"Standards für Public-Key Key- Infrastrukturen: Eine europäische oder deutsche Aufgabe?" 15.09.2004 Arno Fiedler
Inhaltsübersicht Nutzen einer Standardisierung Ausprägungen und relevante Organisation Zielkonflikte Signaturbündnis, OSCI und ISIS-MTT Zusammenfassung
Push- und Pull für Standards: Kundenmotivation Herstellermotivation Kunden wollen: Maßstab für Gleichwertigkeit zuverlässige Interoperabilität Kostenreduzierungen garantierte Sicherheitsniveaus Compliance Standards für Security level Sicherheits- standards niveaus Standards für Komponenten Management Standards Zertifizierung Hersteller wollen: Marketinginstrument/ Gütesiegel Gewährleistung für Interoperabilität Reduzierung von FuE-Kosten Erfüllung der Mindest- Kundenanforderungen Quelle: EITO 2003+
Geschäftsverkehr: Traditionell vs. Elektronisch company name street city, name state, zip code position telephone number fax number Visitenkarte Erster Kontakt gegenseitige Identifizierung (Authentizität) IBM World Registry Trust but Verify Digital Certificate Name: Lou Gerstner Serial number: 123456 Issued by: CA#Z516 Issue date: 07/01/96 Expiration: 07/01/96 Public key X a # 6 @ Digital signature of certificate issuer E-Mail Certificate Verhandlung der Details (Integrität & Vertraulichkeit) Hashen und Verschlüsseln Signiert & Verschlüsselt Abschluss des Geschäfts (Verbindlichkeit) Signatur mit qualifiziertem Zertifikat zum Non- Repudation mit verläßlicher Validierung Dokument
Das Spannungsfeld der Anforderungen
Perspektiven der PKI Standardisierung I Offizielle Normungsgremien: International: ISO, ITU Europäisch: ETSI ESI, CEN ESIGN, National: DIN Branchenspezifisch: Banken: ZKA, IDENTRUS, EMV EVU: E-Government: IDA - BC, OSCI, SAGA.
Perspektiven der PKI Standardisierung II Funktionsbezogen: Signatur zur Authentifizierung: SSL, S/MIME, ISIS-MTT Signatur mit Qual. Zertifikat zum Non-Repudation: ISIS- MTT Verschlüsselung: SSL, Kerberos, ISIS-MTT Marktbezogen: Marktdominierende Unternehmen: Liberty, W3C, OASIS Global Plattform, PKI/X, PKCS#ff Wirtschaftsorganisationen und Public-Private- Partnership: Signaturbündnis, ISIS-MTT Nutzerorganisationen
Übersicht der ETSI und CEN-Aktivitäten Certification Service Provider Requirements for CSPs Trustworthy system Qualified certificate Time Stamp Creation device Signature creation process and environment Signature format and syntax Signature validation process and environment User/signer CEN E-SIGN ETSI ESI Relying party/ verifier
Prägende Kräfte des Signatur- Bündnisses E-Government OSCI + VPS Banken-Sektor ZKA-Sig_Api IT-SEC-Industrie ISIS-MTT
Synthese der Standards E-Government OSCI + VPS Banken-Sektor ZKA-Sig_Api IT-SEC-Industrie ISIS-MTT
OSCI und ISIS-MTT Vereinbarungen: ISIS MTT trifft Vorgaben für die Datenstrukturen und die Dienstprotokolle einer PKI auf Basis internationaler Standards. ISIS MTT legt zusätzliche Regeln für Dienste und Client- Anwendungen fest, welche die Einhaltung der Anforderungen des Signaturgesetzes ermöglichen, sowie eine Interoperabilität der Systeme gewährleisten. OSCI Transport benötigt die Dienste einer ISIS-MTT kompatiblen PKI, somit ergänzen sich beide Standards. Alle wesentliche Anbieter unterstützen ISIS-MTT.
Ziele von ISIS-MTT Synthese der bereits vorhandenen Spezifikationen zu einem einheitlichen und offenen Standard-Profil Strikte Ausrichtung auf die Auswahl internationaler Standards mit Marktrelevanz Aktive Unterstützung durch Marktteilnehmer Entwicklung einer Testspezifikation und eines Testbeds, welches es den Anwendungsentwicklern ermöglicht, die ISIS-MTT-Interoperabilität unter Beweis zu stellen Investitionsschutz für die Anwender durch die Austauschbarkeit von Teilkomponenten Hohe Marktdurchdringung durch horizontale und vertikale Interoperabilität (Netzwerk-Effekt!)
Gesamt Überblick ISIS-MTT Infrastructure Certification Certification Service Service Provider Provider CRL CRL OCSP OCSP Service Service Directory Directory Timestamp Timestamp Service Service X.509 X.509 OCSP LDAP TSP Client Application (Sender) email email S/MIME email email File File File File CMS XML XML <?xml version="1.0"?> - <Signature xmlns="http://...xmldsig#"> - <SignedInfo> <DigestValue>dgL s2g=</d > </SignedInfo> <SignatureValue>taL MNM=</S > <X509Certificate>MII /cji4=</x > </Signature> XML XML Client Application (Receiver) XMLDSIG XMLENC Signature& Signature& Encryption Encryption Algorithms Algorithms Signature& Signature& Encryption Encryption Algorithms Algorithms
ISIS-MTT Struktur im rechtlichen Kontext Qual. Certiciates with CA-Acreditation Advanced Signatures with qual. Certificates Advanced Signatures ISIS-MTT Spec Certificate Profile Attribut Certificate CRL s + OCSP PKI-Management Path Validation Algorithms PKCS#11 TSP C o r e P r o f i l e QC - Statement OCSP - positive Statement Extensions SigG- Profile
Organisation zur ISIS-MTT Entwicklung Existierende praktisch umgesetzte Standards ETSI PKIX Projektmanagement Projekträger Fachgruppen- Konsultationen, Editoren Board: Datev, TC Trustcenter, Telesec, SAP, Fraunhofer ISST, TeleTrusT GF Anwendungsentwicklung Spezifikation + Testbed
Wer hat das ISIS-MTT MTT-Siegel bestanden? (Stand 08/04) Datev CA-Management + E-Mail Entrust Microsoft Windows 2003 Server Nexus Smartrust CA-Management (ID2) Datev Mail-Client in Prüfung: mehrere Clients und ZDA. Prüfen auch Sie Ihre Anwendungen mit dem (XML-) Testbed!
Nächste Schritte: Weitere Optimierung der Vergabe Gütesiegel Umsetzung des ETSI-TSL-Formats für European Bridge -CA. Optimierung Kern-Spec auch in Richtung RFC Analysen zur Aufnahme ArchiSig und Authentifizierung als zusätzliche Profile. Entwicklung eines erweiterten (XML-) Testbeds
Akzeptanz von ISIS-MTT Alle (zumindest in Deutschland) relevanten Anbieter und Nachfrager sind dabei Obligatorischer Standard gemäß der Interop- Vorgaben des Bundes (SAGA) Technische Grundlage im Signaturbündnis und bei JobCard Vorschrift in der Hamburgischen Gesetzgebung Basis-Spec. für HPC und Gesundheitskarte Anerkennung durch BDB und ZKA bezüglich Sig-API Basis zahlreicher Ausschreibungen und PKI-Projekte ISIS-MTT +XML-Profile Voraussetzung für OSCI Klare Zukunftsperspektive durch Selbstverpflichtung von TeleTrusT e. V. (und T7 e. V. i. G.)
Das Interop-Paradoxon lösen: Customized: Regional-/ Legal-/ Industry-/ Specific Requirements ad-hoc Solution EDI-? Identrus Cost-Benefit-Optimum PKIX XKMS Interoperability Conformity to international Standards
"Standards für Public-Key Key- Infrastrukturen: Sind als Aufgabe in Deutschland nur dann von Bedeutung, wenn dieses anwendungsbezogen auf Basis der international anerkannten Standards erfolgt und die marktrelevanten Organisationen dieses nachfragen und fördern.