Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Anonyme oder pseudonyme Zertifikate werden von der UNI-CA nicht ausgestellt. Ebenso werden keine Zertifikate für<br />
Gruppenschlüssel ausgestellt (einzige Ausnahme: der Kommunikationsschlüssel der UNI-CA selbst; er ist nicht an eine<br />
einzige Person geb<strong>und</strong>en, sondern wird von allen UNI-CA-Mitarbeitern zum Lesen von verschlüsselt an die UNI-CA<br />
geschickten Nachrichten verwendet).<br />
In keinem Fall werden Zertifizierungswünsche automatisiert bearbeitet; es muß sichergestellt sein, daß die Zertifizierung<br />
erst nach <strong>einer</strong> Interaktion durch einen der CA-Mitarbeiter erfolgt.<br />
5.1 Unterstützte Schlüsselformate<br />
Die Low-Level UNI-CA zertifiziert bis auf weiteres ausschließlich PGP-RSA-Schlüssel. DH/DSS-Schlüssel, wie sie z.B.<br />
von PGP 5 erzeugt werden, werden von der UNI-CA nicht zertifiziert.<br />
5.2 Schlüsselgenerierung<br />
Ein Benutzer, der zertifiziert werden möchte, generiert zunächst (oder besitzt schon) ein persönliches asymmetrisches<br />
Schlüsselpaar <strong>und</strong> übermittelt anschließend den selbst-signierten PGP-Public-Key) per E-Mail oder mittels eines Datenträgers<br />
an die UNI-CA. Wenn der Nutzer dies wünscht <strong>und</strong> die CA dies anbietet, wird das asymmetrische Schlüsselpaar<br />
des Benutzers auch von der CA erzeugt. Dabei sind von der UNI-CA die in Abschnitt 4.2 beschriebenen Sicherheitsanforderungen<br />
einzuhalten.<br />
5.3 Namenswahl (Benutzerkennung)<br />
PGP-Benutzer werden durch eine Benutzer-ID identifiziert, die aus <strong>einer</strong> beliebigen Kombination von ASCII-Zeichen<br />
bestehen kann. Bei der Benutzung von PGP kann zunächst jeder <strong>Teil</strong>nehmer die Benutzer-ID frei wählen. Um dennoch<br />
ein sinnvolles <strong>und</strong> korrekt funktionierendes Zertifizierungsmodell zu erreichen, muß die Bindung eines PGP-Public-Keys<br />
an einen Benutzer sichergestellt sein. Daher werden an zu zertifizierende PGP-Benutzer-IDs folgende Anforderungen<br />
gestellt:<br />
Benutzer-IDs müssen eine eindeutige Bindung zwischen dem Public-Key <strong>und</strong> der Identität des Benutzers herstellen.<br />
Daher muß der Vor- <strong>und</strong> Zuname des Benutzers, wenn möglich auch eine E-Mail-Adresse, unter der er<br />
erreichbar ist, innerhalb der Benutzer-ID vorhanden sein. Weitere Bestandteile der Benutzerkennung sind zulässig,<br />
sofern sie nicht irreführend sind oder mit ihnen eine zusätzliche Eigenschaft oder Funktion des Schlüsselinhabers<br />
charakterisiert wird, die die UNI-CA ansonsten vor <strong>einer</strong> Zertifizierung nachprüfen müßte. (Eine Benutzerkennung<br />
wie Hans Schmidt , Diplom-Biologe, Ute Durchschnitt, UNI-<br />
Praesidentin oder Prof. Dr. Y. Mustermensch wäre also nicht zertifizierbar.)<br />
Ergänzungen in der Benutzer-ID, die eine Gültigkeitsdauer oder eine Anwendungsbeschränkung des Schlüssels andeuten<br />
sollen (z.B. ‘SIGN’ für Schlüssel, die nur zur Unterschriftenprüfung, nicht aber zum Verschlüsseln benutzt werden sollen,<br />
oder EXPIRE wie oben für den UNI-CA-Signierschlüssel beschrieben), sind ebenfalls zulässig. Ein Verfallsdatum in der<br />
Benutzerkennung muß aber, wenn es verwendet wird <strong>und</strong> zugleich im PGP-Public-Key-Packet ein Verfallsdatum für den<br />
Schlüssel angegeben ist, mit diesem übereinstimmen; andernfalls darf dieser Schlüssel von der UNI-CA nicht zertifiziert<br />
werden.<br />
Schlüssel mit abgelaufener Gültigkeitsdauer werden ebensowenig zertifiziert wie solche mit einem „Erstellungsdatum“,<br />
das in der Zukunft liegt.<br />
Beispiele für zertifizierbare PGP-Benutzer-IDs im Sinne dieser Policy sind:<br />
Arnold J. Rimmer, Uni Hamburg <br />
<br />
"Katharina Benutzer" (SIGN)<br />
Joe Juhser, 21. Dezember 1967, Hamburg (EXPIRE:2000-01-18)<br />
281