Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
72 Kapitel 4. Konzept für eine Zertifizierungsstelle (“plan”)<br />
Angebot hinweisen. (Allerdings gilt es hier sorgsam abzuwägen, ob diese Aktion nicht „nach hinten<br />
losgehen“ könnte, <strong>und</strong> zwar dann, wenn viele der angeschriebenen die Mail eher als spam, also als<br />
belästigende, unverlangt zugesandte Nachricht, auffassen!)<br />
Eine andere Aktionsform, mit der die Zertifizierungsstelle den Zusammenhalt der UNI-PGP-Nutzer<br />
untereinander fördern <strong>und</strong> sie miteinander persönlicher bekanntmachen könnte, wären Key-Signing-<br />
Parties (siehe 4.14.7) im Rahmen anderer geeigneter Anlässe. Damit eine solche Key-Signing-Party<br />
ein Erfolg wird, sind einige organisatorische Vorbereitungen zu treffen; würde die UNI-CA diese<br />
Aufgabe übernehmen, so würde sie durch gelungene Key-Signing-Parties die Nutzer sicher auch<br />
zur Nachahmung anregen.<br />
Weitergehende öffentlichkeitswirksame Aktivitäten der Zertifizierungsstelle könnten z.B. in Kooperationen<br />
mit dem Datenschutzbeauftragten der UNI oder dem des betreffenden B<strong>und</strong>eslandes oder<br />
mit Verbraucherverbänden (s.o.) bestehen. (Siehe dazu auch Abschnitt 4.18.)<br />
Nachstehend werden nun einige spezielle Gesichtspunkte, die <strong>Teil</strong>e der Außendarstellung oder der<br />
Öffentlichkeitsarbeit <strong>einer</strong> Zertifizierungsstelle betreffen, näher erörtert.<br />
4.16.1 Benennung: ‘CA’ vs. ‘Trustcenter’<br />
Der Begriff ‘Trustcenter’ wird unterschiedlich gebraucht: Manche Autoren verwenden ihn pauschal<br />
für alle Vertrauensinstanzen, andere verknüpfen den Begriff mit <strong>einer</strong> bestimmten baulichorganisatorischen<br />
Ausprägung:<br />
„Ist die Vertrauensinstanz räumlich <strong>und</strong> organisatorisch verselbständigt, quasi als eigene Trutz-<br />
burg hinter Beton, Außenhautsicherungen <strong>und</strong> Zutrittskontrollen abgesichert, wird sie als Trust-<br />
center bezeichnet.“ [BHK<br />
94, S. 41]<br />
Unter anderem in Dokumenten der Europäischen Union bedeutet der Begriff ‘Trustcenter’ oder auch<br />
‘Trusted Third Party’ (TTP), also ein vertrauenswürdiger Dritter, fast immer zugleich auch ‘eine<br />
Stelle zur Hinterlegung geheimer Schlüssel’ (Stichwort key escrow bzw. key recovery), die gegebenenfalls<br />
den Sicherheitsbehörden eines Landes den Zugriff auf die Schlüssel ermöglicht. Insofern<br />
ist, zumindest für „Eingeweihte“, der Begriff ‘Trustcenter’ nicht mehr so positiv oder neutral, wie<br />
er für einen neutralen Beobachter zunächst erscheinen mag. Die EU-Kommission hält dies selber<br />
fest, indem sie in [EUK97, 2., dt. Fassung] bemerkt:<br />
„TTPs ... werden jedoch häufig mit dem rechtmäßigen Zugriff auf Schlüssel in Verbindung<br />
gebracht [...]. Es ist nicht ausgeschlossen, daß TTPs auch als CA, wie in dieser Mitteilung be-<br />
schrieben, fungieren können. Die Aufgaben beider Einrichtungen werden jedoch als verschie-<br />
den angesehen.“<br />
An anderer Stelle im selben Dokument wird die Kommission sogar noch deutlicher, wenn sie im<br />
Zusammenhang mit dem Schutz vor „Identitätsdiebstahl“ feststellt:<br />
„CAs muß es deshalb verboten sein, private Schlüssel aufzubewahren. Das wiederum un-<br />
terscheidet CAs von TTPs, welche gerade das Aufbewahren von Informationen über private<br />
Schlüssel zu ihren Aufgaben zählen.“