Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
4.16. Außendarstellung der CA 77<br />
Die Mails, die in der Funktion als CA-Mitarbeiter verschickt werden, sollten alle ein ‘Cc:’ sowie ein<br />
‘Reply-to:’ auf die Mailadresse der UNI-CA enthalten. Darüber hinaus sollte die CA nach außen hin<br />
auch in ihren E-Mails ein einheitliches Erscheinungsbild wahren, insbesondere was das PGP-Format<br />
der Mails angeht. Hier muß eine Entscheidung zwischen zwei Varianten getroffen <strong>und</strong> dann in der<br />
Praxis auf ihre Tauglichkeit erprobt werden, die dann auch von den CA-Mitarbeitern eingehalten<br />
werden sollte – auch wenn dies für sie u.U. heißen kann, daß sie für die CA-Tätigkeit ein anderes<br />
als ihr individuell bevorzugtes Mail-Programm benutzen müßten (siehe dazu auch Abschnitt 5.2.9).<br />
4.16.5 Verteilung des authentischen CA-Signierschlüssels<br />
Zertifizierungsstellen reduzieren zwar das Problem der Verteilung authentischer Schlüssel (vgl. 2.3),<br />
schaffen es aber nicht völlig aus der Welt: Zumindest der Schlüssel, mit dem die Signaturen der<br />
jeweiligen Zertifizierungsstelle überprüft werden können, muß noch in authentischer Form zu den<br />
Zertifikat-Nutzern transportiert werden.<br />
Üblicherweise bedient man sich dazu nicht-elektronischer Kommunikationswege wie Kuriere<br />
oder Drucksachen. So muß nach § 8 (2) SigV die „zuständige Behörde“, die Wurzel-<br />
<strong>Zertifizierungsinstanz</strong> nach dem Signaturgesetz, ihre Schlüssel im B<strong>und</strong>esanzeiger veröffentlichen<br />
18 , die pgpCA der c’t nutzt das Impressum der eigenen Zeitschrift (alle Ausgaben seit Start<br />
der Krypto-Kampagne zur CeBIT 1997), die <strong>DFN</strong>-PCA verfügen mit den <strong>DFN</strong>-Mitteilungen über<br />
ein geeignetes Verbreitungsmedium, <strong>und</strong> die IN-Root-CA ist mit dem Fingerprint ihres Schlüssels<br />
beim Linux Magazin [LIN] untergekommen. 19<br />
Zwei Möglichkeiten zur Schlüsselverteilung für die UNI-CA <strong>und</strong> zugleich eine gute Gelegenheit,<br />
sich mittels eines Artikels einem breiteren Publikum bekannt zu machen, wären die regelmäßigen<br />
UNI-Publikationen <strong>und</strong> das gedruckte Vorlesungsverzeichnis der UNI.<br />
Eine andere Gelegenheit, den öffentlichen UNI-CA-Schlüssel zur Prüfung von CA-Signaturen unter<br />
den RZ-Nutzern zu verteilen <strong>und</strong> sich selbst bekannt zu machen, böte eine CD-ROM der Zertifizierungsstelle<br />
– oder aber es wird die nächste Gelegenheit genutzt, die Schlüsseldaten der öffentlichen<br />
CA-Schlüssel <strong>und</strong> einige Zusatzinformationen auf der „Dialup“-Software-CD-ROM mit unterzubringen,<br />
die das UNI-Rechenzentrum seinen Nutzern anbietet. Hier wäre bei der Produktion des<br />
Masters bzw. der Abnahme der fertiggepreßten CD-ROMs vom Hersteller besonders zu kontrollieren,<br />
daß auch die authentischen CA-Schlüssel <strong>und</strong> keine Fälschungen auf den Medien gespeichert<br />
sind. Ein Nachteil besteht bei den nicht überschreibbaren CD-ROMs: Ein eventueller Schlüsselwechsel<br />
könnte nicht nachvollzogen werden, falls die CD-ROM in <strong>einer</strong> hohen Auflage gepreßt<br />
würde <strong>und</strong> sie nicht schnell genug verteilt wird. Oder, noch ungünstiger: eine Kompromittierung<br />
des UNI-CA-Schlüssels führte, falls sie denn einträte, dazu, daß sich ein solcher kompromittierter,<br />
nicht mehr verwendbarer Schlüssel auf den noch vorhandenen CD-ROMs befände. Bei Disketten<br />
wäre es hingegen möglich, entsprechende neue Schlüssel auf die Datenträger zu kopieren. Insofern<br />
ist die Lösung mit Disketten, die auch der Schleswig-Holsteinische Datenschutzbeauftragte für<br />
seinen PGP-Key gewählt hat, eventuell günstiger.<br />
18 so erstmalig im B<strong>und</strong>esanzeiger Nr. 186 vom 6. Oktober 1998<br />
19 Die im März 2000 gültigen Schlüsselinformationen der <strong>DFN</strong>-PCA sind auch ganz am Ende dieses Handbuches<br />
abgedruckt.