3ureohph - IT-Dienstleistungszentrum Berlin
3ureohph - IT-Dienstleistungszentrum Berlin
3ureohph - IT-Dienstleistungszentrum Berlin
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Aufbau einer Public<br />
Key Infrastructure für<br />
sichere E-Mail in der<br />
<strong>Berlin</strong>er Verwaltung<br />
Ziel des Aufbaues einer Public<br />
Key Infrastructure (PKI) im<br />
L<strong>IT</strong> ist es, die bestehenden<br />
sicherheitsrelevanten Dienste (z. Z. Verschlüsselung<br />
mit VPN und sicheren<br />
Web-Verkehr) um sichere E-Mail zu<br />
erweitern und in eine verwaltungskonforme<br />
Zertifizierungsinfrastruktur<br />
zu integrieren. Die PKI wird als zentrale<br />
<strong>IT</strong>-Infrastrukturdienstleistung eingesetzt,<br />
wodurch der L<strong>IT</strong> seinen Kunden<br />
eine hohe Kommunikationssicherheit<br />
bei <strong>IT</strong>-Anwendungen anbieten kann. Der<br />
Artikel informiert über die allgemeingültige<br />
Struktur einer PKI, nimmt Bezug<br />
auf die Angebote des L<strong>IT</strong> und deren<br />
PKI, stellt die Verwaltungs-PKI vor und<br />
gibt einen Ausblick auf weitere Planungen<br />
im L<strong>IT</strong>.<br />
Was ist eine PKI?<br />
Eine PKI ist eine Vertrauensinfrastruktur,<br />
bei der die Gültigkeit des<br />
öffentlichen Schlüssels eines<br />
Zertifikatnehmers mit den dazugehörenden<br />
Identifikationsmerkmalen (wie<br />
Schlüsselinhaber, beglaubigende Stelle,<br />
Gültigkeitszeitraum etc.) durch die elektronische<br />
Signatur der Zertifizierungsinstanz<br />
(CA) beglaubigt wird.<br />
Mit den Zertifikaten, die auf einer funktionsfähigen<br />
PKI nach dem Standard<br />
X.509v3 und der asymmetrischen Kryptografie<br />
mit dem RSA-Algorithmus zur<br />
Herstellung asymmetrischer Schlüsselpaare<br />
basieren, wird die elektronische<br />
Kommunikation vor unberechtigter Einsichtnahme<br />
durch Verschlüsselung (Vertraulichkeit)<br />
gesichert und die Authentizität<br />
des angegebenen Kommunikationspartners<br />
ist durch die elektronische Signatur<br />
gewährleistet. Eine PKI besteht<br />
aus verschiedenen Zertifizierungsinstanzen<br />
mit unterschiedlichen Aufgaben.<br />
2<br />
Die Policy Certification Authority (PCA) ist die höchste Zertifizierungsinstanz<br />
(Wurzelzertifizierungsstelle), die die technischen, organisatorischen und personellen<br />
Sicherheitsrichtlinien (Policy) für die Erzeugung und Verwaltung von Zertifikaten<br />
festlegt. Sie unterschreibt ein selbsterzeugtes Wurzelzertifikat und signiert damit<br />
ausschließlich die öffentlichen Schlüssel der in der PKI angeschlossenen Certification<br />
Authorities (CAs). Die Zertifikate der beteiligten CAs wie auch die Widerrufslisten<br />
(CRL) gesperrter Zertifikate werden veröffentlicht (z.B. auf einem Verzeichnisserver).<br />
Jede CA kann Registration Authorities (RAs) aber auch weitere untergeordnete CAs<br />
in die Zertifizierungshierarchie integrieren, wenn diese die Sicherheitsrichtlinien der<br />
PCA akzeptieren. Dadurch kann sich die Zertifizierungshierarchie in den untergeordneten<br />
Instanzen erweitern.<br />
Die RA nimmt den Antrag des Zertifikatnehmers entgegen, prüft dessen Identität<br />
und leitet den Antrag an die CA weiter. Die Aufgabe der CA besteht darin, nach<br />
vorheriger Prüfung des Zertifikatsantrages auf Einhaltung des Namenskonzeptes,<br />
indem jeder Zertifikatnehmer einen eindeutigen Namen in Form eines X.500<br />
Distinguished Name (DN) bekommt, ein asymmetrisches Schlüsselpaar (öffentlicher<br />
und geheimer Schlüssel) für den Zertifikatnehmer zu generieren. Danach wird<br />
die Gültigkeit des öffentlichen Schlüssels des Zertifikatnehmers von der CA beglaubigt<br />
und im Verzeichnisdienst veröffentlicht. Bei einem Software-Zertifikat wird der<br />
bestätigte öffentliche Schlüssel des Zertifikatnehmers zusammen mit seinem geheimen<br />
Schlüssel verschlüsselt in eine Datei gespeichert, die als PSE (Personal security<br />
environment = Persönliche Sicherheitsumgebung) bezeichnet wird. Die PSE und<br />
der erstellte PIN-Brief, der das Passwort für den Transportschlüssel der PSE enthält,<br />
wird an die RA gesandt. Beim Einsatz von Chip-Karten wird der geheime Schlüssel<br />
auf den Chip gespeichert.<br />
Nachdem die RA das PSE (Zertifikat und geheimer Schlüssel) und den PIN-Brief<br />
von der CA erhalten hat, übergibt sie dieses an den Zertifikatnehmer. è<br />
Abbildung 1<br />
2/01 2 4