Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
4.2. Outsourcen oder Do-it-yourself? 37<br />
4.2 Outsourcen oder Do-it-yourself?<br />
Viele Unternehmen würden in dieser Situation einen entsprechenden Auftrag an Dienstleister vergeben<br />
oder zumindest versuchen abzuschätzen, ob es nicht womöglich günstiger ist, die Dienstleistungen<br />
der UNI-CA von einem externen Anbieter einzukaufen, oder doch insgesamt die Vorteile<br />
überwiegen, wenn man eine solche CA mit eigenen Mitteln realisiert.<br />
Es gibt inzwischen erste Praxisbeispiele, welche Kosten einzelnen Unternehmen bei der Einführung<br />
<strong>einer</strong> Public-Key-Infrastruktur entstanden sind: Über einen Zeitraum von fünf Jahren kommen<br />
bei 5 000 Nutzern gut 100 Dollar pro User [Mac98] zusammen. Andere Studien nennen zwischen<br />
400 000 <strong>und</strong> 1,6 Millionen DM [NC98] für die gleiche Anzahl von Zertifizierungen <strong>und</strong> den gleichen<br />
Zeitraum.<br />
An diesen Summen wird deutlich, daß es für die UNI kaum zu finanzieren wäre, wenn sie diese<br />
Dienstleistung out-sourcen würde <strong>und</strong> tatsächlich ein großer <strong>Teil</strong> der Studenten oder auch nur der<br />
Rechenzentrumsnutzer Gebrauch von <strong>einer</strong> Zertifizierungsmöglichkeit machen würde. 1<br />
Eine Inhouse-Lösung hätte einen weiteren, nicht unerheblichen Vorteil: Durch die Verknüpfung von<br />
Rechenzentrum <strong>und</strong> Zertifizierungsstelle könnte Know-how erworben <strong>und</strong> könnten Synergieeffekte<br />
genutzt werden für alle anderen (Netzwerk-)Bereiche, in die jetzt oder in Zukunft ebenfalls Public-<br />
Key-Verfahren Einzug halten werden (siehe dazu auch 4.20.5).<br />
4.3 Überblick über das Konzept<br />
Die UNI-CA soll gr<strong>und</strong>sätzlich nach den Richtlinien der <strong>DFN</strong>-PCA arbeiten <strong>und</strong> eine Zertifizierung<br />
durch die <strong>DFN</strong>-PCA anstreben. Das Konzept ist so gewählt, daß diese Prämisse erfüllt wird.<br />
Die UNI-CA kann bis auf weiteres nicht als Zertifizierungsstelle nach dem deutschen Signaturgesetz<br />
betrieben werden, weil dessen Anforderungen an organisatorische, technische, personelle<br />
<strong>und</strong> bauliche Maßnahmen so hoch sind, daß sie die Möglichkeiten der UNI bzw. ihres Rechenzentrums<br />
übersteigen – zumal ja auch noch nicht abzusehen ist, ob ein entsprechender Bedarf für<br />
Signaturgesetz-konforme Zertifizierung vorhanden wäre, der einen solchen Aufwand rechtfertigen<br />
würde.<br />
Den Schwerpunkt der Arbeit der UNI-CA (<strong>und</strong> deswegen auch der Betrachtungen in diesem <strong>Teil</strong> des<br />
Handbuches) stellt die sichere Kommunikation mittels PGP dar. Dieses Programm bzw. Austauschformat<br />
besitzt eine hohe Verbreitung – weltweit nutzen zwischen sechs <strong>und</strong> 20 Millionen Menschen<br />
PGP [Moe99, SW97] – <strong>und</strong> stellt zur Zeit den De-facto-Standard für vertrauliche <strong>und</strong>/oder authentische<br />
Kommunikation per E-Mail <strong>und</strong> im Usenet dar. (<strong>DFN</strong>-<strong>CERT</strong>: „Die Signatur von <strong>DFN</strong>-<strong>CERT</strong>-<br />
Mitteilungen erfolgt bis auf weiteres ausschließlich mit PGP, da dies das zur Zeit am verbreitesten<br />
[sic] Verfahren ist.“ [CER94])<br />
Hinzu kommt, daß die X.509-Zertifizierung im <strong>DFN</strong> sich derzeit in <strong>einer</strong> Umbruchsphase befindet.<br />
Es wurden schon seit längerem X.509-Zertifikate von der <strong>DFN</strong>-PCA bzw. deren User-CA ausgestellt;<br />
diese zielten jedoch auf den Einsatz in PEM ab, einem Standard, der im Vergleich zu PGP<br />
keine große Verbreitung im Internet erlangt hat. Mittlerweile werden unter <strong>einer</strong> dritten, vorläufigen<br />
1 Zu weiteren Argumenten für oder wider einen Auftrag an ein externes Unternehmen siehe MOSES [Mos97].