Suchen

Tahers Thesen zur Sicherheit: Blindes Vertrauen PKI-Umsetzung und Certificate Authorities – Zeit für eine Reifeprüfung

| Autor / Redakteur: Taher Elgamal, Axway / Stephan Augsten

Die Angriffe auf Certificate Authorities wie Diginotar oder Comodo werfen Fragen auf. Das Browser-basierte Vertrauensmodell genügt nicht. Wir benötigen eine neue Instanz, die sich um die Reputation kümmert. Darüber hinaus sollte man auch die Implementierung der Public-Key-Infrastruktur (PKI) in Frage stellen.

Taher Elgamal: „Wir wussten von Anfang an, dass das Vertrauensmodell im Browser nicht ausreicht.“
Taher Elgamal: „Wir wussten von Anfang an, dass das Vertrauensmodell im Browser nicht ausreicht.“

Den Certificate Authorities (CAs) „vertraut“ man in jedem Browser. Und beinahe jeden Tag werde ich nach ihren Schwächen gefragt. Vor Jahren haben wir entschieden, Public KeyInfrastrukturen als den Eckstein in Sachen SSL-Sicherheit und des frühen Webs heranzuziehen.

Dies wird häufig kritisiert. Und zwar wegen der suboptimalen Praktiken bei einigen CAs sowie der Tatsache, dass wir diese nicht ermitteln und von unseren „Vertrauenslisten“ entfernen können, ohne den Browser zu patchen.

Wir wussten von Anfang an, dass das Vertrauensmodell im Browser nicht ausreicht. So gut wie jedes Online-Geschäft hat heute Vertrauenskomponenten, bei deren Etablierung das Internet behilflich sein und die Nutzer darüber auch informieren kann. Es ist bezeichnend, dass nun gerade die Geschäfte, die im Kern des Vertrauens der gesamten E-Commerce-Welt stehen, solchen Entwicklungen noch immer hinterherhinken.

Vielleicht kann man die Community unterstützen

Vielleicht ist es aber gerade jetzt an der Zeit, dass irgendeine neue Internet-Instanz damit beginnt, Reputationsdaten über die CAs zu sammeln. Diese wiederum müsste man den Benutzern und anderen Organisationen zur Verfügung stellen.

So lange Root Keys fest in die Bowser kodiert sind, können wir CAs nicht einfach so rausschmeißen. Das ist natürlich eine Schwachstelle eines jeden PKI-Systems. Aber vielleicht können wir in der Zwischenzeit wenigstens der „Community“ helfen?

Letzten Endes wird man die PKI-Implementierungen in den Browsern überprüfen müssen. Die Browserhersteller sind doch die eigentliche Quelle des Vertrauens – unabhängig von Meinungen oder Geschäftspraktiken. Und als solche wäre es so viel einfacher für sie gewesen, CA Root Keys zu signieren, statt sie einfach nur hart zu kodieren.

Über Taher Elgamal

Dr. Taher Elgamal gilt in der IT-Welt als der „Erfinder“ von SSL und kümmerte sich zum Beispiel um die SSL-Bestrebungen bei Netscape. Zudem schrieb er das SSL-Patent und setzte sich in verschiedenen Gremien der Branche für SSL als Internet-Sicherheitsstandard ein. Ferner erfand Dr. Elgamal mehrere Branchen- und Regierungsstandards für Datensicherheit und digitale Signaturen, beispielsweise DSS. Der gebürtige Ägypter ist für zahlreiche Unternehmen als Beirat und für Axway, die Business Interaction Networks Company, als Chief Security Advisor tätig. Seine Promotion erlangte Taher Elgamal an der renommierten Stanford University.

(ID:30733000)