Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
42 Kapitel 4. Konzept für eine Zertifizierungsstelle (“plan”)<br />
Bei der Medium-Level CA wird der geheime Signierschlüssel verschlüsselt <strong>und</strong> Paßsatz- bzw.<br />
PIN-geschützt auf einem Wechselmedium (Diskette, ZIP-Disk, PCMCIA-Steckkarte, ggf. auch<br />
Chipkarte) gespeichert, das unter Verschluß gehalten wird, solange es nicht benutzt wird. Sowohl<br />
dieses Wechselmedium als auch die Festplatte, auf der sich die Daten <strong>und</strong> die Software für die<br />
Medium-Level-CA befinden, darf das schützende Rechenzentrum nicht verlassen; die Medium-<br />
Level-Zertifizierung findet nur dort statt. (Die Registrierung der Zertifizierungswilligen ist ggf. auch<br />
an anderen Standorten zulässig.)<br />
Der Zugriff auf den Signierschlüssel der Medium-Level-CA kann nur von zwei befugten CA-<br />
Mitarbeitern zusammen erfolgen, so daß hier also das Vier-Augen-Prinzip durchgesetzt wird, um<br />
Fehlern oder Betrug durch „Insider“ vorzubeugen.<br />
Das Schlüsselpaar für eine Medium-Level-Zertifizierung muß vom Schlüsselinhaber erzeugt worden<br />
sein; die Medium-Level CA generiert keine Nutzerschlüssel.<br />
Für eine Medium-Level-Zertifizierung müssen die folgenden Bedingungen erfüllt sein:<br />
Der Zertifizierungswillige ist bei einem persönlichen Kontakt mit den CA-Mitarbeitern unter<br />
Vorlage eines gültigen amtlichen Personaldokumentes identifiziert worden<br />
der Betreffende ist Angehöriger (Student/Mitarbeiter) oder Projektpartner der UNI <strong>und</strong> kann<br />
dies durch geeignete Unterlagen nachweisen (z.B. Studentenausweis, Deckblatt des Gehaltsbogens,<br />
Kooperationsvertrag)<br />
die ggf. zu zertifizierende Mailadresse ist eine Mailadresse <strong>einer</strong> Einrichtung der UNI oder<br />
eines ihrer Projektpartner<br />
der Betreffende konnte von der UNI-CA unter dieser Mailadresse erreicht werden<br />
der Zertifizierungswillige hat gegenüber der UNI-CA nachgewiesen, daß er im Besitz des<br />
Private-Key ist, der zu dem zu zertifizierenden Public-Key gehört (sog. proof of possession,<br />
PoP – das kann z.B. dadurch geschehen, daß der Betreffende eine challenge genannte Zufallszahl<br />
mit dem geheimen Schlüssel signiert <strong>und</strong> das Ergebnis an die UNI-CA übermittelt,<br />
die dann unter Verwendung des Public-Keys prüft, ob die Signatur wirklich mit dem korrespondierenden<br />
geheimen Schlüssel geleistet wurde)<br />
Die Zertifikate der Medium-Level-CA haben eine längere Gültigkeitsdauer als die der Low-Level-<br />
CA (nahe an der Obergrenze, die die <strong>DFN</strong>-Policy noch zuläßt). Eine Re-Zertifizierung kann auf<br />
eine entsprechende digitale signierte Nachricht hin erfolgen (u.U. mit erneutem Nachweis, daß der<br />
Schlüsselinhaber weiterhin im Besitz des passenden Private-Keys ist).<br />
Die Medium-Level UNI-CA darf, wenn sie es für angebracht hält, Registrierungsstellen (RAs)<br />
einrichten <strong>und</strong> bei Bedarf auch nachgeordnete CAs aus anderen Einrichtungen der UNI zertifizieren.<br />
Es ist allerdings maximal eine CA-Ebene unterhalb der UNI-CA zulässig; die Sub-CAs<br />
dürfen also ihrerseits keine ihnen nachgeordneten CAs betreiben oder zertifizieren (wohl aber eigene<br />
Registrierungsstellen, falls der Bedarf dafür vorhanden ist). Darüber hinaus darf die Medium-<br />
Level- CA Cross-Zertifizierungen mit anderen Zertifizierungsstellen inner- <strong>und</strong> außerhalb der <strong>DFN</strong>-<br />
Zertifizierungshierachie eingehen, wenn ihre Verantwortlichen dies für sinnvoll <strong>und</strong> vorteilhaft halten.