Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

21.04.2000 - 

Kosten und Interoperabilität lassen noch zu wünschen übrig

RSA Conference: Kontroverse um Public Key Infrastructure

MÜNCHEN (ave) - Das Verfahren Public Key Infrastructure (PKI) gehörte zu den Hauptthemen der RSA Conference 2000, die zum ersten Mal in Europa stattfand. Die Experten waren sich einig: Die umfassende Sicherheitstechnik bringt Unternehmen zwar viel Sicherheit für ihre Kommunikation, ist aber sehr teuer und schwer zu verwalten.

"Sicherheit steht bei den meisten Unternehmen mittlerweile ganz oben auf der Agenda. Alle beschäftigen sich damit, weil sie wissen, dass ihr Geschäft gefährdet ist, wenn sie es nicht tun." Mit diesen Worten begrüßte Jim Bidzos, Vice Chairman von RSA Security Inc., die etwa 700 Teilnehmer der RSA Conference Europe 2000. Die seit 1991 jährlich stattfindende Veranstaltung hat sich in den USA längst zu einem anerkannten Forum für Sicherheitsexperten entwickelt. Jetzt fand sie erstmals auch auf europäischem Boden statt.

Nach Ansicht von Bidzos müssen Unternehmen heute ihre Netze öffnen und das Internet in ihre Kommunikationsstrategie einbeziehen, wenn sie wettbewerbsfähig bleiben wollen. So sieht Bidzos auch den elektronischen Handel als "eine nicht zu stoppende Flutwelle, die allerdings ohne entsprechende Sicherheitsmaßnahmen im Sand verlaufen wird." Die DV-Spezialisten seien daher zum Einsatz von Verschlüsselungs- und Authentifizierungssystemen wie PKI gezwungen, um das eigene Netz und sämtliche geschäftskritischen Informationen darin vor unbefugten Zugriffen zu schützen.

Das PKI-Verfahren bedient sich öffentlicher und privater Schlüssel, um beispielsweise die Kommunikation zwischen zwei Geschäftspartnern zu chiffrieren und gleichzeitig die Identität des Absenders gegenüber dem Empfänger zu bestätigen. Um dies für den Anwender möglichst einfach und nicht zu umständlich zu machen, sollte die PKI-Lösung sich in bestehende Anwendungen integrieren lassen. Wichtig ist zudem die zugrunde liegende Infrastruktur: Unter anderem müssen Unternehmen genaue Regeln für die Sicherheit definieren, außerdem gilt es, für sämtliche Mitarbeiter digitale Zertifikate auszustellen, zu überwachen und zu überprüfen. Bei Firmen mit mehreren tausend Angestellten keine leichte Aufgabe, doch das PKI-Verfahren steht und fällt mit ihrem Gelingen. (siehe Kasten auf Seite 30 "Was ist PKI?").

Anwender erhalten mit PKI ein mächtiges Tool, das ihre Kommunikation umfassend absichern und letztendlich auch geldwerte Vorteile bringen kann, wie Analysten bestätigen. Jonathan Tikochinsky vom Marktforschungsunternehmen Datamonitor etwa berichtete auf der RSA Conference von vorläufigen Ergebnissen einer neuen Studie zum Return on Investment (ROI) von PKI, an der er zur Zeit arbeitet.

Bereits jetzt zeichne sich ab, dass vor allem Finanzdienstleister, Händler sowie in den Bereichen Technologie und Kommunikation aktive Unternehmen vom Einsatz einer solchen Lösung profitieren könnten. Bei der internen Kommunikation, dem Informationsaustausch mit Geschäftspartnern über ein Extranet, aber auch im Zusammenhang mit elektronischem Handel lohne sich die Investition. Tikochinsky kommt zu dem Schluss, PKI sei "möglicherweise die beste derzeit erhältliche Sicherheitslösung".

Einer im Dezember 1999 vorgestellten Studie der Aberdeen Group zufolge wissen die meisten Unternehmen um die Vorteile von PKI. Von weltweit über 200 befragten Entscheidern in Unternehmen und Regierungsbehörden gab ein knappes Drittel an, PKI bereits zu verwenden (siehe Grafik).

Dass sich einige noch zurückhalten, hat seine Gründe: Trotz aller Vorteile besitzen PKI-Lösungen vor allem drei Schwachstellen. Zu den hohen Preisen für solche Systeme kommen die Komplexität derartiger Installationen und nicht zuletzt die momentan noch mangelhafte Interoperabilität von Produkten verschiedener Hersteller. Dieses Dilemma haben auch die Anbieter erkannt und im vergangenen Dezember das PKI-Forum (http://www.PKIForum.org) ins Leben gerufen. "Angetrieben von den Kunden, aber geführt von den Herstellern" soll in diesem Kreis das Ineinandergreifen zwar standardorientierter, aber deswegen nicht unbedingt interoperabler Produkte optimiert werden.

Das erste Treffen der Organisation fand im März in Kalifornien statt. Um zu beweisen, dass sich die Arbeit des Gremiums nicht auf die USA beschränkt, sind Meetings noch in diesem Jahr in Irland und Australien geplant. Das PKI-Forum versteht sich nicht als Standardisierungsgremium, sondern will sich vielmehr darum bemühen, das Verständnis und die Akzeptanz für das Verfahren zu erweitern und den praktischen Einsatz zu vereinfachen. Die Kooperation mit Körperschaften wie der Internet Engineering Task Force (IETF) oder dem American National Standards Institute (Ansi) soll dabei jedoch auch eine wichtige Rolle spielen.

"Wir müssen PKI soweit verfeinern, dass die Implementierung den Unternehmen keine Schwierigkeiten mehr bereitet", erklärt dazu ein Sprecher der Business Working Group des Forums. Es dürfe außerdem nicht passieren, dass ein Smartcard-basiertes PKI-System abstürzt, wenn eine andere als die vorgesehene Chipkarte in ein Lesegerät eingeführt wird, wie er es eigenen Aussagen zufolge schon erlebt hat.

Unternehmen, die sich für eine PKI-Installation entscheiden, empfiehlt Analyst Tikochinsky, zunächst einmal die Kosten für eine Implementierung zu ermitteln. Das umfasst auch die Aufwendungen, die eine Integration in bestehende Anwendungen, etwa im Bereich Enterprise Resource Planning (ERP), verursachen könnte. Auf jeden Fall sollten sich Firmen eine klare Strategie zurechtlegen, bevor sie an eine Implementierung denken - blindlings an die Arbeit zu gehen, sei keine gute Idee. Der Analyst weist auch darauf hin, dass der Verwaltungsaspekt nicht aus den Augen verloren werden darf: "Das ist keine leichte Aufgabe" warnt Tikochinsky. Ratsam sei zudem, vor der Implementierung einen Spezialisten hinzuzuziehen, der die gesamte Unternehmens-IT gründlich auf Schwachstellen, mögliche Risikofaktoren und den Grad der benötigten Sicherheit abklopft.

Ist PKI erst einmal installiert, können Anwender enorm davon profitieren. Das Verfahren erlaubt es dann, die Identität eines Geschäftspartners in der Kommunikation eindeutig zu überprüfen. Zudem wird über Verschlüsselung die Vertraulichkeit der Kommunikation gewährleistet. Bob Pratt, Senior Product Line Manager beim PKI-Anbieter Verisign, berichtet, dass beispielsweise der amerikanische Carrier US West etwa 1000 seiner Großkunden ermöglicht, ihre Telefonabrechnung über das Internet einzusehen. Um die hierfür erforderliche, absolute Vertraulichkeit zu gewährleisten, hat sich der TK-Anbieter für eine PKI-Lösung entschieden. Auch die Kunden profitieren: Sie können nun jederzeit online ihre laufenden Kosten kontrollieren und sind nicht mehr darauf angewiesen, die gedruckte Rechnung mühsam auszuwerten. Ein weiteres Praxisbeispiel betrifft die Universität von Texas. 50000 Studenten nutzen dort ein Smartcard-gestütztes PKI-System, um sich für Kurse einzuschreiben, Einkäufe zu erledigen oder ihre medizinischen Daten zu übermitteln.

Was ist PKI?Public Key Infrastructure (PKI) ist ein umfassendes Sicherheitssystem, das sich digitaler Zertifikate bedient, um Anwender zu identifizieren, Kommunikation oder Dateien/Dokumente zu verschlüsseln und digital zu signieren. Dies geschieht auf Basis der asymmetrischen Verschlüsselung über das Public-Key-Verfahren. Dabei besitzt jeder Anwender einen privaten und einen öffentlichen Schlüssel, mit dem er Dokumente ver- oder entschlüsseln kann. Will Mitarbeiter A eine Nachricht an Mitarbeiter B schicken, benutzt er dessen öffentlichen Schlüssel (wird in der Regel in einem LDAP-kompatiblen Verzeichnis abgelegt), um die Nachricht zu verschlüsseln, und unterschreibt mit seinem privaten Schlüssel. Dabei wird ein Datenblock erzeugt, der - nach der Dechiffrierung mit dem öffentlichen Schlüssel von A - dessen Identität eindeutig bestätigt. Entsprechend kann die von A erzeugte Nachricht nur von B mit dessen privatem Schlüssel gelesen werden.

Damit dieses komplizierte System reibungslos funktioniert, bedarf es einer durchdachten Infrastruktur, die sorgfältig geplant und verwaltet werden muss. Unter anderem braucht es eine zentrale Instanz (Certificate Authority = CA), die Zertifikate für Anwender, Services oder Anwendungen erstellt oder auch wieder einzieht. Mit dem ihr eigenen privaten Schlüssel "unterschreibt" die CA diese digitalen Dokumente. Unter Verwendung des öffentlichen Schlüssels kontrollieren wiederum alle am PKI-System partizipierenden Parteien die Echtheit des Zertifikats. Die CA-Funktion kann innerhalb des Unternehmens auf einem oder mehreren Servern unter der Obhut der IT-Abteilung laufen oder von einem Drittanbieter (etwa Verisign oder GTE) als Service bereitgestellt werden.

Eine Registration Authority (RA) nimmt die Anträge auf Erteilung eines digitales Zertifikats entgegen und überprüft die Identität eines jeden Antragstellers (etwa anhand des Ausweises). Diese Aufgaben könnte beispielsweise die Personalabteilung eines Unternehmens erfüllen.

Des Weiteren ist ein zentrales Verzeichnis (in der Regel auf LDAP-Basis) nötig, in dem alle Zertifikate, öffentlichen Schlüssel und Certificate Revocation Lists (CRLs) vorgehalten werden. Da die CA normalerweise ein Verfallsdatum (Time stamp) für digitale Zertifikate vergibt, wird mittels der CRLs festgehalten, wie lange bestimmte Zertifikate ihre Gültigkeit behalten. Sinnvoll ist zudem ein Dienst, um verloren gegangene Schlüssel wiederherzustellen.

Eine tiefer gehende Erklärung zu PKI findet sich unter anderem unter http://home.xcert.com/marcnarc//PKI/thesis/contents.html. Auf den Seiten von RAS Security (http://www.rsasecurity.com/products/keon/whitepapers/pki/PKIwp.pdf) ist zudem ein brauchbares White Paper zu dem Thema zu finden.

Ab.: Einer Aberdeen-Studie zufolge werden bis 2003 etwa 98 Prozent aller Unternehmen PKI als Sicherheitslösung einsetzen. Quelle: Aberdeen Group