Authentifizierungs-Platzhirsch RSA vorerst außen vor

OATH: Verisign will Standards

27.02.2004
MÜNCHEN (CW) - Der bislang vor allem durch seine digitalen Zertifikate bekannte US-amerikanische Anbieter Verisign steigt ins Geschäft mit Hardware-Authentifizierungs-Tokens ein. Er führt eine Gruppe von auf Sicherheitsprodukte spezialisierten Firmen an, die die Dominanz von RSA Security im Authentifizierungsmarkt aufweichen wollen.

Auf der RSA Conference in San Francisco kündigte Verisign die Open Authentication Reference Architecture (OATH) an, die zunächst nur in Gestalt eines Architektur-Whitepapers existiert. Nach Angaben von Vice President Mark Griffiths setzt das Framework "zu 90 bis 95 Prozent" auf existierenden Standards wie LDAP (Lightweight Directory Access Protocol) und Radius (Remote Authentication Dial-in User Service) auf. Im Mittelpunkt der Entwicklung sollen ein Standard für Credential Provisioning sowie ein standardisierter Algorithmus zur Erzeugung von Einmal-Passwörtern stehen. Die Resultate sollen anschließend Gremien wie der Trusted Computing Group, der IETF (Internet Engineering Task Force) oder der Smart Card Alliance zur Standardisierung übergeben werden.

Dadurch sollen Anwender bisher inkompatible Produkte verschiedener Hersteller gemischt nutzen können. Gegenwärtig verwenden die Anbieter nicht zueinander kompatible Verfahren. "OATH wird sicherstellen, dass sichere Credentials über unterschiedliche Hard- und Softwareplattformen beschafft und verifiziert werden können, und damit traditionelle Barrieren für eine weiterreichende Verbreitung ausräumen", glaubt Verisign. Die Token-Anbieter hätten eingesehen, dass sie mehr Geräte verkaufen könnten, wenn sich diese über eine gemeinsame Plattform verwalten ließen, erklärte Griffith. OATH funktioniere nach dem Prinzip, dass offene Standards größere Märkte und damit höhere Einnahmen bedeuteten.

Breite Rückendeckung

Zu den Mitgliedern der Verisign-geführten Initiative gehören namhafte Anbieter aus dem Security- und Systems-Management-Umfeld wie Aventail, Activcard, Aladdin, ARM, Axalto, Bea, Gemplus, HP, IBM und Rainbow. RSA, das mit seiner Produktlinie "SecureID" mehr als die Hälfte des Token-Markts beherrscht, ist nicht mit von der OATH-Partie. Das nimmt kaum Wunder, denn der Platzhirsch hat ein verständliches Interesse daran, seine Technik proprietär zu halten.

Verisign wird zumindest zeitweise selbst in den Markt für Sicherheits-Tokens einsteigen und im Laufe des Jahres zwei USB-Tokens auf den Markt bringen, eines davon Smart-Card-basierend. Außerdem offeriert Verisign im Rahmen von OATH einen neuen universellen Authentifierzungs-Dienst, der auf die hauseigene Directory- und Datenbanktechnik "Atlas" (Advanced Transaction Look-up and Signaling) aufsetzt. Dieser verknüpft Anfragen nach Web-Seiten mit den IP-Adressen, die auf Verisigns DNS-Servern registriert sind. Firmen können Atlas zur Nutzerauthentifizierung im öffentlichen Internet verwenden.

Die Version 1.0 des OATH-Standards soll im dritten Quartal 2004 starten und zunächst Microsofts "Active Directory" und Hard- und Software-Credentials wie PKI (Public Key Infrastructure) und OTP (One Time Password Authentication) unterstützen. Im vierten Quartal soll ein weiteres Release folgen, das dann auch andere Plattformen und LDAP-kompatible Verzeichnisse unterstützt, darunter die von IBM und Sun Microsystems. Weitere Informationen finden sich unter openauthentication.org. (tc)