![[externer Link]](../../../../images/link.gif)
www.jnsa.org/mpki/) und des US-amerikanischen National Institute of Standards and Technology (NIST, http://csrc.nist.gov/pki/rootca/).IT-gestützte organisationsübergreifende Geschäftsprozesse versprechen hohe Kosteneinsparungen und Effektivitätssteigerungen. Damit sie unter Wahrung der erforderlichen Vertraulichkeit und Verbindlichkeit auf einer Vielzahl unterschiedlicher Applikationen der Geschäftspartner ablaufen können, sind skalierbare und interoperable Mechanismen unerlässlich. Dienste auf der Basis von Public Key Infrastructures (PKIs) können hierbei verschiedene Teilprozesse wie Authentifizierung, Autorisierung, Verschlüsselung und elektronische Signaturen beisteuern.
Mit ISIS-MTT wurden in den letzten fünf Jahren die international bereits existierenden Standards für Certification Authorities, Datenaustauschformate und Client-Funktionen erstmals im Zusammenhang so detailliert spezifiziert, dass sie für die PKI-Anwendungsentwicklung hinreichend genaue Vorgaben machen. Die ISIS-MTT-Spezifikation beruht auf internationalen Standards: Zertifikate sind nach ITU X.509 definiert, qualifizierte Zertifikate sind Erweiterungen des PKIX Qualified Certificate Profile (RFC 3039) und des ETSI-QC Profile. Da sich – zumindest in Deutschland – alle wesentlichen Entwickler, Anbieter und Nachfrager auf die ISIS-MTT-Spezifikation verständigt haben, konnten hier deutliche Fortschritte auf dem Weg zu herstellerübergreifender Interoperabilität erreicht werden.
Im Jahr 2004 hat sich der Fokus von ISIS-MTT in Richtung zertifikatsbasierte Authentifizierung und XML-Dienste verschoben. Interoperabilität bei der verlässlichen Nutzung der Dienste von Internet-Portalen gewann gegenüber der vormaligen Abbildung technisch-regulativer Vorgaben des Signaturgesetzes deutlich an Stellenwert. Die aktive Mitarbeit internationaler Unternehmen wie Sun und Microsoft bei der Erstellung des Authentifizierungsprofils belegt eindrücklich den Bedarf an pragmatischen und anwendungsorientierten Lösungen.
| Core Specification | Certificate Profile (revised) |
|---|---|
| Authentication Profile (new) | |
| CRLs and OCSP | |
| PKI Management | |
| Path Validation | |
| Algorithms | |
| XML-Profile (new) | |
| PKCS#11 | |
| TSP | |
| Qualified Certificates (QC) Statement | |
| OCSP-positive Statement | |
| Optionals | SigG-Profile: for accredited Certificaten Service Providers |
Die Interoperabilitäts-Spezifikation ISIS-MTT hat in Version 1.1 einige anwendungsorientierte Ergänzungen erfahren.
Heute soll auf immer mehr Systeme online zugegriffen werden – auch die Anforderungen an die Qualität der damit verbundenen Authentifizierung steigen. Gleichzeitig entsteht ein Interoperabilitätsproblem, da Anwender nicht für jedes Angebot eine spezielle Software, ein besonderes Zertifikat oder andere "Credentials" nutzen wollen. Zudem stellt sich für viele Anwendungen, die eigentlich starke Authentifizierung erfordern, die Frage der hiermit verbundenen Kosten.
Authentifizierungsverfahren, die zur Nutzung in mehr als einem Kontext geeignet sind, können dieses Problem lösen. Schon frühere ISIS-MTT-Versionen enthielten Angaben, wie ein elektronisches Zertifikat hierfür zu gestalten ist. Allerdings spielte das Thema eher eine Nebenrolle – Hauptthemen waren Verschlüsselung und elektronische Signatur. Um das zu ändern, wurde das Profile for Authentication Certificates erstellt und im Dezember 2004 offiziell verabschiedet. Der damit vollzogene erste Schritt bestand darin, die besonderen Bedingungen, unter denen eine interoperable zertifikatsbasierte Authentifizierung stattfindet, zu erfassen und ein Zertifikatsprofil in ISIS-MTT aufzunehmen, das mit den praktisch bereits an vielen Stellen im Einsatz befindlichen Systemen harmoniert.
Die Prüfung einer Authentifizierungsanfrage ist praktisch immer ein automatischer Prozess, der mit den Bordmitteln der Server, auf denen die Anwendung läuft, durchführbar sein sollte. Faktisch bieten heute alle Systemplattformen sowie die großen Hersteller von Netzwerk- oder Firewall-Produkten derartige Möglichkeiten, sodass die Bereitschaft Speziallösungen einzusetzen schwindet. Um möglichst große Interoperabilität zu verwirklichen, wurde auf die Festlegung neuer (vielleicht sinnvoller) Merkmale fast vollständig verzichtet. Vielmehr wurde eine Teilmenge von Zertifikatsmerkmalen festgeschrieben, die ohne Konflikt zu existierenden Systemen aufgenommen werden können. Stark vereinfacht ausgedrückt wurde eine Schnittmenge der verschiedenen Schablonen gebildet, die vorliegende Systeme zur Authentifizierung vorsehen.
Äußerst hilfreich war hierbei, dass neben der deutschen Kryptowirtschaft mit SAP, Sun und Microsoft auch einige der großen internationalen Anbieter direkt beteiligt waren.
Es gibt bereits jetzt eine Reihe von Ansätzen, die über die Ausgestaltung von Interoperabilität durch Festlegung von Zertifikatsprofilen hinaus auch die Verfahren beschreiben, mit denen sich digitale Identitäten in unterschiedlichem Kontext verwenden lassen. Beispielhaft seien hier zwei Konzepte genannt, wie sie vor allem auf der Grundlage von XML-Technologie diskutiert werden:
Diese Ansätze wurden bisher vor allem deshalb nicht in die Betrachtung einbezogen, weil sie noch nicht so weit konsolidiert sind, dass klar erkennbar wäre, ob sie zwecks Interoperabilität überhaupt profiliert werden müssen. Dieses kann sich aufgund der Dynamik dieses Bereichs schnell ändern.
Offen ist auch noch, in welcher Form Zertifikatsherausgeber die Qualität ihrer Authentifizierungszertifikate einheitlich erkennbar machen können. Dieses betrifft beispielsweise Authentifizierungszertifikate, die zusammen mit einem qualifizierten Zertifikat auf derselben Smartcard logieren und deshalb in Bezug auf die Identifikation vermutlich ebenfalls hohe Standards erfüllen, diese hohe Qualität aber nicht zu erkennen geben. Sobald hierzu eine Vorgabe der Herausgeber vorliegt, ist geplant, diese in das Authentifizierungsprofil aufzunehmen.
Seit ISIS-MTT Version 1.1 sind auch XML-Signaturen und -Verschlüsselung Bestandteil der Spezifikation. Beides sind grundlegende und allgemein akzeptierte Verfahren, auf denen praktisch alle weitergehenden Sicherheitsmechanismen der XML-Welt aufsetzen. Das reicht vom Nachrichtenformat Simple Object Access Protocol (SOAP) über die XML Key Management Specification (XKMS) bis hin zur Definition von Web Service Security sowie die genannten Konzepte Delegation und Federation.
Es ist letztlich weder möglich noch sinnvoll all diese Teilgebiete in den Fokus von ISIS-MTT aufzunehmen. Falls jedoch ein bestimmtes Verfahren oder Protokoll an mehreren Stellen praktische Bedeutung bekommt und Interoperabilitätsprobleme absehbar sind, wird es zum Kandidaten für eine nähere Befassung. Neben der möglicherweise sinnvollen Festschreibung eines Profils für Web Service Security, an dem unter anderem SAP Interesse geäußert hat, wird aktuell vor allem über die Aufnahme von XKMS nachgedacht.
Ein wesentlicher Schritt zur Verbesserung der Interoperabilität von PKI-basierenden Anwendungen und Diensten ist neben einer klaren Spezifikation auch die Implementierung eines Testbed, mit dem sich die ISIS-MTT-Konformität sowohl für Standardprodukte als auch für kundenspezifisch entwickelte Lösungen prüfen lässt. Nennenswerte Ansätze mit derselben Zielsetzung sind Entwicklungen des ASIA-PKI-Forums ( www.jnsa.org/mpki/) und des US-amerikanischen National Institute of Standards and Technology (NIST, http://csrc.nist.gov/pki/rootca/).
Aufgrund der Projektförderung durch das Bundesministerium für Wirtschaft und Arbeit kann die umfassend erweiterte Testbed-CD übrigens kostenfrei über die Geschäftsstelle des TeleTrusT bezogen werden (z. B. per E-Mail an marion.gutsell@teletrust.de). Über 110 Installationen, viele davon im internationalen Umfeld, belegen die hohe Akzeptanz im Markt.
Die vom Hersteller erklärte Konformität zur Spezifikation und die bestätigten Ergebnisse aus dem Einsatz des Testbeds bilden zudem die Grundlage für die Vergabe eines ISIS-MTT-Konformitätssiegels, das Anwendern als Hilfestellung bei der Auftragsvergabe dienen und Investitionsentscheidungen erleichtern soll. Bei der Definition der Kriterien zur Vergabe dieses Siegels wurde bewusst bürokratischer Aufwand vermieden, um eine kostengünstige und pragmatische Umsetzung zu ermöglichen (Näheres zum Prozess der Siegelvergabe s. <kes> 2005#1, S. 21).
Eine Liste der ISIS-MTT-konformen Produkte und Dienstleistungen und die dafür zugrunde liegenden Testergebnisse wird auf www.isis-mtt.de im Internet veröffentlicht (Reiter "ISIS-MTT Siegel"). Derzeit haben die Datev, Entrust, Microsoft, T-Systems und Nexus den Prozess der Siegelvergabe erfolgreich absolviert, mehrere Produkte großer Anbieter sind in der Evaluierung.
Derzeit wird auf Basis der bestehenden Organisation ein ISIS-MTT-Anwenderzentrum etabliert, das den Erfahrungsaustausch der Nutzer unterstützen und anbieterneutral hinsichtlich der verschiedenen Funktionen im elektronischen Geschäftsverkehr beraten soll. Vorrangiges Ziel wird es sein, das praktische Verständnis zum Einsatz der PKI-basierten Verfahren zu fördern. Hierfür werden Informationsmaterialien zu Wirkungsweise und Ausprägungen von Signaturen und Zertifikaten im Internet bereitgestellt.
Einstieg soll die Praxiserprobung von Zertifikaten sein. Für den Laien ist es derzeit beispielsweise schwierig, die Qualität und den Haftungsumfang eines Zertifikats (Interpretation des QC-Statements) zu erkennen. Das Anwenderzentrum soll hier Abhilfe schaffen und beispielsweise die Zertifikate aller am Markt aktiven Zertifizierungsdiensteanbieter interpretieren und in einem Leitfaden zusammenfassen. Als weitere Aufgaben sind unter anderem geplant:
Aus Gründen einer effektiven Öffentlichkeitsarbeit ist geplant, in Kooperation mit anderen Initiativen wie "Deutschland sicher im Netz", D21, Signaturbündnis, Online Services Computer Interface (OSCI), DeutschlandOnline 2005, MEDIA@Komm-Transfer sowie mit Industriepartnern zu agieren. Von besonderer Bedeutung ist hierbei die Verknüpfung zum Signaturbündnis; in dessen Arbeitsgruppe "Interoperabilität und technische Standards" sind bereits wesentliche technische Festlegungen auf Basis von ISIS-MTT getroffen worden, was die Akzeptanz im Bereich der Banken und Sparkassen deutlich verstärkt hat.
Durch das hohe Engagement aller beteiligten Partner sowohl hinsichtlich der fachlichen als auch der organisatorischen Unterstützung des ISIS-MTT-Projekts wird eine nachhaltige Wirksamkeit des Vorhabens sichergestellt. Es ist zu hoffen, dass breite Anwendergruppen durch den ISIS-MTT-konformen und nutzenorientierten Einsatz der verfügbaren Authentifizierungs-, Verschlüsselungs- und Signaturapplikationen zur erfolgreichen Etablierung dieses noch schwach ausgeprägten Marktsegments beitragen. Die Projekte der eCard-Initiative, insbesondere die elektronische Gesundheitskarte, der digitale Personalausweis und das JobCard-Fachverfahren könnten zukünftig zusammen mit der verbesserten Anwendungsintegration von Signaturverfahren die Basis hierfür bilden.
Arno Fiedler ist Gründer der Nimbus Network Technologieberatung und Projekt-Manager ISIS-MTT beim TeleTrusT Deutschland e. V.
----------Anfang Textkasten----------
Nachdem Public-Key-Infrastrukturen (PKI) begonnen haben, sich in Unternehmen und öffentlichen Einrichtungen zu etablieren, sollen diese auch immer häufiger zur Realisierung geschäftsübergreifender Kommunikation dienen. Lokale "Identitätsinseln" müssen dabei zu einem Kommunikationsgeflecht zusammenwachsen. Federated Identity Management stellt sich das Ziel, eine Vielzahl interoperabler Anwendungen zur gegenseitigen Nutzung zwischen unterschiedlichen Organisationen zur Verfügung zu stellen. Dazu sind jedoch einige Anforderungen zu lösen:
![[Illustration]](05-3-043-0a.jpg)
Um die skizzierten Probleme zu beheben, wurde im Rahmen der European Bridge-CA (EB-CA, www.bridge-ca.org) ein Lösungsansatz entwickelt, der Verfahren zentralisiert, ohne dabei in innere Abläufe beteiligter Organisationen einzugreifen. Das Vertrauensproblem wird dadurch gelöst, dass alle (Wurzel-)Zertifikate der teilnehmenden Organisationen "eingesammelt" und in einer signierten Liste (Trust List) öffentlich zur Verfügung gestellt werden. Jeder kann diese Liste laden, ihre Signatur prüfen und enthaltene Zertifikate extrahieren. Um in die Liste aufgenommen zu werden, müssen Mindestanforderungen (z. B. Schlüssellängen, Algorithmen, Registrierungsprozesse etc.) eingehalten werden, sodass alle Mitglieder vergleichbare Sicherheitsniveaus besitzen.
Das Verteilungsproblem löst die European Bridge-CA durch die Bereitstellung der Endanwenderzertifikate über einen zentralen Verzeichnisdienst. Zusätzlich steht zur Validierung von Zertifikaten ein zentraler Validierungsdienst bereit, der Informationen aus Sperrlisten und Onlinevalidierungsdiensten zur Verfügung stellt.
Ein wichtiger Punkt ist dabei die europäische und internationale Ausrichtung der EB-CA-Infrastruktur: Durch Verwendung anerkannter Standards ist der Einsatz zwischen Organisationen auch über Landesgrenzen hinweg problemlos realisierbar.
Die Kommunikation über die EB-CA funktioniert bereits seit August 2000, auch zwischen unterschiedlichen Mail-Systemen. Zum Beispiel nutzt die Deutsche Bank Lotus Notes mit dem Plug-in "MailProtect", die Deutsche Telekom hingegen Outlook mit dem Secude Plug-in Authentemail. Allein über diese beiden Mail-Systeme sind über 200 000 Anwender an die EB-CA-Infrastruktur angebunden.
Die European Bridge-CA ermöglicht zudem den Austausch von Erfahrungen beim Aufbau und Betrieb von Public-Key-Infrastrukturen, auch für solche Unternehmen und Institutionen, die noch keine PKI haben.
Die European Bridge-CA ist kein profitorientiertes Unternehmen. Ihr Geschäftsmodell ist relativ einfach aufgebaut, um eine möglichst hohe Attraktivität zu gewährleisten: Stimmt die Policy eines neuen Mitglieds mit der vorgegebenen EB-CA-Policy überein und sind die Interoperabiltitätstests erfolgreich verlaufen, so kann die Aufnahme beantragt werden. Mit der Mitgliedschaft verbunden ist die Nutzung aller bereitgestellten Dienste. Die Mitgliedschaft ist beitragspflichtig; die Höhe des Beitrages richtet sich nach der Zahl der Nutzer-Zertifikate. Das gewählte Beitragsmodell wurde hierbei bewusst einfach gestaltet, damit es für teilnehmende Organisationen leicht zu fakturieren ist. Dies ermöglicht eine feste Kostenplanung bei gleichzeitiger Abschätzung des Return on Invest (ROI).
Zu den derzeitigen Mitgliedern der EB-CA zählen unter anderem die Allianz Group, Deutsche Bank AG, Deutsche Bundesbank, Deutsche Telekom AG, Siemens AG, SAP, PKI-1 der Verwaltung, Regulierungsbehörde Österreich (RTR), D-Trust, ChamberSign Deutschland, TC-Trustcenter, Microsoft GmbH Deutschland und IABG.
----------Ende Textkasten----------
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#3, Seite 43
| 