Passed the CAcert.org Assurer Challenge

Vergangene Woche bin ich auf dem LinuxTag 2014 in Berlin am Stand von CAcert.org hängen geblieben.

Worum geht es bei CAcert.org?

CAcert.org ist eine von einer Gemeinschaft betriebene Zertifizierungsstelle, die kostenfreie Zertifikate für jedermann ausstellt.

Das Ziel von CAcert ist es, das Bewusstsein und die Unterrichtung über Computersicherheit durch die Benutzung von Verschlüsselung zu fördern, insbesondere durch die Herausgabe von Zertifikaten zur Verschlüsselung. Diese Zertifikate können benutzt werden, um E-Mails digital zu unterschreiben und zu verschlüsseln, einen Anwender beim Zugang zu Webseiten zu beglaubigen und zu berechtigen und eine gesicherte Datenübertragung über das Internet zu ermöglichen. Jede Anwendung, die das gesicherte Übertragungsprotokoll mit SSL oder TLS unterstützt, kann von Zertifikaten Gebrauch machen, die von CAcert signiert wurden, ebenso jede Anwendung, die X.509-Zertifikate benutzt, z.B. für Verschlüsselung oder Signierung von Code oder Dokumenten.

Das Prinzip von CAcert.org basiert dabei auf einem Vertrauensnetzwerk, dem sogenannten Web of Trust. Im Gegensatz zu einer hierarchischen Public-Key-Infrastruktur wird die Echtheit von Zertifikaten (digitalen Schlüsseln) nicht von einer einzelnen Organisation, sondern durch gegenseitige Bestätigung (Assurance) der Mitglieder geprüft.

Zur Verdeutlichung hier ein kleines Beispiel aus der Wikipedia:

Alice signiert den Schlüssel von Bob und vertraut Bobs Schlüsselsignaturen
Bob signiert den Schlüssel von Carl
(Bobs Vertrauen in Carls Schlüsselsignaturen ist weder bekannt noch relevant)
Somit betrachtet Alice den Schlüssel von Carl als gültig.

Es ist also eine Frage des Vertrauens. Und die Frage ist berechtigt, wem man mehr Vertrauen schenkt. Einer kommerziellen Zertifizierungsstelle, oder dem Web of Trust und damit der CAcert.org Community. Ich für meinen Teil habe mir diese Frage bereits beantwortet.

Nachdem wir in Folge des Heartbleed Bug alle SSL-Zertifikate in unserem Unternehmen erneuern mussten ist mein Vertrauen in die kommerziellen Zertifizierungsstellen erschüttert. Die durchgeführten „Verification Calls“ ließen mich sehr stark an der Vertrauenswürdigkeit der Identifizierung zweifeln. So hätte auch ein Praktikant oder jeder x-beliebige Mitarbeiter an ein Zertifikat für eine unser Domains gelangen können. Fest steht, der Anbieter kann sich nicht sicher sein, dass er tatsächlich mit der zur Zertifikatsanforderung berechtigten Person gesprochen hat.

Im Vertrauensnetzwerk von CAcert.org wird die Echtheit eines Zertifikats durch eine persönliche Assurance des Besitzers bestätigt. Dabei prüft ein CAcert Assurer mindestens ein offizielles Ausweisdokument, um die Identität des Zertifikatsinhabers zu bestätigen. Es muss also in jedem Fall ein Treffen von Angesicht zu Angesicht stattgefunden haben, bevor einem Zertifikat das Vertrauen ausgesprochen werden kann. Dieser Prozess wird detailliert in der Assurance Policy for CAcert Community Members definiert.

Ich persönlich habe großes Vertrauen in das Prinzip des Web of Trust und entschied mich vergangene Woche selbst CAcert Assurer zu werden, um die Echtheit von Zertifikaten weiterer CAcert.org Member assuren zu können. Dazu ließ ich meine eigene Identität auf dem LinuxTag gleich von vier CAcert Assurern bestätigen, um die nötigen Assurance Punkte zu sammeln, die nötig sind, um selbst Assurer zu werden. Denn nur Personen, denen ein gewisses Mindestmaß an Vertrauen bestätigt wurde und welche die Assurer Challenge bestanden haben, dürfen die Identität anderer Mitglieder bestätigen.

Gestern habe ich die Assurer Challenge im ersten Anlauf bestanden und stehe euch damit als CAcert Assurer zur Verfügung.

Falls ihr noch nicht sicher seid, wie digitale Signaturen und Zertifikate funktionieren, oder Mitglied der Community wird, empfehle ich euch die Seite „CAcert in kurzen Worten“. Dort wird auch der Registrierungsprozess beschrieben, damit ihr euch anmelden und einloggen könnt.

So get Assured
www.cacert.org

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.