Cryptography Reference
In-Depth Information
28.2.5
Geht es auch ohne Recovery?
Die vorhergehenden Absätze haben gezeigt, dass das Thema Recovery recht kom-
plex ist und deutlich mehr umfasst als nur das Szenario eines Anwenders mit ver-
lorenem Schlüssel. Trotzdem gibt es in der Praxis viele PKIs, die ganz ohne Reco-
very auskommen. Dies liegt zum einen daran, dass viele PKI-Anwendungen - etwa
Authentifizierung und digitale Signaturen - ohne Recovery auskommen. Auch bei
E-Mail kann man oft darauf verzichten - vorausgesetzt Krypt & Co. begnügt sich
mit einem Virenscan auf der Anwenderplattform, verzichtet auf Urlauber-Vertre-
ter- sowie Chef-Sekretärin-Lösungen und sieht nicht das verschlüsselte Ablegen
von E-Mails vor. Wenn es um die Datei-Verschlüsselung geht, interessieren sich
viele Unternehmen ohnehin nur für Dateien auf dem Laptop - Dateien auf dem
Server werden dagegen meist als sicher angenommen. Wenn Alice die Daten auf
ihrem Laptop regelmäßig sichert (das sollte sie ohnehin tun, schließlich kann ein
solches Gerät jederzeit kaputt oder verloren gehen) und die jeweiligen Backups
nicht verschlüsselt sind, kann sie auch hier auf Recovery verzichten.
28.3
Abruf von Sperrinformationen
Eine CA muss in der Lage sein, Zertifikate für ungültig zu erklären (zu sperren).
Dies ist beispielsweise dann notwendig, wenn ein Anwender seine Smartcard mit
dem privaten Signaturschlüssel verloren hat. Wenn ein Mitarbeiter der Firma
Krypt & Co. das Unternehmen verlässt, dann muss die firmeninterne CA dessen
Zertifikat ebenfalls sperren. Eine Sperrung hat allerdings nur dann einen Sinn,
wenn Anwenderin Alice sich bei Bedarf darüber informieren kann, ob ein
bestimmtes Zertifikat eines anderen Anwenders gesperrt ist. Ist dies der Fall,
dann darf sie dieses Zertifikat nicht mehr verwenden. Damit Alice einen leichten
Zugang zu Sperrinformationen hat, werden diese sinnvollerweise über den Zerti-
fikateserver abrufbar gemacht. Zertifikate und Informationen über deren Sper-
rung gibt es daher meist an derselben Stelle. Für das Vorgehen beim Abruf von
Sperrinformationen stehen mehrere Möglichkeiten zur Verfügung, die wir im Fol-
genden betrachten.
28.3.1
Sperrlisten
Der gängigste Ansatz zum Abruf von Sperrinformationen sind sogenannte Sperr-
listen . Diese werden auch als Certificate Revocation Lists (CRLs) bezeichnet.
Eine Sperrliste ist eine digitale Liste, auf der die Seriennummern der gesperrten
Zertifikate aufgeführt sind und die (meist von einer CA) digital signiert ist. Wenn
Alice sich in regelmäßigen Abständen (etwa einmal am Tag) die jeweils aktuelle
Sperrliste herunterlädt, dann weiß sie, welche Zertifikate sie nicht mehr verwen-
den darf. Eine Sperrliste wird von der CA regelmäßig oder bei Bedarf durch eine
aktualisierte Version ersetzt. Sperrlisten gibt es in unterschiedlichen Variationen:
Search WWH ::




Custom Search