Cryptography Reference
In-Depth Information
Erneuerung eines Zertifikats
Nachdem Alice ein Zertifikat von der CA erhalten hat und dieses einige Zeit
genutzt hat, kann es vorkommen, dass sie ein neues Zertifikat benötigt. Dies
kann folgende Gründe haben:
■
Der Gültigkeitszeitraum des Zertifikats neigt sich dem Ende entgegen.
■
Der Inhalt des Zertifikats hat sich geändert. Dies kann etwa Alices Nachname
sein (nachdem sie geheiratet hat) oder ihre E-Mail-Adresse.
■
Alices Zertifikat ist gesperrt worden.
Damit eine Zertifikatserneuerung reibungslos vonstatten gehen kann, muss der
Betreiber einer PKI einen Prozess dafür festlegen. In vielen Fällen läuft dieser Pro-
zess ähnlich ab wie das Enrollment. Manche CA-Softwarelösungen unterstützen
eine automatische E-Mail-Benachrichtigung des Anwenders für den Fall, dass
dieser ein neues Zertifikat erhalten soll. In einer solchen E-Mail kann Alice bei-
spielsweise dazu aufgefordert werden, die RA oder eine bestimmte Webseite auf-
zusuchen. Zudem bieten manche PKI-Softwarehersteller spezielle Clients an, die
auf Alices Rechner installiert eine Zertifikatserneuerung automatisch durchfüh-
ren können. Hierbei sendet der Client einen Erneuerungsantrag an die CA, wobei
der zum alten Zertifikat gehörende private Schlüssel zur Authentifizierung ver-
wendet wird.
Key Recovery
Ein besonders kritisches Thema innerhalb einer PKI ist
Key Recovery
. Darunter
versteht man den Vorgang, dass eine CA einen privaten Schlüssel, der ja im Nor-
malfall nur für den Besitzer zugänglich ist, aus einer Datenbank holt und dem
Administrator zur Verfügung stellt. Um Key Recovery zu ermöglichen, muss eine
CA eine Datenbank betreiben, in der alle privaten Schlüssel abgelegt werden.
Dies ist nur dann sinnvoll möglich, wenn die Schlüsselpaare in der CA generiert
werden.
Key Recovery ist oftmals eine sinnvolle Sache. Wenn Alice wichtige Daten
verschlüsselt gespeichert hat und ihre Smartcard verliert, dann sind alle Daten
verloren - es sei denn, die CA hat Alices privaten Schlüssel gespeichert und führt
ein Key Recovery durch. Auch für Alices Arbeitgeber Krypt & Co. kann Key
Recovery wichtig sein. Wenn Alice nämlich eines Tages gegen einen Baum fährt
oder das Unternehmen im Zorn verlässt, dann können durch ein Key Recovery
wenigstens ihre verschlüsselten Daten gerettet werden. Nicht zuletzt kann Key
Recovery auch vom Staat genutzt werden. Wenn etwa die Polizei die Möglichkeit
hat, bei Bedarf den privaten Schlüssel eines Kriminellen wiederherzustellen, dann
erleichtert dies ihre Arbeit.
