Cryptography Reference
In-Depth Information
Variante ohne RA
Den Anstoß zur Zertifikate-Generierung kann Alice auch selbst geben. Dies geht
etwa über eine Webschnittstelle, welche die CA zur Verfügung stellt. In diesem
Fall muss sich Alice über die Webseite gegenüber der CA authentisieren. Zur
Authentisierung nutzt sie beispielsweise ein Passwort, das ihr die CA in einem
versiegelten Brief (
PIN-Brief
) zugeschickt hat. Hat die CA Alices Zertifikat gene-
riert, dann wird dieses über den Zertifikateserver den anderen Anwendern
zugänglich gemacht.
28.1.3
Schritt 3: PSE-Übergabe
Wenn Alice ihr Schlüsselpaar nicht selbst generiert hat, dann muss die CA Alice
das PSE (siehe Abschnitt 26.5.1) in einem zuvor festgelegten Prozess zukommen
lassen.
Variante mit RA
Wenn Alice eine RA aufsucht, dann kann ihr der Registrator das PSE mit dem
neuen privaten Schlüssel persönlich überreichen. Handelt es sich um ein Hard-
ware-PSE (also etwa eine Smartcard), dann übergibt der Registrator dieses. Ist
der private Schlüssel dagegen in einem Software-PSE gespeichert, dann erhält
Alice eine CD oder einen Memorystick, auf dem der private Schlüssel verschlüs-
selt abgelegt ist. Bei einem Roaming-PSE erhält Alice die Webadresse, unter der
dieses zugänglich ist. In allen Fällen muss die RA Alice zudem das Passwort (bzw.
die PIN) zukommen lassen. Dies kann dadurch erfolgen, dass sich Alice selbst ein
Passwort ausdenken und es an einem Terminal eintippen kann. Alternativ kann
auch die RA das Passwort festlegen und auf einem Stück Papier an Alice überge-
ben.
Variante ohne RA
Natürlich kann die CA Alice eine Smartcard auch per Post zuschicken. Aus
Sicherheitsgründen sollte die PIN hierbei getrennt versandt werden (in einem
PIN-Brief). Wird ein Software-PSE verwendet, dann kann die CA dieses auch per
E-Mail an Alice versenden (beispielsweise als PKCS#12-Datei). Auch hier sollte
die CA Alice das PSE-Passwort in einem zusätzlichen PIN-Brief per Post zuschi-
cken. Bei einem Roaming-PSE reicht eine Webadresse und ein PIN-Brief.
28.1.4
Enrollment-Beispiele
Nachdem wir uns die drei Schritte eines PKI-Enrollments angeschaut haben, wol-
len wir diese nun zu einem vollständigen Prozess zusammensetzen. Dafür gibt es
viele verschiedene Möglichkeiten. Ein paar Beispiele schauen wir uns an.
