CAcert - Freie Zertifikate

Transkript

1 CAcert - Freie Zertifikate Vortrag zum Software Freedom Day, Hamburg Martin Gummi & Fabian Schubert CAcert - Freie Zertifikate Seite 1

2 Guck mal wer da spricht Fabian Schubert Assurer Mitglied im sidux e. V. Martin Gummi Assurer, Arbitrator CAcert - Freie Zertifikate Seite 2

3 Was ist eine CA? Eine Zertifizierungsstelle (englisch Certificate Authority, kurz CA) Identitätsbestätigung von Personen und Organisationen auf digitalem Wege Ausstellung von digitalen Zertifikaten CAcert - Freie Zertifikate Seite 3

4 Probleme der virtuellen Welt des Internets Privatsphäre durch Verschlüsselung Warum verwenden die meisten Leute noch immer das elektronische Gegenstück der Postkarte? Sicherheit durch Authentifizierung Wie kann ich sicher sein, wer auf der anderen Seite der Leitung ist? Vertrauen in das Internet Kostengünstige Lösung für jedermann CAcert - Freie Zertifikate Seite 4

5 Der Evergreen: PGP/GPG Web Of Trust A vertraut B, B vertraut C, C vertraut D, D vertraut E, also vertraut A auch E und kann ihm verschlüsselte Nachrichten schicken B C D A Vorteil: keine Zentrale Stelle, jeder kann mitmachen E CAcert - Freie Zertifikate Seite 5

6 Pro - Kontra bei GPG/PGP Pro: Die öffentlichen Schlüssel sind auf dezentralen Keyservern vorhanden und so leicht verfügbar An Vielen Orten finden Keysigning-Parties statt Kontra: Jeder bestätigt die Schlüssel wie er es mag Die Identitätsprüfung erfolgt häufig nur öberflächlich CAcert - Freie Zertifikate Seite 6

7 Der CAcert Ansatz Nicht nur die Adresse sondern auch die Identität wird überprüft Erfahrungspunkte werden vergeben Postident-ähnliches Verfahren Aber Mehraugenprinzip: es müssen mindestens 2 Personen Punkte vergeben Punktesystem: Wer mehr Erfahrung hat, darf auch mehr Erfahrungspunkte vergeben Festgelegtes, verpflichtendes Verfahren CAcert - Freie Zertifikate Seite 7

8 Der CAcert Ansatz in der Praxis B, C und D ( Assurer ) haben E gesehen, seine Identität festgestellt ( Assurance ) und an CAcert berichtet A vertraut dem CAcert System und kann sich sicher sein, dass E die richtige Person ist B C CAcert A E D CAcert - Freie Zertifikate Seite 8

9 CAcert Zertifikate: Anwendungsfelder Verschlüsselung von & Dokumenten Sowohl PGP als auch S/MIME (x509) Format Digitale Signatur von Dokumenten, s... Echtheit und Ursprung von Rechnungen Echtheit & Datum von Erfindungen Integrität von Testamenten SSL-Zertifikate für Webseiten Auto-Login per Browser-Zertifikat SSL-basierte VPNs SSL/TLS-abgesicherte Übertragungen CAcert - Freie Zertifikate Seite 9

10 Vor- und Nachteile Vorteile: Zertifikate sind kostenlos Einmalige Identitätsfeststellung gilt lebenslang Unbegrenzte Anzahl an Zertifikaten Nachteile: Zentrale Anlaufstelle, der man vertrauen muss Root-Zertifikate nicht standardmäßig installiert CAcert - Freie Zertifikate Seite 10

11 CAcert benutzen 1. Konto bei CAcert anlegen 2. Cacert Community Agreement lesen 3. Ausreichend Assurer besuchen, je nach Punktebedarf Mind. 1 amtlichen Ausweis mit Foto, besser 2 Formular (korrekt) ausfüllen 4. Assurer bestätigt Identität an CAcert und vergibt Erfahrungspunkte 5. Features werden entsprechend bei CAcert freigeschaltet CAcert - Freie Zertifikate Seite 11

12 Das Punktesystem Jeder Assurer vergibt Punkte je nach Erfahrung maximal 10 bis 35, kann auch weniger 0-49 Punkte Nicht assured Name nicht im Zertifikat enthalten Zertifikate sind 6 Monate gültig 50 Punkte Assured Name im Zertifikat Server-Zertifikat ist 2 Jahre gültig. PGP/GPG Key kann von CAcert signiert werden. 100 Punkte Maximal von anderen Assurern erhältliche Punktzahl. Code-Signing kann beantragt werden. Man kann Assurer werden. CAcert - Freie Zertifikate Seite 12

13 Das Punktesystem - Assurer Die maximale Punktezahl beträgt 150 (fully assured), nur als Assurer zu erreichen. Für jede Beglaubigung werden dem Assurer 2 Punkte gut geschrieben. Assurerpunkte Punktevergabe Voraussetzung Bestandene Assurer-Prüfung Mitglieder beglaubigt Mitglieder beglaubigt Mitglieder beglaubigt Mitglieder beglaubigt Mitglieder beglaubigt CAcert - Freie Zertifikate Seite 13

14 Die Assurerprüfung Mutliple-Choice-Test online ( 100 Fragen zu CAcert und Kontext zufällige Auswahl von 25 Fragen 80% müssen korrekt sein kein Zeitlimit beliebig oft wiederholbar Login nur per Zertifikat (Teil der Prüfung) CAcert - Freie Zertifikate Seite 14

15 CAcert Community Agreement Rechte... Begrenzung von Schadensersatzforderungen gegen Assurer CAcert und Ausstellung von Zertifikaten bleiben frei Datenschutz... und Pflichten CAcert Regeln anerkennen Streitigkeiten nur über CAcert, nicht gerichtlich Angaben müssen wahrheitsgemäß sein Kein Einsatz in mission critical Systems CAcert - Freie Zertifikate Seite 15

16 Organisation Assurance: für Betriebe 1. Firma als solche wird assured 2. Anschließend kann deren Sysadmin selbst die Mitarbeiter assuren 3. Die Mitarbeiter können sich Zertifikate erstellen 4. Firma kommt kostengünstig zu sicheren Kommunikation und kann ihre Dokumente digital signieren (Archivierung, Rechnungswesen... ) Mehr Infos : direkt bei CAcert anfragen CAcert - Freie Zertifikate Seite 16

17 Wermutstropfen: Browser-Integration CAcert Root-Zertifikat nicht standardmäßig bei den Browsern dabei daher: von CAcert ausgestellte Zertifikate nicht als gültig erkannt Audit läuft. Wenn erfolgreich: Aufnahme bei der Mozilla Foundation Bis dahin: Zertifikat per Hand auf den Clients installieren Bei den meisten Linux Distributionen als Paket CAcert - Freie Zertifikate Seite 17

18 Zusammenspiel mit anderen OSS-Tools Browser Firefox, Epiphany, Konqueror Mailprogramme Thunderbird, Evolution, Kmail... OpenOffice.org : Datei digital Signieren OpenVPN Fetchmail / Postfix /... CAcert - Freie Zertifikate Seite 18

19 Gründung und Hintergründe 2002: geht online 2003: Gründung CAcert Inc. CAcert Inc. ist ein eingetragener Non-Profit-Verein mit Sitz in Australien, der die Regeln definiert, und die zentralen Server betreibt CAcert Inc. hat weltweit Mitglieder, sehr viele in Deutschland 2009: Gründung CAcert Deutschland e. V. (Eintragung in das Vereinsregister noch anhängig) Über 3000 Assurer für CAcert tätig Über Benutzer CAcert - Freie Zertifikate Seite 19

20 Die Mitbewerber Verisign (& Thawte) Ganz große kommerzielle Anbieter Thawte Free Web of Trust R.I.P. StartSSL freie Zertifikate, SSL nur 1 Jahr Volle Features (code signing, wildcard domains) nur entgeltlich CAcert - Freie Zertifikate Seite 20

21 Hiiiiilfe! Wo gibt s Support? Offizielle Anfragen support@cacert.org Inoffizielle und triviale Sachen cacert-support@lists.cacert.org cacert-de@lists.cacert.org irc://irc.cacert.org/cacert.ger CAcert - Freie Zertifikate Seite 21

22 Mach mit! 1. Mitglied werden sich assuren lassen 2. CAcert benutzen PGP Schlüssel von CAcert signieren lassen SSL Zertifikat von CAcert bestätigen lassen 3. Assurer werden 100 Punkte & Assurer Test ablegen 4. An Treffen teilnehmen 5. Technisch mitwirken (Code-Entwicklung,Doku... ) CAcert - Freie Zertifikate Seite 22

23 Assurance now! Es sollten ausreichend Assurer im Raum sein 100 Punkte problemlos erreichbar Formulare vorhanden Ausweis und/oder Führerschein wird wohl jeder dabei haben Let s assure! CAcert - Freie Zertifikate Seite 23

24 Vielen Dank Herzlichen Dank für euer Interesse. Fabian Schubert Martin Gummi CAcert - Freie Zertifikate Seite 24