Mit Sicherheit das interessanteste Projekt, das ich von den Linzer Linuxwochen mitgenommen hab’, ist CAcert. Dabei handelt es sich um eine Zertifizierungsstelle, die sowohl Client-, als auch Serverzertifikate einer breiten Öffentlichkeit zugänglich macht.
Zur Erklärung: Das Problem bei der Verwendung eines Public-Key Verschlüsselungsverfahrens ist, dass der öffentliche Schlüssel, der zum Verschlüsseln von Nachrichten verwendet wird, auch irgendwie ausgetauscht werden muss. Wenn dieser Austausch auf elektronischem Wege erfolgt, kann der Empfänger des Schlüssels sich aber nicht sicher sein, dass es sich wirklich um den Schlüssel seines Kommunikationspartners handelt. Ein Lösungsansatz für dieses Problem stellt das Konzept des “Web of Trust” dar. Dabei lässt sich der Besitzer seinen öffentlichen Schlüssel von Leuten signieren, die seine Identität bestätigen können. Dies geschieht z.B. auf sog. Key-Signing-Parties.
Leider ist auch damit das Problem nicht gelöst. Wer garantiert mir die Identität der Leute, die den Schlüssel meines Kommunikationspartners signiert haben?
Um eine wirklich sichere digitale Kommunikation zu ermöglichen, kommt man um digitale Zertifikate nicht herum. Diese werden von Vertauenswürdigen Organisationen, sog. Certificate Authorities (CAs) vergeben, die einen Schlüssel eindeutig einer Person oder Organisation zuordnen. Bisher waren solche Zertifikate aber nur für teures Geld zu haben, und so für die breite Öffentlichkeit nicht zugänglich.
CAcert hebt sich nun von anderen CAs à la VeriSign ab. CAcert (eine in Australien eingetragene NPO) bietet kostenlose Client- und Serverzertifikate für Jedermann. Dies wird durch die Trennung von Zertifikatvergabe und Assurance erreicht. Ein einfaches E-Mail-S/MIME-Zertifikat zum Signieren und Verschlüsseln kann jeder bekommen, der sich anmeldet. Andere Zertifikate (Code Signing, S/MIME-Zertifikate mit Namen und Server-Zertifikate für SSL-Verbindungen) erfordern eine Authentifizierung gegenüber CAcert. Diese wird aber nicht von CAcert selbst vorgenommen, sondern von einem Netz freiwilliger Assurer. Jeder Assurer ist nun selbst dafür verantwortlich, die Authentifizierung korrekt auszuführen. Ein geniales Konzept!
Wenn ich nun, um auf’s obige Beispiel zurückzukommen, an jemanden eine Mail sende dessen Schlüssel mit dem Zertifikat von CAcert signiert ist hängt das “gesamte” Web of Trust von CAcert dahinter. Ein ganz neues Erlebnis: Mails versenden ohne dabei ein mulmiges Gefühl im Magen zu verspüren! ;)
Genauere Infos finden sich auf der Website von CAcert. Mittlerweile gibt es auch eine Österreichische Seite zum Projekt.
Falls jemand von Euch einen Assurer in Wien und Umgebung sucht, bitte einfach eine kurze Mail an mich. Allerdings kann ich momentan erst 10 Punkte vergeben. Mehr zum Punktesystem findet sich ebenfalls unter CAcert.org.