„Ich vertraue Dir, weil Dir jemand vertraut, dem auch ich vertraue“. So leitete ein Referent des Heise-Verlages aus Hannover einen Vortrag über IT-Sicherheit ein.
Genau so funktioniert die Vertrauensbasis bei bestimmten Verschlüsselungstechniken. Ich vertraue ebay weil ich weiß (und gegebenenfalls auch überprüfen kann), dass ebay ein von Verisign ausgestelltes Serverzertifikat benutzt. Ich vertraue meiner Bank, bzw. der Webseite die vorgibt, von meiner Bank zu sein, weil der Datenverkehr mit einem Zertifikat verschlüsselt wird, dessen Fingerprint ich verifizieren kann und das auch von Verisign ausgestellt wurde. Nach dem gleichen Prinzip funktioniert auch das kostenfreie CAcert. Allerdings ist es den Projektbeteiligten bisher noch nicht gelungen, das sogenannte Root-Zertifikat über die Hersteller der Webbrowser schon „einbauen“ zu lassen, was erforderlich macht, dass man es bei Bedarf selbst installieren muss. Die Chancen scheinen jedoch recht gut zu sein, dass künftige Versionen der Webbrowser und anderer Software bereits mit diesem Zertifikat ausgeliefert werden. Jeder kann übrigens an der Gemeinschaft bei CAcert teilnehmen und nach erfolgreicher, mehrfacher Beglaubigung seiner Identität nach den Prinzipien eines „Web of Trust“ eigene Client- und Serverzertifikate erzeugen und sich auch als „Assurer“ betätigen. Dazu ist neben einer bestimmten Mindestpunktzahl die erfolgreiche Teilnahme an einem Test erforderlich.
Tags: Assurer, CAcert, Web of Trust, Zertifikat