Kryptographie: Zertifizierungstellen

Zuvor noch ein kurzer Überblick über diesen Text, der zuerst einige allgemeine Fragen klärt und dann speziell auf Zertifizierungsstellen eingeht:

1. Was sind Zertifikate und Zertifizierungsstellen? Wozu braucht man sie?
2. Zum besseren Verständnis ein kleiner Exkurs ins Rechtliche (EU-Signaturrichtlinie, Signaturgesetz)
3. Aufsichtsbehörden, die Zertifizierungsdiensteanbieter beaufsichtigen
4. Und schließlich die Zertifizierung (Anbieter, Verfahren, Gebühren)

---

1. Sinn und Nutzen der Zertifikate und der Zertifizierungsstellen(=Zertifizierungsdiensteanbieter)

Zur Anwendung des asymetrischen Verschlüsselungsverfahren wird ein öffentlicher Schlüssel verschickt, damit der Empfänger der Botschaft diese entschlüsseln kann. Das Problem, dass sich dabei ergibt, ist, dass der Empfänger aber nicht weiß, ob der öffentliche Schlüssel auch wirklich von dem angegebenen Sender stammt und nicht von einem unbekannten Dritten. Deshalb ist es möglich, sich durch ein Zertifikat den versandten öffentlichen Schlüssel als den eigenen garantieren zu lassen. Die Vergabe, Überprüfung, Widerruf und Erneuerung eines solchen Zertifikats ist Aufgabe der Zertifizierungsstellen, auch Certificate Authority (CA), genannt.

Damit eine Organisation oder Person (Sender) für ihren Schlüssel ein Zertifikat erhält, wird diese von den Zertifizierungsstellen mit einem strengen Verfahren authentifiziert und überprüft.

Die Zertifikate enthalten erstens „Informationen über den Namen des Inhabers, dessen öffentlichen Schlüssel, eine Seriennummer, eine Gültigkeitsdauer und den Namen der Zertifizierungsstelle“ (Wikipedia) und zweitens den privaten Schüssel der Zertifizierungsstelle als Signatur. Diese digitale Unterschrift der Stelle soll wiederum beweisen, dass die Zertifizierung auch wirklich von dieser Stelle vorgenommen wurde und dies kann der Empfänger mit dem dazu passenden öffentlichen Schlüssel der Stelle überprüfen.

Nun könnte man aber einwenden wie man denn sicher sein kann, dass auch dieser öffentliche Schlüssel der Zertifizierungsstelle echt ist. Damit sich dieses System nicht ad absurdum führt, gibt es eine oberste Zertifizierungsinstanz, deren Funktion weiter unten noch detaillierter behandelt wird.

(vgl. Wikipedia – Begriffe: Zertifikat (Informatik) und Zertifizierungsstelle und VeriSign - Zertifizierungsstelle)
---

2. EU-Signaturrichtlinie und Signaturgesetz für Österreich

1999 wurde von der EU eine Richtlinie (PDF) über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen herausgegeben, die von den EU-Mitgliedsstaaten in Form von Gesetzen und Verordnungen in ihrem jeweiligen nationalen Recht verankert wird. In Österreich wurde im gleichen Jahr deshalb ein „Bundesgesetz über elektronische Signaturen (Signaturgesetz, SigG)“ entwickelt, das durch die Signaturverordnung konkretisiert wurde(vgl. RTR-Website zum Signaturrecht).

Dieses Gesetz bestimmt:

Gegenstand und Begriffsbestimmungen
Rechtserheblichkeit elektronischer Signaturen
Sagt aus, dass elektronische Signaturen mit unterschiedlichen Sicherheitsstufen und Zertifikatsklassen gültig sind. Neben „normalen“ Zertifikaten gibt es auch „qualifizierte Zertifikate“, die bestimmte Angaben enthalten müssen und teilweise entsprechen Signaturen (wenn es eine sichere elektronische Signatur ist) sogar einer Unterschrift.
Zertifizierungsdiensteanbieter
Diese müssen ihre Tätigkeit der Aufsichtsstelle melden (incl. Sicherheits- und Zertifizierungskonzept), benötigen aber keine Genehmigung für ihre Tätigkeit. Will ein Anbieter qualifizierte Zertifikate vergeben, muss er gewisse Auflagen erfüllen.
Aufsicht
Die Aufsicht über die Einhaltung des Gesetzes obliegt der Telekom-Control-Commission, wobei diese von der Rundfunk & Telekom Regulierungs-GmbH (RTR) bei der Durchführung unterstützt wird. Zertifizierungsdiensteanbieter haben die Möglichkeit einer freiwilligen Akkreditierung, indem sie der RTR die Einhaltung des SigG beweisen und die technischen Sicherheitserfordernisse für sichere Signaturen erfüllen.
Technische Sicherheitserfordernisse
Rechte und Pflichten der Anwender
Auch die Signatoren haben Pflichten wie die sorgfältige Verwahrung der Daten und das Veranlassen eines Widerrufs, falls ihm die Daten abhanden kommen.
Anerkennung ausländischer Zertifikate
Dieser Absatz besagt, dass ausländische Zertifikate genauso gültig sind wie inländische, wenn sie auf ihre Gültigkeit überprüft werden können. Auch qualifizierte Zertifikate aus dem Ausland werden denjenigen aus dem Inland gleichgestellt.
Schlussbestimmungen

(vgl. RTR-Website: Übersicht über das Signaturgesetz)
---

3. Aufsichtsbehörden und deren Aufgabe bezüglich elektronischer Signaturen

Zuständig für die Aufsicht über Zertifizierungsdiensteanbieter ist gemäß Art. 4 Abs. 1 der Signaturrichtlinie jener Staat, in dessen Hoheitsgebiet der Zertifizierungsdiensteanbieter niedergelassen ist.

In Österreich ist das – wie bereits erwähnt – die Telecom-Control-Commission mit der RTR – Rundfunk & Telekom Regulierungs-GmbH.
In Deutschland ist die Reg TP - Regulierungsbehörde für Telekommunikation und Post dafür zuständig.

Ihre Regulierungsaufgaben bestehen darin, zu überprüfen, ob die Angaben im Sicherheits- und im Zertifizierungskonzept der Zertifizierungsdiensteanbieter von jenen umgesetzt werden, „die Verwendung geeigneter technischer Komponenten und Verfahren zu überwachen“, „die Zertifizierungsdiensteanbieter zu akkreditieren“ und die „organisatorische Aufsicht über Bestätigungsstellen durchzuführen“. Weiters müssen sie eine Liste an gültigen, gesperrten und widerrufenen Zertifikaten veröffentlichen.
(vgl. RTR-Website: § 13 Aufsichtsstelle)
---

4. Zertifizierung

Zertifizierungsdiensteanbieter (=Zertifizierungsstellen):

Zertifizierungsdiensteanbieter, von denen es sehr viele gibt, können Firmen, öffentliche Organisationen oder Regierungsstellen sein (vgl. Wikipedia, „Zertifizierungsstelle“).

Eine Liste an Zertifizierungsdiensteanbietern, die ihre Tätigkeit bei der RTR angezeigt haben, ist auf deren Website zu finden, incl. einer Bewertung bezgl. qualifizierter, fortgeschrittener Zertifikate. Darin sind u.a. folgende Firmen und Vereine enthalten:

Arge Daten - http://www.a-cert.at/static/site_a_cert_portal.html
A-Trust - http://www.a-trust.at/
Generali IT-Solutions - http://zertifikate.generali.at/
Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie - http://europki.iaik.at/
mobilkom Austria - http://www.a1.net/
XiCrypt - http://www.xicrypt.com/
TeleTrusT Deutschland - http://www.teletrust.de/

Es sind – wie oben besprochen – auch ausländische Zertifizierungsstellen verwendbar. Die Website der Regulierungsbehörde für Telekommunikation und Post (Reg TP) veröffentlicht eine Liste an akkreditierten Zertifizierungsdiensteanbietern aus Deuschland:

Diverse Steuerberater- und Rechtsanwaltskammern
D-Trust - http://www.d-trust.de/internet/ihk/ihk_index.html
Deutsche Telekom - http://www.telesec.de/
TC TrustCenter - http://www.trustcenter.de/

Die am meisten verwendeten Web-Browser (z.B. Internet Explorer) haben bereits eine Liste von bekannten Zertifizierungsstellen und deren öffentliche Schlüssel integriert, sodass Zertifikate dieser Stellen automatisch überprüft werden (vgl. VeriSign). Daher folgt weiters eine Auflistung der deutsch- und englischsprachigen Zertifizierungsstellen, die der Internet Explorer bereits kennt (exclusive der bereits angeführten):

Cyber Trust - http://www.cybertrust.com/
Certipost E-Trust (Belgacom) - http://www.e-trust.be/en/
Entrust - http://www.entrust.com/
Equifax - http://www.equifaxsecure.co.uk/index.html
eSign - http://info.isl.ntt.co.jp/esign/
First Data Digital Certificates - http://www.firstdata.com/index.jsp
Global Sign - http://www.globalsign.com/
SecureNet - http://www.securenetasia.com/index.shtml
Thawte - http://www.thawte.com/
ValiCert - http://www.valicert.com/
VeriSign Deutschland - http://www.verisign.de/
Wells Fargo - http://www.wellsfargo.com/cps/index.jhtml

Auch die Universität Salzburg vergibt Zertifikate namens „PLUSCERT“.

Verfahren

Damit ein Zertifikat laut Signaturverordnung als qualifiziert gilt, müssen als Verfahren RSA oder DSA verwendet werden.(vgl. RTR-Website: Schlüsseltyp)
RSA ist ein asymmetrisches Verschlüsselungsverfahren, das – zur Zeit – als sicher gilt. Sein Name setzt sich aus den Anfangsbuchstaben der Nachnamen seiner Erfinder zusammen: Ronald L. Rivest, Adi Shamir und Leonard Adleman
Der DSA-Algorithmus wurde von der NSA entwickelt, um hochsichere Verschlüsselung zu kontrollieren.

(vgl. Wikipedia: „elektronische Unterschrift“)

Gebühren

Dazu möchte ich auf den Weblog von Vivienne Kaier verweisen, die sich ausführlich mit den anfallenden Kosten befasst hat.