Cryptography Reference
In-Depth Information
30.4.2
Verwaltungs-PKI
Die
Verwaltungs-PKI
ist eine vom Bundesamt für Sicherheit in der Informa-
tionstechnik (BSI) initiierte Public-Key-Infrastruktur [V-PKI]. Sie hat das Ziel,
von deutschen Behörden und öffentlichen Einrichtungen betriebene CAs zu einer
Hierarchie zusammenzufassen. Die Wurzel der Verwaltungs-PKI wird vom BSI
selbst betrieben. Diese Wurzel-CA ist mit der European Bridge-CA verbunden,
wodurch eine Verbindung zwischen der öffentlichen Verwaltung und zahlreichen
Wirtschaftsunternehmen gegeben ist. Eine CA, die an der Verwaltungs-PKI teil-
nimmt, lässt sich von der Wurzel-CA ein CA-Zertifikat ausstellen. Es ist zulässig,
dass eine solche CA selbst Zertifikate für untergeordnete CAs ausstellt.
Die Verwaltungs-PKI sieht nicht vor, dass die beteiligten CAs qualifizierte
Zertifikate nach Signaturgesetz ausstellen. Dies ist auf den ersten Blick erstaun-
lich, da man von Behörden erwarten würde, dass sie die entsprechenden Vor-
schriften des Signaturgesetzes beachten. Wie in Abschnitt 30.1.2 erklärt, stellt das
Signaturgesetz jedoch sehr hohe und oftmals unpraktikable Anforderungen, die
auch für Behörden nur schwer zu erfüllen sind. Man kann die Verwaltungs-PKI
daher als eine Kompromisslösung betrachten: Einerseits sah das BSI ein, dass
qualifizierte Zertifikate für den flächendeckenden Einsatz in den Behörden nicht
geeignet sind. Andererseits wollte man den PKI-Aufbau im öffentlichen Sektor
nicht völlig dem Zufall überlassen. Deshalb schuf das BSI die Verwaltungs-PKI
und gleichzeitig ein Regelwerk, das eine Reihe von Anforderungen vorschreibt,
die eine CA erfüllen muss, wenn sie sich in diese Hierarchie eingliedern will. Diese
Anforderungen sind deutlich lockerer als die des Signaturgesetzes, andererseits
aber deutlich strenger als die der European Bridge-CA.
30.4.3
Wurzel-CAs
Wenn Krypt & Co. eine eigene CA betreibt und mit dieser ein SSL-Zertifikat für
einen Webserver ausstellt, steht die Firma vor folgendem Problem: Die gängigen
Webbrowser kennen die CA von Krypt & Co. nicht und zeigen daher eine Warn-
meldung an, wenn Anwenderin Alice auf eine SSL-geschützte Seite zugreifen will.
Ähnliches passiert, wenn Bob an Alice eine verschlüsselte E-Mail schicken will,
sein E-Mail-Programm jedoch Alices CA nicht kennt. Ein solches Problem lässt
sich zwar durch einen Import des CA-Zertifikats von Krypt & Co. in den Webb-
rowser bzw. in das E-Mail-Programm beheben, doch diese nur wenige Maus-
klicks erfordernde Aktion ist für viele Anwender bereits zu kompliziert.
Alternativ kann Krypt & Co. den Hersteller des E-Mail-Programms bzw. des
Browsers (z.B. Microsoft) darum bitten, das CA-Zertifikat schon ab Werk in die
Liste der unterstützten CAs aufzunehmen. Einen solchen Service wird der Her-
steller jedoch kaum bieten, wenn das entsprechende Unternehmen nicht dafür
bezahlt (mir sind Fälle bekannt, in denen der CA-Betreiber bis zu 500.000 Euro
bezahlte, um in einen Browser aufgenommen zu werden).
