Cryptography Reference
In-Depth Information
Infrastrukturmaßnahme durchzudrücken, um später nach und nach PKI-Anwen-
dungen wie E-Mail-Verschlüsselung oder Virtuelle Private Netze einführen zu
können. Diese Strategie scheiterte jedoch allzu oft an den Entscheidern im Unter-
nehmen, die keine große Geldsumme für eine Infrastruktur in die Hand nehmen
wollten, deren Zweck noch nicht klar erkennbar war. Diese Entwicklung ist ein
Grund dafür, dass das Thema PKI um die Jahrtausendwende immer mehr zum
Sorgenkind wurde.
Die Erfahrungen aus der Vergangenheit haben dazu geführt, dass IT-Sicher-
heitsabteilungen und Security-Berater PKI-Projekte heute anders angehen. Im
Vordergrund steht dabei stets die Frage, wo das Unternehmen der Schuh drückt.
Dies kann der Wunsch nach sicheren E-Mails sein oder auch die geplante Einfüh-
rung eines Virtuellen Privaten Netzes. Kann eine Kryptografie-Anwendung mit
PKI-Unterstützung das Problem lösen, dann ist ein PKI-Aufbau die logische Kon-
sequenz. Eine PKI wird in diesem Fall nicht als Infrastrukturmaßnahme betrach-
tet, sondern als ein notwendiges Anhängsel einer konkreten Maßnahme. Diese
neue Betrachtungsweise hat dazu geführt, dass die PKI ihren Sorgenkindstatus
inzwischen wieder verloren hat.
Wo aber liegen nun die interessantesten Anwendungsmöglichkeiten einer
PKI? Beispiele sind E-Mail-Verschlüsselung, Verschlüsselung von Dateien, Virtu-
elle Private Netze (VPNs) sowie die Signatur digitaler Dokumente. Wie diese
Anwendungen funktionieren und was es sonst noch gibt, erfahren Sie in Teil 5
dieses Buchs.
Personal Security Environment (PSE)
Die Umgebung, in der Alices privater Schlüssel gespeichert ist, wird als
Personal
Security Environment
(
PSE
) bezeichnet. Im Idealfall ist ein PSE eine Smartcard
(oder ein USB-Token mit Smartcard-Funktionalität), die Alice ständig bei sich
trägt und die durch eine PIN geschützt ist. Dies nennt man auch
Hardware-PSE
.
Die wichtigste Alternative besteht darin, den Schlüssel in einer verschlüsselten
Datei auf Alices Festplatte abzulegen - man spricht in diesem Fall von einem
Soft-
ware-PSE
. Der symmetrische Schlüssel zur Verschlüsselung des privaten Schlüs-
sels im PSE ist hierbei von einem Passwort abgeleitet. Alice muss dieses Passwort
eingeben, wenn sie den privaten Schlüssel nutzen will.
Neben Hardware-PSEs und Software-PSEs haben sich in den letzten Jahren
auch
Roaming-PSEs
etabliert. Ein Roaming-PSE sieht vor, dass Alices privater
Schlüssel auf einem Server liegt. Wenn Alice den Schlüssel nutzen will, muss sie
eine Online-Verbindung zum Roaming-PSE aufbauen und den Schlüssel herunter-
oder die Nachricht hochladen. Da dies automatisiert erfolgen sollte, benötigt
Alice eine Client-Software (
Roaming Client
), die die Kommunikation mit dem
Roaming-PSE erledigt. Falls der Roaming Client den Schlüssel herunterlädt,
sollte er diesen anschließend wieder aus dem Speicher löschen.
