Inhaltsverzeichnis ...
Was ist eine PKI
Bei einer PKI handelt es sich um eine streng geregelte hierachische Struktur zur Verwaltung von Zertifikaten und Schlüsseln. Die PKI ist die Basis der Vertrauensstellung zwischen Zertifikaten, Herausgeber und Inhaber.
Die technische Basis einer PKI sind asymmetrische Verschlüsselungsverfahren. Schlüsselpaare, bestehend aus einem privaten und einem öffentlichen Anteil werden beim Verbindungsaufbau (Beispiel Onlinebanking) zum Austauch von sogenannten „Sessionkeys“ verwendet. Die öffentlichen Schlüssel-Anteile werden nun also vorab in Zertifikatsanfragen gepackt, und einem Trustcenter (PKI) zur Unterschrift vorgelegt. Um also die Zugehörigkeit eines öffentlichen Schlüssels zu einer Person oder Maschine eindeutig zu Beschreiben, signiert ein Tructcenter innerhalb einer PKI diese Zertifikatsanfragen.
PKI Zertifikatsrichtline nach RFC3647
Eine PKI Richtlinie (Policy) erfüllt folgende Aufgaben:
- Sie regelt verbindlich die Generierung, Herausgabe und Verwendung von Zertfiikaten (elektronische IDs) für den elektronischen Schriftverkehr und Datenübertragung
- Sie dient als Musterdokument zur externen Veröffentlichung der „Certificate Policy“ sowie eines „Certification Practice Statements“ über einen öffentlichen Webserver.
Abkürzungsverzeichnis
Zum besseren Verständnis dieses Dokumentes werden hier die am häufigsten benutzen Abkürzungen beschrieben.
PKI | Public Key Infrastructure |
PKIT | PKI Tool, Software for Certificate Management |
CA | Certification Authority |
CP | Certificate Policy |
PDS | PKI Disclosure Statement |
RA | Registration Authority |
RFC | Request for Comment |
Zertifikatsrichtlinie CP
Eine CP ist eine verbindliche Beschreibung von Anforderungen der PKI. Sie ist konform zu gesetzlichen Regelungen zu halten.
Eine CP soll in in Teilen veröffentlicht werden, um das Sicherheitsniveau der PKI klar zu beschreiben. Dies trägt im Wesentlichen zum Vertrauen der beteiligten Parteien bei.
Certification Practice Statement CPS
Eine CPS ist die Beschreibung der Umsetzung einer PKI und wird nicht veröffentlicht. Die CPS ist damit auch die Grundlage eines internen Audits nach rechtlichen und technischen Standards.
PKI Disclosure Statement PDS
Das PDS als kleines Dokument, mit Anteilen aus dem CP oder CPS, bestehend aus Minimalaussagen, kann den Unternehmensverträgen zugefügt werden.
Damit wird vertraglich ein Mindest-Sicherheitsniveau definiert und wird von den Partnern als verbindlich bestätigt. Das Vertrauensniveau zwischen Kommunikationspartnern soll durch das CPS erhöht werden.
A PDS is a supplementary document that provides a concise, clear and conspicuous framework to disclose and emphasize critical information about the policies an practices of a CA or a PKI that is normally adressed in much greater detail by an associated CP or CPS
RFC3647