MÜNCHEN (COMPUTERWOCHE) - Der bislang vor allem durch seine digitalen Zertifikate bekannte US-Anbieter Verisign steigt ins Geschäft mit Hardware-Authentifizierungs-Tokens ein und führt eine Gruppe von Security-Firmen an, die offensichtlich die bisherige Dominanz von RSA Security in Authentifizierungs-Markt aufweichen wollen.

Auf der RSA Conference in San Francisco kündigt Verisign die Open Authentication Reference Architecture (OATH) an, die zunächst nur in Gestalt eine Architektur-Whitepapers existiert. Nach Aussagen von Vice President Markt Griffiths setzt das Framework "zu 90 bis 95 Prozent" auf existierenden Standards wie LDAP und RADIUS auf. Im Mittelpunkt der Entwicklung sollen ein Standard für Credential Provisioning sowie ein standardisierter Algorithmus zur Erzeugung von Einmal-Passwörtern stehen. Die Resultate sollen anschließend Gremien wie der Trusted Computing Group, der IETF oder der Smart Card Alliance zur Standardisierung übergeben werden.

Die dringend nötige Standardisierung soll es Anwendern anschließend ermöglichen, dann interoperable Produkte verschiedener Hersteller gemischt zu verwenden. Gegenwärtig verwenden die Anbieter nicht zu einander kompatible Verfahren. "OATH wird sicherstellen, dass sichere Credentials über unterschiedliche Hard- und Softwareplattformen beschafft und verifiziert werden können, und damit traditionelle Barrieren für eine weiterreichende Verbreitung ausräumen", glaubt Verisign. Die Token-Anbieter hätten eingesehen, dass sie mehr Geräte verkaufen könnten, wenn sich diese über eine gemeinsame Plattform verwalten ließen, erklärte Griffith. OATH funktioniere nach dem Prinzip, dass offene Standards größere Märkte und damit höhere Einnahmen bedeuteten.

Zu den Mitgliedern der Verisign-geführten Initiative gehören namhafte Anbieter aus dem Security- und Systems-Management-Umfeld wie Aventail, Activcard, Aladdin, ARM, Axalto, Bea, Gemplus, HP, IBM und Rainbow. RSA, das mit seiner Produktlinie "SecureID" mehr als die Hälfte des Token-Markts beherrscht, ist nicht mit von der OATH-Partie. Das nimmt kaum Wunder, denn der Platzhirsch hat ein verständliches Interesse daran, seine Technik proprietär zu halten.

Verisign wird zumindest zeitweise selbst in den Markt für Sicherheits-Tokens einsteigen und im Laufe des Jahres zwei USB-Tokens auf den Markt bringen, eines davon Smart-Card-basierend mit integriertem digitalem Zertifikat. Außerdem bringt Verisign im Rahmen von OATH einen neuen universellen Authentifierzungs-Dienst, der auf die hauseigene Directory- und Datenbanktechnik "ATLAS" (Advanced Transaction Look-up and Signaling) aufsetzt. Dieser verknüpft Anfragen nach Web-Seiten mit den IP-Adressen, die auf Verisigns DNS-Servern registriert sind. Firmen können ATLAS zur Nutzerauthentifizierung im öffentlichen Internet verwenden.

Die Version 1.0 des OATH-Standards soll im dritten Quartal 2004 starten und zunächst Microsofts "Active Directory" und Hard- und Software-Credentials wie PKI (Public Key Infrastructure) und OTP (One Time Password Authentication) unterstützen. Im vierten Quartal soll ein weiteres Release folgen, das dann auch andere Plattformen und LDAP-kompatible Verzeichnisse unterstützt, darunter die von IBM und Sun Microsystems. (tc)