Cryptography Reference
In-Depth Information
■
Komplette Sperrlisten
: Die einfachste Form einer Sperrliste ist die
komplette
Sperrliste
. In einer solchen veröffentlicht ein Trust Center die Seriennummern
aller Zertifikate, die gesperrt sind. Dies kann in einer großen PKI sehr
unhandlich werden. So kann es durchaus vorkommen, dass eine komplette
Sperrliste mehrere Megabyte groß wird. Wenn alle PKI-Anwender sich einmal
am Tag eine solche Datenmenge auf ihren Rechner laden, dann lohnt es sich,
nach Alternativen zu suchen.
■
Teilsperrlisten
: Komplette Sperrlisten lassen sich vermeiden, indem die CA die
Seriennummern der gesperrten Zertifikate auf mehrere Sperrlisten verteilt.
Man spricht dabei von
Teilsperrlisten
. Diese sind besonders wirkungsvoll,
wenn ein digitales Zertifikat einen Verweis auf die Stelle enthält, an der die
zugehörige Teilsperrliste abrufbar ist (der X.509v3-Standard sieht eine Erwei-
terung vor, die diese Information aufnehmen kann). Diese Stelle wird als
Sperrlisten-Verteilungspunkt
oder auch als
CRL Distribution Point
(
CDP
)
bezeichnet. Jede Teilsperrliste sollte einen eigenen Sperrlisten-Verteilungs-
punkt erhalten. Wenn Alice sich die neuesten Sperrlisten besorgen will, dann
schaut sie sich zunächst die Zertifikate ihrer Kommunikationspartner und die
darin angegebenen Sperrlisten-Verteilungspunkte an. Danach kann sie sich
dort genau die Teilsperrlisten besorgen, die sie benötigt. Wenn Alice nur mit
einem geringen Teil der anderen PKI-Anwender kommuniziert, lässt sich mit
Teilsperrlisten und Sperrlisten-Verteilungspunkten das Datenaufkommen
deutlich verringern.
■
Delta-Sperrlisten
: Eine weitere Möglichkeit, den Umfang von Sperrlisten zu
reduzieren, sind
Delta-Sperrlisten
(
Delta-CRLs
). Eine Delta-Sperrliste enthält
nur diejenigen Zertifikate, die seit Erstellung der letzten kompletten oder Teil-
Sperrliste (
Basis-Sperrliste
) gesperrt worden sind. Um festzustellen, ob ein
Zertifikat gesperrt ist, muss Alice die letzte komplette Sperrliste und alle seit-
dem veröffentlichten Delta-Sperrlisten kennen. Dies ist etwas umständlich,
aber es lohnt sich, da das Datenaufkommen auf diese Weise deutlich sinkt.
Delta-Sperrlisten und verteilte Sperrlisten lassen sich gleichzeitig einsetzen -
in Form verteilter Delta-Sperrlisten.
Standards für Sperrlisten
Der X.509-Standard beschreibt nicht nur ein Format für digitale Zertifikate, son-
dern auch ein solches für Sperrlisten [X.509]. Es werden sowohl komplette als
auch Teil- und Delta-Sperrlisten unterstützt. Ähnlich wie X.509-Zertifikate sind
auch X.509-Sperrlisten in Felder eingeteilt, wobei sich die Signatur auf alle Felder
bezieht. Als 1988 die erste Version von X.509 erschien, waren folgende Sperrlis-
tenfelder vorgesehen:
