Cryptography Reference
In-Depth Information
29.3
Certificate Policy und CPS
Bevor sich Alice ein Zertifikat von einer CA ausstellen lässt, möchte sie normaler-
weise wissen, worauf sie sich dabei einlässt. Es interessiert sie beispielsweise, ob
sich die CA an Vorgaben des Signaturgesetzes hält, welche Zertifikatstypen zur
Auswahl stehen und welche Sicherheitsmaßnahmen die CA getroffen hat. Natür-
lich will sie auch wissen, welche Pflichten sie als Zertifikatsinhaberin übernimmt
und in welchen Fällen der CA-Betreiber für Schäden haftet. Aus diesen Gründen
sollte eine CA eine Beschreibung ihrer Dienste in einem geeigneten Dokument
veröffentlichen. Ein solches Dokument, das oft als
Policy
bezeichnet wird, kann
als Grundlage eines Vertrags verwendet werden und hat eine ähnliche Funktion
wie die Allgemeinen Geschäftsbedingungen eines Unternehmens.
Da es sehr viele CAs gibt, die eine Policy veröffentlichen, entschied sich die
IETF, ein Rahmenwerk für die Erstellung solcher Dokumente zu entwickeln. Das
Ergebnis dieser Bemühungen ist der 2003 veröffentlichte RFC 3647 [RFC3647].
RFC 3647 ist streng genommen kein Standard, da er zu den Informational RFCs
gehört. Er ermöglicht jedoch - zumindest in der Theorie - das Erstellen einheitli-
cher Policys und hat damit Standard-Charakter. Eine gute Übersicht zu RFC
3647 gibt [BarKel].
RFC 3647 sieht vor, dass es zwei unterschiedliche Policy-Dokumente gibt, die
sich gegenseitig ergänzen: die
Certificate Policy
(
CP
) und das
Certification Practice
Statement
(
CPS
). Eine Certificate Policy bezieht sich auf einen bestimmten Zertifi-
katstypen. Wenn eine CA unterschiedliche Zertifikatstypen unterstützt, sollte sie
für jeden davon eine eigene Certificate Policy erstellen. Es ist auch möglich, dass
dieselbe Certificate Policy von mehreren CAs verwendet wird. Zudem kann eine
CA einer Certificate Policy einen Namen in Form einer OID geben. X.509v3-Zer-
tifikate haben die Eigenschaft, dass sie eine solche OID speichern können. Wenn
Alice wissen will, worauf sie sich bei einem Zertifikat einlässt, das ihr jemand
zugeschickt hat, dann kann sie dementsprechenden X.509-Feld die Certificate-
Policy-OID entnehmen und das zugehörige Dokument im Internet einsehen.
Ein CPS bezieht sich im Gegensatz zu einer Certificate Policy nicht auf eine
bestimmte Art von Zertifikaten, sondern auf eine gesamte CA. Im CPS einer CA
sind der Aufbau der zugehörigen PKI, die ablaufenden Prozesse und weitere Eigen-
schaften beschrieben. Die diversen Certificate Policys, die eine CA unterstützt, wer-
den darin aufgelistet. Im Gegensatz zu einer Certificate Policy ist ein CPS einer CA
fest zugeordnet und ist nicht für eine Übernahme durch andere CAs geeignet.
Das CPS und die Certificate Policys einer CA werden meist gegenüber den
Anwendern veröffentlicht. Falls jedoch geheime Informationen in diesen Doku-
menten enthalten sind, sieht RFC 3647 die Möglichkeit vor, nichtvertrauliche
Aspekte in ein Dokument namens
PDS
(
PKI Disclosure Statement
) auszulagern
und nur dieses öffentlich zugänglich zu machen. Ein CPS oder eine CP ersetzt
zudem kein Betriebskonzept, in dem alle Komponenten, Rollen und Prozesse
einer CA beschrieben werden.
