Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
6 Management von Zertifikaten<br />
Die PGP-Zertifikate, die die UNI-CA ausstellt, werden von ihr auf den PGP-Keyservern des internationalen PGP-<br />
Keyserver-Verb<strong>und</strong>es (http://www.pgp.net/) veröffentlicht.<br />
Alle Zertifikatnehmer der UNI-CA erklären sich mit der Veröffentlichung ihres Zertifikates einverstanden. Sie werden<br />
auf die Publikation der Daten auf den Zertifizierungsanträgen ausdrücklich hingewiesen. Ohne diese Einwilligung kann<br />
keine Zertifizierung erfolgen.<br />
7 Widerruf von Zertifikaten<br />
Die UNI-CA behält sich vor, von ihr erteilte Zertifikate jederzeit vor Ablauf der Gültigkeitsdauer ohne öffentliche Nennung<br />
expliziter Gründe zu widerrufen. Dem Schlüsselinhaber wird die UNI-CA über den Widerruf informieren <strong>und</strong> ihm<br />
auf Anfrage die Gründe mitteilen, die sie dazu veranlaßt haben.<br />
Jeder Zertifikatnehmer der UNI-CA kann von ihr ohne Angabe von Gründen verlangen, daß sie das entsprechende Zertifikat<br />
für seinen Schlüssel widerruft. Die UNI-CA hat diesem Verlangen nachzukommen, sobald sie sich durch geeignete<br />
Schritte davon überzeugt hat, daß der Antrag vom Zertifikatnehmer selbst stammt bzw. von ihm autorisiert ist.<br />
Wird der eigene geheime Schlüssel Dritten bekannt, so hat der betroffene Nutzer unverzüglich die UNI-CA zu benachrichtigen<br />
<strong>und</strong> den Widerruf des eigenen Zertifikates veranlassen, sobald er Kenntnis von diesem Umstand hat.<br />
Die Low-Level <strong>DFN</strong>-Policy macht für den Widerruf von PGP-Zertifikaten keine konkreten Vorgaben für die CA; die<br />
dort gemachte Aussage, eine CA könne ein PGP-Zertifikat nicht widerrufen, ist technisch dank neuer PGP-Versionen<br />
nicht mehr zutreffend. Daneben wird in der <strong>DFN</strong>-Policy lediglich die Möglichkeit eines Schlüsselwiderrufs durch den<br />
Schlüsselinhaber selbst erwähnt <strong>und</strong> darauf hingewiesen, daß an der Verteilung solcher Widerrufe mittels eines X.500-<br />
Verzeichnisdienstes geforscht wird.<br />
Die UNI-CA wird daher eigene Zertifikate auf folgende Weise widerrufen:<br />
Viele PGP-Versionen (PGP2.6.3in, PGP 5.x, PGP 6.x) unterstützen inzwischen die Möglichkeit eines Zertifikat-<br />
Widerrufs. Da die bislang praktizierte Vorgehensweise zum Widerruf eines PGP-Zertifikates durch eine CA, die Veröffentlichung<br />
des betreffenden Zertifikates auf <strong>einer</strong> Sperr- oder Widerrufsliste (engl. certificate revocation list, CRL),<br />
für PGP in k<strong>einer</strong> Weise standardisiert war <strong>und</strong> daher auch von k<strong>einer</strong> der PGP-Versionen unterstützt wurde, wird die<br />
UNI-CA nicht mit derartigen Sperrlisten arbeiten. Stattdessen wird sie Zertifikat-Widerrufe einsetzen <strong>und</strong> diese über die<br />
PGP-Keyserver allen PGP-Anwendern zugänglich machen.<br />
Es besteht darüber hinaus für alle Benutzer die Möglichkeit, einen Schlüsselwiderruf, ein sog. key revocation certificate,<br />
zu erzeugen <strong>und</strong> dieses Zertifikat im Falle des Widerrufs über die PGP-Keyserver zu verteilen, um die Ungültigkeit des<br />
eigenen Public-Keys bekanntzumachen.<br />
Wichtiger Hinweis für relying parties:<br />
Eine Person, die sich auf das Zertifikat der UNI-CA für den PGP-Schlüssel <strong>einer</strong> anderen Person verlassen will, muß<br />
zweierlei tun, um sichergehen zu können, daß ein eventuell existierendes Zertifikat der UNI-CA für den betreffenden<br />
Schlüssel nicht mittlerweile von der UNI-CA widerrufen wurde:<br />
Es muß eine PGP-Version benutzt werden, die PGP-Zertifikatwiderrufe verarbeiten kann <strong>und</strong> sie anzeigt<br />
Es muß der betreffende PGP-Schlüssel einschließlich aller anhängigen Zertifikate von einem der Server des PGP-<br />
Keyserver-Verb<strong>und</strong>es www.pgp.net heruntergeladen <strong>und</strong> anschließend geprüft werden, ob nicht ein Widerruf des<br />
UNI-CA-Zertifikates vorliegt.<br />
(Da die Server des PGP-Keyserver-Verb<strong>und</strong>es jeweils untereinander ihre Schlüssel- <strong>und</strong> Zertifikatdaten synchronisieren,<br />
kann es dabei zu einem „Unsicherheitszeitraum“ von in der Regel maximal einem Tag kommen, in dem zwar die Zertifizierungsstelle<br />
eventuell ihr Zertifikat für einen Schlüssel widerrufen hat, dieser Widerruf aber noch nicht alle Server des<br />
Verb<strong>und</strong>es erreicht hat.)<br />
283