Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
KAPITEL 10. PUBLIC-KEY ZERTIFIZIERUNGEN<br />
an die Grenze dessen, was mit e<strong>in</strong>er Zertifizierungsstelle noch handhabbar ist. Schließlich müssen <strong>in</strong><br />
der Regel die Wege für die Nutzer der CA (Zertifikatnehmer) weiterh<strong>in</strong> ausreichend kurz gehalten<br />
werden, so daß es ihnen noch möglich ist, die Zertifizierungsstelle (oder e<strong>in</strong>e der RAs) aufzusuchen,<br />
wenn sie sich e<strong>in</strong> Zertifikat ausstellen lassen möchten. Zudem ist oft die Nähe der CA zu denjenigen<br />
Mitarbeitern oder Abteilungen e<strong>in</strong>er Organisation gewünscht, die am s<strong>in</strong>nvollsten bestimmte<br />
Entscheidungen im Rahmen der Zertifizierung treffen oder bestimmte Informationen bestätigen können,<br />
so z.B. die, ob jemand tatsächlich Angehöriger der betreffenden E<strong>in</strong>richtung ist oder wirklich<br />
bestimmte Berechtigungen erhalten darf. Aus diesen Gründen versucht man häufig, bestehende Organisationsstrukturen<br />
durch die Zertifizierungs<strong>in</strong>frastruktur abzubilden. So gelangt man relativ rasch zu<br />
Strukturen, bei denen mehrere Zertifizierungs<strong>in</strong>stanzen zusammenwirken.<br />
Da Organisationen meist <strong>in</strong> mehrere Hierarchie-Ebenen gegliedert s<strong>in</strong>d (Geschäftsleitung, Abteilungsleitungen,<br />
Projektleiter, Mitarbeiter, ...), wird ihre Struktur oft <strong>in</strong> e<strong>in</strong>er mehrstufigen Zertifizierungshierarchie<br />
abgebildet. In ihr wirken mehrere CAs <strong>in</strong> koord<strong>in</strong>ierter Weise zusammen. Dabei s<strong>in</strong>d sie<br />
<strong>in</strong> e<strong>in</strong>er Baumstruktur durch Zertifizierungen mite<strong>in</strong>ander vernetzt. Die Knoten des Baumes bilden<br />
Zertifizierungsstellen, die Blätter entsprechen den Zertifikatnehmern, und die Zweige des Baumes<br />
entsprechen den Zertifizierungen. Ganz oben steht dabei die Wurzel-Instanz (Root CA), die – meist<br />
ausschließlich – untergeordnete CAs zertifiziert. Diese wiederum zertifizieren die Nutzer (oder/und<br />
bei Bedarf auch weitere nachgeordnete CAs). Aufbauend auf dieser Struktur erfolgt die Verifikation<br />
e<strong>in</strong>es Zertifikates über Zwischenschritte mit Hilfe e<strong>in</strong>er Kette von Zertifikaten (Vertrauenspfad, certificate<br />
cha<strong>in</strong>/cha<strong>in</strong> of trust), <strong>in</strong>dem mittels e<strong>in</strong>es Zertifikates der Signierschlüssel verifiziert wird, mit<br />
dem das jeweils nächste Zertifikat <strong>in</strong> e<strong>in</strong>er solchen Zertifikatkette unterzeichnet wurde usw.<br />
E<strong>in</strong>e solche streng hierarchische Struktur hat zwei wichtige Vorzüge aufzuweisen, wenn es darum<br />
geht, den Vertrauenspfad (also e<strong>in</strong>en Pfad <strong>in</strong>nerhalb des Zertifizierungsbaumes) zwischen zwei Knoten<br />
oder Blättern zu ermitteln: Die Baumstruktur stellt sicher, daß e<strong>in</strong> solcher Pfad <strong>in</strong> jedem Fall<br />
existiert, also von jedem Teilnehmer bzw. von der Wurzel<strong>in</strong>stanz zu jedem Teilnehmer der Zertifizierungshierarchie<br />
e<strong>in</strong> Vertrauenspfad ermittelt werden kann, und sie erleichtert die Konstruktion dieses<br />
Pfades, da es <strong>in</strong> e<strong>in</strong>em ausreichend ist, von beiden betrachteten Knoten ausgehend im Baum <strong>in</strong> Richtung<br />
Wurzel aufzusteigen, bis man am ersten Knoten – der ersten CA – angelangt ist, der beiden<br />
anderen übergeordnet ist. Spätestens bei der Root-CA ist dieser Punkt <strong>in</strong> e<strong>in</strong>er streng hierarchischen<br />
Zertifizierungsstruktur immer erreicht. Es s<strong>in</strong>d daher ke<strong>in</strong>e aufwendigen Suchverfahren erforderlich,<br />
um diesen Pfad zu ermitteln.<br />
E<strong>in</strong>e re<strong>in</strong> hierarchische Zertifizierungs<strong>in</strong>frastruktur weist aber auch e<strong>in</strong>en nicht unerheblichen Nachteil<br />
auf: Sie ist anfällig gegenüber Störungen, durch die e<strong>in</strong>e der beteiligten CAs ausfällt. Muß aus<br />
dem Zertifizierungsbaum e<strong>in</strong> Knoten nebst zugehöriger Kanten gelöscht werden, weil die von ihm<br />
repräsentierte Zertifizierungs<strong>in</strong>stanz ausfällt (was durch technische Defekte, Lizenz-Entzug durch die<br />
übergeordnete CA, Konkurs u.a. bed<strong>in</strong>gt se<strong>in</strong> kann), so zerfällt der vorher zusammenhängende Baum<br />
<strong>in</strong> isolierte, nicht mehr mite<strong>in</strong>ander verbundene Teilbäume. Aus dem e<strong>in</strong>en der Teilbäume existieren<br />
dann ke<strong>in</strong>erlei Zertifizierungspfade mehr zu Nutzern oder CAs im jeweils anderen Teilbaum.<br />
10.5.3 Cross-Zertifizierung<br />
Zu den strukturell bed<strong>in</strong>gten Problemen e<strong>in</strong>er streng hierarchischen Zertifizierungs<strong>in</strong>frastruktur zählt,<br />
wie sich erst <strong>in</strong> jüngerer Zeit herausgestellt hat, die Wurzel-Instanz. In der Theorie müßte es e<strong>in</strong>e<br />
„Welt-Wurzel<strong>in</strong>stanz“ geben, die alle anderen Top-Level-CAs e<strong>in</strong>zelner PKIs zertifiziert und so die<br />
Verb<strong>in</strong>dung zwischen diesen PKIs herstellt. Es zeigt sich aber, daß e<strong>in</strong>e solche Instanz aufgrund nichttechnischer<br />
Erwägungen und Probleme nicht ohne weiteres etabliert werden kann: Die E<strong>in</strong>igung auf<br />
154 SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong>