Advertisement

Persistente digitale Identitäten ohne globale Namen

  • Michael Herfert
  • Andreas Berger
Part of the DuD-Fachbeiträge book series (DUD)

Zusammenfassung

Zertifikate werden in der virtuellen Welt als vertrauenswürdige Ausweise verwendet. Die öffentlichen Schlüssel zur Verifikation digitaler Signaturen oder zur Verschlüsselung von Nachrichten werden mit Hilfe von Zertifikaten an die Identität einer Person gebunden. Diese Bindung an die Identität erfolgt über eine Menge von Attributen, wie Namen, Adresse, Telefonnummern oder auch E-Mailadressen. Der Empfänger einer Nachricht kann damit die Person identifizieren, die eine Nachricht signiert hat, beim Senden einer verschlüsselten Nachricht kann mit Hilfe der Attribute der Empfänger festgelegt werden.

Auch wenn ein einzelnes Zertifikat einer Person zugeordndet werden kann, ergibt sich ein grundsätzliches Problem, sobald eine Person verschiedene Zertifikate verwendet: Die in verschiedenen Zertifikaten zur Identifikation der Person angegebenen Attribute können höchst unterschiedlich sein, ein Zertifikat zur Verwendung im rechtsverbindlichen Geschäftsverkehr kann beispielsweise Namen und Adresse der Person enthalten wohingegen ein Zertifikat zur Authentizitätssicherung von E-Mail vielleicht nur den Namen und die E-Mail Adresse enthält. Solche Änderungen von Attributen können aber auch auftreten, wenn der Zertifikatsbesitzer seinen Wohnort ändert oder seinen Namen durch Heirat.

In diesem Papier wird beschrieben, wie trotz des Wechsels der Attribute in einem Zertifikat die digitale Identität einer Person erhalten werden kann. Global eindeutige Namen sollten aus Gründen des Datenschutzes und der Handhabbarkeit vermieden werden. Wir schlagen in diesem Papier deshalb eine neue Herangehensweise an das Problem der Identifizierung und Wiedererkennung von digitalen Identitäten vor. Wir gehen davon aus, dass eine digitale Identität in Form mindestens eines Zertifikates bekannt ist und dass im Falle der Ausstellung eines neuen Zertifikates eine Verknüpfung zwischen dem alten und dem neuen Zertifikat hergestellt werden muss. Zur technischen Umsetzung dieses Konzeptes werden zwei Verfahren vorgeschlagen. Zum einen wird ein Verknüpfungsdienst beschrieben, dessen Aufgabe die Verwaltung von Zertifikaten ist, die derselben Person zugeordnet sind. Zum anderen beschreiben wir eine Möglichkeit, zusammengehörende Zertifikate direkt über Attribute in den Zertifikaten zu verknüpfen. Ziel beider Varianten ist es, eine Person mit einer oder mehreren persistenten digitalen Identität zu versorgen, die über den Wechsel des Zertifikates hinaus erhalten bleibt.

Preview

Unable to display preview. Download preview PDF.

Unable to display preview. Download preview PDF.

Literatur

  1. [1]
    ISO/IEC JTCl/SC 21. Draft Amendments DAM 4 to ISO/IEC 9594-2, DAM 2 to ISO/IEC 9594-6, DAM 1 to ISO/IEC 9594-7, DAM 1 to ISO/IEC 9594-8 on certificate extensions. International Telecommunications Union, Geneva, Dezember 1996.Google Scholar
  2. [2]
    F. Bauspieß, K. Becker, M. Glaus: Schnittstellenspezifikation für die Entwicklung interoperabler Verfahren und Komponenten nach SigG/SigV. Abschnitt A2: Signatur, Version 6.1. Bundesamt für Sicherheit in der Informationstechnik, Juni 1999.Google Scholar
  3. [3]
    T. Berners-Lee, L. Masinter, M. McCahill: Uniform Resource Locators. Request for Comments 1738, Dezember 1994.Google Scholar
  4. [4]
    J. Biester, F. Bauspieß, D. Fox: MailTrusT Spezifikation Version 2 — Austauschformat. http://www.darmstadt.gmd.de/mailtrust/, März 1999.
  5. [5]
    Bundesamt für Sicherheit in der Informationtechnik: Schnittstellenspezifikation zur Entwicklung interoperabler Verfahren und Komponenten nach SigG/SigV — Abschnitt Al Zertifikate. http://www.bsi.bund.de/aufgaben/projekte/pbdigsig/main/ spezi.htm, April 1999.Google Scholar
  6. [6]
    CCITT: The directory — authentication framework. Consultation Committee, International Telephone and Telegraph, International Telecommunications Union, Geneva, 1991.Google Scholar
  7. [7]
    D. Crocker: Standard for the Format of ARPA Internet Text Messages. Request for Comments 822, August 1982.Google Scholar
  8. [8]
    C. Ellison: SPKI Requirements, RFC 2692. September 1999. http://www.ietf.org/rfc/rfc2692.txt
  9. [9]
    C. Ellison, B. Frantz, B. Lampson, R. Rivest, B. Thomas, T. Ylonen: SPKI Certificate Theory, RFC 2693. September 1999. http://www.ietf.org/rfc/rfc2693.txt
  10. [10]
    R. Housley, W. Ford, W. Polk, D. Solo: Internet X.509 Public Key Infrastructure, Certificate and CRL Profile. Request For Comments 2459, Januar 1999.Google Scholar
  11. [11]
    S. Kille, M. Wahl, A. Grimstad, R. Huber, S. Sataluri: Using Domains in LD-AP/X.500 Distinguished Names. Request for Comments 2247, Januar 1998.Google Scholar
  12. [12]
    RSA Laboratories: Public Key Cryptography Standard #7 (PKCS7): Cryptographic Message Syntax Standard, Mai 1997. Version 1.5.Google Scholar
  13. [13]
    P. Mockapetris: Domain Names — Concepts and Facilities. Request for Comments 1034, November 1987.Google Scholar
  14. [14]
    J. Postel: Darpa Internet Program Protocol Specification. Request for Comments 791, September 1981.Google Scholar
  15. [15]
    B. Ramsdell: S/MIME Version 3 Message Specification. Request For Comments 2633, Juni 1999.Google Scholar
  16. [16]
    S. Santesson, W. Polk, P. Barzin, M. Nystrom: Internet X.509 Public Key Infrastructure Qualified Certificates Profile. Oktober 1999. (draft-ietf-pkix-qc-02.txt)Google Scholar

Copyright information

© Friedr. Vieweg & Sohn Verlagsgesellschaft mbH, Braunschweig/Wiesbaden 2000

Authors and Affiliations

  • Michael Herfert
    • 1
  • Andreas Berger
    • 1
  1. 1.GMD DarmstadtDeutschland

Personalised recommendations