Cryptography Reference
In-Depth Information
Aus den genannten Gründen vergeben die meisten CAs gleich mehrere Zerti-
fikate an einen Anwender. In den häufigsten Fällen sind es zwei (zum Beispiel
eines für Verschlüsselung und eines für digitale Signaturen) oder drei (Verschlüs-
selung, Signatur, Authentifizierung). Wenn viele PKI-Anwendungen vorgesehen
sind, kann es durchaus auch vorkommen, dass Alice vier oder mehr Zertifikate
auf einmal erhält. Wenn Alice ein Software-PSE oder ein Roaming-PSE erhält,
dann ist dies technisch meist kein Problem, da genügend Speicherplatz vorhanden
ist. Bei einer Smartcard können jedoch Speicherprobleme entstehen. Fünf Schlüs-
selpaare und einige weitere Zusatzinformationen kann ein gängiger Karten-Chip
jedoch normalerweise verkraften.
Neben dem Speichern der aktuellen privaten Schlüssel sollte ein PSE auch das
Speichern veralteter Schlüssel unterstützen. Dies nennt man
Key History
. Die
Notwendigkeit einer Key History ist leicht einzusehen. Es kann in der Praxis oft
vorkommen, dass Alice Daten entschlüsseln will, die mit einem alten öffentlichen
Schlüssel verschlüsselt sind. Eine Key History spielt übrigens nur im Zusammen-
hang mit Verschlüsselung eine Rolle. Wenn es um digitale Signaturen und Authen-
tifizierung geht, gibt es keine sinnvolle Verwendung für einen veralteten Schlüssel.
26.5.2
Rollen in einer PKI
Neben Komponenten sind in einer PKI auch Menschen von Bedeutung, die
bestimmte Rollen ausfüllen. Die folgende Liste nennt die typischen Rollen eines
PKI-Rollenmodells:
■
PKI-Leiter
: Der PKI-Leiter ist derjenige, der die Gesamtverantwortung für
eine PKI trägt. Diese Rolle entspricht etwa der eines Projektleiters. Alle wich-
tigen Entscheidungen innerhalb der PKI müssen vom PKI-Leiter getragen
werden.
■
CA-Operator
: Der CA-Operator ist für die Durchführung aller strategisch
wichtigen Vorgänge innerhalb der PKI zuständig. Er hat alle Rechte, um die
CA aufzusetzen, CA-Schlüssel zu generieren, die CA außer Betrieb zu nehmen
und um beliebige Konfigurationseinstellungen zu ändern. Der CA-Operator
hat also die volle administrative Kontrolle über die CA, ist jedoch nicht für
das Tagesgeschäft zuständig. In der Praxis kann es auch mehrere CA-Opera-
toren geben. In der Regel übernimmt der PKI-Leiter einen der Operatoren-
Posten, um dadurch aktiv in die PKI eingreifen zu können. Wenn innerhalb
einer PKI Key Recovery eingesetzt werden soll (siehe Abschnitt 28.2), dann
bietet es sich an, das Auslesen eines privaten Anwenderschlüssels aus der
Recovery-Datenbank vom CA-Operator vornehmen zu lassen. Auf diese
Weise wird sichergestellt, dass ein Recovery-Vorgang eine Ausnahme bleibt,
die nur in begründeten Fällen zur Ausführung kommt.
