TU Darmstadt / ULB / TUprints

Flexible Certificate Management in Public Key Infrastructures

Karatsiolis, Evangelos (2007)
Flexible Certificate Management in Public Key Infrastructures.
Technische Universität Darmstadt
Ph.D. Thesis, Primary publication

[img]
Preview
Dissertation - PDF
thesis.pdf
Copyright Information: In Copyright.

Download (627kB) | Preview
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: Flexible Certificate Management in Public Key Infrastructures
Language: English
Referees: Gritzalis, Prof. Dr. Stefanos
Advisors: Johannes, Prof. Dr. Buchmann
Date: 15 October 2007
Place of Publication: Darmstadt
Date of oral examination: 27 February 2007
Abstract:

A public key infrastructure (PKI) secures lots of applications and processes. These are for example the electronic commerce, email communication, access to computers and networks, or digital identities for use in e-Government or the health care sector. The various PKI based applications have different requirements. These depend on the security level, the number of participants, the software or hardware devices, the complexity of the installation, and many other parameters. This work focuses on the certificate management in a PKI and proposes various solutions to meet these requirements in a flexible way. In order to deal with the problems related to certificate management we design the certificate management authority (CMA). This authority is specified as a new trust center component involved in organising the workflow and the tasks that remain after the creation of a PKI product, like a certificate or a revocation list. Its design and implementation is discussed. The certificate management plugins, that the CMA is based on, can be (re)used to provide interoperable PKI solutions. We also give a security analysis of the CMA. The new authority requires to rethink the communication possibilities within a trust center. A new protocol for communication inside a trust center is designed and implemented. It addresses the problems of communication of arbitrary trust center components. It enables human readability of the messages, security mechanisms like digital signatures and encryption, it supports dual control, and expresses typical data in a trust center. One basic task of the CMA is the distribution and dissemination of PKI information. Typical solutions are based on LDAP directories. A best practice guide for these directories regarding PKI purposes is given. We further concentrate on the German Signature Act and see how to meet the directory related requirements in this context. We will use the LDAP directories for other PKI management functions, too. One function is the proof of possession for encryption keys. This scheme realises the indirect method of the CMP messages, but without the need for any confirmation messages. We propose a second scheme for delivering software personal security environments.

Alternative Abstract:
Alternative AbstractLanguage

Public Key Infrastrukturen (PKI) dienen der Absicherung einer Vielzahl von Anwendungen und Prozessen. Dazu gehören zum Beispiel E-Mail-Kommunikation, elektronischer Handel, Zugriffe auf Rechner und Netzwerke und digitale Identitäten für die Benutzung im E-Government oder im Gesundheitswesen. Die verschiedenen PKI-basierten Anwendungen stellen unterschiedliche Anforderungen. Diese werden bestimmt durch das gewünschte Sicherheitsniveau, die Anzahl der Teilnehmer, die Software, die Hardwaregeräte, die Komplexität der Installation und durch viele andere Parameter. Die vorliegende Arbeit konzentriert sich auf das Zertifikatsmanagement in einer PKI und schlägt verschiedene Lösungen vor, um die oben genannten Anforderungen auf flexible Art und Weise zu erfüllen. Um die mit dem Zertifikatsmanagement zusammenhängenden Probleme zu lösen, führen wir die Certificate Management Authority (CMA) ein. Die CMA ist eine neue PKI-Komponente. Sie verwaltet Objekte, die von anderen PKI-Komponenten erstellt werden. Diese sind Zertifikate, Sperrlisten, PIN-Briefe, PSEs, u.a. In der vorliegenden Arbeit werden der Entwurf und die Implementierung der CMA diskutiert. Die CMA benutzt Certificate Management Plugins. Diese Plug-ins können wiederverwendet werden, um interoperable PKI-Lösungen zu reali-sieren. Die Sicherheit der CMA wird bewertet. Die Kommunikation in einem Trust Center wird untersucht. Ein neues Kommunikationsprotokoll wird entworfen und implementiert. Es dient der Kommunikation zwischen beliebigen Komponenten eines Trust Centers. Das Protokoll unterstützt Sicherheitsmechanismen wie digitale Signaturen, Verschlüsselung und das Vier-Augen-Prinzip. Es erlaubt visuelle Lesbarkeit der Nachrichten und die Darstellung typischer Daten in einem Trust Center. Eine wichtige Aufgabe der CMA ist die Verteilung von PKI-Informationen. Dafür werden typischerweise LDAP-Verzeichnisse eingesetzt. Es wird ein Leitfaden für den optimalen Einsatz von LDAP-Verzeichnissen in einer PKI bereitgestellt. Die Anforderungen des deutschen Signaturgesetzes werden dabei berück-sichtigt. Zusätzlich verwenden wir LDAP-Verzeichnisse für weitere PKI-Management-funktionen. Eine dieser Funktionen ist der Besitznachweis für Verschlüsselungs-Schlüssel. Wir realisieren den Besitznachweis, ohne Bestätigungsnachrichten verwenden zu müssen. Darüber hinaus schlagen wir ein Protokoll zur übermittlung von Software-PSEs an die Benutzer vor.

German
Uncontrolled Keywords: X.509 certificate, PKI, LDAP directories
Alternative keywords:
Alternative keywordsLanguage
X.509 certificate, PKI, LDAP directoriesEnglish
URN: urn:nbn:de:tuda-tuprints-8781
Classification DDC: 000 Generalities, computers, information > 004 Computer science
Divisions: 20 Department of Computer Science
Date Deposited: 17 Oct 2008 09:22
Last Modified: 08 Jul 2020 22:59
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/878
PPN:
Export:
Actions (login required)
View Item View Item