Cryptography Reference
In-Depth Information
ist). Statt Trust Center verwenden Briten und Amerikaner meist nur den Aus-
druck
Certification Authority
(CA), wobei oft nicht klar ist, ob damit nun ein
ganzes Trust Center oder nur eine CA gemeint ist. So gesehen ist die deutsche Ver-
wendungsweise durchaus sinnvoll.
Zertifizierungsstelle (CA)
Eine CA hat (wie bereits erwähnt) die Aufgabe, digitale Zertifikate zu generieren.
Darüber hinaus kann eine CA auch Sperrlisten erstellen (siehe Abschnitt 28.3.1).
Zu den Hilfsmitteln, die eine CA hierbei benötigt, gehört ein privater Schlüssel
zum Signieren der Zertifikate und Sperrlisten. Darüber hinaus benötigt eine CA
eine Datenbank zum Speichern der Anwenderdaten. Einige CA-Lösungen ver-
wenden als Datenbank den Verzeichnisdienst, der auch als Zertifikateserver
genutzt wird, in den meisten Fällen nimmt der PKI-Betreiber jedoch aus Sicher-
heitsgründen eine Trennung vor.
Es versteht sich von selbst, dass eine CA eine äußerst sicherheitskritische
Komponente ist. Wenn Mallory es schafft, an den privaten Schlüssel der CA her-
anzukommen und damit Zertifikate zu fälschen, dann ist dies das Schlimmste,
was innerhalb einer PKI passieren kann. Die CA sollte daher in einer sicheren
Umgebung betrieben werden, wobei insbesondere der private CA-Schlüssel
geschützt werden muss.
Trust Center
Registrierungsinstanz
(RA)
Zertifizierungsinstanz
(CA)
Verzeichnisdienst
(DIR)
Personal Security
Environment (PSE)
Personal Security
Environment (PSE)
Alice
Bob
Abb. 26-10
Aufbau einer PKI: Die zentralen Komponenten werden im Trust Center zusammengefasst. Die
PCs von Alice und Bob sind Beispiele für Endeinheiten. Die Speicherung der privaten Schlüssel
erfolgt im PSE, das etwa als Smartcard realisiert sein kann.
