Aufbau einer PKI - Prof. Dr. Harald Baier Prof. Dr. Stefan Edelkamp

4.3 Aufbau einer PKI

ZentralesZiele einer PKI Ziel einer PKI ist es, asymmetrische kryptographische Verfahren in großen offenen Netzen wie z.B. dem Internet effektiv nutzen zu k¨onnen. Eine PKI leistet daher folgendes:

• Zuordnung eines ¨offentlichen Schl¨ussels zum Schl¨usselinhaber.

• Festlegung der Schl¨usselnutzung (Verschl¨usselung, Authentisierung, Signatur).

• Etablierung einer gemeinsamen Sicherheitsinfrastruktur: dabei garantiert die zentrale In-stanz zum Beispiel, wie sicher kryptographische Schl¨ussel gelagert, erzeugt oder vernichtet werden (private Schl¨ussel sind auf einer Smartcard sicherer gespeichert als in einer Soft-waredatei auf dem PC). Ein weiterer m¨oglicher Aspekt ist die Aussage ¨uber die St¨arke der Bindung zwischen Schl¨ussel und Schl¨usselinhaber (z.B. wie wird die Identit¨at des Schl¨usselinhabers gepr¨uft). Muss der Schl¨usselinhaber etwa pers¨onlich bei der zentralen Instanz erscheinen und sich mit einem amtlichen Lichtbildausweis (z.B. Personalausweis, Reisepass) ausweisen, ist die Bindung viel st¨arker als wenn nur eine E-Mail-Adresse gepr¨uft wird.

DieZertifikat Bindung des Schl¨usselinhabers an dessen ¨offentlichen Schl¨ussel wird mittels einer speziellen, signierten Datenstruktur erreicht, dieZertifikatheißt. Der Inhaber eines Zertifikats wird auch als Certificate Holder (CH) bezeichnet. Im Zertifikat selber wird der Inhaber des zertifizierten

¨offentlichen Schl¨ussels als Subject bezeichnet. Jeder Certificate Holder erh¨alt also ein Zertifikat Certi f¨ur seinen jeweiligen ¨offentlichen Schl¨ussel pki. Den zugeh¨origen geheimen Schl¨ussel ski

h¨alt er geheim. Der geheime Schl¨ussel kann sowohl vom Zertifikatsinhaber selber erzeugt werden, dann hat er die volle Kontrolle ¨uber ski. Oder der private Schl¨ussel wird von einer Instanz der PKI erzeugt und zum Beispiel auf einer Smartcard ausgeliefert. Dann muss der Zertifikatsinhaber darauf vertrauen, dass es keine Kopien des privaten Schl¨ussels gibt.

ZertifikateCertificate Authority, CA werden von einer vertrauensw¨urdigen Instanz innerhalb der PKI ausgestellt. Diese Instanz heißtZertifizierungsstelle(Certification Authority, CA). Die CA besitzt ein Schl¨usselpaar (pkCA, skCA). Das digitale Zertifikat Certi des Endnutzers (Certificate Holder) wird mit dem privaten Schl¨usselskCAder Zertifizierungsstelle signiert. Damit k¨onnen die Informationen im ZertifikatCertinicht mehr ver¨andert werden. Mittels des ¨offentlichen Schl¨ussels pk_CA kann ein Nutzer, der den ¨offentlichen Schl¨ussel von Nutzer i verwenden will, die Signatur unterCert_ipr¨ufen. Ist diese g¨ultig, ist der ¨offentliche Schl¨usselpk_itats¨achlich Nutzerizugeordnet.

AufgrundRegistration Authority, RA der Gr¨oße der PKI und der hiermit zusammenh¨angenden Anzahl an Zertifizierungsantr¨agen sind Zertifizierungsstellen oftmals nicht in der Lage, Antr¨age selbst entgegenzunehmen, die Daten zu validieren und das Zertifikat dem Antragssteller zu

¨ubersenden. In diesem Fall ¨ubernimmt die Registrierungsstelle (Registration Authority, RA) ei-ne vermittelnde Rolle zwischen dem Antragssteller und der Zertifizierungsstelle ein. Weiterhin ist es in der IT-Sicherheit verbreitet, Rollen zu trennen (Segregation of Functions). Daher ist die Trennung der Rollen CA und RA auch aus Sicherheitssicht w¨unschenswert. Im Einzelnen sind die Aufgaben der Registration Authority:

• Legt Sicherheitsrichtlinien fest, z.B. wie die Identit¨at von Zertifikatsinhabern gepr¨uft wird.

• Legt Inhalte der Zertifikate fest.

• Pr¨uft Zertifizierungsantr¨age (certificate requests).

• Leitet nach erfolgreicher Pr¨ufung der Daten des Antragsstellers die Zertifikatsantr¨age an die zust¨andige Certification Authority weiter.

• Erh¨alt nach Ausstellung das Zertifikat von der CA und ¨ubersendet es an den Antragsteller.

Abbildung 4.2Prozess der Zertifikatsausstellung zeigt den Prozess der Zertifikatsausstellung.

Nutzeri, nennen wir ihn Bob, stellt einen entsprechenden Antrag (certificate request) bei der Regis-trierungsstelle. Zur Erzeugung seines Schl¨usselpaares (pki, ski) stehen Bob zwei M¨oglichkeiten zur

Abbildung 4.2: Antrag und Ausstellung eines digitalen Zertifikats.

Verf¨ugung: er kann das Schl¨usselpaar selbst generieren und den ¨offentlichen Schl¨usselpki zusam-men mit dem Antrag an die Registrierungsstelle senden oder die Generierung des Schl¨usselpaares wird im weiteren Verlauf von der Zertifizierungsstelle ¨ubernommen. Die Registrierungsstelle vali-diert Bobs Identit¨at sowie Bobs Antragsdaten und leitet den Zertifikatsantrag an die entsprechen-de Zertifizierungsstelle weiter. Diese erstellt und signiert das Zertifikat Cert_i mit ihrem privaten Schl¨ussel sk_CA. Das digitale Zertifikat Cert_i geht anschließend ¨uber die RA an den Antrags-steller zur¨uck. Weiterhin wird das Zertifikat Cert_i in einem allgemein zug¨anglichen Verzeichnis ver¨offentlicht.

Certification Authority (CA)

(pkCA, skCA)

. ↓ &

Nutzer 1 (pk1, sk1), Cert1, pkCA

· · · Nutzer n (pkn, skn), Certn, pkCA

Abbildung 4.3: Schematischer Aufbau einer einfachen PKI

EinVertrauensanker einfacher schematischer Aufbau einer PKI ist in Abbildung 4.3 dargestellt.

Die Echtheit der Nutzerschl¨usselpk_iwird zur¨uckgef¨uhrt auf die Echtheit eines einzigen Schl¨ussels, n¨amlich des ¨offentlichen Schl¨usselspk_CA der CA. Dieser heißt daherVertrauensanker. Besitzt ein Nutzer den authentischen Schl¨ussel pk_CA, so kann er alle von der CA ausgestellten Zertifikate pr¨ufen und so die Authentizit¨at des jeweiligen ¨offentlichen Schl¨usselpk_i des Nutzersiverifizieren.

Bitte beachten Sie, dass jeder – auch Nichtinhaber von Zertifikaten – den Schl¨usselpk_CA nutzen kann. Der ¨offentliche Schl¨usselpkCAmuss z.B. ¨uber Direct Trust auf seine Echtheit gepr¨uft werden.

Aber wenn ein Nutzer diesem vertraut, kann er mit dem einen Schl¨usselpkCA alle n¨offentlichen Schl¨usselpki auf ihre jeweilige Echtheit pr¨ufen. Daher skaliert eine PKI gut.

TypischerweiseZertifikatskette gibt es aber mehrere Stufen in der Zertifikatshierarchie. Das f¨uhrt uns zu dem Begriff der Zertifikatskette. Ein Beispiel einer dreistufigen Zertifikatshierarchie ist in Abbildung 4.4 dargestellt. Ausgangspunkt ist der VertrauensankerpkRCA der obersten CA.

Weil diese an der Wurzel der Vertrauenskette steht, heißt sie auchWurzelinstanz (Root CA, ab-gek¨urzt als RCA). Organisatorisch ist es oft sinnvoll, die Erstellung von Zertifikaten zu delegieren, gerade wenn in einer PKI mehrere Tausend oder Millionen Zertifikate zu erstellen und zu

ver-4.3. AUFBAU EINER PKI 77 Wurzelinstanz

Registration-authority (RA)

Certification-authority (CA) (pkRCA, skRCA)

. ↓ &

Teilinstanz 1 Teil-RA 1 Teil-CA 1

(pk_{T CA}₁, sk_{T CA}₁)

· · ·

Teilinstanzr Teil RAr Teil-CAr

(pk_{T CA}_r, sk_{T CA}_r)

. & . &

Nutzer 1

(pk1, sk1) · · · Nutzers

(pks, sks) · · · Nutzer t

(pkt, skt) · · · Nutzern (pkn, skn) Abbildung 4.4: Schematische Darstellung einer 3-stufigen Public Key Infrastruktur

walten sind. Die Wurzelinstanz delegiert daher oft die Erstellung der Nutzerzertifikate an eine Teilinstanz, die f¨ur einen bestimmten organisatorischen Bereich der PKI verantwortlich ist. Da-zu erh¨alt jede CA einer Teilinstanz ein eigenes CA-ZertifikatCertT CA. Jedes CA-Zertifikat einer TeilinstanzCertT CAwird signiert mit dem privaten Schl¨ussel der Wurzelinstanz, also mitskRCA. Die CA der Teilinstanz erstellt dann die eigentlichen Nutzerzertifikate Cert_i. Ein Nutzer, der den authentischen ¨offentlichen Schl¨usselpk_RCA der Root CA besitzt, kann zun¨achst die Echtheit des ZertifikatsCert_{T CA}und damit das eigentliche ZertifikatCert_i pr¨ufen. Mit einem ¨offentlichen Schl¨ussel k¨onnen so prinzipiell Millionen von nachgeordneten Zertifikaten gepr¨uft werden. In Bei-spiel 21 betrachten wir eine vierstufige Zertifikatskette.

Beispiel 21 (Zertifikatskette). Wir betrachten die Zertifikatskette f¨ur den Nutzer Harald Bai-er. Die Zertifikatskette ist im Feld Certificate Hierarchydargestellt. Am Ende der Zertifikatsket-te sZertifikatsket-teht das Nutzerzertifikat. Das Nutzerzertifikat ist ausgesZertifikatsket-tellt von der Teilinstanz Hochschule Darmstadt. Diese stellt Zertifikate f¨ur Hochschulmitglieder aus. Die CA der Hochschule Darmstadt besitzt ein Zertifikat, das von der CA des Deutschen Forschungsnetzes (DFN) ausgestellt wurde.

Der DFN Verein ist der Internet Service Provider deutscher wissenschaftlicher Einrichtungen. Die DFN CA stellt Zertifikate f¨ur deutsche Hochschulen aus. Die Wurzelinstanz der Zertifikatskette wird von der Deutschen Telekom betrieben. Diese hat z.B. das DFN CA Zertifikat erstellt.

InSelbst-signiertes Zertifikat einer Zertifikatskette h¨angt das Vertrauen in die Echtheit aller Schl¨ussel bzw. Zertifikate der PKI an dem Vertrauen in die Echtheit des ¨offentlichen Schl¨ussels pkRCA. Zwar gibt es oft f¨ur diesen Schl¨ussel ein Zertifikat, allerdings gibt es keine ¨ubergeordnete CA, die das ZertifikatCertRCA signieren k¨onnte. Daher signiert die Root CA ihr Zertifikat und damit ihren Public KeypkRCA mit dem eigenen geheimen Schl¨usselskRCA. Ein solches Zertifikat heißt selbst-signiertes Zertifikat. Hierbei handelt es sich also lediglich um eine Selbstauskunft.

Daher muss die Echtheit von pkRCA auf eine andere Weise garantiert werden. In der ’Internet-PKI’, also der von Browsern genutzten PKI, werden die ¨offentlichen Schl¨ussel pkRCA mit dem Browser ausgeliefert. Der Nutzer des Browsers vertraut daher implizit allen ¨offentlichen Schl¨usseln pkRCA, f¨ur die sich die Entwickler des Browsers entschieden haben. Dieser Tatsache muss man sich als Endanwender bewusst sein, denn die per default mitgelieferten vertrauensw¨urdigen Root CAs sind nicht mehr ¨uberschaubar.

Es kannRevokation vorkommen, dass ein Zertifikat zur¨uckgezogen werden muss, also f¨ur ung¨ultig erkl¨art wird. Das Zur¨uckziehen eines Zertifikats heißt auch Revokation. Die Revokati-on eines Zertifikats kann zum Beispiel aus folgenden Gr¨unden notwendig sein:

• Bei Sicherheitsvorf¨allen (z.B. Kompromittierung eines privaten Schl¨ussels sk_i oder sk_CA, kryptographische Algorithmen werden unsicher).

• Eine Instanz h¨alt sich nicht an Sicherheitsvorgaben.

• Ein Mitarbeiter eines Unternehmens scheidet aus diesem Unternehmen aus.

Zur Verbreitung der Information ¨uber den G¨ultigkeitsstatus von Zertifikaten kann in einer PKI eine Liste zur¨uckgezogener Zertifikate (Certificate Revocation List, CRL) herausgegeben werden.

Die CRL wird seitens der CA signiert, sie wird in bestimmten Abst¨anden oder auch bei Bedarf herausgegeben. Alternativ fragt der Nutzer vor Pr¨ufung der Signatur eines Zertifikats bei der CA

4.4. ZERTIFIKATE 79

Im Dokument Prof. Dr. Harald Baier Prof. Dr. Stefan Edelkamp (Seite 75-79)