M. Hesse, N. Pohlmann:,
“Kryptographie: Von der Geheimwissenschaft zur alltäglichen Nutzanwendung (VII) – Vertrauensmodelle von Public-Key-Infrastrukturen”,
IT-Sicherheit & Datenschutz, Supplement in DuD Datenschutz und Datensicherheit – Recht und Sicherheit in Informationsverarbeitung und Kommunikation,
Vieweg Verlag,
05/2007 Im letzten Artikel haben wir PKI-Infrastrukturen und den Unterschied zwischen offenen und geschlossenen Systemen kennen gelernt. Diesmal wollen wir offene PKI-Systeme genauer betrachten, mit deren Hilfe mehrere Organisationen mit je eigener PKI über ihre Grenzen hinweg vertrauenswürdig mit anderen Organisationen kommunizieren.
Um dies zu ermöglichen, sind die verschiedenen organisationsspezifischen Leitlinien der beteiligten Public-Key-Infrastrukturen miteinander abzugleichen. Die Leitlinien beschreiben neben den verwendeten
Technologien, Verfahren und Schnittstellen u. a. den für die User-Registrierung notwendigen Prozess, insbesondere Maßnahmen zur initialen Identifizierung und Authentifikation der Benutzer, die zum angestrebten Schutzniveau der PKI passen. So kann es in einem Fall
notwendig sein, dass Personalausweise überprüft und Kopien für die
Unterlagen gemacht werden, während in einem anderen die Stammdaten aus der Personalverwaltung für die Zertifikatserstellung ausreichen. Wichtig ist, dass die Geschäftspartner sich auf einen Mindeststandard einigen.
Zertifizierungshierarchie und Vertrauensmodelle
Mit der zunehmenden Verbreitung von PKI-basierten Dienstleistungen
erhalten die Anwender eine Vielzahl von verschiedenen Zertifikaten für
spezielle Applikationen. Zusätzlich gibt es sehr viele unterschiedliche
Public-Key-Infrastrukturen. In der Praxis ist daher sicherzustellen,
dass sich die unterschiedlichen Zertifikate auf ihre Gültigkeit und
Richtigkeit sowie den passenden Level of Trust überprüfen lassen,
damit die angestrebte vertrauenswürdige Kommunikation stattfinden
kann. Dies wiederum lässt sich durch verschiedene Vertrauensmodelle für die Zusammenarbeit von Public-Key-Infrastrukturen erreichen. Vertrauensmodell A: Übergeordnete CA (Wurzel-CA, Root CA)
Eine Methode ist die Schaffung einer übergeordneten CA, welche die
Wurzelzertifikate der untergeordneten CAs aufnimmt (s. Abb. 1). Wurzelzertifikate sind Zertifikate mit den öffentlichen Schlüsseln der CAs Ablauf: Die CAWurzel generiert Zertifikate der öffentlichen Schlüssel der
untergeordneten CAs. Der öffentliche Schlüssel der CAWurzel ist im Personal Security Environment (z. B. auf einer Smartcard) untergebracht
oder wird für einen einfachen Abruf als Zertifikat der untergeordneten
CAs zur Verfügung gestellt. Damit ist jeder Teilnehmer einer speziellen untergeordneten CA in der Lage, die öffentlichen Schlüssel einer
anderen untergeordneten CA zu verifizieren und auch die Zertifikate
mit den öffentlichen Schlüsseln der Teilnehmer der entsprechenden
untergeordneten CAs zu überprüfen.
Bewertung: In den meisten Fällen akzeptieren Unternehmen, Organisationen oder Länder keine derartige Unterordnung, da sie zu große
Abhängigkeiten von einer zentralen Autorität schafft: Im Extremfall
würde eine für alle verbindliche „Welt-CA“ eingerichtet. Da dieses
Maß an Zentralisierung meist weder nötig noch realisierbar ist, hat
sich das Modell der Wurzel-CA nur in großen, geschlossenen PKI-Systemen etabliert, die nicht für eine organisationsübergreifende Kommunikation konzipiert wurden.
…
kostenlos downloaden | 
