Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
KAPITEL 10. PUBLIC-KEY ZERTIFIZIERUNGEN<br />
Auch auf EU-Ebene wurde und wird <strong>in</strong> mehreren Projekten zu Public-Key-Verfahren, -Infrastrukturen<br />
und Trustcentern geforscht bzw. werden digitale Signaturen und Zertifikate bereits im Wirkbetrieb<br />
e<strong>in</strong>gesetzt:<br />
¯ Das Projekt ICE-TEL und se<strong>in</strong> Nachfolge-Projekt ICE-CAR 16 befassen sich mit dem Aufbau<br />
e<strong>in</strong>er Zertifizierungs<strong>in</strong>frastruktur für Europa und der Entwicklung und Förderung entsprechender<br />
Anwendungen <strong>in</strong> Wissenschaft, Wirtschaft und Verwaltung.<br />
¯ Im EUROTRUST-Projekt 17 wird e<strong>in</strong> ähnliches Ziel wie <strong>in</strong> ICE-CAR verfolgt (Aufbau e<strong>in</strong>er<br />
CA/TTP-Infrastruktur), wobei der Schwerpunkt stärker auf den kommerziellen Aspekten des<br />
CA-Betriebs sowie auf key recovery bzw. key escrow (vgl. 10.4.2) liegt als bei ICE-CAR.<br />
¯ Alcatel und die Belgische Firma GlobalSign wurden Ende Februar 1999 von der EU-Kommission<br />
damit beauftragt, e<strong>in</strong> mit Public-Key-Verfahren abgesichertes Kommunikationsnetz zwischen<br />
Regierungen und Verwaltungen der EU-Mitgliedsstaaten aufzubauen. 18<br />
¯ Die Europäische Kommission will die Verwendung elektronischer Kommunikation <strong>in</strong> Verb<strong>in</strong>dung<br />
mit ihrem Fünften Rahmenprogramm (FP5) fördern. Aus diesem Grund bietet sie die<br />
Möglichkeit, Projekt-Vorschläge komplett auf elektronischem Wege e<strong>in</strong>reichen zu können. Mittels<br />
digitaler Zertifikate und kryptographischer Verfahren werden dabei Authentizität und Vertraulichkeit<br />
der elektronisch e<strong>in</strong>gereichten Proposals sichergestellt. Der FP5-Zertifizierungsdienst<br />
bietet dazu kostenlos digitale Zertifikate für die elektronische Kommunikation mit der<br />
Europäischen Kommission an. 19<br />
10.6.3 Gesetzgebung<br />
Für den Betrieb e<strong>in</strong>er Zertifizierungsstelle s<strong>in</strong>d viele gesetzliche Vorschriften relevant. Die wichtigsten,<br />
weil am konkretesten auf Zertifizierungsstellen abzielenden, s<strong>in</strong>d das deutsche Signaturgesetz<br />
mit der zugehörigen Signaturverordnung und die EU-Richtl<strong>in</strong>ie zur elektronischen Signatur. (Daneben<br />
s<strong>in</strong>d natürlich auch die Datenschutzgesetze zu berücksichtigen.)<br />
Signaturgesetz<br />
Das Gesetz zur digitalen Signatur [SigG], auch Signaturgesetz oder kurz SigG, ist seit 1. August 1997<br />
<strong>in</strong> Kraft. Es zielt darauf ab, Rahmenbed<strong>in</strong>gungen zu schaffen, „unter denen digitale Signaturen als<br />
sicher gelten und Fälschungen digitaler Signaturen oder Verfälschungen von signierten Daten zuverlässig<br />
festgestellt werden können“ (§ 1 Abs. 1) – <strong>in</strong>sofern ist es eher e<strong>in</strong> „Sicherungs<strong>in</strong>frastruktur-<br />
Gesetz“ als e<strong>in</strong> „Signaturgesetz“. Die Verwendung anderer Verfahren stellt das SigG ausdrücklich<br />
frei.<br />
Das Signaturgesetz sieht e<strong>in</strong>e zweistufige Zertifizierungshierarchie vor: Auf oberster Ebene bef<strong>in</strong>det<br />
sich die „zuständige Behörde“ genannte Wurzelzertifizierungs<strong>in</strong>stanz, die die eigentlichen, privatwirtschaftlich<br />
betriebenen Zertifizierungsstellen (zweite Ebene) zertifiziert. Diese wiederum stellen<br />
16 http://ice-car.darmstadt.gmd.de/<br />
17 http://www.baltimore.ie/projects/eurotrust.html<br />
18 http://www.globalsign.net/company/press/alcatel.htm<br />
19 http://fp5-csp.org/news.html<br />
158 SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong>