Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
114 Kapitel 5. Praktische Umsetzung des CA-Konzeptes<br />
dingungen – d.h. es findet keine Kompromittierung während der Schlüssellebensdauer statt – sowie<br />
eines prototypischen von der UNI-CA ausgestellten Zertifikates. Ausgangsbasis dieses Szenarios ist<br />
die Annahme, daß die Gültigkeit eines Zertifikates mittels der Gültigkeitsdauer des Zertifizierungsschlüssels<br />
implizit ausgedrückt <strong>und</strong> nicht direkt (wie mit der neuesten PGP-Version möglich) im<br />
Zertifikat selber angegeben wird (vgl. dazu 4.8.7.2).<br />
5.4.2.1 Lebenszyklus des CA-Zertifizierungsschlüssels<br />
Zwei Wochen vor dem Ende des Wintersemesters wird der Zertifizierungsschlüssel der Medium-<br />
Level UNI-CA für die kommenden zwölf Monate zusammen mit seinem zugehörigen öffentlichen<br />
Schlüssel erzeugt. Mit ihm wird ein Zertifikat für den Public-Key ausgestellt. Der Public-Key wird<br />
zusätzlich mit dem noch gültigen alten Zertfizierungsschlüssel signiert, während der geheime Zertifizierungsschlüssel<br />
(Private-Key) auf eine grellbunte Diskette kopiert wird. Ein Widerruf s<strong>einer</strong><br />
selbst wird zusammen mit dem zugehörigen Public-Key an die <strong>DFN</strong>-PCA übermittelt, die den<br />
Public-Key ebenfalls zertifiziert <strong>und</strong> den Schlüssel-Widerruf sicher verwahrt. Dann bekommt der<br />
Signierschlüssel viel zu tun: Lauter andere Schlüssel, deren Zertifikat gerade abgelaufen ist, werden<br />
mit ihm neu zertifiziert. Anschließend wird die Diskette mit dem Zertifizierungsschlüssel in einem<br />
Schrank eingeschlossen, aus dem sie nur selten wieder herausgenommen wird. Wenn dies geschieht,<br />
werden mit dem Private-Key andere Schlüssel, Schlüsselwiderrufe oder Sperrlisten signiert. Nach<br />
r<strong>und</strong> sechs Monaten bekommt der Zertifizierungsschlüssel wieder mehr zu tun: Mit ihm werden<br />
nun vor allem Schlüsselwiderrufe signiert, weil viele andere Zertifikatinhaber im laufenden Semester<br />
aus der UNI ausgeschieden sind, was zum Semesterwechsel festgestellt wird. Da die Medium-<br />
Level UNI-CA nur Zertifikate für Personen ausstellt, die der Universität angehören, werden die<br />
Zertifikate für die Schlüssel aller anderen, die keine UNI-Angehörigen mehr sind, gelöscht. Danach<br />
wird es wieder ruhiger. Kurz vor seinem ersten „Geburtstag“ wird mit dem Zertifizierungsschlüssel<br />
dann die öffentliche Komponente seines Nachfolgers signiert. Ganz kurz nach dem Erreichen eines<br />
Alters von zwölf Monaten wird der Zertifizierungsschlüssel dann gelöscht; der zugehörige Public-<br />
Key hingegen existiert in h<strong>und</strong>erten von Kopien weiter, die weiterhin zum Prüfen der zuvor mit dem<br />
Private-Key ausgestellten Signaturen <strong>und</strong> Zertifikate verwendet werden.<br />
“A digital signature private key must be securely destroyed when its active lifetime terminates.<br />
If its value is disclosed, even a long time after it is no longer actively used, it may still be used<br />
to forge signatures on old documents.” [For94]<br />
5.4.2.2 Lebenszyklus des CA-Kommunikationsschlüssels<br />
Genau zum Beginn des Sommersemesters wird das Kommunikationsschlüsselpaar erzeugt. Es soll<br />
sechs Monate lang benutzt werden. Als erstes wird sein öffentlicher <strong>Teil</strong> mit dem geheimen Signierschlüssel<br />
signiert <strong>und</strong> anschließend in alle Welt verteilt. Der geheime <strong>Teil</strong> wird auf sicherem<br />
Wege zusammen mit der Passphrase in Kopien an die Mitarbeiter der UNI-CA ausgehändigt. Sie<br />
benutzen ihn anschließend, um eingehende verschlüsselte Mails für die UNI-CA zu entschlüsseln.<br />
Mit Ablauf des Semesters wird mit dem geheimen Kommunikationsschlüssel ein Schlüsselwiderruf<br />
erzeugt <strong>und</strong> in alle Welt verteilt (z.B. über die Keyserver). Damit ist nach außen hin deutlich,