Cryptography Reference
In-Depth Information
■
Verbindlichkeit
: Diese ist bei einem Web of Trust etwas besser zu bewerkstel-
ligen als beim Direct Trust, da es durch die Zertifikate ja jeweils Bürgen gibt,
die die Zugehörigkeit eines Schlüssels zu einer Person belegen. Juristisch gese-
hen ist dies jedoch oft nicht ausreichend.
■
Durchsetzung einer Policy
: Dieses Ziel ist in einem Web of Trust schwer zu
erreichen.
Ein Web of Trust ist somit etwas leistungsfähiger als Direct Trust. Leider funk-
tioniert es in der Praxis meist nicht so recht. Jedenfalls nicht im Internet, für das
es eigentlich gedacht war. Das Internet mit seinen mehreren Hundert Millionen
Anwendern ist schlichtweg zu groß, um ein Web of Trust aufzuspannen, in dem
jeder das Zertifikat eines jeden anderen über eine Vertrauenskette überprüfen
kann. Will Alice eine Nachricht an den ihr unbekannten Zacharias schicken,
dann muss sie womöglich eine Kette über zig Stationen finden, um dessen Zertifi-
kat zu überprüfen. Wenn nur ein Glied der Kette nicht vertrauenswürdig ist, dann
ist sie wertlos. Alice muss also nach Möglichkeit mehrere Vertrauensketten
suchen, um durch eine mehrfache Kontrolle wirklich sicher sein zu können. Dass
das Web of Trust trotz der Nachteile recht populär ist, liegt wie so oft am Sieg der
Pragmatik: Es ist einfacher als eine PKI.
26.3.3
Hierarchical Trust
Kommen wir nun zurück zur Ausgangssituation und nehmen an, dass alle digita-
len Zertifikate von einer CA ausgestellt werden. Wir haben es also mit einer PKI
zu tun. Das Vertrauensmodell, das diese Situation bezeichnet, heißt
Hierarchical
Tru st
. Damit Alice die Signatur der CA auf Bobs digitalem Zertifikat verifizieren
kann, muss diese ihren öffentlichen Schlüssel bekannt machen. Alice muss sich
wiederum den öffentlichen Schlüssel der CA besorgen und sich vergewissern, dass
es der echte ist. Dies verursacht einen gewissen Aufwand, was jedoch keine große
Rolle spielt, denn Alice muss dies nur einmal tun. Sobald sie den Schlüssel der CA
hat, kann sie alle digitalen Zertifikate verifizieren, die von dieser signiert wurden.
CA
Alice
Bob
Carol
Zacharias
Zita
Abb. 26-3
Beim Hierarchical Trust werden Zertifikate von einer Zertifizierungsinstanz (CA) ausgestellt.
