10.6.4

Hierarchien von Zertifizierungsstellen

Im Gegensatz zum gerade beschriebenen Modell, in dem man einfach von unabhängigen

Zertifizierungsstellen ausgeht, betrachten wir nun ein Modell, in dem Zertifizierungsstel-

len in einer Hierarchie angeordnet sind. Der wesentliche Vorteil einer solchen Struktur

ist, wie wir sehen werden, dass ein Kommunikationsteilnehmer das Bindungsproblem nur

für die oberste Zertifizierungsstelle in dieser Hierarchie lösen muss, statt für jede Zerti-

fizierungsstelle. Außerdem überzeugen sich, im Idealfall, Zertifizierungsstellen auf einer

Ebene von der Vertrauenswürdigkeit untergeordneter Zertifizierungsstellen.

Genauer ist die Idee des hierarchischen Modells die folgende. Eine oberste Zertifizie-

rungsstelle delegiert ihre Aufgaben an andere Zertifizierungsstellen. Diese wiederum dele-

gieren ihre Aufgabe möglicherweise auch an wiederum andere Zertifizierungsstellen usw.

Die Zertifizierungsstellen heißen in diesem Zusammenhang (Zertifizierungs-)Instanzen .

Die oberste Zertifizierungsstelle wollen wir Ur-(Zertifizierungs-)Instanz nennen. Die In-

stanzen, an die die Ur-Instanz ihre Aufgabe delegiert, heißen Instanzen der zweiten Stufe ,

diejenigen, an die diese delegieren, heißen Instanzen der dritten Stufe und so weiter. Ins-

gesamt ergibt sich eine »Delegationshierarchie«, ausgehend von der obersten Instanz, der

Ur-Instanz.

Technisch wird die Delegation ebenfalls durch ein Zertifikat dokumentiert. Es handelt

sich um ein von der delegierenden Instanz digital signiertes Dokument etwa folgenden

Inhalts: »Hiermit bestätigt die Zertifizierungsinstanz X , dass der Schlüssel k der Zertifi-

zierungsinstanz Y gehört und dass Y im Hinblick auf Zertifizierungen vertrauenswürdig

ist .« Verglichen mit den Zertifikaten, die wir im letzten Abschnitt besprochen haben, trifft

die neue Art der Zertifikate also stärkere Aussagen. Deshalb unterscheiden wir zwischen

Nutzer- und Instanzzertifikaten . Letztere bezeichnen wir mit ZertInst k X ( Y,k ) .

Will nun Alice überprüfen, ob sie ein Nutzerzertifikat Zert k Z ( Bob,k ) , in der die Schlüs-

selbindung (

,k ) behauptet wird, akzeptieren kann, braucht sie lediglich eine gültige

Schlüsselbindung ( Z 0 ,k 0 ) für die Ur-Instanz. Alice versucht dann, eine sogenannte Zerti-

fikatkette (certificate chain) von Z 0 nach Z zu finden. Ist Z nicht Teil der Hierarchie, so

kann Alice das Zertifikat Zert k Z (

Bob

,k ) nicht überprüfen. Ansonsten ist Z eine Instanz

der Stufe n +1 für ein n ≥ 0 und es sollte eine Zertifikatkette der Form

Bob

ZertInst k Z 0

( Z 1 ,k Z 1 ) ,..., ZertInst k Z n− 1

( Z n ,k Z n ) , Zert k Z n

(

Bob

,k )

mit Z n = Z

geben, so dass, für alle i<n , die Signatur im Zertifikat ZertInst k Z i

( Z i +1 ,k Z i +1 ) vali-

diert werden kann mit dem öffentlichen Schlüssel k Z i

,k ) mit k Z n

validiert werden kann. Man beachte, dass Alice für die Validierung lediglich k Z 0 ,den

öffentlichen Schlüssel für Z 0 benötigt. Hält Alice Z 0 für vertrauenswürdig, in dem Sinne,

dass sie Bindungen gewissenhaft prüft und nur Zertifikate ausstellt für Instanzen, die im

gleichen Sinne vertrauenswürdig sind, dann kann Alice davon ausgehen, dass k in der

Tat Bobs öffentlicher Schlüssel ist. Es sei bemerkt, dass Alice sich meist nicht selbst die

Mühe machen muss, eine Zertifikatkette zu finden. Ein Kommunikationsteilnehmer, der

Zert k Z (

und dass Zert k Z n

(

Bob

,k ) vorlegt, wird häufig auch gleich die zugehörige Zertifikatkette mitliefern.

Die obige Argumention setzt voraus, dass die Vertrauensrelation transitiv ist: Aus

Alice vertraut Z 0 , Z 0 vertraut Z 1 , ... , Z n− 1 vertraut Z n folgt, dass Alice Z n vertraut.

Dies mag aber nicht immer so sein, insbesondere, wenn die Zertifikatketten lang sind.

Bob