Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
282 Anhang K. Low-Level-Policy (Mustertext)<br />
5.4 Identitätsprüfung<br />
Um unerlaubte Zertifizierungswünsche zu erkennen, hat sich die UNI-CA vor jeder Zertifizierung in geeigneter Weise<br />
von der Identität desjenigen Schlüsselinhabers zu überzeugen, welcher eine Zertifizierung wünscht. Dieser Vorgang kann<br />
nur durch persönlichen Kontakt vor der Zertifizierung erfolgen.<br />
Der Benutzer muß sich persönlich vorstellen, um der CA die Prüfung s<strong>einer</strong> Identität zu ermöglichen. Für den Prozeß<br />
der Verifikation ist die Vorlage eines gültigen Personalausweises oder Reisepasses bzw. eines entsprechenden amtlichen<br />
Dokumentes mit Lichtbild erforderlich.<br />
5.5 Anforderungen an den Schlüssel<br />
Zertifikate werden ausschließlich dann erteilt, wenn der zu zertifizierende Public-Key über die in Abschnitt 4 festgelegten<br />
Mindest- <strong>und</strong> Höchstlängen verfügt, die zu zertifizierende Benutzerkennung die Anforderungen in Abschnitt 8 erfüllt <strong>und</strong><br />
sich die UNI-CA in geeigneter Weise von der Identität des Schlüsselinhabers überzeugt hat. Schlüssel, die ein Verfallsdatum<br />
enthalten, werden von der UNI-CA nur vor diesem Datum zertifiziert; abgelaufene Schlüssel oder abgelaufene<br />
Benutzerkennungen werden nicht von der UNI-CA zertifiziert.<br />
Im Zertifizierungsantrag sind die kryptographische Prüfsumme (der sog. „Fingerprint") des öffentlichen Schlüssels, der<br />
zertifiziert werden soll, sowie dessen Schlüssellänge <strong>und</strong> sein Erstellungsdatum anzugeben. Die UNI-CA hat sich vor<br />
der Zertifizierung anhand dieser Angaben zu vergewissern, daß der richtige Public-Key vorliegt. Der Public-Key muß<br />
in jedem Fall eine Selbst-Signatur des Inhabers aufweisen; solange diese nicht vorhanden ist, darf er nicht zertifiziert<br />
werden. (Eine fehlende Selbst-Signatur kann vom Schlüsselinhaber nachgereicht werden.)<br />
Die Low-Level UNI-CA führt vor der Zertifizierung eines Schlüssels keine Prüfung durch, ob der Schlüsselinhaber auch<br />
über den Private-Key verfügt, der mit dem zu zertifizierenden Public-Key korrespondiert (sog. proof of possession, PoP).<br />
Ebenso prüft die Low-Level UNI-CA vor <strong>einer</strong> Zertifizierung nicht, ob der Schlüsselinhaber tatsächlich unter der Mailadresse<br />
erreichbar ist, die eventuell in der zu zertifizierenden Benutzerkennung enthalten ist. Das Zertifikat der Low-Level<br />
UNI-CA bezieht sich also ausschließlich auf den Namen des Schlüsselinhabers.<br />
5.6 Gültigkeitsdauer<br />
Ein PGP-Zertifikat enthält gr<strong>und</strong>sätzlich den Public-Key sowie die Benutzer-ID. Da eine Gültigkeitsdauer digitaler Signaturen<br />
von vielen gebräuchlichen PGP-Versionen nicht unterstützt wird, begrenzt alleine die Gültigkeit des Zertifizierungsschlüssels<br />
(implizit) die Gültigkeitsdauer eines PGP-Zertifikats. Neben den für eine Gültigkeitsdauer vorgesehenen<br />
Datenstrukturen im PGP-Public-Key-Packet wird auch in der Benutzerkennung des Low-Level UNI-CA-Schlüssels durch<br />
Angabe der Zeichenfolge ‘EXPIRE:jjjj-mm-tt’ das entsprechende Verfallsdatum des betreffenden Signierchlüssels angegeben.<br />
(jjjj ist dabei durch die entsprechende vierstellige Jahreszahl, mm durch die zweistellige numerische Darstellung<br />
des Monats, ggf. mit führender Null, <strong>und</strong> tt entsprechend durch die Nummer des Tages im Monat, ggf. ebenfalls mit<br />
führender ‘0’, zu ersetzen.) Dadurch wird erreicht, daß auch PGP-Anwender, deren PGP-Version die Gültigkeitsdauer<br />
von PGP-Schlüsseln oder -Zertifikaten nicht automatisch auswertet, erkennen können, bis wann ein UNI-CA-Schlüssel<br />
gültig ist <strong>und</strong> bis wann folglich auch die damit ausgestellten Zertifikate höchstens gültig sind.<br />
Die Zertifikate der Low-Level UNI-CA haben eine Gültigkeitsdauer von sieben Monaten. Sie werden 15 Tage vor Beginn<br />
jedes Hochschulsemesters erzeugt <strong>und</strong> gelten jeweils bis zum 15. Tag des folgenden Semsters.<br />
5.7 Verlängerung von Zertifikaten<br />
Zertifikate werden nicht automatisch durch die UNI-CA erneuert oder verlängert. Eine Re-Zertifizierung erfolgt nicht,<br />
es ist stattdessen ein neuer normaler Zertifizierungsantrag (wie bei der erstmaligen Zertifizierung) bei der Low-Level<br />
UNI-CA zu stellen.