Sun baut Identifizierung in Java ein

Sun modifiziert seine Java-Software, um die Identität von PC-Anwendern besser gewährleisten zu können. Suns Executive Vice President Jonathan Schwartz will morgen, Mittwoch, auf der RSA Security Conference in San Francisco eine neue Authentifizierungstechnologie vorstellen. Diese soll bis Ende Juni fest in Suns Betriebssystem Java Desktop System integriert und nicht zu umgehen sein, kündigte Schwartz an.

Durch mehrere, simultan eingesetzte Methoden zur Authentifizierung von Anwendern sollen Online-Dienstleister zuverlässig erfahren, wer ihre Dienste nutzt. Dies reduziere Probleme wie Spam oder Viren, die über anonyme E-Mail-Adressen versandt werden, erläuterte Schwartz den Ansatz. Sun stellt sich vor, dass die Benutzer sich durch ein Passwort sowie physisch durch ein Mobiltelefon, eine Kreditkarte oder eine ID-Karte ihres Unternehmens ausweisen. Sun arbeitet bereits mit Mobilfunk-Providern und Finanzdienstleistern zusammen, um diese Technologie weithin verfügbar zu machen. Sun-Kunden wie das US-Verteidigungsministerium setzten die Technologie bereits ein.

„Der Preis für die Anonymität musste bislang von denen bezahlt werden, die authentifiziert waren, und es wird Zeit, dass wir das umdrehen“, sagte Schwartz. PCs würden mit dem neuen Verfahren in etwa so sicher wie Geldautomaten oder Mobiltelefone, die ebenfalls jeweils ein Passwort und eine ID-Karte voraussetzten.

„Es ist offensichtlich, dass die defensive Einstellung von Microsoft nicht effizient ist“, meinte Schwartz unter Bezug auf Viren wie MyDoom oder Sobig. „Es wird Zeit, dass die Industrie in die Offensive geht, wie es die Mobilfunk-Unternehmen und Banken längst machen: durch eine starke Authentifizierung der Netzwerk-Nutzer.“

Java steht im Zentrum von Suns Vorhaben – besonders die „JavaCard“-Software, die Nutzer über die SIM-Karten von GSM-Handys authentifiziert, auch mit Kreditkarten wie der American Express Blue ausgeliefert werden soll und die ID-Karten des Verteidigungsministeriums ausliest. Java-Software läuft durch unabhängigen Byte-Code auf einer Vielzahl von Computer-Plattformen und Betriebssystemen, von Multiprozessor-Servern bis zu Mobiltelefonen.

Sun hat mit seiner Java-Technologie zwar Server und Telefone erreicht, ist aber im Bereich der Desktop-Computer weniger erfolgreich, wo die Software von Microsoft dominiert. Dies beginnt sich aber zu ändern, seit Sun 2003 Verträge mit PC-Herstellern wie Dell und Hewlett-Packard abschloss, die sich zur Installation von Java auf ausgelieferten Rechnern verpflichteten.

Nach Schwartz‘ Meinung könnte eine Authentifizierung durch mehrere Elemente auf zwei Wegen erfolgen. Zum einen könnte sich ein Anwender durch Einführen einer Java-kompatiblen Kreditkarte oder SIM-Karte in den PC identifizieren und danach ein Passwort eingeben. Zum anderen würde sich der User mit seiner Handynummer bei einer Site einloggen. Die Server der Site würden dann über das Netzwerk der Telefongesellschaft eine Nachricht (etwa SMS) mit der Bitte um Passwort-Eingabe senden, die der Nutzer auf gleichem Weg beantworte – und damit für die betreffende Site authentifiziert sei. Dies ist nach Schwartz‘ Meinung der kompliziertere, aber realistischere Weg.

Sun spricht „mit einer Reihe von (Mobilfunk-)Providern auf der ganzen Welt im Gespräch, wie man die Lücke zwischen Handys und PCs schließen könnte“, sagte Schwartz. Die Zusammenarbeit mit Providern sei schneller zu verwirklichen als mit Finanzdienstleistern. „Die Technologie ist fast einsatzbereit“, fügte er hinzu. „Bis Juni wird eine robuste Version von Javacard im Java Desktop stecken, was für mich der Aufhängepunkt des ganzen Systems ist.“

Java 2 Standard Edition (J2SE), die PC-Version von Java, muss modifiziert werden, um die neue Technologie zu unterstützen, erklärte Schwartz.