Cryptography Reference
In-Depth Information
Implementierung unterstützen kann (aber nicht muss), ist längst nicht jedes
PKCS#11-fähige Programm mit jedem PKCS#11-Modul interoperabel. Aus die-
sem Grund sind in der Zwischenzeit zahlreiche PKCS#11-Profile entstanden, also
Standards, die den PKCS#11-Standard einengen. In jedem Fall empfiehlt sich im
Zusammenhang mit PKCS#11 stets eines: Testen.
24.3.2
MS-CAPI
Die Microsoft Cryptographic API ( MS-CAPI ) ist eine von Microsoft entwickelte
kryptografische API, die in den Windows-Betriebssystemen eingesetzt wird
[Coleri]. Die MS-CAPI gilt als Microsoft-Gegenstück zu PKCS#11 und ermög-
licht wie diese die Anbindung kryptografischer Module an ein Anwendungspro-
gramm. Ein kryptografisches Modul wird in diesem Zusammenhang als Crypto-
graphic Service Provider ( CSP ) bezeichnet. Ein CSP kann vollständig als Software
realisiert sein und dabei den Windows-Schlüsselspeicher nutzen, es kann sich
jedoch auch um ein Programm handeln, das alle Aktivitäten an eine Smartcard
oder eine andere Krypto-Hardware auslagert. Der Zugriff auf die Krypto-Funktio-
nen erfolgt objektorientiert, wobei jeder Schlüssel als Objekt interpretiert wird.
Aufbau
Durch ihre Windows-Integration ist die MS-CAPI etwas anders aufgebaut als
PKCS#11 (siehe Abbildung 24-2). Genau genommen sieht die MS-CAPI-Archi-
tektur nicht eine, sondern zwei Schnittstellen vor. Die eine davon ist die Cryp-
toAPI . Diese nimmt Befehle von der Anwendung entgegen und gibt die Ergeb-
nisse zurück. Die zweite Schnittstelle ist die CryptoSPI (SPI steht für System
Programming Interface). Die CryptoSPI spricht die CSPs an. Zwischen der Cryp-
toAPI und der CryptoSPI befindet sich eine Systemschicht, die vom Windows-
Betriebssystem betrieben wird. Die Systemschicht hat die Aufgabe, die über die
CryptoAPI eingehenden Befehle aufzunehmen und sie in geeigneter Form über
die CryptoSPI an den jeweiligen CSP weiterzuleiten. Die Tatsache, dass es bei
PKCS#11 keine Systemschicht gibt, zeigt die unterschiedlichen Philosophien, die
hinter den beiden Standards stecken: PKCS#11 wurde hauptsächlich von Krypto-
Herstellern entwickelt, die die Intelligenz lieber im Krypto-Modul selbst sehen.
Die MS-CAPI stammt dagegen von Microsoft, das aus nachvollziehbaren Grün-
den eine starke Involvierung des Betriebssystems erreichen wollte.
Rollen
Das Rollenmodell der MS-CAPI ist an die Zugriffsrechte im Betriebssystem
gekoppelt. Wenn ein CSP Schlüsselobjekte anlegt, dann sind diese nur für den
jeweiligen Anwender zugänglich. Dabei ist es möglich, beliebig viele Schlüssel-
objekte für unterschiedliche Anwender zu generieren.
Search WWH ::




Custom Search