Vertrauensketten

Bei digitalen Prozessen spielen Vertrauensketten (chains of trust) eine wichtige Rolle. Wie im täglichen Leben geht es darum, wer vertraut wem weshalb? Die Beziehung ist nicht zwingend symmetrisch. Wenn Partei A der Partei B vertraut, dann vertraut B nicht zwingend A. In der Regel ist die Beziehung jedoch transitiv. Wenn Partei A der Partei B vertraut und die Partei B der Partei C, dann kann A auch C vertrauen. Diese Vertrauenskette wird auch in der digitalisierten Welt angewendet.

Bob möchte mit Alice über einen elektronischen Kanal interagieren. Er erhält von Alice ihren öffentlichen Schlüssel. Bob möchte sich über Alice's Identität zweifelsfrei vergewissern und sicher sein, dass der erhaltene öffentliche Schlüssel zu Alice gehört. Alice schickt Bob ein Zertifikat welches von der Zertifizierungsstelle C digital signiert ist. Mit dieser Signatur S von C und mit dem öffentlichen Schlüssel von C kann Bob die Gültigkeit des Zertifikats überprüfen. Das Zertifikat Z ist ein Datensatz, welche den Namen Alice und ihren öffentlichen Schlüssel enthält. Somit bestätigt C, dass dieser öffentliche Schlüssel zu Alice gehört. Bob hat jedoch kein Vertrauen in C.

 

Bob kann nun das nächste Glied in der Vertrauenskette prüfen und verifizieren, ob eine andere, vertrauenswürdige Zertifizierungsstelle R bestätigt, dass der öffentliche Schlüssel von C tatsächlich zu C gehört. Bob erhält von C ein Zertifikat, welches von R digital signiert ist. Mit dieser zweiten Signatur von R und mit dem öffentlichen Schlüssel von R kann Bob die Gültigkeit des Zertifikats überprüfen. Das zweite Zertifikat ist ebenfalls ein Datensatz, welche den Namen der Zertifizierungsstelle C und ihren öffentlichen Schlüssel enthält. Somit bestätigt R, dass dieser öffentliche Schlüssel zu C gehört. Bob vertraut R und kann nun auch C vertrauen.

 

Totalrevision Datenschutzgesetz

Der Vorentwurf des totalrevidierten Datenschutzgesetzes befindet sich derzeit in der Vernehmlassung. Er bezweckt die Stärkung des Datenschutzes durch erhöhte Transparenz bei der Datenbearbeitung und mehr Kontrollmöglichkeiten der betroffenen Personen. Griffige Sanktionen und Handlungspflichten der verantwortlichen Personen sollen dabei die korrekte Umsetzung gewährleisten.

Links: Entwurf, Bericht

Eurospider Information Technology AG
Schaffhauserstrasse 18
8006 Zürich

 

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok Ablehnen