Cryptography Reference
In-Depth Information
Komponenten gesteuert. Dabei wird auch die Verwendung eines PKCS#11-Moduls aus ver-
schiedenen, gleichzeitig aktiven Applikationen berücksichtigt.
PKI-Applikation
PKCS#11-Bibliothek
PC/SC Treiber
CT-API
Chipkarten-Leser
Abb. 7-12: Chipkarten-Integration
über den PKCS#11-Standard.
Chipkarte
Über Management-Funktionen in PKCS#11 können Daten sicher auf einem Token gespeichert
werden. Der PKCS#11-Standard unterscheidet dabei die Objekttypen Schlüssel, X.509-
Zertifikat und allgemeine Daten. Schlüssel werden wiederum in die Kategorien privat, öffent-
lich und geheim unterteilt.
Die vorgestellten Kryptoalgorithmen zur Signaturerzeugung, Verifikation, MAC-Generierung
(Message Authentic Code) und Ver- bzw. Entschlüsselung sind ebenfalls mit Funktionsaufru-
fen im PKCS#11-Standard vertreten. Die eingangs beschriebenen PKI-Basisdienste können
mit Hilfe der Krypto-Funktionen aus dem PKCS#11-Standard in Anwendungen eingesetzt
werden.
Der hohe Abstraktionsgrad des PKCS#11-Standards ermöglicht eine einfache Integration von
Chipkarten in Applikationen, die eine PKI als Sicherheitsinfrastruktur nutzen. Der Program-
mierer braucht bei der Verwendung dieser API als Chipkarten-Middleware kein Chipkarten-
Know-How und kann sich ausschließlich um die Absicherung einzelner Prozesse mit PKI-
Diensten kümmern. Wird der verwendete PKCS#11-Funktionsumfang auch von anderen
PKCS#11-Modulen implementiert, ist es möglich, verschiedene Token äquivalent zu betrei-
ben.
Ein Nachteil bei dieser Variante ist, dass PKCS#11-Treiber in vielen Fällen Chipkarte und
Terminal zu einer Einheit zusammenfassen. Es gibt zwar Implementierungen, die auf PC/SC
beruhen und dadurch das Terminal abstrahieren, dennoch ist auch hier in der Praxis eine Ein-
schränkung auf bestimmte Chipkartenleser gegeben. Außerdem berücksichtigen nur wenige
Realisierungen für Chipkarten den vollen Funktionsumfang von PKCS#11. Allerdings sind die
wichtigsten Basisfunktionen für PKI-Anwendungen meistens vorhanden.
Mit der zunehmenden Verbreitung von PKIs gewinnen auch PKCS#11-Implementierungen für
Chipkarten eine immer größere Bedeutung, da eine Chipkarte als PSE (Personal Security Envi-
ronment) die notwendige Sicherheit für die Erzeugung digitaler Signaturen bietet. Bereits in
vielen Produkten, die eine PKI zur Absicherung nutzen, ist eine Schnittstelle zu PKCS#11-
Modulen integriert. Herstellern von VPNs (Virtual Private Networks), sicheren E-Mail-
Search WWH ::




Custom Search