Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
52 Kapitel 4. Konzept für eine Zertifizierungsstelle (“plan”)<br />
derungen oder eine Neufassung oder Verlängerung der Zertifizierungsrichtlinien der betreffenden<br />
CA zu befinden hat.<br />
4.8.7.2 Gültigkeitsdauer der Zertifikate<br />
Die Gültigkeitsdauer der Zertifikate <strong>und</strong> eine eventuelle Verlängerungsmöglichkeit sollten sich an<br />
der Handhabung der Benutzerbereiche orientieren. Für die Low-Level-Policy könnte beispielsweise<br />
eine Gültigkeitsdauer von sechs Monaten sinnvoll sein, wenn die Benutzerbereiche der Studierenden<br />
an der UNI jedes Semester verlängert werden müssen.<br />
Bei PGP-Zertifikaten kann eine Gültigkeitsdauer lediglich implizit durch die Gültigkeitsdauer des<br />
Unterschriftenschlüssels angegeben werden (vgl. [USC99]), insofern ergibt sich hier kein über das<br />
Jahr hinweg „gleitendes“ Gültigkeitsfenster, sondern es existieren Stichtage (Verfallsdatum des Signierschlüssels),<br />
an denen damit auch eine große Zahl von Zertifikate ungültig wird. 9 Bei X.509-<br />
Zertifikaten gibt es dieses Phänomen nicht, da jedes Zertifikat einen individuellen Gültigkeitsbeginn<br />
<strong>und</strong> ein individuelles Verfallsdatum aufweisen kann, das jeweils vom Zertifizierer bestimmt wird.<br />
Die <strong>DFN</strong>-Policies legen für Nutzer-Zertifikate eine maximale Gültigkeitsdauer von einem Jahr fest.<br />
(Diese Aussage wird allerdings nur für X.509-Zertifikate gemacht, da ja bei den PGP-Zertifikaten<br />
nicht direkt eine Gültigkeitsdauer angegeben werden kann.) Dieser Punkt ist sicherlich diskussionswürdig,<br />
da bei strenger Prüfung insbesondere nach den Medium-Level Richtlinien eine längere<br />
Gültigkeitsdauer vertretbar sein müßte – selbst das Signaturgesetz sieht mit maximal fünf Jahren<br />
bzw. dem Ablauf der Eignung eines kryptographischen Verfahrens eine sehr viel höhere maximale<br />
Gültigkeitsdauer vor – <strong>und</strong> bei <strong>einer</strong> größeren Zahl ausgestellter Zertifikate ansonsten auch<br />
der Arbeitsaufwand durch ständige (Re-)Zertifizierungsanträge erhebliche Ausmaße annimmt. Da<br />
für PGP-Zertifikate in der <strong>DFN</strong>-Low-Level-Policy keine maximale Gültigkeitsdauer vorgeschrieben<br />
ist, bestünde hier nach den Buchstaben der Policy die Möglichkeit, einen beliebigen Gültigkeitszeitraum<br />
zu wählen. Geht man jedoch nach dem Geist der Policy, also der Absicht, die bei<br />
ihrer Abfassung zu Gr<strong>und</strong>e lag, so muß man auch für PGP-Zertifikate dieselbe Obergrenze wie bei<br />
X.509-Zertifikaten von einem Jahr für die Gültigkeitsdauer ansetzen.<br />
Für die UNI-CA Low-Level Policy wird daher eine maximale Gültigkeitsdauer der Nutzerzertifikate<br />
von 6 Monaten vorgeschlagen, für die Medium-Level Policy eine solche von 12 Monaten.<br />
Für PGP, bei dem die Gültigkeitsdauer des Zertifizierungsschlüssels implizit über die Gültigkeitsdauer<br />
der Zertifikate mit entscheidet, wird vorgeschlagen, sich an den Anfangsterminen der Hochschulsemester<br />
zu orientieren. Da zum jeweiligen Semester- <strong>und</strong> dann auch CA-Schlüsselwechsel<br />
einige Arbeit anfällt <strong>und</strong> außerdem viele Studierende erst zum Vorlesungsbeginn wieder an ihrem<br />
Studienort sind, sollte der Gültigkeitszeitraum von altem <strong>und</strong> neuem Signierschlüssel sich leicht<br />
überlappen, damit es nicht zu Problemen an einem Übergangstag oder mit eventuell erforderlichen<br />
Nach-Zertifizierungen kommt (siehe 4.8.10). Der betreffende Schlüssel für ein neues Semester<br />
könnte dann schon einige Tage vor dessen Beginn generiert <strong>und</strong> z.B. auch schon von der <strong>DFN</strong>-PCA<br />
zertifiziert werden (der Beginn der Gültigkeitsdauer eines PGP-Keys ergibt sich implizit aus seinem<br />
Erstellungsdatum) <strong>und</strong> würde dann ab dem ersten Tag des neuen Semesters für die Zertifizierung<br />
eingesetzt.<br />
9 Eine Ausnahme stellt in dieser Hinsicht die aktuelle PGP-Version 6.5.1i dar: Sie ermöglicht es dem Nutzer erstmals<br />
(bei PGP), eine Gültigkeitsdauer für Zertifikate anzugeben.