Cryptography Reference
In-Depth Information
rung einzugehen.Ist eine Bridge-CA involviert, dann genügt es Alice, wenn sie den
öffentlichen Schlüssel ihrer CA kennt. Mit diesem kann sie das Zertifikat der
Bridge-CA überprüfen, damit dann ein anderes CA-Zertifikat und damit schließ-
lich Bobs Zertifikat. Diese Vorgehensweise erscheint etwas umständlich, zumal
eine Bridge-CA gegenüber einer Hierarchie keine unmittelbaren Vorteile hat.
Dennoch ist das Bridge-CA-Modell in der Praxis recht beliebt - aus den besagten
Prestigegründen.
26.4
PKI-Standards
Es versteht sich von selbst, dass es innerhalb einer PKI einen großen Bedarf für
Standards gibt. Schließlich müssen Schlüssel, Zertifikate und andere Daten von
unterschiedlichen PKI-Beteiligten verarbeitet werden. Eine wichtige Rolle spielen
hierbei die bereits erwähnten PKCS-Standards, die zahlreiche PKI-relevante For-
mate beschreiben. Die bedeutendsten weiteren PKI-Standards stelle ich Ihnen nun
vor.
26.4.1
X.509
Der älteste relevante Standard der PKI-Welt ist unter dem Namen
X.509
bekannt
[X.509]. Der vollständige Name lautet
ITU-T X.509
. So umständlich wie die
Namensgebung ist auch der Standard selbst. Vieles, was darin enthalten ist, ist
nur noch historisch interessant. Die heute noch relevanten Teile sind nicht immer
optimal gelöst. Diese Mängel sind vor allem darauf zurückzuführen, dass X.509
zu einer Zeit entstand, als der Aufbau von Public-Key-Infrastrukturen noch
Zukunftsmusik war (die erste X.509-Version erschien 1988). Auch Überarbei-
tungen, die 1993 und 1997 erschienen, konnten die vorhandenen Probleme nur
teilweise beheben.
X.509 ist ein Bestandteil des X.500-Standards für Verzeichnisdienste. Es han-
delt sich dabei eigentlich um einen Authentifizierungsstandard für Kommunika-
tionsnetze, der aus einer Zusammenarbeit der ISO und der ITU-T (damals noch
CCITT) entstanden ist [X.509]. Der Standard hat drei Bestandteile. Teil 1 und 2
- darin werden Authentifizierungsprotokolle spezifiziert - haben keine prakti-
sche Relevanz. Interessant ist dagegen der dritte Teil von X.509, der Formate für
digitale Zertifikate und Sperrlisten beschreibt. Diese Formate spielen trotz einiger
Mängel eine wichtige Rolle im PKI-Bereich. Wenn im Folgenden von X.509 die
Rede ist, dann ist immer der dritte X.509-Teil gemeint.
