen, insbesondere das Verschlüsseln und Signieren von E-Mails. Diese Entwicklung wurde schon vor einigen Jahren erkannt. Aus diesem Grund wurde das Projekt SPHINX initiiert (vgl. KES 1999/5, Seite 71). Im Rahmen dieses Projektes wird die Entwicklung kryptographischer Software zur Absicherung von E-Mail in Standardanwendungen vorangetrieben, die auf Basis international anerkannter Standards Interoperabilität zwischen den Produkten verschiedener Hersteller garantiert. Der Pilotversuch wird Ende des Jahres abgeschlossen sein.

Als Ergebnis wird eine Reihe von erprobten, interoperablen Produkten unterschiedlicher Hersteller zur Verfügung stehen, die den funktionalen Anforderungen der Anwender Rechnung tragen. Dabei wurde auf die Migrationsfähigkeit der Produkte, hin zu qualifizierten Signaturen nach EU-Richtlinie, geachtet. Für interessierte Organisationen werden Dokumentationen erarbeitet, die die Einführung dieser neuen Technologie erleichtern sollen. Zur Förderung des Erfahrungsaustausches wurden Arbeitskreise der Anwender von SPHINX-Produkten, der Produkthersteller sowie der Anbieter zentraler Dienstleistungen (Betreiber von Zertifizierungsstellen) etabliert.

Überführung in den Wirkbetrieb

Ziel der geplanten breiten Einführung von SPHINX-Produkten ist, schnell und einfach Sicherheit zu verbreiten, die Akzeptanz von Sicherheitsfunktionen bei den Anwendern zu erhöhen und somit die entsprechende "Sicherheitskultur" zu entwickeln.

Sicherheit für E-Mails besteht jedoch nicht nur aus einem Stück Software beim Endanwender, sondern sie benötigt darüber hinaus eine Sicherheitsinfrastruktur (PKI), die die Anwender mit den nötigen Zertifikaten sowie Zertifikats- und Schlüsselverzeichnissen versorgt. Eine solche Infrastruktur kann, wenn sie erst einmal eingerichtet ist, mit derselben Technologie auch eine Reihe weitere Sicherheitsfunktionen unterstützen - bei denen der Aufbau einer jeweils individuellen Infrastruktur nicht wirtschaftlich zu realisieren wäre. Solche Anwendungen sind z. B. Authentisierungsverfahren, der Aufbau virtueller privater Netze im Internet, sichere Client-Server-Kommunikation oder Signaturen für aktive Inhalte.

Vorgesehen ist, noch dieses Jahr eine große Anzahl von Teilnehmern in der Bundesverwaltung mit SPHINX-Produkten auszustatten. Darüber hinaus wird mit Unterstützung der Telekom AG und T-Online die weite Verbreitung beim Bürger und in der Wirtschaft forciert. Zahlreiche weitere bekannte Unternehmen und Trust-Center-Betreiber haben bereits ihr Interesse an der Integration in eine SPHINX-PKI bekundet.

Aufgaben und Policy

Bei der flächendeckenden Einführung sicherer E-Mail-Verfahren sind folgende zentrale Aufgaben zu bewältigen:

Aufbau bzw. Nutzbarmachung einer Public-Key-Infrastruktur (PKI) einschließlich der Organisation der notwendigen Verzeichnisdienste,
Vorbereitung und Unterstützung der teilnehmenden Organisationen und
Versorgung der Endanwender mit Client-Produkten.

Im Rahmen des Pilotversuchs wurden eine Reihe von Konzepten und Handbüchern erstellt, die teilnehmenden Organisationen bei den anstehenden Aufgaben Hilfestellungen geben sollen. Hierzu gehören:

die technische Grundlagen des MailTrusTv2-Standards und der zugehörige Stufenplan,
das Organisationshandbuch mit
dem Handbuch für den Endanwender,
dem Betriebshandbuch für lokale Registrierungsstellen und
dem Betriebshandbuch für Zertifizierungsstellen,
das Konzept der funktionalen Anforderungen die Produkte,
die Spezifikation für die Verwendung von Namen in PKIs,
das Konzept für Verzeichnisdienste,
das Sicherheitskonzept für Zertifizierungsstellen sowie
die Testspezifikationen und -berichte.

Die größte Herausforderung, die sich bei der Überführung in den Wirkbetrieb stellt, ist jedoch der Aufbau der erforderlichen PKI zur Versorgung der Teilnehmer mit Zertifikaten und gegebenenfalls Schlüsseln. Am einfachsten und schnellsten ist der Aufbau einer hierarchischen PKI: Es wird eine Wurzelzertifizierungsstelle (PCA) für eine sich darunter befindliche Anzahl von Zertifizierungsstellen (CA) aufgebaut, die wiederum zugeordnete lokale Registrierungsstellen (RA) bedienen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereitet seit Mitte 2000 den Aufbau einer PCA für die künftigen SPHINX- Zertifizierungsstellen (CAs) vor. Diese können von Behörden und privaten Unternehmen betrieben werden. Die entstehende PKI soll damit für alle Teilnehmer erreichbar sein.

Die für die PCA erforderliche Technik wird im Rahmen einer Ausschreibung beschafft und erprobt. Die notwendigen Rahmenbedingungen für ihren Betrieb werden in Abstimmung mit den Zertifizierungsstellen erarbeitet. Beschrieben werden sie in der SPHINX-Policy für die PKI. Diese Policy setzt sich aus den folgenden Bestandteilen zusammen:

Leitlinien,
Policies der CAs und der PCA,
Vertrag zwischen CA und PCA,
Selbsterklärung der CA und
Beschreibung der organisatorischen Abläufe (wie wird eine CA Mitglied in der SPHINX-PKI?).

Die Leitlinien beschreiben hierbei die grundsätzliche Ausrichtung der PKI. Um eine schnelle Verbreitung zu fördern, wird der administrative Aufwand weitgehend begrenzt, das angestrebte Sicherheitsniveau bewusst auf ein mittleres Niveau - vergleichbar dem IT-Grundschutz des BSI - beschränkt. Die wesentlichen Aussagen dieser Leitlinien sind dabei:

Die SPHINX-PCA wird vom BSI aufgebaut und in Betrieb genommen.
Das Ausstellen von Zertifikaten für Zertifizierungsstellen erfolgt auf Basis einer Selbstverpflichtung.
Die SPHINX-PCA prüft die Einhaltung der Selbstverpflichtung i. d. R. nicht. Sie handelt allenfalls aus gegebenem Anlass.
Es erfolgt eine Prüfung der Glaubwürdigkeit und Zuverlässigkeit des CA-Betreibers.
Der Betreiber der Zertifizierungsstelle wird auf die Einhaltung des MailTrusT-Standards und der Internet-Interoperabilität verpflichtet.
Sollte keine Fortschreibung erfolgen, "altert" die betreffende Zertifizierungsstelle aus der PKI heraus.
Das Sicherheitskonzept basiert auf den einschlägigen Maßnahmen des BSI-IT-Grundschutzes. Eine individuelle Überprüfung erfolgt i. d. R. nicht.
Die PCA zertifiziert die öffentlichen Schlüssel der Zertifizierungsstellen und gibt diese öffentlich bekannt.

Diese Leitlinien werden im SPHINX-Arbeitskreis Zertifizierungsstellen mit den interessierten Trustcentern in der Wirtschaft und Verwaltung abgestimmt, um die entstehende PKI auf eine möglichst große Akzeptanzbasis zu stellen.

Nächste Schritte

In den kommenden zwei Jahren soll die Verbreitung MailTrusT-konformer Produkte national wie auch international gefördert werden. Ferner soll die entstehende PKI auch zur Unterstützung weiterer Anwendungen geöffnet werden.

Um diese Aufgaben wirkungsvoll angehen zu können, ist es notwendig, die im Rahmen des SPHINX-Piloten aufgebauten Strukturen auch weiterhin zu fördern. Besonders wichtig erscheint dem BSI die Unterstützung des Industrieverbands TeleTrusT e. V. bei der Etablierung von Interoperabilitätstests für seine Spezifikation MailTrusT. Auf deren Basis sollen anerkannte Siegel für interoperable Produkte ausgestellt werden.