Cryptography Reference
In-Depth Information
26.4.4
OpenPGP
Die bisher betrachteten PKI-Standards X.509, PKIX und ISIS-MTT hängen eng
miteinander zusammen. Insbesondere verwenden alle drei digitale Zertifikate
nach dem X.509-Format. Es gibt jedoch auch einen PKI-Gesamtstandard, der
eine komplett eigene Welt bildet und keine X.509-Zertifikate vorsieht:
OpenPGP
[RFC2440]. Dabei handelt es sich um einen Standard, der aus der Software PGP
(Pretty Good Privacy) entstanden ist, von der in diesem Buch noch die Rede sein
wird. PGP war ursprünglich eine proprietäre Krypto-Software, die hauptsächlich
für E-Mails gedacht war. PGP sah digitale Zertifikate vor und unterstützte das
Vertrauensmodell Web of Trust (dieses ist im Grunde eine Erfindung von PGP-
Entwickler Phil Zimmermann). OpenPGP entstand 1997 mit dem Ziel, aus den
von PGP definierten Formaten einen Standard für die Nutzung digitaler Zertifi-
kate aufzubauen. In bester PGP-Tradition unterstützt OpenPGP das Vertrauens-
modell Web of Trust, ist jedoch auch für Hierarchical Trust und damit zum Auf-
bau einer PKI nutzbar. OpenPGP hat eine große Anhängerschaft und wird daher
unter Privatanwendern weiterhin populär bleiben. Im kommerziellen Bereich hat
sich allerdings PKIX durchgesetzt.
26.5
Aufbau und Funktionsweise einer PKI
Wenn man den Aufbau und die Funktionsweise eines Computersystems betrach-
tet, dann bietet es sich meist an, dies in drei Schritten zu tun: erst die Komponen-
ten, dann die Rollen und schließlich die Prozesse. Auf diese Weise werden wir uns
in diesem Kapitel auch den Aufbau und die Funktionsweise einer PKI näher
anschauen.
26.5.1
Komponenten einer PKI
Beim Blick auf die verschiedenen Komponenten einer PKI lassen wir der Einfach-
heit halber mehrstufige CA-Hierarchien außen vor - es gibt also nur eine CA.
Unter dieser Voraussetzung können wir eine PKI als Client-Server-System
betrachten und deren Komponenten in zwei Bereiche aufteilen: Server-Kompo-
nenten, die beim PKI-Betreiber zentral betrieben werden, und dezentrale Client-
Komponenten. Die zentralen Komponenten einer PKI werden manchmal unter
dem Begriff
Trust Cen ter
zusammengefasst. Diese Bezeichnung ist vor allem dann
üblich, wenn die Server-Komponenten der PKI durch bauliche Maßnahmen
(dicke Wände, Zutrittskontrolle, Alarmanlage usw.) geschützt sind. Diese Vor-
aussetzungen sind in der Praxis vor allem bei CA-Betreibern gegeben, die ihre
Dienste am Markt anbieten. Mit einem Trust Center ist daher oft auch ein Anbie-
ter von CA-Dienstleistungen gemeint. Übrigens ist »Trust Center« ein Pseudo-
anglizismus (also ein englisch klingendes Wort, das im Englischen ungebräuchlich
