{"id":159,"date":"2012-08-02T19:19:38","date_gmt":"2012-08-02T17:19:38","guid":{"rendered":"http:\/\/lkl-it.de\/blog\/?p=159"},"modified":"2012-08-04T13:05:31","modified_gmt":"2012-08-04T11:05:31","slug":"das-problem-der-schlusselverteilung-trustmodelle","status":"publish","type":"post","link":"http:\/\/lkl-it.de\/blog\/?p=159","title":{"rendered":"Das Problem der Schl\u00fcsselverteilung \/ Trustmodelle"},"content":{"rendered":"<p>Damit Verfahren, die auf einer Art der Public Key Kryptografie basieren, eine<br \/>\nzuverl\u00e4ssige Plattform bilden, muss es einen <span style=\"text-decoration: underline;\">\u00fcberpr\u00fcfenden Mechanismus f\u00fcr die<\/span><br \/>\n<span style=\"text-decoration: underline;\"> Verteilung der \u00f6ffentlichen Schl\u00fcssel geben.<\/span><br \/>\nEin Angreifer k\u00f6nnte sonst unter dem Namen einer anderen Person einen \u00f6ffentlichen Schl\u00fcssel verteilen, verschl\u00fcsselte Nachrichten anstelle dieser Person empfangen und sie mit dem entsprechenden privaten Schl\u00fcssel entschl\u00fcsseln.<br \/>\nMan braucht also ein Instrument, das einen Sicherheitsprinzipal fest mit einem<br \/>\n\u00f6ffentlichen Schl\u00fcssel verbindet &#8211; in der Regel ein Zertifikat &#8211; und eine Instanz, die<br \/>\ndiese Verbindung beglaubigt und damit einen Trust erzeugt.<\/p>\n<p><strong>Trust Modelle<\/strong><br \/>\nEs gibt verschiedene Ans\u00e4tze, die Verbindung einer Entit\u00e4t mit einem \u00f6ffentlichen<br \/>\nSchl\u00fcssel zu beglaubigen:<\/p>\n<ul>\n<li><strong>Direct Trust<\/strong>: ist das einfachste Vertrauensmodell \u2013 hierbei vertraut man nur denjenigen Verbindungen, die man selbst verifizieren kann (Sichtkontrolle, Telefongespr\u00e4ch etc.). Trotz der hohen Sicherheit dieses Modells ist der entscheidende Nachteil, dass das Verfahren sehr aufwendig und kaum skalierbar ist.<\/li>\n<\/ul>\n<ul>\n<li><strong> Web of Trust<\/strong>: Verfahren, das bei PGP und GnuGP Anwendung findet.<br \/>\nAnalog zum Direct Trust vertraut man den Verbindungen, die man selbst verifizieren kann.<br \/>\nWeiterhin vertraut man transitiv denjenigen, die wiederum von den eigenen Direct Trust Partnern mit weiteren Direct Trusts verifiziert wurden \u2013 es entsteht also eine Art Netzbeziehung\/Graph.<br \/>\nDie Public Keys eines jeden Web of Trust Teilnehmers werden dabei auf \u00f6ffentlichen Schl\u00fcsselservern ver\u00f6ffentlicht.<br \/>\nDamit jeder wei\u00df, wer wem vertraut, signiert jeder die \u00f6ffentlichen Schl\u00fcssel seiner Direct Trust Partner mit dem eigenen privaten Schl\u00fcssel und schickt die Signatur an den \u00f6ffentlichen Schl\u00fcsselserver. Dieser repr\u00e4sentiert dann &#8211; durch die Kombination der \u00f6ffentlichen Schl\u00fcssel mit der Anzahl der durchgef\u00fchrten Signaturen &#8211; die Vertrauensw\u00fcrdigkeit einer Entit\u00e4t\/\u00d6ffentlicher Schl\u00fcssel Verbindung.<br \/>\nGewichtige Nachteile des Verfahrens sind, dass man keinen Einfluss darauf hat, wer den eigenen Public Key signiert, es keine effektive M\u00f6glichkeit zur Sperre bzw. Wiederruf eines Schl\u00fcssels gibt und es auch zu Trust-L\u00fccken und Trust-Inseln im Netz kommen kann.<\/li>\n<\/ul>\n<ul>\n<li><strong> Hierarchical Trust Model <\/strong>(oft auch als <em>Certification Authority Trust Model<\/em> bzw. <em>X.509 Hierarchical Trust Model<\/em> bezeichnet): Hier bildet eine Zertifizierungsstelle (Certificate Authority) eine <strong>Trusted Third Party<\/strong>.<br \/>\nWird dieser Zertifizierungsstelle vertraut, so wird auch allen ihren untergeordneten Zertifikaten und Zertifizierungsstellen vertraut (Baummodell). Die Zertifizierungsstelle als zentrale Komponente, ist also f\u00fcr\u00a0 die Vertrauensw\u00fcrdigkeit ihrer ausgestellten Zertifikate zust\u00e4ndig.<br \/>\nDies ist aufgrund der hohen Skalierbarkeit und Akzeptanz das<br \/>\n<strong>Standardmodell f\u00fcr den Aufbau einer Public Key Infrastructure<\/strong> und dient<br \/>\ndaher als Basis dieses Blogs und der weiteren Ausf\u00fchrungen.<\/li>\n<\/ul>\n<p>Literatur:<\/p>\n<p>Vgl. Zacker, Craig: \u201ePlanning and Maintaining a Microsoft Windows 2003 Network Infrastructure \u201c, S. 11-4.<br \/>\n<a title=\"CCNA Security\" href=\"http:\/\/www.amazon.de\/Planning-Maintaining-Microsoft-Windows-Infrastructure\/dp\/0470066245\">Planning and Maintaining a Microsoft Windows 2003 Network Infrastructure<\/a><br \/>\nVgl. Rabe Kristian: \u201eKonzeption einer Public Key Infrastructure f\u00fcr die FHTW\u201c, S.21.<br \/>\nVgl. Microsoft Technet: \u201cCertification Authority Trust Model\u201d. (aufgerufen am 11. September 2011).<br \/>\n<a title=\"Certification Authority Trust Model\" href=\"http:\/\/technet.microsoft.com\/en-us\/library\/cc962065.aspx\">http:\/\/technet.microsoft.com\/en-us\/library\/cc962065.aspx <\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Damit Verfahren, die auf einer Art der Public Key Kryptografie basieren, eine zuverl\u00e4ssige Plattform bilden, muss es einen \u00fcberpr\u00fcfenden Mechanismus f\u00fcr die Verteilung der \u00f6ffentlichen Schl\u00fcssel geben. Ein Angreifer k\u00f6nnte sonst unter dem Namen einer anderen Person einen \u00f6ffentlichen Schl\u00fcssel &hellip; <a href=\"http:\/\/lkl-it.de\/blog\/?p=159\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[3],"tags":[],"_links":{"self":[{"href":"http:\/\/lkl-it.de\/blog\/index.php?rest_route=\/wp\/v2\/posts\/159"}],"collection":[{"href":"http:\/\/lkl-it.de\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/lkl-it.de\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/lkl-it.de\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/lkl-it.de\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=159"}],"version-history":[{"count":13,"href":"http:\/\/lkl-it.de\/blog\/index.php?rest_route=\/wp\/v2\/posts\/159\/revisions"}],"predecessor-version":[{"id":162,"href":"http:\/\/lkl-it.de\/blog\/index.php?rest_route=\/wp\/v2\/posts\/159\/revisions\/162"}],"wp:attachment":[{"href":"http:\/\/lkl-it.de\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=159"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/lkl-it.de\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=159"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/lkl-it.de\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=159"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}