Infrastrukturen der European Bridge-CA

Die Anwendbarkeit und der Nutzen einer Bridge-CA Lösung hängt sehr stark von Dienstleistungen und Diensten ab, die der breiten Öffentlichkeit zur Verfügung stehen.
Die European Bridge-CA hat sich von Beginn an das Ziel gesetzt, die Anwendbarkeit in der Praxis und den damit verbundenen Nutzen zu stärken.
Aus diesem Grund stellt die European Bridge-CA Dienste zur Verfügung, mit denen die Anwendbarkeit und Qualität beim Einsatz von Zertifikaten massgeblich verbessert werden.

l Dienst zur Lösung der Verteilungsproblematik:
Die große Anzahl an TrustCentern und privaten Public Key Infrastrukturen ist schwer zu überblicken. Dies führt zu einem hohen Aufwand beim Zugriff und bei der Verteilung der bereitgestellten Zertifikate und Zertifikatsinformationen (hierzu gehören z.B. User-Zertifikate und Sperrlisten). Von einem Nutzer kann nicht erwartet werden, dass er in seinem Anwendungen eine Vielzahl von Verzeichnisdienst-Zugriffen einrichtet. Idealerweise möchte ein Nutzer nur einen zentralen Knoten in seinen Anwendungen konfigurieren, der die entsprechenden Daten bereitstellt. Ein analoges Beispiel hierzu stellt das Domain Name System (DNS) dar.
Aus diesem Grund stellt die EB-CA einen zentralisierten LDAP-Verzeichnisdienst zur Verfügung, durch dessen Einbindung Nutzer aus ihren Anwendungen Verschlüsselungszertifikate zu korrespondierenden Personen anfordern und Daten an diese Person verschlüsseln können
Dieser zentrale Dienst vermeidet die für Anwender aufwendige Pflege einer Vielzahl von LDAP-Einträgen in den einzelnen Anwendungen, wodurch die Administrationskosten entscheidend gesenkt und Attraktivität und Akzeptanz der sicheren Kommunikation aus Sicht der Nutzer verbessert werden können.

l Dienst zur Lösung der Validierungsproblematik:
Ähnlich wie bei der Verteilungsproblematik geht es bei ankommenden signierten Daten um die Überprüfung eines X.509-Zertifikates auf dessen Gültigkeit zu einem bestimmten Zeitpunkt. Für den Anwender ist dies relativ kompliziert und es stehen derzeit zwei Alternativen zur Verfügung:
• Sperrlisten (Certificate Revocation Lists, CRL s)
• Online-Validierung mittels Online Certificate Status Protocol (OCSP)
Der Einsatz von CRLs und OCSP ermöglicht die Prüfung der Authentizität übertragener Daten. Dadurch lässt sich rekonstruieren, ob die Daten zu diesem Zeitpunkt gültig waren oder nicht, was möglicherweise zu rechtlichen Konsequenzen führen kann.
Sperrlisten bieten den Vorteil, dass sie offline bereitgestellt werden können, wohingegen der Einsatz von OCSP die Echtzeit-Überprüfung der Gültigkeit eines Zertifikats (gültig, gesperrt, abgelaufen) ermöglicht. Bei OCSP wird eine kurze Statusinformation zu einem Zertifikat angefordert und ausgewertet, was in kurzer Verarbeitungsdauer geleistet werden kann. Ein umfangreicher Download von Sperrlisten entfällt.
Gegenwärtig arbeitet die EB-CA mit Sperrlisten. Ein EB-CA-OCSP-Responder könnte eingesetzt werden, sobald die EB-CA-Teilnehmerorganisationen dies wünschen.

Sollte in Zukunft der Bedarf nach weiteren Diensten entstehen, die zur Akzeptanz und Erweiterung des Nutzens von Public-Key Infrastrukturen beitragen, so wird die European Bridge-CA diese in Abstimmung mit Ihren Mitgliedern bereitstellen.