Digital IDs and Identity Management

• About this group
• Forums

• Home
• Groups
• Digital IDs and Identity Management
• Forums
• PKI
• PKI lebt...

• 
  Dr. Gunnar Jacobson    Premium Member

  The company name is only visible to registered members.

  PKI lebt...

  ...auch wenn man aufgrund der Zahl der Beiträge (bislang 0) in diesem Forum das Gegenteil vermuten könnte.
  Mir sind heute mehrere hundert PKIen bekannt und die Zahl der öffentlich abrufbaren Zertifikate wächst stetig.
  Millionen davon finden Sie unter http://www.certBox.org.
  
  Viele Grüße
  Gunnar Jacobson
  
  • 18 Jan 2010, 3:39 pm
  Dr. Gunnar Jacobson wrote: > ...auch wenn man aufgrund der Zahl der Beiträge (bislang 0) in diesem > Forum das Gegenteil vermuten könnte. > Mir sind heute mehrere hundert PKIen bekannt und die Zahl der > öffentlich abrufbaren Zertifikate wächst stetig. > Millionen davon finden Sie unter www.certBox.org. > > Viele Grüße > Gunnar Jacobson
• 
  Martin Kuppinger    Premium Member   Group moderator

  The company name is only visible to registered members.

  Re: PKI lebt...

  Hallo Herr Jacobson,
  keine Frage - Sie haben Recht. Natürlich leben PKIs. Ich glaube aber, dass sich das Thema in den letzten Jahren vom Stellenwert einfach deutlich verändert hat. Wenn wir etliche Jahre zurückgehen, war die PKI ein strategisches Thema. Heute ist sie ein (in erster Linie technisches) Element in einem größeren Rahmen, in dem es um die Informationssicherheit und darin spezifisch z.B. die starke Authentifizierung und die Verschlüsselung/Signatur geht. Deshalb wird heute - nicht nur hier im Forum - einfach weniger darüber diskutiert. Dass man an PKIs nicht vorbeikommt, steht für mich außer Frage, ebenso wie es außer Frage steht, dass man davon so wenig wie möglich sehen sollte. Gerade der "normale Endanwender" ist schnell überfordert, wenn er z.B. ein Zertifikat einer "vertrauenswürdigen Stammzertifizierungsstelle" konfigurieren soll. Ich glaube auch, dass die Tatsache, dass man eine inhärente und zwingende Komplexität eines Themas (Public-Private-Key-Verfahren sind nun mal nicht trivial) bei den PKIs auch noch komplex verpackt hat und so auch eine Hürde für deren Akzeptanz geschaffen hat.
  Viele Grüße,
  Martin Kuppinger
  
  • 19 Jan 2010, 07:49 am
  Martin Kuppinger wrote: > Hallo Herr Jacobson, > keine Frage - Sie haben Recht. Natürlich leben PKIs. Ich glaube aber, > dass sich das Thema in den letzten Jahren vom Stellenwert einfach > deutlich verändert hat. Wenn wir etliche Jahre zurückgehen, war die > PKI ein strategisches Thema. Heute ist sie ein (in erster Linie > technisches) Element in einem größeren Rahmen, in dem es um die > Informationssicherheit und darin spezifisch z.B. die starke > Authentifizierung und die Verschlüsselung/Signatur geht. Deshalb wird > heute - nicht nur hier im Forum - einfach weniger darüber diskutiert. > Dass man an PKIs nicht vorbeikommt, steht für mich außer Frage, > ebenso wie es außer Frage steht, dass man davon so wenig wie möglich > sehen sollte. Gerade der "normale Endanwender" ist schnell > überfordert, wenn er z.B. ein Zertifikat einer "vertrauenswürdigen > Stammzertifizierungsstelle" konfigurieren soll. Ich glaube auch, dass > die Tatsache, dass man eine inhärente und zwingende Komplexität eines > Themas (Public-Private-Key-Verfahren sind nun mal nicht trivial) bei > den PKIs auch noch komplex verpackt hat und so auch eine Hürde für > deren Akzeptanz geschaffen hat. > Viele Grüße, > Martin Kuppinger
• 
  Dr. Gunnar Jacobson    Premium Member

  The company name is only visible to registered members.

  Re^2: PKI lebt...

  Hallo Herr Kuppinger,
  da stimme ich Ihnen zu. Die "Verpackung" ist ein wesentlicher Erfolgsfaktor zusammen mit der Kompetenz und Erfahrung des PKI-Teams. Da haben sich viele Anwender in der Vergangenheit überschätzt, denn Konzeption und Betrieb einer PKI lernt man nicht mal nebenbei in 2 Wochen.
  Aber man kann die PKI-Mechanismen heute bereits sehr gut verpacken. Die angesprochene Plattform certBox.org ist ein Beispiel, wie ein Anwender mit seinem Standard E-Mailclient ohne Zusatz-SW an beliebige Empfänger Ende-zu-Ende verschlüsseln kann. Einfach aufgrund der Eingabe der E-Mailadresse und Auswählen des "Verschlüsseln" Buttons - und selbst den könnte man per Policy noch voreinstellen.
  Also, PKI wird zunehmend einfacher "verpackt" und wird in großen Unternehmen auch mehr und mehr genutzt - aber die Diskussion innerhalb der Community könnte etwas LEBhafter sein ;-).
  
  Viele Grüße
  Gunnar Jacobson
  
  • 20 Jan 2010, 09:01 am
  Dr. Gunnar Jacobson wrote: > Hallo Herr Kuppinger, > da stimme ich Ihnen zu. Die "Verpackung" ist ein wesentlicher > Erfolgsfaktor zusammen mit der Kompetenz und Erfahrung des PKI-Teams. > Da haben sich viele Anwender in der Vergangenheit überschätzt, denn > Konzeption und Betrieb einer PKI lernt man nicht mal nebenbei in 2 > Wochen. > Aber man kann die PKI-Mechanismen heute bereits sehr gut verpacken. > Die angesprochene Plattform certBox.org ist ein Beispiel, wie ein > Anwender mit seinem Standard E-Mailclient ohne Zusatz-SW an beliebige > Empfänger Ende-zu-Ende verschlüsseln kann. Einfach aufgrund der > Eingabe der E-Mailadresse und Auswählen des "Verschlüsseln" Buttons - > und selbst den könnte man per Policy noch voreinstellen. > Also, PKI wird zunehmend einfacher "verpackt" und wird in großen > Unternehmen auch mehr und mehr genutzt - aber die Diskussion > innerhalb der Community könnte etwas LEBhafter sein ;-). > > Viele Grüße > Gunnar Jacobson
• 
  Frank Pevestorf    Premium Member

  The company name is only visible to registered members.

  Re^3: PKI lebt...

  Hmmmm..... ich gebe sowohl Ihnen, als auch Herrn Kuppinger recht, was das Thema PKI und den Hype betrifft, den das Thema noch vor Jahren hatte. Allerdings halte ich Verschlüsselung in großen Unternehmen immernoch nicht so einfach umsetzbar - da fehlt nach meinen Erfahrungen vor allen Dingen die Akzeptanz und das Erkennen der Notwendigkeit. Wobei letztere mit Sicherheit in den vergangenen Jahren zugenommen hat.
  
  Wenn ich mir diese Gruppe und das Thema Identity Management ansehe, dazu den Kommentar von Herrn Kuppinger nehme.....ist DAS Thema IDM dann auch nicht mehr aktuell?
  Oder gibt es andere Foren, in denen Erfahrungen, Vorgehensweisen, Modelle, Prozesse, und so weiter dazu diskutiert werden?
  
  Wenn ja, dann wäre ich für Hinweise auf weitere Diskussionsforen dankbar, da mich das Thema schon seit Jahren und wahrscheinlich noch einige Zeit beschäftigen wird.
  
  Freundliche Grüße
  Frank Pevestorf
  This post was modified on 21 Jan 2010 at 08:02 am.
  • 20 Jan 2010, 1:37 pm
  Frank Pevestorf wrote: > Hmmmm..... ich gebe sowohl Ihnen, als auch Herrn Kuppinger recht, was > das Thema PKI und den Hype betrifft, den das Thema noch vor Jahren > hatte. Allerdings halte ich Verschlüsselung in großen Unternehmen > immernoch nicht so einfach umsetzbar - da fehlt nach meinen > Erfahrungen vor allen Dingen die Akzeptanz und das Erkennen der > Notwendigkeit. Wobei letztere mit Sicherheit in den vergangenen > Jahren zugenommen hat. > > Wenn ich mir diese Gruppe und das Thema Identity Management ansehe, > dazu den Kommentar von Herrn Kuppinger nehme.....ist DAS Thema IDM > dann auch nicht mehr aktuell? > Oder gibt es andere Foren, in denen Erfahrungen, Vorgehensweisen, > Modelle, Prozesse, und so weiter dazu diskutiert werden? > > Wenn ja, dann wäre ich für Hinweise auf weitere Diskussionsforen > dankbar, da mich das Thema schon seit Jahren und wahrscheinlich noch > einige Zeit beschäftigen wird. > > Freundliche Grüße > Frank Pevestorf
• 
  Jürgen Lechner    Premium Member   Group moderator

  The company name is only visible to registered members.

  Re: PKI lebt...

  Hallo,
  
  natürlich lebt die PKI!
  Dr. Gunnar Jacobson schrieb:
  ...auch wenn man aufgrund der Zahl der Beiträge (bislang 0) in diesem Forum das Gegenteil vermuten könnte.
  Mir sind heute mehrere hundert PKIen bekannt und die Zahl der öffentlich abrufbaren Zertifikate wächst stetig.
  Millionen davon finden Sie unter http://www.certBox.org.
  Und in den nächsten Jahren kommen wohl theoretisch knapp 100 Millionen dazu. :-)
  
  http://www.heise.de/newsticker/meldung/Der-ePA-ist-tot-es-le...
  
  Meines Erachtens wird das zumindest bei der Gruppe der "Interessiert-mich-ist-aber-noch-zu-kompliziert"-User den Denkprozess nochmal anregen. Oder?
  
  Da wird das "P" in PKI aber dann sehr groß geschrieben...
  
  Viele Grüße
  Jürgen Lechner
  
  • 20 Jan 2010, 1:50 pm
  Jürgen Lechner wrote: > Hallo, > > natürlich lebt die PKI! > Dr. Gunnar Jacobson schrieb: > > ...auch wenn man aufgrund der Zahl der Beiträge (bislang 0) in diesem > > Forum das Gegenteil vermuten könnte. > > Mir sind heute mehrere hundert PKIen bekannt und die Zahl der > > öffentlich abrufbaren Zertifikate wächst stetig. > > Millionen davon finden Sie unter www.certBox.org. > > Und in den nächsten Jahren kommen wohl theoretisch knapp 100 > Millionen dazu. :-) > > http://www.heise.de/newsticker/meldung/Der-ePA-ist-tot-es-lebe-der-neue-Personalausweis-908287.html > > Meines Erachtens wird das zumindest bei der Gruppe der > "Interessiert-mich-ist-aber-noch-zu-kompliziert"-User den Denkprozess > nochmal anregen. Oder? > > Da wird das "P" in PKI aber dann sehr groß geschrieben... > > Viele Grüße > Jürgen Lechner
• Post visible to registered members
• 
  Dr. Gunnar Jacobson    Premium Member

  The company name is only visible to registered members.

  Re^4: PKI lebt...

  Hallo Herr Pevestorf,
  
  ich bin ebenfalls seit geraumer Zeit auf der Suche nach DEM PKI-Forum. Ich kann Ihnen folgende Links geben, die teilweise PKI-Beiträge enthalten, aber eben nicht allumfassend sind:
  
  XING: https://www.xing.com/net/sicherheit/ sowie https://www.xing.com/net/pkifaq
  Windows PKI Blog: http://blogs.technet.com/pki/
  Newsgroups: de.comp.security.misc
  
  Es gibt viele weitere, z.T. wenig oder gar nicht mehr aktive Foren.
  Ein ernsthaftes, aktives, aber nicht öffentliches Forum ist das European Bridge CA Projekt, s. http://www.bridge-ca.org.
  
  Es gibt bei uns die Überlegung, die Plattform certbox.org zur PKI-Community-Plattform auszubauen. D.h. Diskussionsforum, Erfahrungsaustausch, Austausch von Zertifikaten (geht heute schon), Bewertung von CAs, Austausch von Trustlists (CTL), Schaffung einer gemeinsamen (Non-Microsoft) CTL, etc, etc. Also Funktionen, die Xing wohl nicht bieten kann.
  Allerdings fehlt mir hierzu noch etwas Feedback und die Gewissheit, dass das dann wirklich genutzt wird.
  
  Viele Grüße aus München
  Gunnar Jacobson
  
  • 21 Jan 2010, 09:45 am
  Dr. Gunnar Jacobson wrote: > Hallo Herr Pevestorf, > > ich bin ebenfalls seit geraumer Zeit auf der Suche nach DEM > PKI-Forum. Ich kann Ihnen folgende Links geben, die teilweise > PKI-Beiträge enthalten, aber eben nicht allumfassend sind: > > XING: https://www.xing.com/net/sicherheit/ sowie > https://www.xing.com/net/pkifaq > Windows PKI Blog: http://blogs.technet.com/pki/ > Newsgroups: de.comp.security.misc > > Es gibt viele weitere, z.T. wenig oder gar nicht mehr aktive Foren. > Ein ernsthaftes, aktives, aber nicht öffentliches Forum ist das > European Bridge CA Projekt, s. www.bridge-ca.org. > > Es gibt bei uns die Überlegung, die Plattform certbox.org zur > PKI-Community-Plattform auszubauen. D.h. Diskussionsforum, > Erfahrungsaustausch, Austausch von Zertifikaten (geht heute schon), > Bewertung von CAs, Austausch von Trustlists (CTL), Schaffung einer > gemeinsamen (Non-Microsoft) CTL, etc, etc. Also Funktionen, die Xing > wohl nicht bieten kann. > Allerdings fehlt mir hierzu noch etwas Feedback und die Gewissheit, > dass das dann wirklich genutzt wird. > > Viele Grüße aus München > Gunnar Jacobson
• 
  Frank Pevestorf    Premium Member

  The company name is only visible to registered members.

  Re^5: PKI lebt...

  Hallo Herr Jacobsen,
  
  ich kenne viele dieser Foren, war sogar schon vor Jahren mal Mitglied in dem Arbeitskreis der Bridge-CA.
  
  Vielleicht war mein Eintrag nicht ganz verständlich (habe ihn heute Morgen nochmal versucht zu konkretisieren) - mir ging es nicht so sehr um ein PKI-Forum, sondern vielmehr um ein Forum zum Thema Identity Management.
  
  Da die Gruppe ja "Digitale ID und Identitätsmanagement" heißt, und dieses Thema nach meiner Auffassung zunehmend an Bedeutung gewinnt, hätte ich die Erwartung gehabt, dass hier mehr zu diesem Thema diskutiert wird.
  
  Wenn ich mir die Einträge zu diesem Thema aber ansehe (habe dazu auch schon reichlich hier im Forum geschrieben), dann sind die meisten davon veraltet und begonnene Diskussionen eingeschlafen.
  
  Von daher nochmal konkret meine Frage:
  Gibt es Foren ausserhalb (oder innerhalb) von XING, die sich mit dem Thema Identity Management (in der Praxis) beschäftigen?
  
  Freundliche Grüße
  Frank Pevestorf
  
  • 21 Jan 2010, 10:16 am
  Frank Pevestorf wrote: > Hallo Herr Jacobsen, > > ich kenne viele dieser Foren, war sogar schon vor Jahren mal Mitglied > in dem Arbeitskreis der Bridge-CA. > > Vielleicht war mein Eintrag nicht ganz verständlich (habe ihn heute > Morgen nochmal versucht zu konkretisieren) - mir ging es nicht so > sehr um ein PKI-Forum, sondern vielmehr um ein Forum zum Thema > Identity Management. > > Da die Gruppe ja "Digitale ID und Identitätsmanagement" heißt, und > dieses Thema nach meiner Auffassung zunehmend an Bedeutung gewinnt, > hätte ich die Erwartung gehabt, dass hier mehr zu diesem Thema > diskutiert wird. > > Wenn ich mir die Einträge zu diesem Thema aber ansehe (habe dazu auch > schon reichlich hier im Forum geschrieben), dann sind die meisten > davon veraltet und begonnene Diskussionen eingeschlafen. > > Von daher nochmal konkret meine Frage: > Gibt es Foren ausserhalb (oder innerhalb) von XING, die sich mit dem > Thema Identity Management (in der Praxis) beschäftigen? > > Freundliche Grüße > Frank Pevestorf
• 
  Frank Thilo Müller    Premium Member   Group moderator

  The company name is only visible to registered members.

  Re^6: PKI lebt...

  Hallo zusammen,
  
  der Hauptgrund für die eine gruppenweite PKI Lösung bei der E.ON ist schlicht und einfach der Rückhalt bei den CIOs.
  
  Da ein solches Unternehmen sich ständig dynamisch verändert ist in meinen Augen eine starke Authentifzierung wesentlich. Ebenso die Prozesse um die Identitäten die mit der PKI verknüpft sind zu identitifizieren und gegenenfalls innerhalb des Unternehmens zu transferieren.
  
  Wir haben eine eigene Abteilung für die PKI und dadurch auch entsprechendes Know How für die Anbindung von SmartCard Login unter Windows, SSL Authentifzierung für Webseiten, SSL VPN für Mitarbeiter, Festplattenverschlüsselung, File and Folder.... Natürlich versuchen wir wo sinnvoll auch die vorhandene PKI anzubinden. Womit sich die Basiskosten für alle Applikationen lohnen.
  
  Eine Killerapplikation ist übrigens der Urlaubsantrag - die Verwendung von PKI Zertifikaten für solche wichtigen Diensten erhöht die Akzeptanz enorm :)
  
  Mein Unit-Leiter war letzten aufgrund der Mitarbeit bei der Bridge-CA in der Presse "http://www.teletrust.de/startseite/pressemeldung/?tx_ttnews[..." - auch hier versuchen meine Kollegen einen kleinen Beitrag zu leisten.
  
  Was die Komplexität angeht - so entsteht die nach meinem Eindruck durch die unterschiedlichen Prozesse. Wenn eine komplexe Vertreterregelung gefordert wird erhöht das natürlich den Aufwand. Ebenso, wenn nicht nur ein Zeritifikat sonderen deren drei (Signatur, Verschlüsselung, Authentifzierung) gefordert sind. Andererseits - wenn die WIrklichkeit nicht durch die IT Prozesse abzubilden sind landen wir wieder bei Nutzern die die Token untereinander austauschen....
  
  Wenn man sich Lösungen wie eDRM oder 801.X ansieht sieht man, dass hier auch eine PKI dahinter steckt. Selbst hinter den elektronischen Massensignaturen steckt letztlich eine PKI. Aber der Endanwenden muss sich um die PKI keine Gedanken machen - sie bleibt versteckt.
  Gerade die Lösung mit Nutzerzertifikaten bei eDRM fasziniert mich - ganz ohne CRLs und mit der Möglichkeit der offline Verschlüsselung. Hier werden die Dokumente mit dem Schlüssel des Server verschlüsselt so dass das öffentliche Zertifikat des Nachrichtenempfängers nicht online vorhanden sein muss....
  
  Die reine PKI ist tot - lang leben die PKI Anwendungen :)
  
  Mfg
  Thilo Müller
  This post was modified on 23 Jan 2010 at 06:52 pm.
  • 23 Jan 2010, 6:45 pm
  Frank Thilo Müller wrote: > Hallo zusammen, > > der Hauptgrund für die eine gruppenweite PKI Lösung bei der E.ON ist > schlicht und einfach der Rückhalt bei den CIOs. > > Da ein solches Unternehmen sich ständig dynamisch verändert ist in > meinen Augen eine starke Authentifzierung wesentlich. Ebenso die > Prozesse um die Identitäten die mit der PKI verknüpft sind zu > identitifizieren und gegenenfalls innerhalb des Unternehmens zu > transferieren. > > Wir haben eine eigene Abteilung für die PKI und dadurch auch > entsprechendes Know How für die Anbindung von SmartCard Login unter > Windows, SSL Authentifzierung für Webseiten, SSL VPN für Mitarbeiter, > Festplattenverschlüsselung, File and Folder.... Natürlich versuchen > wir wo sinnvoll auch die vorhandene PKI anzubinden. Womit sich die > Basiskosten für alle Applikationen lohnen. > > Eine Killerapplikation ist übrigens der Urlaubsantrag - die > Verwendung von PKI Zertifikaten für solche wichtigen Diensten erhöht > die Akzeptanz enorm :) > > Mein Unit-Leiter war letzten aufgrund der Mitarbeit bei der Bridge-CA > in der Presse > "http://www.teletrust.de/startseite/pressemeldung/?tx_ttnews[tt_news]= > 131&cHash=107eafe8f7" - auch hier versuchen meine Kollegen einen > kleinen Beitrag zu leisten. > > Was die Komplexität angeht - so entsteht die nach meinem Eindruck > durch die unterschiedlichen Prozesse. Wenn eine komplexe > Vertreterregelung gefordert wird erhöht das natürlich den Aufwand. > Ebenso, wenn nicht nur ein Zeritifikat sonderen deren drei (Signatur, > Verschlüsselung, Authentifzierung) gefordert sind. Andererseits - > wenn die WIrklichkeit nicht durch die IT Prozesse abzubilden sind > landen wir wieder bei Nutzern die die Token untereinander > austauschen.... > > Wenn man sich Lösungen wie eDRM oder 801.X ansieht sieht man, dass > hier auch eine PKI dahinter steckt. Selbst hinter den elektronischen > Massensignaturen steckt letztlich eine PKI. Aber der Endanwenden muss > sich um die PKI keine Gedanken machen - sie bleibt versteckt. > Gerade die Lösung mit Nutzerzertifikaten bei eDRM fasziniert mich - > ganz ohne CRLs und mit der Möglichkeit der offline Verschlüsselung. > Hier werden die Dokumente mit dem Schlüssel des Server verschlüsselt > so dass das öffentliche Zertifikat des Nachrichtenempfängers nicht > online vorhanden sein muss.... > > Die reine PKI ist tot - lang leben die PKI Anwendungen :) > > Mfg > Thilo Müller
• 
  Dr. Gunnar Jacobson    Premium Member

  The company name is only visible to registered members.

  Re^7: PKI lebt...

  Hallo Herr Müller,
  
  ich finde es vorbildlich, wie E.on das Thema behandelt. Auch das Engagement in der EBCA ist dabei zu nennen. Im letzten Board-Meeting war ja bereits Ihr Unit-Leiter aktiv mit dabei. Demnächst werden dann auch Ihre Zertifikate zur Verschlüsselung global gefunden - über die certBox der EBCA.
  Welche eDRM Lösungen favorisieren Sie denn, bzw. haben Sie so etwas schon im Einsatz?
  
  Gruß G. Jacobson
  
  • 04 Feb 2010, 6:29 pm
  Dr. Gunnar Jacobson wrote: > Hallo Herr Müller, > > ich finde es vorbildlich, wie E.on das Thema behandelt. Auch das > Engagement in der EBCA ist dabei zu nennen. Im letzten Board-Meeting > war ja bereits Ihr Unit-Leiter aktiv mit dabei. Demnächst werden dann > auch Ihre Zertifikate zur Verschlüsselung global gefunden - über die > certBox der EBCA. > Welche eDRM Lösungen favorisieren Sie denn, bzw. haben Sie so etwas > schon im Einsatz? > > Gruß G. Jacobson

• Back
• Next