Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
KAPITEL 10. PUBLIC-KEY ZERTIFIZIERUNGEN<br />
10.5.5 Kennzeichen e<strong>in</strong>er PKI<br />
Das Ensemble aus Zertifizierungsstelle(n), ggf. Registrierungs- und Ausgabestellen (RAs) nebst den<br />
Abruf- oder Verteil-Möglichkeiten für Zertifizierungs- und Sperr<strong>in</strong>formationen faßt man unter dem<br />
Namen ‘Public-Key-Infrastruktur’ zusammen. Häufig ist im gleichen S<strong>in</strong>ne auch von e<strong>in</strong>er ‘Sicherungs-<br />
’ oder ‘<strong>Sicherheit</strong>s<strong>in</strong>frastruktur’, von e<strong>in</strong>er ‘Zertifizierungs<strong>in</strong>frastruktur’ oder auch e<strong>in</strong>er ‘Zertifizierungshierarchie’<br />
die Rede, wenn diese Gesamtheit aus CA(s), Registrierungsstellen und Verzeichnisdienst(en)<br />
bezeichnet werden soll. 5<br />
Egal unter welchem der Begriffe sie firmieren, zeichnen sich doch alle solchen Infrastrukturen typischerweise<br />
durch folgende Eigenschaften aus:<br />
¯ Skalierbarkeit<br />
¯ Anwendungsbezug (d.h. es werden Schlüssel und Zertifikate für e<strong>in</strong>e bestimmte Anwendung<br />
oder Klasse von Anwendungen bereitgestellt)<br />
¯ E<strong>in</strong>bettung <strong>in</strong> e<strong>in</strong>en umfassenderen, nicht-technischen Rahmen, der u.a. die rechtliche Aussagekraft<br />
der Zertifikate oder die Haftung der Beteiligten, <strong>in</strong>sbesondere der CA, z.B. bei Haftung<br />
oder Mißbrauch, festlegt (siehe dazu auch 10.6.3)<br />
¯ Verknüpfung mit anderen Zertifizierungshierarchien/PKIs (z.B. durch vertragliche Anerkennung<br />
oder explizite Cross-Zertifizierung)<br />
¯ weitergehende Dienstangebote: E<strong>in</strong>e PKI stellt meist nicht nur Zertifizierungs- und Sperrdienste<br />
zur Verfügung, sondern bietet auch Möglichkeiten zur Schlüsselerzeugung, -Verteilung, -<br />
Archivierung oder dem turnusmäßigen oder außerplanmäßigen Schlüsselwechsel<br />
10.6 PKI-Praxis<br />
Dieser Abschnitt gibt e<strong>in</strong>en kurzen Überblick über gängige Anwendungen und Standards mit Bezug<br />
zu Public-Key-Verfahren und -Infrastrukturen sowie über bereits <strong>in</strong> Betrieb bef<strong>in</strong>dliche oder demnächst<br />
<strong>in</strong> Betrieb gehende PKIs bzw. entsprechende Pilot- oder Forschungsprojekte und den aktuellen<br />
Stand der relevanten Gesetzgebung <strong>in</strong> Deutschland und auf EU-Ebene.<br />
10.6.1 Anwendungen, Protokolle, Standards<br />
Bekannte und bereits etablierte Anwendungen und Standards, die sich Public-Key-Verfahren bedienen,<br />
existieren im Internet vor allem im Bereich der sicheren E-Mail-Kommunikation. Dort existieren<br />
mit PGP [PGP] und S/MIME 6 gleich zwei verbreitete Standards, die vor allem im Fall von PGP bereits<br />
seit etlichen Jahren erprobt und etabliert s<strong>in</strong>d. Sie ermöglichen, ebenso wie der <strong>in</strong> Deutschland vom<br />
TeleTrusT e.V. entwickelte MailTrusT-Standard [MTT], e<strong>in</strong>en authentischen, <strong>in</strong>tegritätsgeschützten<br />
und vertraulichen Mail-Austausch nebst den zugehörigen Schlüssel- bzw. Zertifikat-Übermittlungen.<br />
S/MIME und MailTrusT greifen dabei das Zertifikat-Format auf, das <strong>in</strong> den verschiedenen Versionen<br />
5 Siehe [Hammer] für e<strong>in</strong>e ausführlichere Diskussion dieser Begrifflichkeiten<br />
6 http://www.ietf.org/html.charters/smime-charter.html<br />
156 SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong>