Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
10.4. ZERTIFIZIERUNGSINSTANZEN<br />
10.4 Zertifizierungs<strong>in</strong>stanzen<br />
Wodurch zeichnet sich e<strong>in</strong>e Zertifizierungs<strong>in</strong>stanz (oft auch als Zertifizierungsstelle bezeichnet) gegenüber<br />
e<strong>in</strong>er „normalen“ Zertifizierenden aus, wie sie beispielsweise an e<strong>in</strong>er gegenseitigen Zertifizierung<br />
zwischen PGP-Nutzern beteiligt se<strong>in</strong> könnte?<br />
¯ E<strong>in</strong>e CA operiert nach festgelegten, veröffentlichten Regeln, e<strong>in</strong>er sog. Policy.<br />
¯ E<strong>in</strong>e CA ist – moralisch, vertraglich oder sogar gesetzlich – zur E<strong>in</strong>haltung ihrer Policy verpflichtet.<br />
¯ Die Glaub- und Vertrauenswürdigkeit e<strong>in</strong>er CA ist die Grundvoraussetzung für ihre Akzeptanz<br />
und daher für ihre Tätigkeit, <strong>in</strong>sofern ist dies ihr wertvollstes und zugleich kritischstes Gut.<br />
¯ Die CA übernimmt die Garantie für die Richtigkeit der Daten <strong>in</strong> den von ihr ausgestellten<br />
Zertifikaten und ist u.U. sogar dafür haftbar.<br />
¯ E<strong>in</strong>e CA ist <strong>in</strong> den meisten Fällen e<strong>in</strong>e juristische Person, da längerfristige Stabilität und Kont<strong>in</strong>uität<br />
angestrebt werden und sich eher <strong>in</strong> dieser Rechtsform gewährleisten lassen. 3<br />
10.4.1 Dienstangebot<br />
Die Kern-Dienstleistungen, die jede Zertifizierungsstelle erbr<strong>in</strong>gen muß, s<strong>in</strong>d die Identitätsprüfung<br />
(Registrierung) der Zertifikatnehmer (die zu diesem Zeitpunkt noch die Antragsteller s<strong>in</strong>d, denn noch<br />
s<strong>in</strong>d sie nicht zertifiziert), die Zertifizierung, d.h. das digitale Signieren der Angaben im Zertifikat,<br />
die Bereitstellung bzw. Verteilung der Zertifikate an den Inhaber und an andere Nutzer und das<br />
Sperrmanagement für die eigenen Zertifikate.<br />
Die Veröffentlichung der Zertifikate kann dabei über e<strong>in</strong>en Verzeichnisdienst oder über Subskriptionsdienste<br />
(„Abonnement“, z.B. per E-Mail oder auf CD-ROM per Post) erfolgen, die Bekanntgabe der<br />
widerrufenen (gesperrten) Zertifikate ebenfalls mittels e<strong>in</strong>es Verzeichnisdienstes, über den Sperrlisten<br />
verbreitet werden, oder mittels Onl<strong>in</strong>e-Statusabfrage (OCSP) e<strong>in</strong>zelner Zertifikate. Die Bereitstellung<br />
oder Verteilung der Zertifikate und der Sperr-Informationen kann allerd<strong>in</strong>gs auch durch e<strong>in</strong>en Dritten<br />
im Auftrag der CA erfolgen, z.B. durch den Anbieter e<strong>in</strong>es Verzeichnisdienstes. Die auf diese Weise<br />
verbreiteten authentisierten Informationen müssen aber nach wie vor von der Zertifizierungsstelle<br />
selbst stammen bzw. erzeugt werden.<br />
Meist wird e<strong>in</strong>e Zertifizierungs<strong>in</strong>stanz den E<strong>in</strong>satz der von ihr herausgegebenen Zertifikate für den<br />
Nutzer bis zu e<strong>in</strong>er Maximalhöhe für den Mißbrauchsfall absichern, d.h. sie übernimmt e<strong>in</strong>e gewisse<br />
(Zahlungs-)Garantie oder Haftung im Schadensfalle. Hierzu wird sich e<strong>in</strong>e CA üblicherweise versichern,<br />
wenn sie nicht ohneh<strong>in</strong> aufgrund gesetzlicher Vorschriften oder wegen Zulassungsbestimmungen<br />
zum Abschluß e<strong>in</strong>er entsprechenden Police verpflichtet ist.<br />
Darüber h<strong>in</strong>aus kann e<strong>in</strong>e CA weitere Dienste anbieten: Sie kann die Möglichkeit e<strong>in</strong>er pseudonymen<br />
Zertifizierung alternativ zu e<strong>in</strong>er normalen Zertifizierung anbieten. Dabei wird durch das Zertifikat<br />
nicht der Klarname des Zertifikatnehmers, sondern e<strong>in</strong> von ihm gewähltes (und von der CA gebilligtes)<br />
Pseudonym an e<strong>in</strong>en Schlüssel gebunden. Die CA wird sich dann verpflichten, den Klarnamen –<br />
3 Das bedeutet allerd<strong>in</strong>gs nicht, daß nicht auch e<strong>in</strong>e e<strong>in</strong>zelne natürliche Person e<strong>in</strong>e CA s<strong>in</strong>nvoll betreiben könnte; diese<br />
CA steht und fällt dann aber mit dem Engagement, der Zuverlässigkeit und Erreichbarkeit dieser Person.<br />
SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong> 151