Cryptography Reference
In-Depth Information
28.3.3
Weitere Formen des Abrufs von Sperrinformationen
Neben Sperrlisten und der Online-Sperrabfrage gibt es für Alice noch einige wei-
tere Möglichkeiten zum Abruf von Sperrinformation.
Weiße Listen
Sperrlisten bezeichnet man manchmal auch als
Schwarze Listen
. Eine Schwarze
Liste enthält alle gesperrten Zertifikate. Es gibt jedoch auch die Möglichkeit, nur
die gültigen Zertifikate auf eine Liste zu packen. Eine solche heißt dann folge-
richtig
Weiße Liste
. Nutzt Alice eine Weiße Liste, dann darf sie nur Zertifikate
verwenden, die auf dieser stehen. Weiße Listen sind meist nur dann sinnvoll,
wenn wenige Zertifikate darauf stehen, da ansonsten beim Prüfen ein großer Auf-
wand entsteht. Manche Implementierungen, in denen nur wenige Zertifikate in
Verwendung sind, nutzen interne, hartkodierte Weiße Listen, die meist nicht sig-
niert sind. Eine weitere Variante der Weißen Listen ist ebenfalls in manchen klei-
neren PKIs im Einsatz: Alice versucht, ein Zertifikat beim Zertifikateserver abzu-
rufen. Findet sie es nicht, dann betrachtet sie es als ungültig. Weiße Listen sind
also ein pragmatischer Ansatz für kleine PKIs.
Sperrbäume
Sperrbäume
, die auch als
Certificate Revocation Trees
(
CRTs
) bezeichnet wer-
den, sind eine Mischung aus Sperrliste und Online-Sperrabfrage, die mithilfe von
Hashbäumen (siehe Abschnitt 14.6.1) realisiert werden [Koch98]. Zur Erstellung
eines Sperrbaums muss die CA zunächst eine Liste aller Zertifikatsseriennum-
mern aufstellen. Im Gegensatz zu einer Sperrliste sind auf dieser Liste sowohl
gesperrte als auch nicht gesperrte Zertifikate aufgeführt. Jeder Listeneintrag ent-
hält neben der Seriennummer eine Information darüber, ob das jeweilige Zertifi-
kat gesperrt ist. Die Liste ist anhand der Seriennummern sortiert. Eine solche
Liste könnte (bei zweistelligen Seriennummern) etwa so aussehen:
1. 46 gültig
2. 47 gültig
3. 48 gültig
4. 50 gesperrt
5. 51 gesperrt
6. 59 gültig
7. 60 gesperrt
8. 65 gültig
9. 66 gültig
10. 70 gültig
11. 71 gesperrt
