Der Gnome-Entwickler Stef Walter hat sich in seinem Guadec-Vortrag damit beschäftigt, Kryptografie-Komponenten benutzerfreundlicher zu machen. Als gemeinsamen Keystore für Anwendungen in Gnome 3.0 schlägt er Gnome-Keyring vor.
Die Welt der freien Software verfüge über hervorragende Kryptografie-Implementierungen, erläuterte Walter. Doch leider verwenden sie alle einen eigenen Keystore. Die unterschiedlichen Oberflächen und Formate für Schlüssel und Zertifikate seien für die Anwender unangenehm und verwirrend.
Keyring-Entwickler Stef Walter: Krypto-Software sollte so sicher sein wie ein Tresor, aber so leicht zu bedienen wie eine Wohnzimmertür.
Als praktisches Beispiel für den traurigen Ist-Zustand nahm er einen Anwender, der ein WLAN mit Client-Zertifikat benutzen möchte: Der User lädt das Zertifikat mit dem Firefox-Browser aus dem Web herunter, exportiert es mit Passphrase, konvertiert es mit Hilfe von OpenSSL und importiert es in den Network-Manager.
Abhilfe soll Gnome-Keyring als zentraler Keystore schaffen. Dazu kommt der Standard PKCS #11 zum Einsatz, den viele kryptografische Anwendungen unterstützen, beispielsweise Mozillas Network Security Services (NSS), OpenVPN, Truecrypt und Java, seit jüngstem auch OpenSSH. Bei GnuTLS und OpenSSL ist PKCS #11 laut Walter in Arbeit.
Der Keyring kann für all dieses Anwendungen als Keystore mit PKCS-#11-Schnittstelle fungieren. Für Gnome-Programme soll die Komponente auch vorgefertigte Widgets liefern, etwa einen Dialog zur Zertifikatsauswahl, der dem GtkFileChooser ähnelt. Die Schlüsseldateien speichert Gnome-Keyring verschlüsselt auf der Festplatt. Beim Loging des Anwenders werden sie dekodiert, beim Ausloggen, Suspend oder Sperren des Bildschirms werden sie wieder verschlüsselt.
Zurzeit sei noch einiges bei Gnome-Keyring zu tun, fuhr Stef Walter fort, beispielsweise soll der SSH-Store auch beschreibbar werden, Module für Schlüssel auf USB-Massenspeicher sowie für Smartcards seien geplant. Mittelfristig soll der Keyring aber Benutzer sowie Entwickler entlasten. “Erst wenn der Anwender fast nichts mehr von den Security-Technologien merkt, haben wir gute Arbeit geleistet”, fasste der Referent zusammen.
In einer zunehmend vernetzten Welt werde seiner Meinung nach kryptografisch abgesicherte Kommunikation immer wichtiger. Dem müssen auch Desktop-Anwendungen Rechnung tragen. Neben Mitstreitern für das eigene Keyring-Projekt warb Walter daher um die Entwickler der Gnome-3.0-Anwendungen. Nur wenn diese mitspielen, könne ein gemeinsamer Keystore gelingen.
Während einer kurzen Fragerunde unter dem Publikum zeigte sich, dass auch andernorts an Ähnlichem gearbeitet wird: Die jüngsten Entwicklerversionen von Firefox und Evolution können einen gemeinsamen NSS-Keystore benutzen.
Für alle Daheimgebliebenen gibt es Videostreams aus den drei Hörsälen der Konferenz. Dabei kommt allerdings der relativ neue Open-Source-Codec Web-M zum Einsatz, was einen passenden Browser oder Videoplayer erforderlich macht.
