Cryptography Reference
In-Depth Information
Ein-Stufen-Hierarchie
Die einfachste Realisierungsform einer PKI besteht darin, dass es eine CA gibt,
die für alle Anwender digitale Zertifikate ausstellt. Man spricht in diesem Fall
von einer
Ein-Stufen-Hierarchie
. Die einzige vorhandene CA bildet die einzige
Hierarchiestufe. Anwenderin Alice benötigt in diesem Fall nur einen öffentlichen
CA-Schlüssel. Mit diesem kann sie alle Zertifikate verifizieren.
Webmodell
In der Praxis gibt es oftmals mehrere konkurrierende Betreiber von CAs, die um
die Gunst der Benutzer buhlen. Dies hat zur Folge, dass Zertifikate von
unterschiedlichen CAs im Umlauf sind. Alice benötigt daher eine ganze Liste von
CA-Schlüsseln. Wenn sie ein Zertifikat von Bob verifizieren will, dann stellt sie
zunächst fest, welche Zertifizierungsstelle dieses ausgestellt hat. Danach kann sie
mit dem jeweiligen Schlüssel die Signatur auf dem Zertifikat überprüfen (Abbil-
dung 26-5).
CA
CA
CA
Alice
Bob
Carol
Zacharias
Zita
Abb. 26-5
Im Webmodell gibt es mehrere CAs, die Zertifikate ausstellen. Ein Benutzer kann dabei
mehrere Zertifikate von unterschiedlichen CAs besitzen.
Diese Form des Hierarchical Trust, bei dem es viele voneinander unabhängige
CAs gibt, wird meist als
Webmodell
bezeichnet. Der Name rührt daher, dass die
beschriebene Situation im World Wide Web musterhaft gegeben ist: Es gibt sehr
viele voneinander unabhängige CAs, die Zertifikate für das World Wide Web
anbieten. Die gängigen Webbrowser haben daher bereits bei Auslieferung meh-
rere Hundert CA-Zertifikate gespeichert. Der Nachteil beim Webmodell ist, dass
sich hier eine Policy nur schlecht durchsetzen lässt. Wenn Bob die Policy einer CA
nicht akzeptieren will, dann holt er sich sein Zertifikat eben bei einer anderen. Da
Alice mehrere CAs anerkennt, macht es für sie keinen Unterschied, welche davon
Bobs Zertifikat ausgestellt hat.
