Cryptography Reference
In-Depth Information
entwicklung der Technologie. Die Standardisierung im PKI-Umfeld ist auf allen Ebenen be-
reits sehr weit fortgeschritten. Neben Standards zum Aufbau und zur Administration einer
PKI, existieren auch viele Spezifikationen, die eine Anwendung der einzelnen PKI-Dienste in
Applikationen definieren.
Im Gegensatz zur Standardisierung wurden PKIs in der Gesetzgebung erst später berücksich-
tigt. Staatliche Vorgaben spielen für die Verbreitung von digitalen Signaturen eine wichtige
Rolle, da nur der Staat die Regeln für eine juristisch abgesicherte Anwendung schaffen kann.
Das weltweit erste Gesetz über digitale Signaturen wurde in den USA Mitte der 90er Jahre als
„Utah Digital Signature Act“ veröffentlicht. Zu dieser Zeit wurde in Deutschland gerade mit
der Arbeit an einem Signaturgesetz begonnen, das von dem amerikanischen Vorbild im Bun-
desstaat Utah beeinflusst war. Das deutsche Signaturgesetz existiert derzeit in einer überarbei-
teten zweiten Fassung, die an die europäischen Richtlinien zu digitalen Unterschriften ange-
passt wurde. Das erste deutsche Signaturgesetz (SigG) trat als Bestandteil des „Gesetzes zur
Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste (IuKDG)“
am 1. August 1997 in Kraft. Ergänzend zum SigG wurde die Signaturverordnung (SigV) mit
den Ausführungsbestimmungen zum Einsatz von rechtlich abgesicherten digitalen Unterschrif-
ten am 1. November 1997 verabschiedet. Am 22. März 2001 löste das noch immer aktuelle
„Gesetz über Rahmenbedingungen für elektronische Signaturen“ [SIGG01] das Signaturgesetz
von 1997 ab. Dabei ist zu beachten, dass die SigV von 1997 bis zum 16. November 2001 Gül-
tigkeit besaß und erst ungefähr ein halbes Jahr nach dem neuen SigG in einer aktualisierten
Fassung erschien. Ein Hauptgrund für das neue SigG waren die Anpassungen an die Forde-
rungen der EU-Signaturrichtlinie vom Dezember 1999. Durch das neue Gesetz soll ein Aus-
tausch von digitalen Signaturen und den Leistungen von Zertifizierungs-Diensteanbietern
(Trustcentern) innerhalb der EU gefördert werden.
Die im alten Gesetz vorgeschriebene, sehr aufwändige Akkreditierung von Trustcentern besitzt
aus diesem Grund in der neuen Fassung nur freiwilligen Charakter. Deshalb werden auch die
Signaturverfahren nach "einfach", "fortgeschritten", „qualifizierte“ und „akkreditierte“ unter-
schieden. Die drei letzteren Varianten werden in Deutschland durch den Maßnahmenkatalog
von der Regulierungsbehörde für Telekommunikation und der Post (RegTP) [neu Bundesnetz-
agentur] vorgegeben. Real sind Millionen PKI-basierter Zertifikate für Beschäftigte, Dienste,
Server oder Pfandflaschenautomaten im Einsatz. Diese verwenden zu 99,9 % die fortgeschrit-
tenen Signaturen. Die qualifizierten Signaturen (und noch weniger die akkreditierten qualifi-
zierten Signaturen) setzten sich kaum durch, da die in der SigV festgeschriebenen Maßnahmen
nicht pragmatisch sind und für die Zertifikatsanbieter kein Geschäftsmodell besteht, sondern
sich ihr Design auf den Spezialfall der Verwendung im Prozessfall fokussierte.
Bei der Standardisierung des Internets wurden von der IETF (Internet Engineering Task Force)
ebenfalls PKI-Technologien und digitale Signaturen berücksichtigt. In der IETF erstellte die
PKIX-Arbeitsgruppe (Public Key Infrastructure X.509 Standard) den grundlegenden PKI-
Standard X.509. Die bekannteste X.509-Spezifikation „Internet X.509 Public Key Infrastructu-
re Certificate and CRL Profile“ [RFC3280] beinhaltet die Beschreibung eines Formates für
Zertifikate und Widerrufslisten in ASN.1-Syntax (Abstract Syntax Notation). ASN.1 ist eine
Beschreibungssprache für Datenformate [LAR00]. Auch die Bestandteile von „Certificate
Policies“ (CP) und „Certificate Practice Statements“ (CPS) richten sich nach einem X.509-
