JonDonym-Zertifikate und ihre Bedeutung

Zertifikate dienen dazu, die Betreiber von JonDonym-Diensten zu identifizieren. Eine Mix-Kaskade besteht üblicherweise aus zwei oder mehr hintereinandergeschalteten Mix-Servern, die von verschiedenen Organisationen betrieben werden. Nur wenn alle diese Betreiber zusammenarbeiten, kann die Identität von Nutzern aufgedeckt werden. Nutzer von JonDo sollen selbst entscheiden können, ob sie den Betreibern einer Kaskade vertrauen, und sich entsprechend dieser Entscheidung entweder mit dem Dienst verbinden oder nicht. Deshalb ist es immens wichtig, dass

Zertifikate sind Teil von sogenannten kryptographischen Public-Key-Verfahren: Die durch ein Zertifikat identifizierte Organisation besitzt einen privaten Schlüssel, mit dem sie digitale Signaturen ausstellen kann. Dieser Schlüssel darf niemals in die Hände von dritten gelangen, da jeder damit solche Signaturen ausstellen könnte. Mithilfe eines frei verfügbaren öffentlichen Schlüssels können andere diese Signaturen überprüfen und feststellen, ob sie wirklich mit der entsprechenden Organisation kommunizieren. Der Zusammenhang von Identität und öffentlichen Schlüssel wird durch ein digitales Zertifikat sichergestellt. Das ist ein elektronisches Dokument, das von einer sogenannten Zertifizierungsstelle ebenfalls digital unterzeichnet wurde. Es wird sehr empfohlen sich die Zertifikate der einzelnen Server einer Mix-Kaskade anzusehen (auf die einzelnen Mix-Icons klicken und dort jeweils das Zertifikat anklicken.).

Zertifizierungsstellen

Der JonDonym Dienst wird gegenüber dem Betreiber unsicher, wenn die genutzte Mix-Kaskade nominell von unterschiedlichen Instanzen betrieben wird, faktisch aber alle Mixe der Kaskade in der Hand derselben Organisation liegen. Durch vertrauenswürdige Zertifizierungsstellen (CAs) soll sichergestellt werden, dass Betreiber, die unterschiedliche Namen haben, auch wirklich als möglichst unabhängige Einheiten existieren. Ohne eine Identitätsprüfung durch eine dieser Stellen sind Mixe für JonDo nicht benutzbar. Letztlich muss aber auch den Zertifizierungsstellen selbst vertraut werden, denn diese wären in der Lage, nicht existierende Betreiber zu "generieren" und damit im fremden Namen zu handeln.

Bei JonDonym gibt es momentan nur zwei Wurzel-Zertifizierungsstellen (JonDos GmbH und TU Dresden JAP-Team), die sich jeweils zu höchster Sorgsamkeit bei der Zertifizierung von Betreibern verpflichtet haben. Daneben ist, nach Genehmigung durch JonDos, die Zertifizierung von Mixbetreibern auch durch sogenannte Unter-Zertifizierungsstellen (Sub-CAs) möglich, deren Identität selber von einer Wurzel-CA bestätigt ist, und die selbst eigene Zertifizierungsverfahren durchführen. Sub-CAs sind dann notwendig, wenn die JonDonym-CA die Identität von der Sub-CA bekannten Betreibern nicht selbst eindeutig feststellen kann, diesen aber dennoch den Zugang zum JonDonym-System nicht verwehren will. Letzlich können die Nutzer dann selbst entscheiden, ob sie den Sub-CAs vertrauen möchten oder nicht.

Für die Zukunft ist außerdem geplant, eine Mehr-Parteien-Zertifizierung durchzuführen. Dann sind jeweils mindestens zwei Zertifizierungsstellen nötig, um ein vertrauenswürdiges Zertifikat auszustellen. Dadurch muss nicht mehr einer einzigen Zertifizierungsstelle vertraut werden. Auch wenn das geheime Zertifikat einer Zertifizierungsstelle verloren gehen sollte oder anderweitig ungültig wurde, können bei drei oder mehr Zertifizierungstellen dennoch alle anderen Zertifikate Ihre Gültigkeit behalten.

Mix-Zertifikate und Betreiber-Zertifikate

Sowohl die Mixe als auch die Betreiber von Mixen erhalten Zertifikate. Die Betreiber-Zertifikate werden dabei von einer CA auf die Identität eines Betreibers ausgestellt, der mithilfe dieses Zertifikats dann selbst beliebig viele Mix-Zertifikate generieren kann. Diese Mixe bzw. Mix-Zertificate können dann ihm als Betreiber eindeutig zugeordnet werden. Die in den Mix-Zertifikaten enthaltenen Informationen über den Standort eines Mixes werden also vom Betreiber selbst zertifiziert, und sind deshalb nicht so zuverlässig wie die Informationen über die Betreiber.

Zustände von Zertifikaten

Ein Zertifikat gilt nur dann als verifiziert, wenn Sie der Zertifizierungsstelle vertrauen, die dieses Zertifikat ausgestellt hat. Nicht-verifizierbare Zertifikate sind grundsätzlich nicht vertrauenswürdig, da jeder, der über geringes Wissen im Bereich der IT verfügt, selbst solche Zertifikate generieren kann. Die Gültigkeit eines Zertifikats ist davon abhängig, für welchen Zeitraum ein Zertifikat ausgestellt wurde. Normalerweise sollte einem abgelaufenen Zertifikat nicht mehr vertraut werden, da nicht klar ist, ob der Besitzer noch eine Berechtigung hat, den Dienst anzubieten. Zertifikate können auch zurückgerufen werden, z.B. wenn deren Verschlüsselung gebrochen wurde, der Betreiber sich als unseriös herausgestellt hat oder das private Zertifikat in falsche Hände geraten ist.

JonDo verbietet momentan die Verbindung zu Mixkaskaden, in denen mindestens ein nicht vertrauenswürdiger Mix steht. Abgelaufene oder zurückgerufene Zertifikate werden dagegen noch nicht berücksichtigt, nur als solche angezeigt. Ein Kaskaden-Filter mit wesentlich feingranulareren Einstellungen ist gerade in Entwicklung.