Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
48 Kapitel 4. Konzept für eine Zertifizierungsstelle (“plan”)<br />
Die <strong>DFN</strong>-PCA unterstützt bislang ebenfalls ausschließlich RSA-Schlüssel, insofern gibt es, zumindest<br />
hinsichtlich der CA-Schlüssel, keine große Wahlmöglichkeit, sofern eine <strong>DFN</strong>-Zertifizierung<br />
angestrebt wird. (Allerdings könnte eine nachgeordnete CA sich einen RSA-Schlüssel <strong>DFN</strong>zertifizieren<br />
lassen, mit diesem dann aber auch DSS/DH-Keys zertifizieren, indem sie eine der<br />
neueren PGP-Versionen einsetzt.)<br />
4.8.2 Separate Signier- <strong>und</strong> Entschlüsselungsschlüssel<br />
Die Medium-Level <strong>DFN</strong>-Policy schreibt für Zertifizierungsstellen eine Funktionstrennung bei ihren<br />
Schlüsseln vor: Für Zertifizierungsaufgaben <strong>und</strong> für die vertrauliche Kommunikation mit der<br />
jeweiligen Stelle müssen unterschiedliche Schlüssel verwendet werden.<br />
Durch diese Trennung wird zum einen das kryptographische Material verringert, das einem Angreifer<br />
für die Kryptanalyse zur Verfügung steht (jeder der beiden Schlüssel wird weniger oft benutzt,<br />
als wenn nur ein Schlüssel für alle Anwendungszwecke verwendet würde), zum anderen werden die<br />
Folgen <strong>einer</strong> Schlüssel-Kompromittierung begrenzt – es kann dann im Falle eines Falles eben nur<br />
entweder die verschlüsselte Kommunikation vom Angreifer gelesen, oder Unterschriften der CA<br />
gefälscht werden, aber nicht beides, wenn nur ein Schlüssel kompromittiert wurde [For94].<br />
Eine weitere vorbeugende Schadensbegrenzung ist möglich, indem die Schlüssel regelmäßig gewechselt<br />
werden <strong>und</strong> nur eine begrenzte Lebens- <strong>und</strong> Benutzungsdauer haben (siehe Abschnitt<br />
4.8.7.2).<br />
Ein weiterer Vorteil ergibt sich für die UNI-CA, wenn auch die Low-Level CA mit getrennten<br />
Schlüsseln arbeitet (obwohl sie dazu nach der entsprechenden <strong>DFN</strong>-Policy nicht verpflichtet wäre):<br />
Beide CAs können einen gemeinsamen Schlüssel als Kommunikationsschlüssel verwenden, so<br />
daß es für Kommunikationspartner der UNI-CA einfacher wird, verschlüsselt an sie zu mailen, weil<br />
dabei nicht noch einmal zwischen Low-Level- <strong>und</strong> Medium-Level-Verschlüsselungsschlüssel unterschieden<br />
werden muß.<br />
Da bei PGP-RSA-Schlüsseln die PGP-Versionen mit Ausnahme von PGP2.6.3in keine Software-<br />
Unterstützung für eine automatische Berücksichtigung <strong>einer</strong> solchen Funktionstrennung bieten,<br />
sollte diese (auch) durch entsprechende Klartext-Angaben in der Benutzerkennung wie etwa Zertifizierungsschlüssel<br />
oder SIGN ONLY key signalisiert werden, so daß alle PGP-Anwender unabhängig<br />
von der verwendeten Software-Version erkennen können, für welchen Zweck ein bestimmter CA-<br />
Schlüssel vorgesehen ist.<br />
4.8.3 Schlüssellängen<br />
Bereits 1994 wurde ein 426-Bit-RSA-Key gebrochen – zwar dauerte dies damals acht Monate, aber<br />
dafür wurde auch nicht der effizienteste bekannte Algorithmus für diesen Angriff verwendet. 1977<br />
hatte der Auslober dieser Aufgabe, RSA-Miterfinder RON RIVEST, noch prognostiziert, er würde<br />
deren Brechen nicht mehr miterleben [Fox95]. Anfang 1999 wurde bereits ein 465-Bit-RSA-Key<br />
(die “RSA-140-Challenge”) geknackt [Con99], <strong>und</strong> inzwischen sind sogar 512-Bit-RSA-Schlüssel<br />
gebrochen worden 3 .<br />
3 http://www.rsasecurity.com/rsalabs/challenges/factoring/rsa155.html