Mehr über cryptas.com Cryptas Security Cryptas Consulting
Cryptoshop Hilfe! Cryptoshop Kontakt! Cryptoshop Merkzettel! Cryptoshop Warenkorb! Zur Kassa gehen! Go to the english page!
+ Produkte
· · · · · · · · · · · · · · · · · · · · · · ·
+ Lösungen
· · · · · · · · · · · · · · · · · · · · · · ·
+ Knowledge Base
  Sicherheitsziele  
  Security Governance  
  Kryptographie  
  Technologie  
  Smart Card Anwendungen  
  Authentisierung  
  PKI  
  Zertifikate  
  Digitale Signatur  
  Signaturgesetzgebung  
  PKI-Planung  
  So Geht's  
· · · · · · · · · · · · · · · · · · · · · · ·
+ Service
· · · · · · · · · · · · · · · · · · · · · · ·
     
Management
· · · · · · · · · · · · · · · · · · · · · · ·
Security Officer
· · · · · · · · · · · · · · · · · · · · · · ·
System Engineer
· · · · · · · · · · · · · · · · · · · · · · ·
Purchasing
· · · · · · · · · · · · · · · · · · · · · · ·
Maintenance
· · · · · · · · · · · · · · · · · · · · · · ·
 
 

Vertrauensmodelle  |  Zertifizierungsrichtlinien

Zertifizierungshierarchie
 
INFO & WISSEN
 
Bei einer PKI findet grundsätzlich das hierarchische Vertrauensmodell seine Anwendung, welches durch hierarchische Vertrauensbeziehungen charakterisiert ist. Erweiterungen sind natürlich möglich.

Die oberste Zertifizierungsstelle einer Zertifizierungshierarchie ist die Stammzertifizierungsstelle (Root CA). Da es per Definition keine höhere CA gibt, stellt sich die Stammzertifizierungsstelle selbst ihr eigenes Zertifikat aus und signiert es selbst (self-signed). Dieses Zertifikat wird als Stammzertifikat bezeichnet. Die Stammzertifizierungsstelle kann nun Zertifikate für untergeordnete Zertifizierungsstellen ausstellen, die ihrerseits Zertifikate ausstellen können. Ob ein Zertifikat weitere Zertifikate ausstellen kann in den Zertifikatserweiterungen vermerkt werden - und beim Prüfen eines Zertifikats sollte sinnvollerweise diese Eigenschaft in der entstehenden Zertifikatskette auch überprüft werden.
Trust-Hierarchie

Trust-Hierarchie



Zertifizierungsstellen und insbesondere die Stammzertifizierungsstelle nehmen eine exponierte Stellung ein und sind entsprechend zu schützen. Wird eine Stelle kompromittiert stellt dies die gesamte Sicherheit der zugehörigen Hierarchie in Frage.

Verwender einer PKI müssen Stammzertifikaten einmal explizit das Vertrauen aussprechen, bei Installation eines selbstsignierten Stammzertifikates sollte deshalb der Fingerprint des Zertifikats auf seine Richtigkeit überprüft werden. Bei Betriebssystemen wird eine Reihe von Stammzertifikaten gleich "mitgeliefert", und neuerdings sind diese auch über Online-Updates bzw. über den Windows-Kryptographiedienst zu beziehen. Diese Verteilung lässt sich auch mittels Active-Directory automatisieren.
PRAXIS
 

Gültigkeitsmodelle
Bei der Ausstellung eines Zertifikats muss die Gültigkeitsdauer festgelegt werden - vor allem bei der Verifikation einer Signatur muss neben der mathematischen Prüfung festgelegt werden, welche Gültigkeitsbedingungen erfüllt werden müssen. Es existieren zwei grundlegende Modelle, das Schalenmodell (shell) und das Kettenmodell (chain). Bei der Prüfung einer Signatur muss neben dem Signierzeitpunkt auch das Gültigkeitsmodell der PKI berücksichtigt werden.

Schalenmodell

Bei der Ausstellung eines Zertifikates ist darauf zu achten, dass der Gültigkeitszeitraum des ausgestellten Zertifikats den Gültigkeitszeitraum des ausstellenden Zertifikats nicht übertrifft. Die Zeiträume legen sich wie Schalen um ein Endzertifikat. Die Kompromittierung eines CA-Zertifikats führt zum sofortigen Widerruf aller untergeordneten Zertifikate und z.B. von diesen ausgestellten Signaturen.

Vorteil: einfachere Verifikation, und weit verbreitet bzw. implementiert
Nachteil: sehr lange Gültigkeitsperioden von Stamm- und CA-Zertifikaten notwendig
Schalenmodell der Zertifikatsgültigkeit

Schalenmodell der Zertifikatsgültigkeit Die Gültigkeitszeiträume legen sich wie Schalen über die Endzertifikate.


Kettenmodell

Bei der Ausstellung eines Zertifikats darf das ausgestellte Zertifikat eine Gültigkeitsdauer besitzen, die über die Gültigkeitsdauer des ausstellenden Zertifikates hinausgeht. Die Zeiträume kann man sich aneinandergekettet vorstellen. Dem Erstellungszeitpunkt aller Signaturen im Pfad fällt aber besondere Bedeutung zu - er sollte gesichert sein, am besten mit einem Timestamp einer Timestamp-CA. Widerrufsinformationen sollten auch nach Ende der Lebensdauer eines Zertifikates abrufbar sein, um bei einer Signaturprüfung den Erstellungszeitpunkt mit einem Widerrufszeitpunkt vergleichen zu können.

Vorteil: kürzere Gültigkeitsperioden von Stamm- und CA-Zertifikaten
Nachteil: Prüfung auf Gültigkeit ist komplexer, kaum Implementationen



Kettenmodell der Zertifikatsgültigkeit

Kettenmodell der Zertifikatsgültigkeit Die Gültigkeitszeiträume bilden Ketten - ein untergeordnetes Zertifikat darf ein übergeordnetes Zertifikat "überdauern"



Zertifizierungshierarchie


Zertifizierungsrichtlinien


Zertifikatsprüfung


Veröffentlichung von Widerrufsinformation


Zurück zur vorherigen Seite!Zum Seitenanfang!Zur Startseite
  Vertrauensmodelle  
  Zertifizierungshierarchie  
  Zertifizierungsrichtlinien  
  CA - Zertifikatkompromittierung  
  Time Stamping Authority  
  PKI vs. PMI  
  PKI Planung und Betrieb  
  PKI Deployment  
  PKI Betrieb  
 
  Zertifikatsprüfung  
  PKI Planung und Betrieb  
  X.509 Zertifikatserweiterungen  
  Veröffentlichung von Widerrufsinformation  
  Zertifizierungsdiensteanbieter  
  Signaturgesetzgebung  
  MS-Enterprise-CA  
 
Demo Area Download Bereich Forum E-Mail an die Redaktion Cryptoshop Newsletter Sicherheit auf Cryptoshop.com
Impressum AGB Verbraucherhinweise Datenschutz Newsletter Copyright © 2011 CRYPTAS. Alle Rechte vorbehalten Jobs & Karriere