Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
4.10. Erstellung <strong>einer</strong> X.509-UNI-CA-Policy 61<br />
basiert. Dabei setzt sich ein vollständiger Name aus mehreren einzelnen Komponenten mit vorgegebener<br />
Struktur <strong>und</strong> Semantik zusammen.<br />
X.509-Zertifikate, insbesondere jene nach der neuesten Version des Standards, weisen erheblich<br />
mehr Bestandteile auf als PGP-Zertifikate (siehe dazu auch Kapitel 3.1). Dies ermöglicht anders<br />
als bei PGP u.a. eine flexiblere <strong>und</strong> explizite Angabe der individuellen Gültigkeitsdauer für jedes<br />
einzelne X.509-Zertifikat. (Dadurch werden manche Abläufe gegenüber der PGP-Zertifizierung<br />
erheblich einfacher.) Da außerdem im X.509-Standard bereits Komponenten im Zertifikat für Funktionsbeschränkungen<br />
(„nur zum Signieren“, „nur zum Verschlüsseln“, „nur zur Zertifizierung“ u.a.)<br />
definiert sind, ist die Umsetzung der in der <strong>DFN</strong>-Policy für CAs nahe gelegten (Low-Level-Policy)<br />
bzw. geforderten Verwendung (Medium-Level-Policy) getrennter Schlüsselpaare erheblich einfacher<br />
<strong>und</strong> wird besser durch existierende Software unterstützt.<br />
In X.509 sind von der ersten Version von 1988 an Widerrufslisten als Möglichkeit vorgesehen,<br />
einmal erteilte Zertifikate zu sperren. Daher muß jede Software, die X.509-Unterstützung für sich<br />
reklamiert, mit derartigen Sperrlisten umgehen können. Auch das Format der Sperrlisten ist im<br />
Standard genau definiert, so daß hier nicht so unterschiedliche, individuell gewählte Sperrlisten-<br />
Formate entstehen, wie dies bei PGP leider der Fall ist.<br />
X.509 bietet Möglichkeiten, bei der Zertifizierung <strong>einer</strong> nachgeordneten CA im Zertifikat für diese<br />
CA festzulegen, daß sie beispielsweise nur für einen bestimmten Namensraum zuständig ist <strong>und</strong> nur<br />
für Nutzer oder Sub-CAs mit bestimmten Namensbestandteilen Zertifikate ausstellen darf.<br />
4.10 Erstellung <strong>einer</strong> X.509-UNI-CA-Policy<br />
Mit dem Entwurf für eine PGP-Low-Level-Policy für die UNI-CA im Anhang K dieses Handbuches<br />
<strong>und</strong> den in Abschnitt 4.8.16 genannten Änderungen, die daraus eine Medium-Level-Policy machen<br />
würden, ist die PGP-Zertifizierung nach diesem Konzept abgedeckt. Da sich, wie im vorigen<br />
Abschnitt beschrieben, die X.509-Zertifizierung in einigen Punkten nicht unerheblich von der von<br />
PGP-Schlüsseln unterscheidet, stellt sich nun die Frage, wie gegenüber <strong>einer</strong> Medium-Level-PGP-<br />
Policy eine X.509-Zertifizierungsrichtlinie mit vergleichbaren Sicherheitsanforderungen aussehen<br />
könnte.<br />
Die nachfolgenden Punkte beschreiben grob die Arbeitsschritte, die unternommen werden könnten,<br />
um aus der Medium-Level PGP-Policy eine X.509-Policy für die UNI-CA zu machen:<br />
Die Abschnitte über die Wahl <strong>einer</strong> PGP-Benutzerkennung könnten entfallen; stattdessen<br />
müßte festgelegt werden, welche Anforderungen zulässige X.500-Distinguished Names erfüllen<br />
müssen. Der X.500-Name der UNI-CA müßte genannt werden. Alle Angaben, die bei<br />
PGP-Schlüsseln mangels anderer Möglichkeiten im Klartext in der Benutzerkennung angegeben<br />
wurden (Anwendungsbeschränkungen für den Schlüssel, Gültigkeitsdauer), müßten in<br />
ihrem Format nicht mehr explizit in der Policy festgelegt (höchstens referenziert oder erklärt)<br />
werden, weil sie in X.509 bereits definiert sind.<br />
Passagen, die sich ausschließlich auf PGP beziehen (wie die Nennung der unterstützten<br />
Schlüsselformate), könnten entfallen bzw. wären durch entsprechende Angaben für X.509-<br />
Zertifikate zu ersetzen.