Cryptography Reference
In-Depth Information
digitalen Signaturen sind Zeitstempeldienste auch dann nützlich, wenn es um die
Urheberschaft von Dokumenten geht. Wenn Bob beispielsweise befürchtet, dass
Mallory sich als Urheber seines neuen Romans ausgeben könnte, dann versieht er
ihn vor der Veröffentlichung mit einem Zeitstempel. Bob kann damit beweisen,
dass der Roman entstanden ist, bevor Mallory sich als Urheber ausgegeben hat.
Ein Zeitstempeldienst benötigt ein Schlüsselpaar und ein digitales Zertifikat.
Wird ein Zeitstempeldienst als zusätzliche Komponente eines Trust Centers
betrieben, dann wird dieses Zertifikat meist von der CA dieses Trust Centers aus-
gestellt. Zur Kommunikation zwischen Alice und dem Zeitstempeldienst gibt es
ein Netzwerkprotokoll namens
TSP
(Time Stamp Protocol), das in [RFC3161]
beschrieben wird. Es wurde von der PKIX-Arbeitsgruppe entwickelt. TSP ist ein
recht einfaches Protokoll, das eine Anfrage von Alice und eine Antwort des Zeit-
stempeldiensts vorsieht. Die jeweiligen Protokollnachrichten können per E-Mail,
HTTP, FTP oder direkt über TCP übertragen werden.
Registrierungsstelle (RA)
Die
Registrierungsstelle
(
Registration Authority
,
RA
) ist die Anmeldestelle, über
die Alice ihr Zertifikat beantragt. In einem Unternehmen ist die RA meist im
Büro eines Administrators lokalisiert, während die Betreiber kommerzieller Trust
Center oft die Post oder ein eigenes Filialnetz nutzen. Meist kommen auf eine CA
mehrere RAs. Allerdings muss eine CA nicht zwingend eine RA betreiben, da
Alice zur Zertifikate-Generierung auch direkt mit der CA kommunizieren kann.
Ob es in einer PKI eine RA gibt und wie diese realisiert ist, hängt stark vom
Enrollment-Prozess ab (Abschnitt 28.1).
Sperrstelle
Die
Sperrstelle
ist eine weitere mögliche Komponente innerhalb einer PKI. Die
Sperrstelle ist die Anlaufstelle für Alice, wenn sie ihr Zertifikat sperren lassen will
(etwa weil sie ihre Smartcard verloren hat). Viele PKI-Betreiber realisieren die
Sperrstelle mithilfe einer bereits bestehenden Telefon-Hotline, deren Telefonnum-
mer den Benutzern ohnehin bekannt ist. Der Hotline-Mitarbeiter, der Alices Anruf
entgegennimmt, arbeitet typischerweise mit einer RA-Software, deren Funktiona-
lität so eingeschränkt ist, dass er damit nur Sperrungen durchführen kann.
PKI-Anwendung
Interessant wird eine PKI erst, wenn Alice und Bob ihre Zertifikate und Schlüssel
zum Verschlüsseln und Signieren nutzen können. Diese Aussage ist eigentlich eine
Binsenweisheit, doch sie hat einen wichtigen Hintergrund. Als Ende der neunzi-
ger Jahre die ersten Unternehmen einen PKI-Aufbau angingen, machten sich die
Beteiligten häufig zu wenig Gedanken über die genaue Nutzung der PKI. In vielen
Unternehmen versuchte die Abteilung für IT-Sicherheit, den Aufbau einer PKI als
