Cryptography Reference
In-Depth Information
aufgebaute Protokollnachrichten. Übertragen werden diese mithilfe eines ande-
ren Protokolls - möglich sind etwa HTTP oder FTP. Auch die Übertragung direkt
über TCP ist möglich. Zudem können CMP-Protokollnachrichten per E-Mail
verschickt werden. Bei der folgenden Betrachtung von PKI-Prozessen spielt
jeweils am Rande auch CMP eine Rolle.
CA-Initialisierung
Bevor eine CA den Betrieb aufnehmen kann, müssen einige Schritte zur Initialisie-
rung abgearbeitet werden. So muss der Betreiber die CA-Software unter kontrol-
lierten Umständen in Gang setzen, wobei er vor allem auf den privaten Schlüssel
der CA achten muss. Dieser muss mit einem guten Zufallsgenerator generiert
werden und darf beim Aufbau der CA nicht unbemerkt von einem Administrator
kopiert werden können. In einer unternehmensinternen PKI wird die CA-Initiali-
sierung meist recht pragmatisch gehandhabt. Der Prozess läuft im Wesentlichen
ab wie die Einführung eines anderern Serversystems. Anders verhält es sich, wenn
eine CA dem deutschen Signaturgesetz entsprechen muss oder aus anderen Grün-
den ein hohes Sicherheitsniveau gefordert wird. In einem solchen Fall ist ein auf-
wendiger Prozess notwendig, der unter anderem ein Vier-Augen-Prinzip, eine
genaue Protokollierung aller Vorgänge sowie organisatorische Sicherheitsmaß-
nahmen erfordert.
CMP spielt im Zusammenhang mit der CA-Initialisierung keine große Rolle.
Es werden lediglich einige Protokollnachrichten beschrieben, etwa für die Ver-
breitung einer initialen Sperrliste und für den Export des öffentlichen Schlüssels.
Initialisierung einer Endeinheit
Auch die diversen PKI-Endeinheiten müssen initialisiert werden. Dies ist zwar
kein so aufwendiger Vorgang wie bei der CA, ganz trivial ist er jedoch trotzdem
nicht. CMP sieht an dieser Stelle vor allem eine Protokollnachricht für den
Import des öffentlichen Schlüssels der CA in die Endeinheit vor. Die Registrierung
von Anwendern bei der CA und die Generierung von Zertifikaten gehören nicht
in diesen Bereich.
Anwender-Enrollment
Der wichtigste und komplexeste Prozess in einer PKI ist das Ausstellen eines Zer-
tifikats für einen Anwender. Dieser Vorgang, zu dem unter anderem die Regis-
trierung des Anwenders, die Generierung eines Schlüsselpaars, das Signieren
eines Zertifikats sowie die Übergabe des PSE gehören, wird auch als Enrollment
(bzw. Anwender-Enrollment) bezeichnet. Das Thema Enrollment wird in Ab-
schnitt 28.1 ausführlich behandelt.
