Cryptography Reference
In-Depth Information
Beispiel 4: Auto-Enrollment
Ein weiterer pragmatischer Ansatz ist das sogenannte
Auto-Enrollment
. Diese
Enrollment-Variante wurde zuerst von Microsoft als Funktion von Windows
2000 angeboten, wird inzwischen jedoch auch von anderen PKI-Lösungen unter-
stützt. Ein Auto-Enrollment ist vor allem für Unternehmen oder Behörden geeig-
net, die ihre eigene PKI betreiben. Es setzt voraus, dass Alice einen zentral admi-
nistrierten Account hat, über den sie sich in das Betriebssystem einloggt. Diese
Voraussetzung ist in praktisch jedem Unternehmen und jeder Behörde gegeben.
Zudem muss die CA auf den Datenbestand des Anmeldeservers zugreifen kön-
nen, über den Alices Login abläuft. CA und Anmeldeserver verschmelzen
dadurch zu einer Komponente.
Eine weitere Voraussetzung für ein Auto-Enrollment ist, dass auf Alices PC
ein spezieller Client (Auto-Enrollment-Client) vorhanden ist. Dieser Client kann
in das Betriebssystem integriert sein, oder es kann sich um eine Zusatzsoftware
handeln. In letzterem Fall bietet es sich an, das Softwareverteilungssystem von
Krypt & Co. zu nutzen, um den Client aufzubringen. Wenn wir wieder anneh-
men, dass Alice ein Zertifikat von der CA ihres Arbeitgebers Krypt & Co. erhält,
dann läuft ein Auto-Enrollment etwa so ab:
1.
Ein Registrator schaltet Alice an der CA (bzw. am Anmeldeserver) für die
Zertifikats-Generierung frei.
2.
Wenn sich Alice das nächste Mal an ihrem PC einloggt, startet ihr Auto-En-
rollment-Client automatisch die Generierung eines Schlüsselpaars und legt
den privaten Schlüssel in einem Software-PSE ab.
3.
Der Auto-Enrollment-Client schickt den öffentlichen Schlüssel an die CA
(bzw. an den Anmeldeserver). Da sich Alice kurz zuvor mit ihrem Passwort
oder einer sonstigen Authentifizierungsmethode am Anmeldeserver angemel-
det hat, besteht eine sichere Verbindung.
4.
Die CA generiert ein Zertifikat. Dieses leitet sie an den Zertifikateserver wei-
ter, damit es dort abrufbar ist.
Die Sicherheit dieses Ablaufs ergibt sich dadurch, dass nur Alice sich an ihrem
PC-Account einloggen und damit eine sichere Verbindung zum Anmeldeserver
aufbauen kann. Das Einloggen ersetzt beim Auto-Enrollment also das persönli-
che Erscheinen an der RA oder das Hantieren mit einem PIN-Brief. Beachten Sie,
dass das Enrollment für Alice in diesem Szenario weitgehend transparent abläuft
- Alice muss nichts tun, außer sich wie gewohnt einloggen (deshalb heißt dieser
Vorgang »Auto-Enrollment«). Eine RA ist hierbei nicht notwendig.
