Glossar  | FAQ  | Kontakt  | Impressum  |  Choose English

Plattform von TeleTrusT

TeleTrusT – Bundesverband IT-Sicherheit e.V. Logo

Richtige Nutzung des RFC 3647

Dr. Willi Kafitz

Der RFC 3647 hat den Anspruch, das Sicherheitsniveau einer PKI vergleichbar und zumindest auf Policy-Ebene überprüfbar zu machen. Um diese Vergleichbarkeit auch formal praktizieren zu können ist es erforderlich, sich streng an das Inhaltsverzeichnis des RFC 3647 zu halten. Alle Punkte/Kapitelüberschriften müssen aufgeführt werden. Punkte, zu denen keine Aussage erfolgen soll, werden als solche gekennzeichnet.
Das Sicherheitsniveau einer PKI wird meistens in zwei Dokumenten beschrieben:

  • Certification Policy (CP): weitgehend Technik-neutrales Dokument, das im Internet oder Extranet einer Gruppe veröffentlicht werden kann
  • Certification Practice Statement (CPS): Dokument, das im Innenverhältnis organisatorische Prozesse und technische Verfahren für den Betrieb einer PKI regelt. Oft ist es Bestandteil des Service Level Agreements, das der interne oder externe Dienstleister für den Aufbau und Betrieb einer PKI verpflichtend einzuhalten hat.

Meist ist die CP Subset/Untermenge des CPS. Das CP sichert den Kommunikationspartnern in strukturierter Form die Einhaltung grundsätzlicher Sicherheitsfunktionen und -Prozesse zu, so dass der Kommunikationspartner bewerten kann, ob er der PKI vertrauen kann.
In beiden Dokumenten haben sich deshalb das Inhaltsverzeichnis und die Aussagen zu den einzelnen Punkten formal und inhaltlich an die Vorgaben des Standards RFC 3647 zu halten.