Cryptoshop Help! Cryptoshop Contact! Cryptoshop Memo! Cryptoshop Shopping Cart! Place your order! Change to german site!
+ Products
· · · · · · · · · · · · · · · · · · · · · · ·
+ Solution
· · · · · · · · · · · · · · · · · · · · · · ·
+ Knowledge Base
  Security Targets  
  Security Governance  
  Cryptography  
  Technology  
  Smart Card applications  
  Authentication  
  PKI  
  Certificates  
  Digital Signature  
  Signature Law  
  PKI-Planning  
  How to  
· · · · · · · · · · · · · · · · · · · · · · ·
+ Service
· · · · · · · · · · · · · · · · · · · · · · ·
     
Management
· · · · · · · · · · · · · · · · · · · · · · ·
Security Officer
· · · · · · · · · · · · · · · · · · · · · · ·
System Engineer
· · · · · · · · · · · · · · · · · · · · · · ·
Purchasing
· · · · · · · · · · · · · · · · · · · · · · ·
Maintenance
· · · · · · · · · · · · · · · · · · · · · · ·
 
 

Certificate management  |  Publishing of revocation information

Please note, that the Knowledge Base isn't translated to english completely at the moment. You will still find some german texts - we are translating permanently the outstanding parts! Thank you for understanding!

Certificate verification
 
INFO & KNOWLEGDE
 
Die Prüfung eines Zertifikates besteht aus der "Signaturprüfung" und der Gültigkeitsprüfung. Ein Zertifikat beinhaltet ja auch eine Signatur über die Daten des Zertifikats, die bei der Ausstellung von der Zertifizierungsstelle erstellt wurde. Deshalb ist der erste Teil eine Prüfung eine Signaturprüfung mit der Integrität und Authentizität geprüft festgestellt werden kann.

Das Zertifikat muss danach mit dem Widerrufsdienst des Zertifizierungsdiensteanbieters auf seine Gültigkeit geprüft werden. Es sind auch die Zertifikatserweiterungen zu prüfen, vor allem die Critical Extensions müssen von der prüfenden Applikation erkannt und richtig darauf reagiert werden. Meist sind nur die Schlüsselverwendung und Anzeige der Qualifizierungseigenschaft als kritisch markiert, dies geschieht aus Kompatibilitätsgründen und besagt nicht, dass andere Extensions unwichtig sind. Beispielsweise ist sind die Basic Constraints nicht unbedingt als unwichtig zu bezeichnen - sie zeigen an, ob dieses Zertifikat ein Endzertifikat oder ein CA-Zertifikat ist. Damit kann erkannt werden, ob nicht ein Endzertifikat als CA-Zertifikat "missbraucht" wurde.
Danach muss der Zertifizierungspfad bis zu einem Stammzertifikat erstellt werden und mit jedem Zertifikat in diesem Pfad dieselbe Prüfung durchgeführt werden. Die Validierung des Zertifizierungspfads besteht also aus einer weiteren Kaskade von Signaturprüfungen und Gültigkeitsprüfungen.

Berücksichtigung der Gültigkeitsmodelle
Bei der Prüfung eines Zertifizierungspfades muss das zugrunde liegende Gültigkeitsmodell der Hierarchie berücksichtigt werden. Problem ist, dass die prüfende Anwendung das Modell kennen muss, es aber keine Zertifikatserweiterung gibt, die diese Eigenschaft anzeigt. Lediglich anhand der Certificate Policy könnte dies implizit erkannt werden. Zudem müsste bei einem Kettenmodell die Widerrufsinformation von CA-Zertifikaten nach deren Ablauf im Widerrufsdienst vorhanden sein und der Grund eines etwaigen Widerrufs berücksichtigt werden

Schalenmodell: Zur Gültigkeitsprüfung wird der Zeitpunkt der Prüfung herangezogen, die Signatur ist gültig, wenn der Zertifizierungspfad, d.h. jedes Zertifikat im Pfad, zu diesem Zeitpunkt gültig ist. Langzeitsignaturen sind damit problematisch.

Kettenmodell: Zur Gültigkeitsprüfung wird der Erstellungszeitpunkt der Signatur herangezogen. Langzeitsignaturen sind damit leichter möglich.

Die meisten Anwendungen im Internet prüfen nach dem Schalenmodell, man ist mit Nutzung dieses Modells im Moment beim Interoperabilitätsaspekt auf der sichereren Seite und kauft sich das Problem der langen Laufzeiten von CA-Zertifikaten ein. Im Bereich qualifizierter Signaturen wird mehr auf das Kettenmodell gesetzt, die Anwendungen die mit diesen Zertifikaten arbeiten wollen müssen sowieso auch die "kritische" Erweiterung, welche die Qualifizierungseigenschaft anzeigt, erkennen und müssen richtig darauf reagieren - also auch das richtige Gültigkeitsmodell verwenden.
OPINION
 

Sonderfälle
Was geschieht mit einer Signatur, wenn der Verifikationszeitpunkt nach dem Gültigkeitszeitraum des Zertifikates liegt? Im Kettenmodell ist dies kein Problem, allerdings sollten Widerrufsinformationen verfügbar sein.
Wie kann man sicherstellen, dass der Zeitpunkt der Signatur authentisch ist - Die Systemuhr des PCs bietet hier keine Sicherheit? Zeitstempel-Dienste sind für Langzeitsignaturen die beste Wahl.
Wie kann man eine Signatur überprüfen, wenn der zuständige Verzeichnisdienst gerade nicht verfügbar ist? Für solche Fälle sollten vorher Vorgehensweisen definiert werden, gesetzliche Regelungen können helfen.
Wie kann ich die Sicherheit einer Signatur erhalten wenn der Signieralgorithmus oder die Schlüssellänge einer Signatur als nicht mehr ausreichend betrachtet werden? Um den Sicherheitswert zu erhalten sollte eine Nachsignierung angebracht werden. Dabei sollte derjenige, der den Sicherheitswert erhalten will, eine weitere Signatur über Dokument und alte Signatur erstellen. Das muss nicht der Ersteller der alten Signatur sein.



Certification hierarchy


X.509


X.509 CRL


Asymmetric


Hash


PKI-Standards PKIX


Back to previous page!Top of page!To the startpage of Cryptoshop.com!
  Certification hierarchy  
  X.509  
  X.509 CRL  
  Asymmetric  
  Hash  
  PKI-Standards PKIX  
 
  certificate formats  
  Certificate management  
  Publishing of revocation information  
  Signature Law  
  Trust models  
  Certification guidelines  
  MS-Enterprise-CA  
 
Legal notice Terms and Condtitions Consumer notice Privacy Newsletter Copyright © 2004 CRYPTAS. All rights reserved