Die letzte Bastion der "Web of Trust"-Gemeinde - zumindest was das Image anbetrifft - hat nun ihre Fahnen geschwenkt und wechselt zur "PKI-Fraktion". So könnte man den Kauf von TC Trustcenter und ihrer amerikanischen Tochter Chosen Security durch PGP süffisant bezeichnen. Nur - ganz so einfach ist es nicht.
Bei genauerem Hinsehen entsteht durch die Übernahme der deutschen "Certificate Authority"-Fabrik eine sehr machtvolle Kombination aus Verschlüsselungssoftware und Dienstleistungen rund um Trust Management. So hat PGP in den letzten Jahren kontinuierlich sein Portfolio von reiner E-Mail-Verschlüsselung zu Rundum-Sorglos-Paketen für den Enterprise-Markt ausgebaut: E-Mail-Verschlüsselungs-Proxy, Festplattenverschlüsselung, Dokumenten- und Container-Verschlüsselung sind alle schon von PGP zu haben. Zudem wird seit einiger Zeit auch der S/MIME-Standard sowie die Verwendung von X.509-Zertifikaten unterstützt. Unter dem Image des rebellischen PKI-Gegners ist seit langem ein durchaus erfolgreicher Konkurrent für die etablierten Verschlüsselungsfirmen entstanden.
TC TrustCenter auf der anderen Seite bietet nicht nur SSL-Zertifikate und Extended-Validation-Zertifikate (mit denen man die Authentizität des Web-Seiten-Anbieters überprüfen kann, durch eine farbliche Kennzeichnung in den Adressleisten der Browser gekennzeichnet), sondern auch - und gerade interessant für PGP - Benutzer-Zertifikate von verschiedener Güte, und - besonders wichtig - die Root-CAs von TC sind in den Browsern als vertrauenswürdig gekennzeichnet. Hinzu kommt die Fähigkeit, auch gesetzeskonforme digitale Signaturen mit den Angeboten der TC Trustcenter erstellen zu können.
Die Kombination aus den Software-Anwendungen für Verschlüsselungen und PKI-Services öffnet damit die Fähigkeit, Sicherheit in der Cloud realisieren zu können, denn erst wenn die Software-Komponenten vorhanden sind, und die Services für die Cloud integrierbar, quasi "transparent" angeboten werden können, sind Zukunftsmodelle wie "Policy-based data protection across boundaries" erst möglich.
Natürlich gibt es dies heute auch schon von den großen Anbietern. Aber die Standards-Konformität und Offenheit, mit der PGP an diese Problematik herangeht ist schon bemerkenswert. Obgleich finanziell sicherlich nicht eine besonders umwerfende Transaktion, ist dieser Zug ein wichtiger Meilenstein auf dem Weg zur Sicherheit in Cloud Services. Der Effekt allerdings wird sich mit Sicherheit erst in ein paar Jahren niederschlagen - wenn auch die Anwender "Cloud ready" sind.