Cryptography Reference
In-Depth Information
■
Unspezifiziert
(
unspecified
, 0)
■
Schlüsselkompromittierung
(
Key Compromise
, 1): Alices Zertifikat muss
natürlich dann gesperrt werden, wenn Mallory Zugang zu Alices privatem
Schlüssel hat oder ein entsprechender Verdacht besteht (Kompromittierung).
Wenn Alice ihre Smartcard verloren oder Mallory ihr Software-PSE kopiert
hat, dann ist dieser Fall eingetreten.
■
CA-Kompromittierung
(
CA Compromise
, 2): Wenn der Verdacht besteht,
dass Mallory Zugang zum Schlüssel der CA hat, dann ist dies ebenfalls ein
Grund zum Sperren von Zertifikaten. In diesem Fall müssen sogar alle Zertifi-
kate gesperrt werden, die mit dem betreffenden Schlüssel signiert wurden.
■
Änderung des Zertifikatsinhalts
(
Affiliation Changed
, 3): Wenn sich am
Inhalt des Zertifikats etwas ändert (zum Beispiel Alices Nachname, nachdem
sie geheiratet hat), dann muss das Zertifikat gesperrt und gegebenenfalls ein
neues generiert werden.
■
Neues Zertifikat vorhanden
(
superseded
, 4): Wird Alices Zertifikat durch ein
neues ausgetauscht, dann muss das alte gesperrt werden. Ein solcher Aus-
tausch kann etwa kurz vor Ende der Gültigkeitsdauer durchgeführt werden.
■
Einstellung des Betriebs
(
Cessation of Operation
, 5): Wenn Alice nicht mehr
Kundin bei der CA ist, die ihr Zertifikat ausgestellt hat, dann ist dies für das
Trust Center ein Grund, das Zertifikat zu sperren. Dieser Sperrgrund tritt bei-
spielsweise dann ein, wenn die Firma Krypt & Co. eine CA für die Mitarbei-
ter betreibt und ein Mitarbeiter das Unternehmen verlässt.
■
Suspendierung
(
Certificate Hold
, 6): Eine Suspendierung ist eine vorüberge-
hende Sperrung, die nach kurzer Zeit wieder aufgehoben wird, falls zwischen-
zeitlich keine endgültige Sperrung vorgenommen wurde. Eine Suspendierung
soll vor allem Denial-of-Service-Attacken verhindern: Wenn eine Sperrung nach
kurzer Zeit wieder rückgängig gemacht werden kann, dann kann Mallory
weniger Schaden anrichten, wenn er für die Zertifikate anderer Leute eine
Sperrung beantragt. In der Praxis gibt es jedoch kaum eine PKI, in der Sus-
pendierungen vorgesehen sind.
28.3.2
Online-Sperrprüfung
Die zwei wichtigsten Nachteile von Sperrlisten liegen auf der Hand: Zum einen
wird eine Sperrung erst wirksam, wenn die CA eine neue Sperrliste erstellt - zu
diesem Zeitpunkt kann die Sperrung jedoch schon Stunden oder Tage zurücklie-
gen. Zum anderen muss Alice immer eine ganze Liste herunterladen, obwohl sie
vielleicht nur ein einziges Zertifikat überprüfen will. Die einfachste Möglichkeit
zur Behebung dieser Mängel ist die
Online-Sperrprüfung
. Eine solche ist denkbar
einfach: Wenn Alice wissen will, ob ein Zertifikat gesperrt ist, dann sendet sie
eine Nachricht mit der Seriennummer des Zertifikats an den Zertifikateserver.
