cms-journal
Nr. 24
April 2003
Service
Metadaten
Hinweise
Weitere Artikel aus dem cms-Journal Nr. 24 finden Sie auf dem edoc-Server der Humboldt-Universität zu Berlin unter http://edoc.hu-berlin.de/cmsj/24
Copyright
Dieser Artikel ist ein Open Access Artikel und steht unter der Creative Commons Lizenz BY (siehe...).

Public Key Infrastructure – ein Blick in die nahe Zukunft

Michael Bell
michael.bell@cms.hu-berlin.de
Roland Herbst
herbst@cms.hu-berlin.de
Doris Natusch
natusch@cms.hu-berlin.de

Keywords

PKI, elektronische Signatur, Verschlüsselung, Authentifizierung, Smartcard, OpenCA

Abstract

Die hinter einer Public Key Infrastructure (PKI) stehenden kryptografischen Basistechnologien – die asymmetrischen bzw. Public Key-Verfahren, wie z. B. RSA – sind bereits seit Ende der 70er Jahre bekannt und werden bis heute eingesetzt. Die Schwierigkeiten und Hemmnisse bei der praktischen Umsetzung von PKI sind noch immer enorm und liegen zum Teil in den sehr aufwändigen Technologien, aber auch in neu zu gestaltenden organisatorischen Abläufen begründet. Der Artikel setzt sich mit dem Für und Wider einer PKI auseinander und informiert über die konzeptionellen Vorstellungen vom Aufbau einer Public Key Infrastructure (PKI) und den an der Humboldt-Universität erreichten Stand.

Man könnte die Überschrift des Artikels auch als Frage formulieren: Liegt in PKIs wirklich die nahe Zukunft? Die im letzten Jahr sehr kontrovers geführte Diskussion in der Fachpresse vermittelt den Eindruck, dass das Lager der Skeptiker wächst. Das Einstellen der Arbeit eines der großen Trustcenter könnte den Kritikern Recht geben, die sagen, dass es in Deutschland keinen Markt für PKI gäbe, dass die Technologie für Aufbau und Betrieb einer PKI zu aufwändig und zu teuer sei. Man könnte es jedoch auch positiv formulieren: die Euphorie ist einer gesunden Ernüchterung gewichen, man hat größere Klarheit über den hohen organisatorischen und technologischen Aufwand, aber auch über die großen Chancen und Möglichkeiten einer PKI gewonnen. Insbesondere für komplexe und heterogen aufgebaute IT-Landschaften – wie es Universitätsnetze in der Regel sind – gibt es sicherheitstechnisch kaum Alternativen. Hat man sich für den Aufbau einer PKI entschieden, weil man der Meinung ist, dass eine PKI für viele Anwendungen zwingend erforderlich ist, dann entstehen sofort die nächsten Fragen: Sollte man eine PKI im eigenen Hause oder durch ein kommerzielles Trustcenter betreiben? Setzt man im Inhouse-Betrieb kommerzielle oder OpenSource-Produkte ein? Welches Verfahren zur Herstellung elektronischer Signaturen muss man anwenden? Genügen fortgeschrittene Verfahren oder sind qualifizierte bzw. akkreditierte Verfahren erforderlich?

Diese und weitere Fragen wurden insbesondere in den letzten beiden Jahren an der Humboldt-Universität diskutiert. Von ebenso großem Interesse waren die Vorstellungen der anderen Hochschulen und die Erkundung von Möglichkeiten des gemeinsamen Betriebs einer PKI. Die Meinung des DFN-Vereins als langjährigem Träger verschiedener Projekte des Rechenzentrums auf dem Gebiet der Entwicklung von Sicherheitstechnologien wurde ebenso erfragt. Eine erste Bündelung der Vorstellungen erfolgte im Januar 2001 in einer Präsidiumsvorlage mit dem Titel »Aufbau einer Public Key Infrastructure (PKI) – eine Voraussetzung für sichere elektronische Kommunikation an der Humboldt-Universität zu Berlin«. Das Präsidium hat die Vorlage sehr positiv aufgenommen und »grünes Licht« für die nächsten Schritte gegeben.

In den folgenden Abschnitten sollen nun die Zielvorstellungen über den Aufbau der PKI an der Humboldt-Universität und der bisher erreichte Stand beschrieben werden. Da dieses Thema insgesamt noch immer mit einer gewissen Unsicherheit behaftet ist und langfristige Entwicklungsrichtungen sich nicht eindeutig erkennen lassen, hat man sich dazu entschlossen, den Aufbau einer PKI in mehreren Schritten anzupacken und sich am Anfang auf das PKI-Kernsystem und auf überschaubare und in ihren Auswirkungen begrenzte PKI-Anwendungen zu konzentrieren. Damit ließe sich die Kostensituation besser überblicken, man sieht relativ frühzeitig konkrete Ergebnisse und kann die Akzeptanz dieser neuen Technologie besser fördern.


Charakterisierung einer PKI

Die PKI charakterisiert eine Basistechnologie, die die Vorteile der umfassenden Nutzung der Kommunikationsinfrastruktur mit der Wahrung der Sicherheitsinteressen verbindet. Die PKI stellt die grundlegenden Sicherheitsfunktionen für eine stark authentifizierte und verschlüsselte Kommunikation in Netzwerken zur Verfügung. Diese Sicherheitsfunktionen sind allgemein Vertraulichkeit, Integrität, Authentifizierung und Nichtbestreitbarkeit von Daten. Mit dem Einsatz von PKI-Verfahren wird es möglich, durch starke Verschlüsselungsverfahren auch auf ungesicherten Wegen das unberechtigte Abhören und die unbemerkte Manipulation der übertragenen Daten zu verhindern. Mit einer digitalen Unterschrift können Daten und Nachrichten als verbindlich gekennzeichnet werden. Nach einer erfolgten sicheren Identifizierung können Zugangs- und Zutrittsrechte zu einzelnen Systemen (Server, Dienste, Räume) individuell und flexibel vergeben werden. PKI-Verfahren bieten ebenfalls die Grundlage dafür, dass sich die Kommunikationspartner mit fälschungssicheren digitalen Ausweisen sicher authentifizieren können.

Durch den Einsatz von Public Key Infrastrukturen wird neben der höheren Sicherheit auch die generelle Vereinfachung von Arbeitsabläufen und die Reduzierung von Arbeitsaufwendungen bei der Bereitstellung und Nutzung von Diensten und Anwendungen innerhalb eines Netzes angestrebt.

Inhaltsverzeichnis

Charakterisierung einer P...

Unsere Zielvorstellungen ...

Rechtliche Fragen ...

Stand der Arbeiten ...

Ausblick ...


Unsere Zielvorstellungen

Im Folgenden wird der rechtliche, organisatorische und technologische Rahmen absteckt, innerhalb dessen die PKI an der Humboldt-Universität (HU) aufgebaut wurde und zukünftig weiterentwickelt wird. Die PKI ist in Teilen verwirklicht und kann für einzelne Dienstleistungen und Anwendungen im Erwin Schrödinger-Zentrum eingesetzt werden. Einige wesentliche Zielvorstellungen beim Aufbau der PKI waren und sind:

  • Die PKI-Technologie bildet die Grundlage für weitere PKI-Anwendungen der Universität und kann nahtlos erweitert werden.
  • Es werden standardkonforme Software- und Hardwarelösungen eingesetzt, um den personellen und technologischen Aufwand für den Aufbau und die Betreuung einer PKI von Beginn an zu begrenzen.
  • Die PKI wird auf Basis von Open Source-Softwareprodukten aufgebaut. Es ist jedoch nicht ausgeschlossen, dass zu einem späteren Zeitpunkt (z. B. bei stark steigenden Nutzerzahlen) in einzelne PKI-Komponenten kommerzielle Softwareprodukte integriert werden.
  • Mit Hilfe der PKI werden die Funktionen der elektronischen Signatur, der Verschlüsselung und der Authentifizierung unterstützt. Es wird generell zwischen den Zertifikatstypen für Personen und Maschinen unterschieden.
  • Die durch die PKI erzeugten elektronischen Signaturen entsprechen in ihrer Rechtswirksamkeit der Stufe der fortgeschrittenen Signatur. Hinsichtlich der technischen Herstellungsverfahren wird möglichst Gesetzeskonformität angestrebt, d. h. die PKI-Komponenten werden durch Sicherheitsmaßnahmen geschützt, die z. T. über die gesetzlichen Forderungen für die fortgeschrittene Signatur hinausgehen.
  • Die Smartcard ist eine »reine« Zertifikats- und Signaturkarte. Aus Datenschutzgründen werden auf der Smartcard neben den Zertifikats- und Signaturangaben keine zusätzlichen Informationen über den Besitzer gespeichert. Informationen über den Kartenbesitzer befinden sich ausschließlich in den Anwendungssystemen.
  • Die Smartcard wird multifunktional genutzt. Die einzelnen PKI-Anwendungen werden modular aufgebaut und schrittweise auf Smartcard-Nutzung umgestellt. Es darf unterschiedliche Zugangsverfahren, aber keine unterschiedlichen Basis-Software-Systeme geben.
  • Durch die PKI werden X.509-Zertifikate hergestellt und verwaltet.
  • Die PKI-Lösung soll möglichst konform zu den Lösungen anderer Hochschulen entwickelt werden. Deshalb werden die Konzepte der HU mit denen anderer Hochschulen, insbesondere des Berlin-Brandenburger Raumes, ausgetauscht und abgeglichen.


Rechtliche Fragen

Bei den Diskussionen zum Aufbau einer PKI ist wiederholt die Frage in den Mittelpunkt gerückt, inwieweit die gesetzlichen Regelungen zur elektronischen Signatur durch die HU zu beachten, zwingend einzuhalten oder ggf. zu vernachlässigen sind. Eine Frage, über die an den Hochschulen zum Teil kontrovers diskutiert wird.

Welche Verfahrensstufe die elektronische Signatur letztlich erfüllen muss, ergibt sich aus den Anwendungsgebieten. Bei Anwendungsgebieten der elektronischen Signatur, die sich ausschließlich auf HU-interne Vorgänge beziehen, findet das SigG (u. a. rechtliche Regelungen zur Signatur) keine Anwendung. Da es bei den beabsichtigten PKI-Anwendungen um ein hohes Sicherheitsniveau geht, kann jedoch das SigG eine gewisse Orientierungshilfe geben. Wie die Zertifikate/Signaturen ausgestaltet werden, wer sie erhält, wozu sie innerhalb der HU genutzt werden sollen, entscheidet allein die HU. Dazu sind allerdings HU-interne Regelungen notwendig, die auch durch die Gremien verabschiedet werden müssen.

Wenn im Rechtsverkehr mit Dritten eine qualifizierte Signatur gesetzlich vorgeschrieben ist, muss diese bei einem Zertifizierungsdienste-Anbieter gemäß SigG beantragt werden. Es wird hierbei von der Annahme ausgegangen, dass die HU keinen Zertifizierungsdienst im Sinne der §§ 4 ff. SigG betreibt. Aus heutiger Sicht werden an der HU elektronische Signaturen in der überwiegenden Mehrheit im hochschulinternen Verwaltungsbereich eingesetzt, bei denen ein fortgeschrittenes Verfahren durchaus genügt. Es ist vorerst kaum zu erwarten, dass es zu Rechtsstreitigkeiten kommen könnte, bei denen der geringere Beweiswert der elektronischen Unterschrift eine entscheidende Rolle spielt. Eine endgültige Entscheidung über die hier angeschnittenen Probleme kann an der HU erst nach gründlicher Diskussion in den Gremien getroffen werden.

Inhaltsverzeichnis

Charakterisierung einer P...

Unsere Zielvorstellungen ...

Rechtliche Fragen ...

Stand der Arbeiten ...

Ausblick ...


Stand der Arbeiten

Die HU gehört mit zu den ersten Hochschuleinrichtungen, die kurz nach der Veröffentlichung des Signaturgesetzes (in der Fassung 1997) eine eigene Zertifizierungsinstanz in Betrieb genommen und erste Erfahrungen in Pilotanwendungen gemacht haben. Die Policy der »Humboldt-University Certification Authority (HU-CA)« wurde am 16. 02. 1998 von der Kommission für Rechentechnik des Akademischen Senats der HU beschlossen. Die HU-CA wurde im Frühjahr 1998 von der DFN-PCA zertifiziert und im Dezember 2001 rezertifiziert. Die Zertifizierungsinstanz der HU (s. http[s]://ra.hu-berlin.de/ ) verfügt nahezu über alle Komponenten einer Public Key Infrastructure (PKI) wie Policy, Zertifizierungsinstanz (CA), Registrierungsinstanz (RA), Verzeichnisdienst (LDAP-Server) und über die Möglichkeit der Smartcard-Unterstützung. Nach jetziger Gesetzeslage (SigG vom Mai 2001) werden durch die HU-CA fortgeschrittene Signaturen hergestellt und verwaltet.

Derzeit werden die Zertifikate vor allem für Server, den E-Mailverkehr und VPN-Technologien ausgestellt. Es werden unter anderem Web-, Mail- und LDAP-Server mit Zertifikaten ausgerüstet, um mit TLS die Basisdienste der Kommunikationsinfrastruktur der Universität abzusichern. Die E-Mailzertifikate können einzeln bei der HU-CA bestellt werden. Die Abteilung Personal und Personalentwicklung setzt mittlerweile Zertifikate flächendeckend ein, um den abteilungsinternen elektronischen Austausch von personenbezogenen Daten mittels verschlüsselter E-Mails durchführen zu können. Der Einsatz von VPN-Technologien befindet sich derzeit in der Evaluation. Diese werden im Rahmen des Projektes »Dezentraler Zugriff auf zentrale Haushaltsdaten« (DeZug) erprobt. Ein weiteres Pilotprojekt beschäftigt sich mit dem sicheren Zugriff auf ein Prüfungsverwaltungssystem. Bei diesen Pilotanwendungen ist auch die Smartcard-Integration vorgesehen.

Bisher hat die HU-CA etwa 250 Zertifikate ausgestellt. Es sind etwa 100 Zertifikate aktiv. Dabei handelt es sich ungefähr zu 20 Prozent um Serverzertifikate und zu 80 Prozent um Nutzerzertifikate. Das Trustcenter ist im Rechenzentrum angesiedelt und entsprechend dem Beschluss des Akademischen Senats in Betrieb genommen worden. Das Trustcenter setzt an Softwarekomponenten zwei CAs, zwei RAs, ein öffentliches Interface und einen LDAP-Server ein. Des Weiteren werden mehrere Datenbanken und zwei Server für den Datenaustausch zwischen den Online- und Offline-Komponenten eingesetzt, da die sicherheitskritischen privaten Schlüssel der HU-CA immer vom Netz getrennt sind. Es werden ausschließlich Open Source-Komponenten eingesetzt. Im Rahmen der unterschiedlichen Projekte wurden diverse Smartcards erprobt: unter anderem Datakey Model 330, Gemplus GPK8000 und GPK 16000, Rainbow Technologies iKey 2032, Schlumberger Cyberflex Access 16K. Die Erprobung einer weiteren Karte steht kurz bevor. Diese Karte soll dann eventuell auch an den öffentlichen Computerarbeitsplätzen des Erwin Schrödinger-Zentrums, hierbei handelt es sich vorwiegend um ThinClients, zum Einsatz kommen.

Nach der Umstellung der HU-CA auf OpenCA wird angestrebt, die HU-CA zur Unterstützung von großen Nutzerzahlen weiter auszubauen. Im Rahmen der Umstellung der Personalabteilung auf ein neues E-Mailsystem wurden 70 Nutzer gleichzeitig mit Zertifikaten ausgerüstet. Dies ist nur ein erster Schritt auf dem Weg zum Angebot der Zertifikatsunterstützung für alle Universitätsangehörigen. Deshalb wird der automatische Betrieb weiter ausgebaut und die Mitarbeit am OpenCA-Projekt fortgeführt.

Für die Nutzung von Zertifikaten zur Authentifizierung an einem Windows 2000 Netzwerk im Erwin Schrödinger-Zentrum mittels Smartcard wurden mehrere Änderungen an Open Source-Softwareprodukten vorgenommen und veröffentlicht. Die HU-CA ist nun in der Lage, Microsoft-Smartcardlogin-kompatible Zertifikate zu erstellen.

Abb. 1 enthält einen Screenshot vom öffentlichen Portal des Trustcenters der HU (HU-CA) mit den Fingerprints der drei CA-Zertifikate.

image

Abb.1: Öffentliches Portal des Trustcenters der HU (HU-CA) mit hervorgehoben dargestellten Fingerprints URL: http[s]://ra.hu-berlin.de/

Inhaltsverzeichnis

Charakterisierung einer P...

Unsere Zielvorstellungen ...

Rechtliche Fragen ...

Stand der Arbeiten ...

Ausblick ...


Ausblick

Auch in Zukunft soll das PKI-Kernsystem weiter ausgebaut und optimiert werden, um eine noch größere Stabilität, Leistungsfähigkeit und Benutzerfreundlichkeit zu erreichen. Damit sind für das Erwin Schrödinger-Zentrum die besten Voraussetzungen geschaffen, Dienstleistungen auf deutlich höherem Sicherheitsniveau als bisher anzubieten. So wird beispielsweise die Benutzung öffentlicher Computerarbeitsplätze bei minimaler Betreuung in Selbstbedienung möglich, da der Zugang zum Computer durch die Smartcard-Nutzung zusätzlich gesichert wird. Die bisher nur begrenzt in der Verwaltung genutzten Verfahren zum Verschlüsseln und Signieren von E-Mails mit personalrelevantem Inhalt könnten künftig allen Interessenten angeboten werden. Man kann die hochwertige, neu beschaffte Multimedia-Technik in den Hörsälen des Erwin Schrödinger-Zentrums und auch die transportablen Hightech-Geräte durch die Ausgabe von Zertifikaten besser schützen. Die bisher nahezu ungeschützten Wireless-LAN-Verbindungen könnten verschlüsselt und zertifikatsbasiert erfolgen. Auch die zertifikatsbasierte Fernwartung von Server- und Kommunikationstechnik wird durch die unterschiedlichen Standorte immer mehr an Bedeutung gewinnen, denn die vor Ort-Administration wird bald der Vergangenheit angehören.

Die genannten Möglichkeiten des Einsatzes von PKI im Erwin Schrödinger-Zentrum sind bereits sehr weit gediehene Zukunftspläne und keine Visionen mehr. Am Ende des langen Weges steht allerdings doch eine Vision, die Vision eines Smartcard-basierten Benutzerausweises für das Erwin Schrödinger-Zentrums, mit dem man einen sicheren Zugang z. B. zu Systemen, Datenbanken, Geräten und Räume erhalten kann. Eng gekoppelt an die Zukunftspläne ist die Lösung des Personalproblems für die Wartung und Weiterentwicklung der PKI-Komponenten.

Inhaltsverzeichnis

Charakterisierung einer P...

Unsere Zielvorstellungen ...

Rechtliche Fragen ...

Stand der Arbeiten ...

Ausblick ...