Cryptography Reference
In-Depth Information
Jedes Objekt hat Attribute, die beispielsweise die Zugriffsberechtigung oder
kryptografische Parameter wie die Schlüssellänge festlegen.
Rollenmodell
PKCS#11 unterstützt ein einfaches Rollenkonzept, das zwei Rollen vorsieht: den
Anwender und den Administrator (dieser wird in PKCS#11
Security Officer
genannt). Beide Rollen gibt es nur in einer Ausprägung pro Token. PKCS#11
kann also beispielsweise nicht zwei Anwender desselben Tokens unterscheiden.
Für beide Rollen gibt es je ein Passwort, das in diesem Zusammenhang PIN (Per-
sonal Identification Number) genannt wird. Die PIN ist eine beliebige Zeichen-
kette, die neben Zahlen auch Buchstaben und Sonderzeichen enthalten kann. Die
PIN des Administrators heißt SO-PIN (Security Officer PIN), die PIN des Anwen-
ders wird User-PIN genannt. Der Administrator ist für die Initialisierung des
Tokens zuständig. Er kann außerdem die User-PIN ändern.
Prozesse
Den Zweck von PKCS#11 kann man auf Basis der beschriebenen Komponenten
und Rollen wie folgt beschreiben: Der Anwender nutzt eine oder mehrere
Anwendungen, um über die PKCS#11-Schnittstelle per Funktionsaufruf krypto-
grafische Operationen zu starten. Diese Operationen finden innerhalb der Tokens
statt und nutzen die dort vorhandenen Objekte. Das Ergebnis der jeweiligen Ope-
ration wird als Funktionsergebnis zurückgegeben. Neben den kryptografischen
Funktionsaufrufen gibt es natürlich auch verschiedene verwaltungstechnische
Operationen, die PKCS#11 unterstützt, wie beispielsweise das Eingeben der PIN
oder das Initialisieren eines Tokens.
Betrachtet man nur die kryptografischen Funktionen, die PKCS#11 unter-
stützt, so kann man diese in folgende Bereiche einteilen: Verschlüsselung, Ent-
schlüsselung, Hashwert-Generierung, Signieren und Generieren eines schlüs-
selabhängigen Hashwerts (MAC), Zweifach-Operationen, Schlüsselmanagement
und Zufallszahlen-Generierung. Welches Verfahren für die jeweilige Operation
verwendet wird, teilt die Applikation dem Token über Funktionsparameter mit.
Der PKCS#11-Standard spezifiziert die Verwendung nahezu aller praxisrelevan-
ten Verfahren:
■
Asymmetrische Verschlüsselung
: RSA in verschiedenen Varianten
■
Digitale Signatur
: RSA, DSA und ECDSA
■
Schlüsselaustausch
: Diffie-Hellman, ECDH, MQV und ECMQV
■
Symmetrische Verschlüsselung
: AES, DES, Triple-DES, RC2, RC4, RC5,
IDEA, CAST, JUNIPER, BATON, Skipjack
■
Kryptografische Hashfunktionen
: MD2, MD5, SHA-1 und RIPEMD-160
