Jeder Softwarehersteller kocht sein eigenes Zertifikats-Süppchen

Public-Key-Infrastrukturen (PKI) werden salonfähig und heute für diverse Lösungen im Bereich Authentifizierung, Signierung und Verschlüsselung in Betracht gezogen. Seit das Bundesgesetz über die elektronische Signatur (ZertES) verabschiedet wurde, ist wieder Schwung in die PKI-Szene gekommen.
Auf der Softwarehersteller-Seite hat sich ebenfalls einiges getan. So unterstützen vermehrt Standardapplikationen «out of the box» die Benutzung von digitalen Zertifikaten. So weit so gut. Schaut man nun aber, wo sie die Zertifikate und die kryptologischen Schlüssel ablegen und verwalten, zeigen sich grosse Unterschiede. Was meiner Ansicht nach Aufgabe des Betriebssystems ist, wird bei praktisch jeder Applikation separat gelöst. So bringen Anwendungen eigene Zertifikatsmanager mit, die sich in Funktion und Flexibilität unterscheiden. Dies bedeutet, dass ein Zertifikat in verschiedenen Verwaltungsprogrammen administriert werden muss. Der nötige Zusatzaufwand wird umso grösser, als der Einsatz von Zertifikaten vor allem dann Sinn macht, wenn möglichst viele Applikationen diese benutzen. Wer für die digitalen Zertifikate Smartcards oder KryptoToken benutzt, muss zwar die Zertifikate nicht mehr in verschiedenen Orten verwalten, doch der Hardwaretreiber muss trotzdem für jede Applikation installiert werden.

Warum die Hersteller häufig nicht auf den Zertifikatsspeicher des Betriebssystems zurückgreifen, ist nicht offensichtlich nachvollziehbar. Ein Grund könnte sein, dass sie mit den bereits vorinstallierten so genannten Root Keys der Certificate Authorities (CA) im Betriebssystem-Zertifikatsspeicher nicht einverstanden sind. Diese sind nicht nur vorinstalliert, sondern es ist beispielsweise bei Microsoft auch das Vertrauen (Trust) bereits auf sie gesetzt. Dies bedeutet, dass Microsoft und andere Betriebssystemhersteller für den Endbenutzer das Vertrauensverhältnis bereits zum vornherein definieren. Ein Umstand, dem sich viele Benutzer nicht bewusst sind. Vertrauen sie aber den Praktiken dieser CAs wirklich? Die Qualität des Registrationsprozesses, um ein digitales Zertifikat bei den verschiedenen Anbietern zu beziehen, unterscheidet sich nämlich massiv. Und auch die Anforderungen, um als CA in diese Root-Key-Liste aufgenommen zu werden, unterscheiden sich von Hersteller zu Hersteller. Eigentlich sollte es doch aber die Entscheidung einer Person oder Firma sein, wem sie vertraut und wem nicht. Dass die CA Root Keys schon vorinstalliert, ist zwar nur von Nutzen. Dass für diese aber auch der Trust vollumfänglich gesetzt wird, widerstrebt mir und wohl auch manchen Apllikationsherstellern. Man kann zwar argumentieren, dass das Selbersetzen des Trusts den User ohnehin nur verwirren würde. Doch wenn er sich nie darum kümmern muss, wird er sich auch nicht bewusst, was dieses Vertrauen bedeutet.

Dass es auch anders geht, zeigt die neue Version von Adobe Acrobat. Diese kommt zwar auch mit einem eigenen Zertifikatsmanager, doch in diesem findet man keine lange Liste von CA Root Keys, deren Trust bereits gesetzt ist. Kommt dazu, dass es auch möglich ist, den Windows Zertifkatsspeicher zu nutzen. Wird diese Funktion aktiviert, informiert die Software über die möglichen Risiken des bereits gesetzten Trusts. Vorbildlich!