Cryptography Reference
In-Depth Information
Dokument [RFC2527]. Neben diesen für eine PKI elementaren Datenstrukturen, definiert die
PKIX-Arbeitsgruppe auch die Protokolle zur Administration und den Betrieb einer PKI. Zum
Beispiel wurde für die einfachere Verifikation von digitalen Signaturen von der IETF das
OCSP-Protokoll (Online Certificate Status Protocol) standardisiert. Andere aktuelle Arbeitsge-
biete der PKIX-Gruppe sind Zeitstempeldienste und Attributszertifikate. Durch die Bemühun-
gen der IETF werden nicht nur die Möglichkeiten zur Absicherung des Internets, sondern auch
die Grundlage für die weitere Verbreitung von PKIs geschaffen. Um die Basisdienste einer
PKI sinnvoll nutzen zu können, ist die Spezifikation von Datenformaten und Protokollen not-
wendig. Sämtliche Arbeiten der IETF finden sich in Form von RFCs (Request for Comments)
im Internet auf der Seite http://www.ietf.org/rfc.html.
Die Firma RSA Laboratories Inc. rief bereits 1993 die Standardisierung der Public-Key-
Kryptographie ins Leben, um die Verbreitung von PKIs und die Realisierung von interoperab-
len Anwendungen zu fördern. Ein Grund dafür ist sicherlich das Patent dieser Firma auf den
RSA-Algorithmus, das im Jahr 2000 auslief. In Zusammenarbeit mit anderen Firmen wurden
von RSA Lab. die so genannten PKCS-Standards (Public Key Cryptographic Standards, siehe
[PKCS]) verabschiedet. Die wichtigsten davon sind:
PKCS#1 Der Standard zum RSA-Algorithmus, in dem alle für die Signaturerzeugung und
Verschlüsselung notwendigen Prozesse definiert sind.
PKCS#3 Hier wird das Diffie-Hellmann-Protokoll für den sicheren Schlüsselaustausch
beschrieben.
PKCS#7 Die bereits vorgestellte „Cryptographic Message Syntax“.
PKCS#10 Ein mögliches Format für einen Zertifikatsantrag an eine CA.
PKCS#11 Hier wird die CRYPTOKI API für den Zugriff auf kryptographische „Token“
spezifiziert. Ein „Token“ ist zum Beispiel eine Chipkarte.
PKCS#12 „Personal Information Exchange Syntax“ spezifiziert ein Format, um Zertifikate
und zugehörige private Schlüssel in einer passwortgeschützten Datei abzulegen.
PKCS#15 Ein in Zusammenhang mit Chipkarten genutztes Format, um Schlüssel und Zer-
tifikate auf einem „Token“ abzuspeichern.
Hohe Bedeutung kommt in den PKCS-Standards dem Datenaustausch zwischen Applikationen
zu. Deshalb sind zwei häufig in Realisierungen umgesetzte PKCS-Standards die „Cryptogra-
phic Message Syntax“ (PKCS#7) und die „Personal Information Exchange Syntax“
(PKCS#12). Der PKCS#7-Standard wird von allen S/MIME-fähigen „E-Mail-Clients“ genutzt,
da S/MIME auf Basis von PKCS#7 ein Format zur Absicherung von elektronischen Nachrich-
ten definiert. Der PKCS#12-Standard dient dagegen zum Transport von vertraulichen Daten,
wie privaten Schlüsseln. In vielen Fällen werden deshalb PKCS#12-Dateien als ein im Ver-
gleich zur Chipkarte kostengünstigeres, aber wesentlich unsichereres PSE (Personal Secure
Environment), verwendet. Neben diesen und anderen Formaten (Message Syntax), beschreiben
die PKCS-Standards auch die Anwendung bestimmter Krypto-Algorithmen (Specific Algo-
rithms). Ebenfalls von Bedeutung ist im europäischen Raum die von TeleTrusT ins Leben
gerufene ISIS-MTT-Spezifikation, die bei Ausschreibungen im Behördenumfeld benutzt wird.
Mit ihr wird sogar ein freies Testbett zur Interoperabilitätsprüfung zur Verfügung gestellt.
