3ureohph - IT-Dienstleistungszentrum Berlin
3ureohph - IT-Dienstleistungszentrum Berlin
3ureohph - IT-Dienstleistungszentrum Berlin
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
ç von Bund, Ländern und Gemeinden durch das Bundesamt für Sicherheit in der<br />
Informationstechnik (BSI) aufgebaut. Ihr können sich Institutionen der öffentlichen<br />
Verwaltung anschließen. Der Anschluss an die PKI-1-Verwaltung kann über den<br />
Aufbau einer eigenen CA, die von der Verwaltungs-PCA zertifiziert wird oder über<br />
den Bezug von E-Mail-Zertifikaten der TESTA-CA erfolgen. Die TESTA-CA ist<br />
eine autorisierte CA der PKI-1-Verwaltung und wird von der TeleSec betrieben.<br />
Das Konzept der PKI-1-Verwaltung betrifft ausschließlich Sicherheitsanforderungen<br />
der elektronischen Kommunikation durch den Einsatz von Verschlüsselung und<br />
fortgeschrittener elektronischer Signatur.<br />
Die folgenden Sicherheitsanforderungen werden bei der elektronischen Kommunikation<br />
gewährleistet:<br />
• Vertraulichkeit (Das elektronische Dokument kann von Unberechtigten<br />
nicht gelesen werden. Die Vertraulichkeit wird durch Verschlüsselung garantiert.)<br />
• Integrität (Unbefugte Manipulation durch Einfügen, Ändern oder Löschen<br />
des Dokumentes wird entdeckt. Dieser Sicherheitsaspekt wird durch eine<br />
elektronische Signatur erreicht.)<br />
• Authentizität (Das Dokument stammt wirklich vom angegebenen Ursprung,<br />
d.h. die Identität des Kommunikationspartners ist zweifelsfrei beweisbar.<br />
Dieser Sicherheitsaspekt wird durch eine elektronische Signatur<br />
erreicht.)<br />
Bei der PKI-1-Verwaltung besteht eine Verbindung zur Bridge-CA, die eine mit der<br />
PKI-1-Verwaltung und anderen PKI‘en assoziierte Instanz ist. Ihre Aufgabe besteht<br />
darin, durch eine Brücke des Vertrauens bestehende PKI‘en miteinander zu verbinden<br />
und die Voraussetzung für sichere Kommunikation zwischen der öffentlichen<br />
Verwaltung und der Wirtschaft zu schaffen. Dies erfolgt über die Kopplung<br />
verschiedener PKI‘en, denen gegenseitig eine unterschriebene Liste der PCA-<br />
Zertifikate der angeschlossenen PKI‘en zur Verfügung gestellt wird. Bei diesem<br />
Konzept wird die Eigenständigkeit bestehender PKI‘en nicht beeinträchtigt.<br />
Abbildung 3<br />
2<br />
2/01 2 6<br />
Welches Vorgehen plant der L<strong>IT</strong>?<br />
Der L<strong>IT</strong> plant den Anschluss an die<br />
PKI-1-Verwaltung durch den Aufbau<br />
einer CA zur E-Mail-Zertifizierung, die<br />
von der Wurzelzertifizierungsstelle der<br />
PKI-1-Verwaltung (PCA) beglaubigt<br />
wird (vgl. Abbildung 3). Dadurch erhalten<br />
L<strong>IT</strong>-Kunden Zugang zu der PKI-1-<br />
Verwaltung mit den dazugehörigen<br />
Verzeichnisdiensten. Sie können elektronische<br />
Geschäftsvorgänge mit Kollegen<br />
von Bund und Ländern über verschlüsselte<br />
und signierte Kommunikation<br />
bearbeiten und austauschen, ohne<br />
zuvor die unbekannte Zertifizierungsinstanz<br />
akzeptieren zu müssen.<br />
Als Zertifizierungssoftware soll der<br />
Microsoft Windows 2000 Server eingesetzt<br />
werden. Vorteilhaft ist, dass das<br />
Land Bayern mit der gleichen<br />
Zertifizierungssoftware innerhalb der<br />
PKI-1-Verwaltung arbeitet und dadurch<br />
ein Synergieeffekt durch gegenseitigen<br />
Informationsaustausch und ggf. Zusammenarbeit<br />
gegeben ist. Darüber hinaus<br />
planen weitere Bundesländer ebenfalls den<br />
Anschluss an die PKI-1-Verwaltung.<br />
Der Aufbau und Betrieb einer CA im<br />
L<strong>IT</strong>, die von der PKI-1-Verwaltung beglaubigt<br />
ist, erfordert einige Vorarbeiten,<br />
die einen nicht unerheblichen Zeitaufwand<br />
bedeuten. Durch die Bereitstellung<br />
von E-Mail-Zertifikaten über<br />
das Pilot-Projekt sammelt der L<strong>IT</strong> dazu<br />
Erfahrungen und ermöglicht damit<br />
gleichzeitig interessierten Kunden den<br />
Einsatz von sicherer E-Mail. Der Zeitpunkt<br />
der Integration in die PKI-1-Verwaltung<br />
hängt vom Aufbau eines LDAPfähigen<br />
Verzeichnisdienstes (Active<br />
Directory, X.500) ab und ist deshalb<br />
noch in der Planung.<br />
MONIKA KOSLAKOWICZ<br />
L<strong>IT</strong> <strong>Berlin</strong><br />
Email: Monika.Koslakowicz@lit.verwaltberlin.de<br />
u