Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
90 Kapitel 4. Konzept für eine Zertifizierungsstelle (“plan”)<br />
Server-CA nie SigG-konform sein, <strong>und</strong> die <strong>DFN</strong>-PCA folglich auch nicht, wenn sie diese Server-CA<br />
zertifiziert!<br />
Aber auch andere arbeiten nicht unbedingt nach den Vorgaben des Signaturgesetzes, wenn es um<br />
Schlüsselzertifizierung geht, sondern verfolgen eigene Ideen <strong>und</strong> Ziele <strong>und</strong> arbeiten nach eigenen<br />
Regeln. So hat z.B. ein internationales Konsortium unter Beteiligung der Deutschen, der Dresdner<br />
Bank <strong>und</strong> der HypoVereinsbank mit Identrus 30 (vormals Global Trust Enterprise) ein weltweites<br />
Unternehmen gegründet, das mit den Finanzinstituten s<strong>einer</strong> Gründungsfirmen als CAs Identitätszertifikate<br />
auf der Basis der Root-CA von CertCo 31 ausstellen will [Cer98, CZ98a]. Und es ist doch<br />
mehr als fraglich, ob bei dieser weltumspannenden Kooperation ausgerechnet die Bestimmungen<br />
des deutschen Signaturgesetzes angewandt werden...<br />
4.19.6 Exportkontrolle<br />
Nach der Neuregelung der Exportkontrollen gemäß dem Wassenaar-Abkommen ist jetzt Verschlüsselungssoftware<br />
bis 56 Bit symmetrischer Schlüssellänge <strong>und</strong> bei Massenprodukten bis 64 Bit<br />
Schlüssellänge von der Exportkontrolle ausgenommen <strong>und</strong> darf beliebig exportiert werden [CZ98c].<br />
Bisher war Massenmarkt- <strong>und</strong> Public-Domain-Software nach der EG-Dual-Use-Verordnung von der<br />
Exportkontrolle ausgenommen; das neue Abkommen ist also in diesem Punkt restriktiver, da nun<br />
auch die Schlüssellänge entscheidet, ob eine Ausfuhrgenehmigung erforderlich ist [SH98c].<br />
Software für größere Schlüssellängen darf nicht ohne weiteres exportiert werden (sie steht unter Exportkontrolle);<br />
das bedeutet aber auch nicht, daß ihre Ausfuhr gr<strong>und</strong>sätzlich verboten wäre. Es ist<br />
Sache der einzelnen Mitgliedsländer des Wassenaar-Abkommens, wie sie die vereinbarten Regeln<br />
national gesetzgeberisch umsetzen bzw. ob ein Produkt, das unter Exportkontrolle steht, trotzdem<br />
ausgeführt werden darf. Außerdem scheint es dabei auch einigen Interpretationsspielraum zu geben.<br />
So hat Dänemark bereits einen Journalisten dazu angehalten, die Download-Möglichkeit von<br />
PGP von s<strong>einer</strong> Web-Site zu deaktivieren. Die B<strong>und</strong>esrepublik will hingegen erst in sechs Monaten<br />
mit der nationalen Umsetzung der Übereinkunft beginnen. Im Wirtschaftsministerium teilt man<br />
die dänische Auffassung, PGP sei “Mass Market Software” <strong>und</strong> damit exportkontrollpflichtig, nicht<br />
[CZ99b, Moe98]. Die Internet Engineering Steering Group (IESG) <strong>und</strong> das Internet Architecture<br />
Board (IAB) haben hingegen mit einem scharfen Protest auf die neuen Vereinbarungen reagiert<br />
[BC98], vermutlich weil die Mitgliedsstaaten verpflichtet sind, die – meist einstimmig getroffenen<br />
– Vereinbarungen in einem bestimmten Zeitrahmen in nationales Recht zu übertragen <strong>und</strong> anzuwenden<br />
[Rot98a, S. 9]. – Im Zweifelsfall hilft vielleicht eine Anfrage an das B<strong>und</strong>esausfuhramt (siehe<br />
Anhang M) weiter.<br />
„Die (käuflichen) Web-Browser (z.B. Netscape Navigator Gold) sind als mass market software<br />
für jedermann frei erhältlich <strong>und</strong> dazu entwickelt, vom Benutzer selbst installiert zu werden. ...<br />
Die im Internet kostenlos erhältlichen Web-Browser sind als Public Domain Software geneh-<br />
migungsfrei.“ [Rot98a, S. 9]<br />
Doch richtig aufatmen kann man z.B. als Administrator eines FTP-Servers trotzdem nicht – es gibt<br />
etliche andere Software mit kryptographischer Funktionalität, deren Export aus der B<strong>und</strong>esrepu-<br />
30 http://www.identrus.com<br />
31 http://www.certco.com