Logo

Projekt PKI / LDAP in Baden-Württemberg
Public Key Infrastructure / Lightweight Directory Access Protocol

Ein Landesprojekt an den Rechenzentren der Universitäten


Startseite

Motivation
Ausgangsbasis
Projektziele
Termine
Ergebnisse
Teilnehmer

 

Impressum

Technologische Ausgangsbetrachtungen:

Bei der Entwicklung internationaler Standards zu PKI-Technologien war von vorneherein eine Verzeichnisdienstkomponente vorgesehen. Der erste entsprechende internationale Standard, auf dem alle heutigen Standards immer noch fußen, der ITU Standard X.509 [1] ist Teil des Verzeichnisdienststandards X.500. Auf Grundlage von X.509 wurden im Rahmen der IETF [2] eine ganze Reihe von Profilen, Formaten und Zusatzprotokolle standardisiert, wovon insbesondere die RFCs 3280 und 2560 [3,4] im Rahmen des Projekts relevant sind. Als Verzeichnisdiensttechnologie für Zertifikate dient im Rahmen der IETF LDAP. Eine ganze Reihe von Dokumenten zu PKI und der neuesten LDAP-Version (v3) wird gegenwärtig als Standard spezifiziert [5, 6, 7]. Weitere Texte zum Problem vieler Zertifikate einer Person werden in diesem Rahmen diskutiert [8]. Alle diese Texte spezifizieren, wie Zertifikate in einem LDAP-Verzeichnisdienst interoperabel zur Verfügung gestellt werden können und stellen den technologischen Rahmen des Projekts dar.
Für die Realisierung eines dezentralen Verzeichnisdienstes, bei dem die Daten also an verschiedenen Stellen im Netz gespeichert und gepflegt werden, sind weitere Arbeiten einzubeziehen, die auf die im LDAP-Protokoll spezifizierte Verweise auf andere Server (sogenannte referrals ) beruhen [9]. Mit dem Common Indexing Protocol (CIP) [10] kann ein Indexierungssystem realisiert werden, welches LDAP-Server durch Agenten indiziert und einen zentralen Index über LDAP zur Verfügung stellt, der von beliebigen LDAP-Clients befragt werden kann.
(Peter Gietz)

Weiterführende Literatur:
[1] ITU-T Recommendation X.509 (1997 E): Information Technology - Open Systems Interconnection - The Directory: Authentication Framework, June 1997.
[2] RFCs und Arbeitsdokumente der WG PKIX (unter http://www.ietf.org/html.charters/pkix-charter.html).
[3] Housley, R., et al.: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, RFC 3280, April 2002.
[4] Myers, M.: X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP, RFC 2560, Juni 1999, (wird gerade einer Revision unterzogen).
[5] Chadwick, D.: Internet X.509 Public Key Infrastructure Operational Protocols - LDAPv3 [draft-ietf-pkix-ldap-v3-05.txt}, Januar 2002;.
[6] Chadwick, D, Legg, S.: Internet X.509 Public Key Infrastructure LDAP Schema and Syntaxes for PKIs [draft-ietf-pkix-ldap-pki-schema-00.txt], June 2002.
[7] Chadwick, D.: LDAPv3 DN strings for use with PKIs [draft-ietf-pkix-dnstrings-00.txt], April 2002.
[8] Klasen, N; Gietz, P.: An LDAPv3 Schema for X.509 Certificates draft-klasen-ldap-x509certificate-schema-00.txt, February 2002.
[9] Arbeiten der TERENA Task Force LDAP Service Deployment, http://www.terena.nl/tech/task-forces/tf-lsd/.
[10] Allen, J., Mealling, M.: The Architecture of the Common Indexing Protocol (CIP), RFC 2651, August 1999.


Vorleistung der teilnehmenden Hochschulen:

Alle teilnehmenden Hochschulen haben in der Vergangenheit Erfahrungen im Umgang mit Certification Authorities (CA) und PKI-orientierten Lösungsansätzen gesammelt. Die realisierten Lösungen reichen von einfachen CAs für PGP-Zertifikate und X.509-Zertifikaten auf Basis von OpenSSL bis hin zu Projekten mit Verwendung sog. Kryptochip-Karten (Mannheim).
Die vorhandenen CA-Strukturen sind organisatorische Ausgangsbasis des Projekts.

Der Aufbau einer CA beinhaltet folgende Aufgaben:
Betrieb einer Zertifizierungsinstanz als Bestandteil einer Public Key Infrastructure (PKI), deren Wurzelinstanz die Policy Certification Authority des Vereins zur Förderung eines Deutschen Forschungsnetzes e.V. (DFN-PCA) ist. Diese Zertifizierungsinstanz ist ein Organisationselement der DFN-PKI. Wesentliche Arbeitspakete beim Aufbau dieser Zertifizierungsinstanz sind:
  • Die Formulierung einer Zertifizierungsrichtlinie (Policy), die Regeln, Pflichten, Aktivitäten aller Teilnehmer dieser PKI festlegen.
  • Aufbau der technischen Infrastruktur unter Beachtung der Datensicherheits- und Datenschutzanforderungen gemäß der Policy Certification Authority.
  • Bereitstellung notwendiger Anleitungen, Werkzeuge und Hilfestellungen für die Teilnehmer.
  • Zertifizierung der Teilnehmerschlüssel und Veröffentlichung aller notwendigen Daten.
  • Aufbau und Betrieb einer Publikationsplattform im Internet für Veröffentlichung, Information und Hilfestellung [www.uni-tuebingen.de/ca].




Infokontakt