Cryptography Reference
In-Depth Information
Beispiel 1: Dezentrale Registrierung mit Smartcard
In einem Unternehmen (Krypt & Co.) könnte ein Enrollment wie folgt ablaufen.
1.
Nachdem Alice ihren Arbeitsvertrag bei Krypt & Co. unterschrieben hat,
trägt ein Mitarbeiter der Personalabteilung Alices Daten in die Personalver-
waltungssoftware ein.
2.
Das Identity-Management-System von Krypt & Co. liest Alices Daten aus
der Personalverwaltungssoftware und gibt sie an andere Computersysteme
weiter. Neben dem Mailserver und der Telefonanlage erhält auch die CA Ali-
ces Personalien.
3.
An ihrem ersten Arbeitstag sucht Alice die RA des Unternehmens auf (dies ist
beispielsweise ein Raum in der IT-Abteilung). In der RA verbindet sich der
Registrator mit der CA. Dort hat er Alices Daten bereits vorliegen. Der Re-
gistrator nimmt nun einen Smartcard-Rohling und steckt ihn in den Leser des
RA-Rechners. Der Chip auf dem Kartenrohling generiert ein Schlüsselpaar
und sendet den öffentlichen Schlüssel an die CA.
4.
Die CA generiert ein Zertifikat mit Alices Namen und ihrer E-Mail-Adresse.
Dieses Zertifikat wird in den Verzeichnisdienst gestellt.
5.
Alice tippt auf dem RA-Rechner eine von ihr gewählte PIN für die Smartcard
ein (natürlich so, dass sie dabei niemand beobachtet).
6.
Der Registrator händigt Alice die Smartcard aus.
Alice kann nun mit der Smartcard arbeiten - also verschlüsseln, signieren und
sich authentifizieren.
Beispiel 2: Zentrale Registrierung ohne Smartcard
Nehmen wir nun an, Alice will sich bei einem öffentlichen Trust Center ein digi-
tales Zertifikat besorgen. Dies könnte so ablaufen:
1.
Alice holt sich von der Webseite des Trust Centers ein Registrierungsformu-
lar, das sie sich ausdruckt. Sie füllt das Formular aus und schickt es zusam-
men mit einer Fotokopie ihres Personalausweises an das Trust Center.
2.
Das Trust Center überprüft den Antrag und registriert Alice im positiven Fall
bei der CA. Alice erhält nun einen Brief mit einem Passwort (PIN-Brief) zuge-
schickt.
3.
Alice verbindet sich per Internet mit dem Trust Center und authentisiert sich
dort mit dem ihr zugegangenen Passwort. Alices Software (z.B. ihr Web-
browser) generiert nun ein Schlüsselpaar. Den privaten Schlüssel speichert
die Software in einem Software-PSE. Den öffentlichen Schlüssel schickt sie
als Teil eines Zertifizierungsantrags über das Netz an die CA.
4.
Die CA nimmt den öffentlichen Schlüssel und generiert ein Zertifikat, das
dessen Echtheit bestätigt. Das Zertifikat wird im Verzeichnisdienst abgelegt.
Alice hat nun den privaten Schlüssel in ihrem Software-PSE vorliegen und kann
ihn nutzen.
