Fachforum "IT-Sicherheit"
Zertifizierung
Lutz Donnerhacke
2048/39F37F5D 1996/04/25
A4 C1 50 8F 00 D9 28 60
70 BB 0B 5D D9 3A 0B B6
Motivation
Kryptographische Systeme sind in einem offenen Medium wie das
Internet die einzigen Lösungen, die sowohl die Privatsphäre als
auch die Wirschaftsinteressen schützen können.
Problem
- Protokolle, Algorithmen & Techniken sind erprobt und bekannt.
- Komplexe Schlüsselabhängigkeiten.
- Asymmetrische Kryptographie vereinfacht den Aufwand.
- Bindung öffentlicher Schlüssel an Personen notwendig.
Zertifizierungsmodelle
- Persönlicher Kontakt
- Hierarchische Zertifizierung
- Web of Trust
Hierarchische Zertifizierung
- Maschinell einfach
- Störanfällig
- Klare Policy
- Erpreßbar, Bestechlich
- Kurze Ausweispakete
- Garantierte Funktion
- Geldwerte Leistung
- Verordnetes Vertrauen
Web of Trust
- Maschinell schwierig
- Alternative Wege
- Verschiedene Policy
- Robust
- Große Datenmengen
- Keine Garantie
- Kostenlos
- Mitdenken erforderlich
Symbiose
Dem Web of Trust eine Hierachie überstülpen.
Individual Network Zertifikationshierarchie.
- Garantierte Funktion
- Klare Policy
- Vertrauen wahlweise
- Softwareprobleme
- Akzeptanzprobleme
PGP
Software 'Pretty Good Privacy' ist Basis des Web of Trust. Phil Zimmermann
vom Freiheitskämpfer zum Wirtschaftsboß und voraussichtlich zum
Ausgestoßenen.
Versionen
- [2.x] Besonders 2.6.3in basiert auf RSA, IDEA und MD5. Stellt den
Minimalkonsens im Web of Trust dar.
- [5.x] Neuentwicklung zur Vermeidung von Patentstreitigkeiten mit RSA Inc.
Enthält auch Schnüffelfunktionen (GAK). Neues inkompatibles Format ist
sinnvoll. Neuere Versionen brechen Backward Compatibility.
PGP2.6.3in
- speziell für Zertifizierungsaufgaben
- verbessertes Keymanagement, Widerrufe
- Bugfixes (auch sicherheitsrelevante)
- Sourcekatastrophe
OpenPGP
Standard (RfC) zur Vereinheitlichung des Versionschaos.
- von PGP Inc. angestoßen, um PGP5.x zu legitimieren
- 'offene' IETF Entwicklung
- OpenPGPin: zertifizierbare Referenzimplementation, damit SiG tauglich.
Politik
CAs (nicht TTP) dürfen u. U. nur nach Genehmigung arbeiten. Politische
Hemmschuhe sind hinsichtlich Personal und Verfahren erwünscht um die
Zertifizierungsinfrastruktur in eine Key Escrow Struktur wandeln zu können.
Chipkarten implementieren oft Hinterlegungsprotokolle (TeleSec) und sind als
einzig Produkte den technischen Anforderungen gewachsen.
OpenPGPin könnte eine Kryptoregulierung durch die Hintertür der CA Zulassung
systemkonform unterlaufen.
IN-CA
2048bit Key mit KeyID 0x19980101, erstellt am 1998/01/12 mit dem Fingerabdruck
B3 06 9A 8D 38 04 3C 75
41 32 EE DC 8B 7D 61 0D
in-ca@individual.net SIGN EXPIRE:1999-12-31 Root CA des Individual Network e.V.