Cryptography Reference
In-Depth Information
■
Generic Certification
: Bei dieser Stufe sagt Alice überhaupt nichts darüber
aus, ob und wie sie sich vergewissert hat, dass Bob tatsächlich der Besitzer des
Schlüssels ist.
■
Persona Certification
: Bei dieser Stufe hat Alice nicht überprüft, ob Bob der
Besitzer des Schlüssels ist (»Persona« ist ein englisches Wort für »Rolle«).
■
Casual Certification
: Bei dieser Stufe hat Alice zwar überprüft, dass Bob den
Schlüssel besitzt. Es handelt sich dabei jedoch nur um eine grobe, flüchtige
Überprüfung (was das genau heißt, ist nicht definiert).
■
Positive Certification
: Bei dieser Stufe hat Alice genau überprüft, ob Bob
Besitzer des Schlüssels ist.
Die einzelnen Stufen sind recht schwammig definiert. Dies ist jedoch Absicht.
27.4.3
Unterschiede zu X.509
PGP- und X.509-Zertifikate folgen unterschiedlichen Philosophien. Dies wird
klar, wenn wir uns die Unterschiede betrachten:
■
Der wesentliche Unterschied zwischen X.509- und PGP-Zertifikaten besteht
darin, dass bei Ersteren
ein
öffentlicher Schlüssel durch
eine
CA-Signatur an
einen Anwendernamen gebunden wird. Bei PGP-Zertifikaten können dagegen
in einem Zertifikat beliebig viele öffentliche Schlüssel und beliebig viele Sig-
naturen vorkommen. Dieser Unterschied ist durch das Vertrauensmodell Web
of Trust begründet. Er hat zur Folge, dass zu einem Schlüsselpaar oft sehr
viele PGP-Zertifikate im Umlauf sind, die unterschiedliche Signaturen tragen.
■
Viele Erweiterungsfelder von X.509v3 haben bei PGP-Zertifikaten keine Ent-
sprechung. So gibt es bei PGP-Zertifikaten beispielsweise kein Feld, in dem
auf eine Policy verwiesen wird, ganz zu schweigen von Policy Mapping.
■
PGP-Zertifikate haben zwar weniger Felder als X.509-Zertifikate. Trotzdem
ist der Umgang mit ihnen häufig komplexer. Dadurch, dass ein PGP-Zertifi-
kat mehrere Schlüssel und Signaturen beinhalten kann, muss Anwender Bob
stets überlegen, welcher Signatur er nun in welcher Situation trauen kann.
Obwohl PGP-Zertifikate für ein Web of Trust gemacht sind, werden sie in der
Praxis häufig mit dem Vertrauensmodell Hierarchical Trust eingesetzt. Dies
bedeutet, dass ein PGP-Zertifikat nur eine Signatur trägt, die von einer CA ausge-
stellt worden ist. Durch diesen »Missbrauch« geht zwar ein Teil der PGP-Idee
verloren. Die typischen Vorteile von Hierarchical Trust wie das Durchsetzen einer
Policy oder ein hohes Maß an Verbindlichkeit werden dadurch jedoch gewonnen.