Sichern der Privatsphäre mit PGP oder mit X.509 Zertifikaten?

Referenten:	Joseph Doekbrijder (SwissSign.com), Marcus Holthaus (imsec.com), Andreas Müller (Othello.ch)
Datum:	10.3.04
Abstract:	Technologien, die uns helfen, unsere Privatsphäre zu schützen, sind vorhanden, aber noch nicht sehr weit verbreitet im alltäglichen Gebrauch. Seit über 10 Jahren verfügen wir über die OpenSource Software PGP (Pretty Good Privacy) und der CCITT Standard für digitale Zertifikate X.509 ist auch schon lange publiziert. Die Gesetze, welche die Verbindlichkeit von digitalen Unterschriften regeln, sind erst kürzlich geschaffen worden. Eigentlich könnten wir jetzt beginnen, die Technologien zu nutzen. Aber auf welche Technologie soll man jetzt setzen, und welche sicherheitsrelevanten Prozesse in unserem elektronischen Alltag kann man sinnvoll damit unterstützen? Diese und andere Fragen versuchen drei Experten unseren Eventbesuchern zu beantworten: Andreas Müller (Othello.ch) Marcus Holthaus (imsec.com) Joseph Doekbrijder (SwissSign.com) Wir bitten die interessierten Mitglieder, so früh wie möglich ihre Fragen zum Thema zu stellen (s.u.). Die Fragen werden an dieser Stelle publiziert. Auf diese Weise werden wir mit Sicherheit einen interessanten Event gestalten können.
Ihre Fragen:	1. Ist es richtig, dass sowohl in X.509 Zertifikaten als auch in PGP dieselben Algorithmen verwendet werden, um Schlüsselpaare herzustellen? Die Handhabung beider Technologien ist relativ kompliziert. Dies allein verhindert deren Verbreitung. Was kann man dagegen tun? Die beiden Technologien unterscheiden sich offenbar im Aufbau/Erhalt/Beweis des Vertrauens. Wäre es denkbar, dass die eine Technologie das Vorgehen der anderen übernehmen könnte? Ist es überhaupt denkbar, dass die beiden Technologien konviergieren könnten, oder gibt es gute Gründe es nicht zu tun (z.B. klar unterschiedliche Anwendungsgebiete)? Ich vergleiche X.509 Zertifikate immer mit einem Reisepass, was Vertrauenswürdigkeit, Vergabemodus etc. anbelangt. Insofern macht mir eigentlich nur X.509 Sinn für eine flächendeckende Verbreitung. Was denken die Experten? Der Deutsche Staat scheint PGP einseitig zu fördern. Stimmt das? Was stecken für Überlegungen dahinter? Welches sind momentan die Key-players in der CH Security Szene? Wer lebt noch nach dem Untergang von Swisskey? Was wurde aus IGTop? Wer zertifiziert die CAs in der Schweiz? METAS? KPMG? Welche sind bereits zertifiziert? Kann man nur mit zertifizierten CAs arbeiten? Sollte man CAs nicht "verstaatlichen", eben wie die Passausgabestellen? Was wird genau vom digitalen Signatur Gesetz geregelt? Taugt das neue Gesetz? Was haben wir Normalverbraucher davon? Was gibt es für Copyright- und Patentfragen in diesem Kontext? Wo sind diesbezüglich Hürden für OpenSource Projekte zu erwarten? Kann mit dieser Techonlogie ein Sicherheitsvorteil gegenüber der Post verschaffen werden, mit der Nutzung von Emails? Kann diese Technologie helfen das Problem von SPAM in den Griff zu bekommen? Wenn ja, wie? Wie einfach lässt sich PGP/X.509 in eMail Programme integrieren (ohne Fachwissen des Anwenders)? Wie einfach/schwierig lässt sich PGP/X.509 in einer grösseren Firma zentral administrieren? Wie ist der Stand bei der Signierung von elektronischen Rechnungen und deren Anerkennung durch die MWSt-Verwaltung? Können Sie einen Zusammenhang zwischen der Internet-Infrastruktur und den Kontroll/Steuerung-Instanzen aufzeigen? Wer kontrolliert heute und in Zukunft die CAs? Ist da ICANN und Verisign daran beteiligt? Steht stellvertretend Amerika hinter dem relevanten Prozessen? Hat somit jeder indirekt einen "US Pass". Gibt es Bemühungen das internationale Organisationen involviert sind?