Auftrag der CA

Die Global-UNITUE-CA ist Bestandteil einer Public Key Infrastructure (PKI) deren Wurzelinstanz die Policy Certification Authority des Vereins zur Förderung eines Deutschen Forschungsnetzes e.V. (DFN-PCA) ist. Die Local-UNITUE-CA ist Bestandteil der PKI der Universität Tübingen. Motivation zur Einrichtung dieser Certification Authority (CA) bzw. Zertifizierungsinstanz ist die wichtige Forderung, vertrauliche Kommunikation bzw. vertraulichen Datenaustausch in vernetzten Systemen (z.B. Intranet/Internet) zu ermöglichen. Immer wichtiger wird auch die Signatur von Programmcode bzw. Anwendungssystemen um Authentität und Qualität sicherzustellen.

 

Durch die asymmetrische Verschlüsselung ist ein wesentlicher Schwachpunkt der symmetrischen Verschlüsselung, die Notwendigkeit den geheimen Schlüssel allen Kommunikationspartnern zugänglich zu machen, beseitigt. Der Schlüsselaustausch erfolgt systemintern und bedraf keiner Nutzeraktion.
Weiterhin ein Problem bleibt jedoch die Glaubwürdigkeit der Person oder Institution die sich hinter dem Schlüsselpaar verbirgt. Der Absender muss sicher sein, dass der Empfänger korrekte Angaben über seine Identität macht auch wenn kein persönlicher Kontakt möglich ist. D.h. die Angaben eines Schlüsselinhabers über seine Identität bzw. Absichten müssen vertrauenswürdig sein.

 

Um die Vertrauenswürdigkeit eines Schlüsselinhabers zu verifizieren, werden Zertifizierungsinstanzen (CA) eingerichtet. Die CA bestätigt als unabhängige, vertrauenswürdige Instanz (Modell der 'Third Trusted Party') die Richtigkeit der Angaben eines Schlüsselinhabers zu seiner Person bzw. zu der hinter dem Schlüssel stehenden Institution. Ihre eigene Vertrauenswürdigkeit stellt die CA im wesentlichen durch vier Maßnahmen sicher.

 

 

    1.) Die CA verpflichtet sich zur Einhaltung von Zertifizierungsrichtlinien (Policy). Diese Richtlinien legen den Vorgang einer Zertifizierung und Gültigkeitszeiträume der Zertifikate fest, informieren über die Sicherheitsmaßnahmen der CA und legen Bedingungen zur Teilnahme fest. Die CA muss durch geeignete Maßnahmen die Identität der Zertifikatnehmer verifizieren. Je nach Sicherheits-Level erfordet dies ein persönliches Erscheinen des Zertifikat-Antragstellers bei der Registration Authority (RA) der CA.

 

 

    2.) Die CA befindet sich in einer Hierarchie von CA. Sie läßt sich von der Wurzelinstanz der Hierarchie zertifizieren. Somit wird auch ihre Identität von Dritten bestätigt.

 

 

    3.) Die CA ist über alle gängigen Kommunikationskanäle und über eigene Informationsseiten im Internet erreichbar. Auf den Informationsseiten werden Kontaktadresse, Policies, Public Keys, Widerrufslisten und allg. Informationen für den Teilnehmer zugänglich gemacht.

 

Servicebereich der UNITUE-CA