Zentrum für Datenverarbeitung (ZDV)

Certification Authorities an der Eberhard Karls Universität Tübingen

Motivation zur Einrichtung dieser Certification Authority (CA) bzw. Zertifizierungsinstanz ist die wichtige Forderung, vertrauliche Kommunikation bzw. vertraulichen Datenaustausch in vernetzten Systemen (z.B. Intranet/Internet) zu ermöglichen. Immer wichtiger wird auch die Signatur von Programmcode bzw. Anwendungssystemen um Authentität und Qualität sicherzustellen.

TCS (Trusted Certificate Service) ist ein PKI-Angebot, das der DFN-Verein (DFN-PCA) über GÉANT bezieht. GÉANT realisiert den Dienst mit Hilfe von externen Anbietern, die über regelmäßige Ausschreibungen gefunden werden. Der aktuelle Anbieter ist Sectigo.
Der DFN-Verein führt das Angebot zur Zeit für alle Teilnehmer der DFN-PKI ein. TCS wird die bisherige DFN-PKI „Global-CA“ bis 1.01.2024 vollständig ablösen.

Die Universität Tübingen betreibt ausserdem lokale CAs zur Unterstützung administrativer Aufgaben (SRV-UNITUE-CA, TK-UNITUE-CA).

Die asymmetrische Verschlüsselung beseitigt einen wesentlichen Schwachpunkt der symmetrischen Verschlüsselung. Die Notwendigkeit, den geheimen Schlüssel allen Kommunikationspartnern zugänglich zu machen, besteht nicht mehr. Der Schlüsselaustausch erfolgt systemintern mittels Verwendung des asymetrischen Schlüsselpaares und bedarf keiner Nutzeraktion.
Ein Problem bleibt jedoch die Glaubwürdigkeit der Person oder Institution, die sich hinter dem Schlüsselpaar verbirgt. Es muss sichergestellt sein, dass der Schlüsselinhaber korrekte Angaben über seine Identität macht, auch wenn kein persönlicher Kontakt möglich ist. D.h. die Angaben eines Schlüsselinhabers über seine Identität bzw. Absichten müssen vertrauenswürdig sein.
Um die Vertrauenswürdigkeit eines Schlüsselinhabers zu verifizieren, werden CAs eingerichtet. Die CA bestätigt als unabhängige, vertrauenswürdige Instanz (Modell der 'Third Trusted Party') die Richtigkeit der Angaben eines Schlüsselinhabers zu seiner Person bzw. zu der hinter dem Schlüssel stehenden Institution. Ihre eigene Vertrauenswürdigkeit stellt die CA im wesentlichen durch drei Maßnahmen sicher.

  1. Die CA verpflichtet sich zur Einhaltung von Zertifizierungsrichtlinien (Policy). Diese Richtlinien legen den Vorgang einer Zertifizierung und Gültigkeitszeiträume der Zertifikate fest, informieren über die Sicherheitsmaßnahmen der CA und legen Bedingungen zur Teilnahme fest. Die CA muss durch geeignete Maßnahmen die Identität der Zertifikatnehmer verifizieren. Je nach Sicherheits-Level erfordet dies ein persönliches Erscheinen des Zertifikat-Antragstellers bei der Registration Authority (RA) der CA.
  2. Die CA befindet sich in einer Hierarchie von CAs. Sie lässt sich von der Wurzelinstanz der Hierarchie zertifizieren. Somit wird auch ihre Identität von Dritten bestätigt.
  3. Die CA ist über alle gängigen Kommunikationskanäle und über eigene Informationsseiten im Internet erreichbar. Auf den Informationsseiten werden Kontaktadresse, Policies, Public Keys, Widerrufslisten und allg. Informationen für den Teilnehmer zugänglich gemacht.