Beim Surfen verlassen wir uns täglich viele Male auf eine Public-Key-Infrastruktur (PKI), ohne dies zu realisieren. Aber sie ist auch das zentrale Element, ohne das die E-ID nicht funktionieren könnte. In der ersten Folge von "Was ist eigentlich…" habe ich mich mit Public-Private-Key-Verschlüsselung beschäftigt. Dabei habe ich erwähnt, dass der öffentliche Schlüssel dazu verwendet werden kann, nachzuweisen, dass eine Maschine oder auch ein Mensch im Besitz des dazugehörigen privaten Schlüssels ist.

Eine PKI soll nun sicherstellen, dass diesem Besitzer eines privaten Schlüssels auch eine bestimmte Identität zugeordnet werden kann. Das kann sehr vieles sein, zum Beispiel "Hallo Browser, ich bin inside-it.ch, eine Website der Winsider AG", "Hallo PC, ich bin ein Software-Patch der von Microsoft stammt und nicht von irgendeinem Hacker". Oder eben auch: "Ich bin Hans Jörg Maron."

Die Verknüpfung zwischen dem Besitzer eines privaten Schlüssels und einer Identität wird in einer PKI von einer oder mehreren dritten Stellen sichergestellt. Wie sicher man sein kann, dass beispielsweise eine Nachricht, die vorgibt, von "Hans Jörg Maron" zu stammen, wirklich von mir stammt, hängt davon ab, wie sehr man der PKI vertrauen kann, welche dies mit einem sogenannten Zertifikat bestätigt.

Zertifikate sind eine Art digitale Pässe. Sie beinhalten den öffentlichen Schlüssel einer bestimmten Entität sowie ein Attest einer vertrauenswürdigen sogenannten Certificate Authority (CA), dass die Entität wirklich die ist, für die sie sich ausgibt. Dieses Attest wird seinerseits mit dem öffentlichen Schlüssel dieser Stelle signiert.

Die nächste offensichtliche Frage ist nun: Wer stellt eigentlich sicher, dass eine CA ihrerseits vertrauenswürdig ist und die Registrierungsstelle den Job, eine Identität zu verifizieren, korrekt durchführt? Jede PKI muss irgendeinen Mechanismus zur Kontrolle der CAs haben.

Wie viel Kontrolle es über die CAs gibt und wer diese Kontrolle wahrnimmt, ist je nach PKI sehr unterschiedlich. Über die Unternehmen und Organisationen beispielsweise, die Zertifikate für Websites ausgeben, gibt es keine organisierte Kontrolle. Jedes Unternehmen kann versuchen, sich als CA zu etablieren. Naturgemäss versuchen die CAs, den Aufwand zur Verifizierung eines Domain-Besitzers gering zu halten. Es kann zum Beispiel genügen, der CA ein Mail mit dem Absender [email protected] zu schicken. Diese Adresse sollte nur jemand benützen können, der eine bestimmte Domain verwalten darf. Wenn diese Person daraufhin das Zertifikat erhält, kann sie es auf den entsprechenden Webserver hochladen. Browser, welche eine Domain ansteuern, prüfen das Zertifikat um sicher zu sein, dass Daten, die sie empfangen von dieser Site stammen, und nicht von jemand anderem.

CAs, die Site-Zertifikate ausgeben, werden heute de facto von den grossen Betriebssystem- und Browser-Anbietern kontrolliert. Apple, Microsoft und Mozilla führen Listen von CAs, denen sie vertrauen.

Ich kann an dieser Stelle nicht im Einzelnen durchgehen, wie die CAs für die vielen anderen PKIs für andere Einsatzzwecke kontrolliert werden, zum Beispiel die Sicherung von Internet-of-Things-Netzwerken, verschlüsselte E-Mail-Kommunikation, sicheres Messaging, elektronische Signaturen und vieles mehr.

Ein wichtiges und gerade hochaktuelles Beispiel soll aber noch angesprochen werden: Die E-ID, welche im Grunde genommen ebenfalls ein Zertifikat ist. Naturgemäss muss die Kontrolle für einen vom Staat anerkannten digitalen Pass sehr strikt sein.

In der vom Bundesrat vorgeschlagenen Version fungiert der Bund als Registrierungsstelle und prüft und bestätigt die Identität einer Person. Die Ausgabe der Zertifikate beziehungsweise der E-ID soll aber privaten Unternehmen überlassen werden, die sich dafür qualifizieren. Sie fungieren also als die CAs in dieser PKI. Die Kontrolle über diese CAs wird wiederum vom Bund wahrgenommen.

Die Gegner dieser Vorlage argumentieren, dass der Bund für eine staatlich anerkannte E-ID auch selbst als CA agieren sollte. Unter anderem, weil CAs potenziell viele sensible Daten über E-ID-Nutzer sammeln könnten.

Der Bundesrat hält dagegen, dass private Unternehmen schneller und flexibler auf sich verändernde technische Möglichkeiten und auf die Bedürfnisse der Konsumentinnen und Konsumenten reagieren können.

Es bleibt aber unumstritten, dass eine E-ID eine wichtige Voraussetzung für effiziente E-Government-Services ist, und dass der Bund die Registrierungsstelle sein muss.

Zum Autor:Hans Jörg Maron studierte in ferner Vergangenheit Zoologie, stieg aber später auf den Journalismus um und hat mittlerweile 20 Jahre Erfahrung in der ICT-Berichterstattung. 2004 war er Mitgründer von inside-it.ch/inside-channels .

Zu "Was ist eigentlich":Ein Fachjournalist von inside-it.ch recherchiert, definiert und erklärt jeweils ein Tech-Thema oder ein neues Buzzword, bei dem viele von Unterschiedlichem reden. Wollen Sie etwas genauer wissen? Ihre Ideen sind willkommen: Mail an [email protected] mit einer kurzen Begründung genügt und wir entscheiden, worüber wir recherchieren.