Full paper (pdf) - CDC
Full paper (pdf) - CDC
Full paper (pdf) - CDC
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Verzeichnis als auch der Escrow-Schlüssel, mit dem die PKCS7-Dateien verschlüsselt<br />
werden, sind frei wählbar.<br />
FileKeyEscrow escrow = new FileKeyEscrow((File)escrowDir);<br />
escrow.setEscrowCert((X509Certificate)cert);<br />
escrow.escrow((Key)key, (X509Certificate)userCert);<br />
Normalerweise speichert der FileKeyEscrow keine Schlüssel, die zur Ausstellung<br />
digitaler Signaturen geeignet sind (dies ist anhand des Zertifikats ersichtlich).<br />
Statt dessen erzeugt er eine Ausnahme. Sollen dennoch Signaturschlüssel<br />
verwahrt werden, kann dieses Verhalten explizit unterdrückt werden.<br />
privaten Schlüssel aus dem Dateisystem wiederherstellen Die Wiederherstellung<br />
der privaten Schlüssel aus den PKCS7-Dateien geschieht ebenfalls<br />
durch die Klasse FileKeyEscrow. Benötigt werden hierzu das Zertifikat des gesuchten<br />
Schlüssels (um die Datei zu finden) und der Recovery-Schlüssel (um<br />
die Datei zu entschlüsseln). Der Recovery-Schlüssel muß sich dabei in einem<br />
KeyStore befinden, der dem FileKeyEscrow übergeben wird. Das zugehörige<br />
Paßwort wird der Methode recover() mitgegeben.<br />
escrow.setRecoveryKeys((KeyStore)ks);<br />
Key a = escrow.recover((X509Certificate)userCert, password);<br />
Kann die PKCS7-Datei zwar gefunden, aber nicht entschlüsselt werden (weil<br />
beispielsweise der Recovery-Schlüssel nicht im KeyStore vorhanden ist), so wirft<br />
die Methode eine UndecryptableKeyException. In dieser ist die unentschlüsselte<br />
PKCS7-Datei enthalten, die folglich weitergereicht werden kann. Auf diese<br />
Weise kann man zum Beispiel eine verteilte Entschlüsselung realisieren.<br />
5.4 Applikationen<br />
Die Programme werden mittels einer Batch-Datei (für Windows) oder einem<br />
Shell-Skript (für andere Plattformen) gestartet, wobei einige Parameter angegeben<br />
werden können.<br />
5.4.1 Das Secret-Sharing-Kommandozeilen-Tool<br />
Der FileSharer dient zum Zerteilen von beliebigen Dateien in n Anteile (die<br />
ebenfalls wieder in Dateien gespeichert werden) von denen t benötigt werden,<br />
um die Datei zurückzugewinnen. Dazu wird das XOR- oder das Shamir-<br />
Verfahren eingesetzt (Abschnitt 2.1 beziehungsweise Abschnitt 2.2.1). Die erzeugten<br />
Dateien können optional mit einem Paßwort versehen werden, um ihre<br />
Integrität zu schützen.<br />
Datei aufteilen Durch Eingabe von<br />
FileSharer --share <br />
[-p ] [-t ] [-n ] [--delete]<br />
71