Aus dem Spektrum der Anwendungsmöglichkeiten asymmetrischer
Kryptoverfahren hat die Bundesrepublik frühzeitig mit dem
Signaturgesetz die Rahmenbedingungen für eine elektronische Signatur
als Äquivalent für die Handunterschrift geregelt. Auf dieser Grundlage
ist eine allein auf diesen Zweck ausgerichtete hierarchische
Public-Key-Infrastruktur mit akkreditierten oder angezeigten
Zertifizierungsdiensteanbietern und der Wurzelinstanz bei der
Bundesnetzagentur entstanden. Diese Infrastruktur ist grundsätzlich
auch für eine Teilnehmeridentifizierung und -authentifizierung in
organisationsübergreifenden Geschäftsabläufen geeignet. Flexibler sind
dagegen unternehmensinterne Lösungen.
Die Nutzung asymmetrischer Krypto-Technologie unter Verwendung von
Smartcards (oder anderer entsprechender Token) als Sicherheitsmedium
hat jedoch bisher keine wirkliche Relevanz. Der Zugang zu Anwendungen
wird vielmehr immer noch vorrangig über die wenig verlässliche
Kombination von User-IDs und Passwörtern geregelt, selten werden
Einmalpasswortverfahren verwendet. Auch neue Entwicklungen
berücksichtigen anderweitige (stärkere) Identifizierungs- und
Authentifizierungsverfahren selten beziehungsweise nur dann, wenn es
sich um ausgewiesene Sicherheitsanwendungen handelt.
Die im Projekt zu beantwortenden Fragen beziehen sich unter anderem
darauf, weshalb asymmetrische Verfahren nur in derart begrenztem Maße
genutzt werden beziehungsweise warum Unternehmen immer noch auf
unsichere Zugangssysteme setzen, obwohl die Risiken weit gehend und
allgemein bekannt sind (Nutzungsebene). Im weiteren wird überprüft,
welche neuen technischen Entwicklungen derzeit im Zusammenhang mit der
Entwicklung von PKI-Infrastrukturen zu finden sind, welche mittel- bis
langfristigen Entwicklungslinien sich in diesem Bereich zeigen
(technische Ebene). Zudem soll beantwortet werden, welche
Kosten/Nutzen-Relationen sich für die Anwendung von PKI-Systemen
ergeben, insbes. unter Berücksichtigung der Frage, ob sich das
gesetzlich geregelte und die auf Sicherheitspolicies der Unternehmen
beruhenden Verfahren bezüglich ihrer Kosten- und Nutzenstruktur
elementar unterscheiden. Weiterhin wird überprüft, in wieweit bereits
auf allgemein nutzbare Entwicklungen zurückgegriffen werden kann, die
Identifizierungs- und Authentifizierungsverfahren mittels
asymmetrischer Schlüssel in bestehende Anwendungen integrieren,
beziehungsweise welche Voraussetzungen geschaffen werden müssten, um
die Nutzung asymmetrischer Kryptographie als standardisierte Option zu
integrieren (organisatorische Ebene).
Das Gesamtergebnis soll Hinweise darauf geben, wann und wo PKI
erfolgreich eingesetzt werden kann, welche Maßnahmen - unter Umständen
auch von staatlicher Seite - dafür ergriffen werden können und auf
welchen Gebieten weitere Forschung sinnvoll sein könnte.
Home |
Kontakt |
Sitemap |
Impressum
