TELETRUST MailTrusT Spezifikation - Secorvo Security Consulting ...
TELETRUST MailTrusT Spezifikation - Secorvo Security Consulting ...
TELETRUST MailTrusT Spezifikation - Secorvo Security Consulting ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
4.2.5 Online-Dienste<br />
Die MailTrust-<strong>Spezifikation</strong> geht in der vorliegenden Version nicht von der Verfügbarkeit und<br />
Nutzung eines X.500-Verzeichnisses aus. Eine Integration von X.500-Diensten wird im Rahmen<br />
dieser <strong>Spezifikation</strong> nicht gefordert.<br />
Gemäß [RFC1422] und [RFC1424] werden für die Kommunikation zwischen Teilnehmern<br />
und ihren zugehörigen CAs und entsprechend zwischen CAs, PCAs und TLCA folgende<br />
zusätzlichen Austauschformate spezifiziert:<br />
• Zertifizierungsanfrage zur Zertifizierung eines durch den Teilnehmer generierten<br />
Schlüssels durch die zuständige CA<br />
• zugehörige Zertifizierungsantwort<br />
• Abruf einer Sperrliste<br />
• Übermittlung einer Sperrliste<br />
Im Rahmen dieser <strong>Spezifikation</strong> ist zur Zeit nicht definiert, wie Zertifikate automatisch von<br />
einer zentralen Stelle (Zertifizierungsstelle oder Verzeichnisdienst) angefordert werden<br />
können. Die Zertifikate selbst sind im Rahmen eines solchen Dienstes stets in einem der in<br />
Kapitel 3 spezifizierten Nachrichtenformate auszuliefern.<br />
Typischerweise werden Zertifikate jeweils in den PEM- bzw. MTT-Nachrichten mitgeliefert<br />
oder sind bei Bedarf als PEM- oder MTT-Nachricht von dem gewünschten Teilnehmer<br />
anzufordern.<br />
4.2.5.1 Zertifizierungsanfrage<br />
Eine Zertifizierungsanfrage ist eine „MIC-CLEAR“- oder „MIC-ONLY“- Nachricht, die als<br />
„Originator-Certificate“ ein vom Teilnehmer selbst unterschriebenes Zertifikat über seinen<br />
eigenen, zur Zertifizierung vorgelegten öffentlichen Schlüssel enthält („self-signed<br />
certificate“).<br />
Die Felder dieses selbst unterschriebenen Zertifikats sind wie folgt zu belegen:<br />
version 0 (X.509v1-Zertifikat)<br />
serialNumber beliebig, Vorschlag: 0<br />
signature Algorithmus, mit dem der Teilnehmer das selbst erzeugte<br />
Zertifikat signiert hat.<br />
issuer X.500-Distinguished-Name des Teilnehmers<br />
validity beliebig, Vorschlag: notBefore = notAfter = 1. Januar 1970, 12:00<br />
subject X.500-Distinguished-Name des Teilnehmers (wie „issuer“)<br />
subjectPublicKeyInfo zu zertifizierender öffentlicher Schlüssel des Teilnehmers<br />
Der in „signature“ angegebene Algorithmus muß asymmetrisch sein und eine Hashfunktion<br />
beinhalten, zu deren Berechnung kein kryptographischer Schlüssel erforderlich ist, damit<br />
das Zertifikat von Externen ohne weitere Informationen oder Schlüssel geprüft werden kann.<br />
4.2.5.2 Zertifizierungsantwort<br />
Die Zertifizierungsantwort entsteht aus der Zertifizierungsanfrage dadurch, daß das in der<br />
Anfrage noch vom Teilnehmer selbst unterschriebene Zertifikat durch das neue Zertifikat der<br />
CA ersetzt wird und gegebenenfalls weitere, zum Zertifizierungspfad des Teilnehmers<br />
gehörende „Issuer-Certificate“-Felder eingefügt werden. Nachrichteninhalt und Signatur der<br />
Nachricht bleiben unverändert.<br />
<strong>MailTrusT</strong>-<strong>Spezifikation</strong> Seite 36 von 52<br />
Mttspc11.doc Stand: 15. Dezember 1997