Mehr über cryptas.com Cryptas Security Cryptas Consulting
Cryptoshop Hilfe! Cryptoshop Kontakt! Cryptoshop Merkzettel! Cryptoshop Warenkorb! Zur Kassa gehen! Go to the english page!
+ Produkte
· · · · · · · · · · · · · · · · · · · · · · ·
+ Lösungen
· · · · · · · · · · · · · · · · · · · · · · ·
+ Knowledge Base
  Sicherheitsziele  
  Security Governance  
  Kryptographie  
  Technologie  
  Smart Card Anwendungen  
  Authentisierung  
  PKI  
  Zertifikate  
  Digitale Signatur  
  Signaturgesetzgebung  
  PKI-Planung  
  So Geht's  
· · · · · · · · · · · · · · · · · · · · · · ·
+ Service
· · · · · · · · · · · · · · · · · · · · · · ·
     
Management
· · · · · · · · · · · · · · · · · · · · · · ·
Security Officer
· · · · · · · · · · · · · · · · · · · · · · ·
System Engineer
· · · · · · · · · · · · · · · · · · · · · · ·
Purchasing
· · · · · · · · · · · · · · · · · · · · · · ·
Maintenance
· · · · · · · · · · · · · · · · · · · · · · ·
 
 

Zertifikatsmanagement  |  Veröffentlichung von Widerrufsinformation

Zertifikatsprüfung
 
INFO & WISSEN
 
Die Prüfung eines Zertifikates besteht aus der "Signaturprüfung" und der Gültigkeitsprüfung. Ein Zertifikat beinhaltet ja auch eine Signatur über die Daten des Zertifikats, die bei der Ausstellung von der Zertifizierungsstelle erstellt wurde. Deshalb ist der erste Teil eine Prüfung eine Signaturprüfung mit der Integrität und Authentizität geprüft festgestellt werden kann.

Das Zertifikat muss danach mit dem Widerrufsdienst des Zertifizierungsdiensteanbieters auf seine Gültigkeit geprüft werden. Es sind auch die Zertifikatserweiterungen zu prüfen, vor allem die Critical Extensions müssen von der prüfenden Applikation erkannt und richtig darauf reagiert werden. Meist sind nur die Schlüsselverwendung und Anzeige der Qualifizierungseigenschaft als kritisch markiert, dies geschieht aus Kompatibilitätsgründen und besagt nicht, dass andere Extensions unwichtig sind. Beispielsweise ist sind die Basic Constraints nicht unbedingt als unwichtig zu bezeichnen - sie zeigen an, ob dieses Zertifikat ein Endzertifikat oder ein CA-Zertifikat ist. Damit kann erkannt werden, ob nicht ein Endzertifikat als CA-Zertifikat "missbraucht" wurde.
Danach muss der Zertifizierungspfad bis zu einem Stammzertifikat erstellt werden und mit jedem Zertifikat in diesem Pfad dieselbe Prüfung durchgeführt werden. Die Validierung des Zertifizierungspfads besteht also aus einer weiteren Kaskade von Signaturprüfungen und Gültigkeitsprüfungen.

Berücksichtigung der Gültigkeitsmodelle
Bei der Prüfung eines Zertifizierungspfades muss das zugrunde liegende Gültigkeitsmodell der Hierarchie berücksichtigt werden. Problem ist, dass die prüfende Anwendung das Modell kennen muss, es aber keine Zertifikatserweiterung gibt, die diese Eigenschaft anzeigt. Lediglich anhand der Certificate Policy könnte dies implizit erkannt werden. Zudem müsste bei einem Kettenmodell die Widerrufsinformation von CA-Zertifikaten nach deren Ablauf im Widerrufsdienst vorhanden sein und der Grund eines etwaigen Widerrufs berücksichtigt werden

Schalenmodell: Zur Gültigkeitsprüfung wird der Zeitpunkt der Prüfung herangezogen, die Signatur ist gültig, wenn der Zertifizierungspfad, d.h. jedes Zertifikat im Pfad, zu diesem Zeitpunkt gültig ist. Langzeitsignaturen sind damit problematisch.

Kettenmodell: Zur Gültigkeitsprüfung wird der Erstellungszeitpunkt der Signatur herangezogen. Langzeitsignaturen sind damit leichter möglich.

Die meisten Anwendungen im Internet prüfen nach dem Schalenmodell, man ist mit Nutzung dieses Modells im Moment beim Interoperabilitätsaspekt auf der sichereren Seite und kauft sich das Problem der langen Laufzeiten von CA-Zertifikaten ein. Im Bereich qualifizierter Signaturen wird mehr auf das Kettenmodell gesetzt, die Anwendungen die mit diesen Zertifikaten arbeiten wollen müssen sowieso auch die "kritische" Erweiterung, welche die Qualifizierungseigenschaft anzeigt, erkennen und müssen richtig darauf reagieren - also auch das richtige Gültigkeitsmodell verwenden.
MEINUNG
 

Sonderfälle
Was geschieht mit einer Signatur, wenn der Verifikationszeitpunkt nach dem Gültigkeitszeitraum des Zertifikates liegt? Im Kettenmodell ist dies kein Problem, allerdings sollten Widerrufsinformationen verfügbar sein.
Wie kann man sicherstellen, dass der Zeitpunkt der Signatur authentisch ist - Die Systemuhr des PCs bietet hier keine Sicherheit? Zeitstempel-Dienste sind für Langzeitsignaturen die beste Wahl.
Wie kann man eine Signatur überprüfen, wenn der zuständige Verzeichnisdienst gerade nicht verfügbar ist? Für solche Fälle sollten vorher Vorgehensweisen definiert werden, gesetzliche Regelungen können helfen.
Wie kann ich die Sicherheit einer Signatur erhalten wenn der Signieralgorithmus oder die Schlüssellänge einer Signatur als nicht mehr ausreichend betrachtet werden? Um den Sicherheitswert zu erhalten sollte eine Nachsignierung angebracht werden. Dabei sollte derjenige, der den Sicherheitswert erhalten will, eine weitere Signatur über Dokument und alte Signatur erstellen. Das muss nicht der Ersteller der alten Signatur sein.



Zertifizierungshierarchie


X.509


X.509 CRL


Asymmetrisch


Hash


PKI-Standards PKIX


Zurück zur vorherigen Seite!Zum Seitenanfang!Zur Startseite
  Zertifizierungshierarchie  
  X.509  
  X.509 CRL  
  Asymmetrisch  
  Hash  
  PKI-Standards PKIX  
 
  Zertifikatsformate  
  Zertifikatsmanagement  
  Veröffentlichung von Widerrufsinformation  
  Signaturgesetzgebung  
  Vertrauensmodelle  
  Zertifizierungsrichtlinien  
  MS-Enterprise-CA  
 
Demo Area Download Bereich Forum E-Mail an die Redaktion Cryptoshop Newsletter Sicherheit auf Cryptoshop.com
Impressum AGB Verbraucherhinweise Datenschutz Newsletter Copyright © 2011 CRYPTAS. Alle Rechte vorbehalten Jobs & Karriere