Cryptography Reference
In-Depth Information
27.2.1
Die X.509v3-Standarderweiterungen
Die Erweiterungssyntax von X.509v3 hat den Vorteil, dass mit fehlenden Zertifi-
katsfeldern endlich Schluss ist. Was auch immer für ein zusätzliches Feld in einem
X.509-Zertifikat benötigt wird - X.509v3 bietet die Möglichkeit, es zu definie-
ren. Durch diese Offenheit handelte man sich jedoch ein neues Problem ein: Ein
X.509v3-Zertifikat ist nicht automatisch für alle Anwendungen lesbar, die
X.509v3-Zertifikate unterstützen. Sobald eine Erweiterung darin enthalten ist,
die eine Anwendung nicht kennt, kommt es zu Inkompatibilitäten. Um einem
Wildwuchs im Bereich der Zertifikatserweiterungen vorzubeugen, wurde
X.509v3 1997 noch einmal erweitert (durch sogenannte Amendments). Dabei
wurden mithilfe der in X.509v3 festgelegten Erweiterungssyntax einige Erweite-
rungen spezifiziert, die nun ein fester Bestandteil des Standards sind. Die folgende
Liste nennt diese Erweiterungen:
Authority Key Identifier : Dies ist eine Kennung des CA-Schlüssels. Wenn eine
CA mehrere Schlüssel zum Signieren benutzt, dann kann Alice durch dieses
Feld feststellen, welcher davon für dieses Zertifikat verwendet wurde. Dass
eine CA mehrere Schlüssel verwendet, kann etwa in einer Übergangszeit vor-
kommen, wenn der CA-Schlüssel routinemäßig gewechselt wird. Das PKIX-
Profil schreibt vor, dass diese Erweiterung genutzt, aber als unkritisch mar-
kiert wird.
Subject Key Identifier : Dieses Feld enthält eine Kennung des Inhaberschlüs-
sels. Wenn Alices öffentlicher Schlüssel in mehreren digitalen Zertifikaten ent-
halten ist, kann dies durch diese Kennung schnell festgestellt werden. Dass
Alice mehrere Zertifikate für den gleichen Schlüssel hat, kann etwa vorkom-
men, wenn die Gültigkeitsdauer eines Zertifikats zu Ende geht und Alice sich
ein neues mit dem gleichen Schlüssel ausstellen lässt. Alice kann auch densel-
ben Schlüssel von verschiedenen CAs zertifizieren lassen. Das PKIX-Profil
schreibt vor, dass diese Erweiterung verwendet und als unkritisch markiert
wird. Common PKI lässt dies offen.
Key Usage : Diese Erweiterung nennt den Verwendungszweck des Schlüssels.
Durch dieses Feld kann festgeschrieben werden, zu welchem Zweck der im
Zertifikat enthaltene öffentliche Schlüssel verwendet werden darf. Beispiele
sind Signatur, Verschlüsselung und Signatur von Zertifikaten. Das PKIX-Pro-
fil schreibt die Verwendung dieses Felds nicht vor; es empfiehlt lediglich, es
als kritisch zu markieren, falls es verwendet wird. Bei Common PKI ist es
dagegen obligatorisch.
Private Key Usage Period : Dies ist die Nutzungsdauer für den privaten Schlüs-
sel. Der Sinn dieser Erweiterung besteht darin, dass digitale Signaturen oft-
mals auch dann noch verifiziert werden müssen, wenn der Inhaber das zuge-
hörige Schlüsselpaar nicht mehr verwendet. Es bietet sich daher an, für den
Search WWH ::




Custom Search