Entwicklung am Standard für Web Services schreitet voran
Redmond, Armonk, Mountain View - IBM, Microsoft und Verisign gaben ein Zwischenergebnis ihrer Zusammenarbeit für die Entwicklung eines neuen Sicherheitsstandards für Web Services bekannt. Der Standard erhält den Namen WS-Security ( http://xml.coverpages.org/ni2002-04-11-b.html ), der verschiedene bekannte Sicherheits-modelle und Technologien unterstützten, integrieren und zusammenfassen soll, um es Unternehmen zu ermöglichen in einer plattform- und sprach-unabhängigen Umgebung auf sichere Art und Weise Informationen auszutauschen. Der angestrebte Standard könnte einen ähnlichen Stellenwert wie SSL (Secure Sockets Layer) erhalten. WS-Security erstellt ein Set von SOAP (Simple Object Access Protocol)-Applikationen, mit deren Hilfe sich die Authentizität von Absender und Inhalt der empfangenen Daten prüfen lassen. (FvB) | | |
|
| PROJECT CONSULT Kommentar:
|
WS-Security soll eine Standard-Erweiterung für das SOAP-Protokoll definieren und auf die Module WS-Policy, WS-Trust, WS-Privacy, WS-Secure Conversation, WS-Federation und WS-Authorization zurückgreifen. Das Konzept sei der Auftakt für eine großangelegte Sicherheitsinitiative: Die Vielzahl an schon existierenden Sicherheitsmodellen und Verschlüsselungstechnologien könne mit dem System vereinheitlicht werden, so die Initiatoren. WS-Security ist dabei als Dienstekonzept ausgelegt und versucht alle vorhandenen Sicherheitsmechanismen, die heute im Internet Verwendung finden, einzubeziehen. Für z. B. elektronische signierte Dokumente stellt WS-Security eine Zwischenschicht dar, die alle vorkommenden Signaturen verifizieren kann. Genau dieser Ansatz wird zur Zeit auch in Deutschland unter der Bezeichnung ISIS-MTT gemeinsam vom TeleTrusT e. V. und der T7-Gruppe ( http://t7-isis.de ) im Auftrag des Bundeswirtschaftsministeriums ( http://www.bmwi.de ) verfolgt. In Deutschland zeigt sich zumindest, dass inzwischen unterschiedliche Anbieter elektronischer Signaturen ihre Geschäftstätigkeiten aufgenommen haben, deren Lösungen untereinander nicht kompatibel sind. Zur Verifikation von elektronisch signierten Dokumenten, deren Signaturen von unterschiedlichen Anbietern stammt, wird zur Zeit noch für jede Ausprägung ein eigenes Plug-In benötigt. Vom Anspruch her geht WS-Security aber weit über dieses Ziel hinaus. Bleibt nur zu hoffen, dass dieser globale Ansatz auch unseren nationalen Erwartungen entsprechen wird. WS-Security wird zur Zeit noch von nur wenigen Firmen vorangetrieben, die alle eine entsprechende Marktmacht darstellen. Von daher bleibt abzuwarten, wie dynamisch hier für jedermann brauchbare Ergebnisse erarbeitet werden. (FvB)
Metadata
