Suchen

Tahers Thesen zur IT-Sicherheit Digitale Zertifikate in Hardware einbetten

Autor / Redakteur: Taher Elgamal, Axway / Stephan Augsten

In Sachen Authentifizierung wirbt Taher Elgamal dafür, Hardware direkt mit digitalen Zertifikaten auszustatten. Gleichzeitig warnt er aber davor, eine solche Entwicklung zu weit zu treiben.

Firma zum Thema

Taher Elgamal: „Eingebettete Zertifikate wären eine wichtige Ergänzung zum ‚Schneller, Besser, Billiger‘ der Prozessor-Industrie.“
Taher Elgamal: „Eingebettete Zertifikate wären eine wichtige Ergänzung zum ‚Schneller, Besser, Billiger‘ der Prozessor-Industrie.“

Es war schon immer bekannt, dass das Gesamtvertrauen sich verbessert, wenn es an eine vertrauenswürdige Quelle gebunden ist. Die meisten PKI-Zertifikat-Implementierungen benutzen Hardware, um die privaten Schlüssel zu speichern, sodass das Fälschen einer Signatur oder der widerrechtliche Zugriff auf einen Schlüssel schwierig ist.

Derzeit kommen hier Hardware Security Module (HSM) für Serveroperationen oder USB-Geräte bei Clients zum Einsatz. Es stellt sich jedoch die Frage: Was, wenn diese Schlüssel im Prozessor selbst eingebettet wären?

Es wäre nur natürlich, dass die Branche versuchte, diese Hardware mit dem Prozessor zu kombinieren. Damit würde man den Wert der Hardware steigern und starke Authentifizierung zu einem Teil der Mainstream-Industrie machen.

Schwächen der E-Commerce-Welt beseitigen

Die Embedded Certificates wären eine wichtige Ergänzung zum „Schneller, Besser, Billiger“, das man bislang von der Prozessor-Industrie vernimmt. Profitieren könnten insbesondere Applikationen, die eine starke Authentifizierung benötigen, sowie das E-Commerce und andere Anwendungsgebiete, die mit sensitiven Daten arbeiten.

Mit Blick auf Vertrauensmodelle sollte man jedoch auch die folgenden Aspekte beachten: Zuerst müsste man weg von der vollen Flexibilität, die wir in der Browser-Welt von Anfang an hatten. Eine beträchtliche Zahl der Schwächen in der gegenwärtigen E-Commerce-Umwelt ließe sich vermeiden, wenn wir „verdächtigen“ Certificate Authorities (CA) nicht mehr grundsätzlich vertrauten.

Die Idee nicht zu weit treiben

Aber wir sollten das Pendel auch nicht ganz zur anderen Seite ausschlagen lassen, indem wir Monopole bilden. Stattdessen sollten wir uns daran machen, ein gutes System zu entwerfen, auf dessen Grundlage wir dieses Geschäft vernünftig aufbauen können.

Einer CA zu erlauben, ein Teil des Systems zu sein, sollte sich einfach bewerkstelligen lassen. Zumindest wenn man annimmt, dass wir wissen wie CA Schlüssel widerrufen werden und dass der Sperrlistencheck ein Standard aller Operationen ist.

Über Taher Elgamal

Dr. Taher Elgamal gilt in der IT-Welt als der „Erfinder“ von SSL und kümmerte sich zum Beispiel um die SSL-Bestrebungen bei Netscape. Zudem schrieb er das SSL-Patent und setzte sich in verschiedenen Gremien der Branche für SSL als Internetsicherheitsstandard ein. Ferner erfand Dr. Elgamal mehrere Branchen- und Regierungsstandards für Datensicherheit und digitale Signaturen – zum Beispiel DSS. Der gebürtige Ägypter ist für zahlreiche Unternehmen als Beirat und für Axway, die Business Interaction Networks Company, als Chief Security Advisor tätig. Seine Promotion erlangte Taher Elgamal an der renommierten Stanford University.

(ID:31374880)