Das netzwerkbasierte Angebot von Diensten in der IT verlagert sich vom bisher dominierenden Client-Server-Ansatz immer stärker in Richtung verteilter Systeme, welche durch Flexibilität, Skalierbarkeit und nicht zuletzt geringe Kosten eine attraktive Alternative zu wartungsintensiven und teuren Serverlösungen darstellen. Dieser Trend geht mit der organisatorischen Dezentralisierung und Flexibilisierung von Verwaltungsstrukturen in Unternehmen und Behörden einher.
In diesem Umfeld der sich auflösenden klaren Organisationsstrukturen kommt der Authentifizierung und Autorisierung von Entitäten in dezentralisierten Systemen steigende Bedeutung zu.
Authentifizierungs- und Autorisierungsinfrastrukturen (AAI) bilden in Form von Regeln, Protokollen, Daten und Software den Rahmen für die Realisierung dieser beiden Dienste. Während die Ausstellung von Berechtigungen und Identitätsnachweisen ebenso wie deren Prüfung bereits heute in einigen AAI in dezentralisierter Form möglich ist, ist für die Speicherung und Verwaltung von Daten ausnahmslos ein zentrales Verzeichnis notwendig - ein Faktum, welches dem Paradigma der Dezentralisierung widerspricht und das Angebot von Authentifizierung und Autorisierung in durchgängig dezentralisierten Umgebungen verhindert.

Die vorliegende Dissertation setzt daher an diesem Punkt an und konzipiert ein verteiltes Peer-to-Peer-Verzeichnis, in welchem Daten zertifikatbasierter AAI veröffentlicht, verwaltet und angefragt werden können. Hierfür wird zunächst das vom Standpunkt der Sicherheit her optimale strukturierte Peer-to-Peer-Regelwerk - Kademlia - ausgewählt und die Datenverfügbarkeit in einem darauf basierenden Verzeichnis stochastisch formalisiert und umfassend analysiert.
Weiterhin wird eine geeignete Lösung für die Rückrufproblematik in zertifikatbasierten AAI gewählt, die mit dem Faktum der verteilten Datenverwaltung auf nicht notwendigerweise vertrauenswürdigen Knoten korrespondiert. Im Rahmen der Definition des Regelwerks für das Datenverwaltungssystem für Zertifikate und Statusinformationen, P2P-ZuSI, wird ein Schichtenmodell präsentiert, welches von diesem Regelwerk und dem darunterliegenden Peer-to-Peer-Netzwerk für die AAI-Anwendungsschicht abstrahiert und somit die flexible, transparente Umsetzung verteilter Datenverwaltung in beliebigen konkreten AAI-Systemen ermöglicht.

Eine AAI mit einem verteilten Verzeichnis unter Verwendung von P2P-ZuSI wird rollenbasiert in Form eines hierarchischen gefärbten Petrinetzes modelliert. Die Sicherheitseigenschaften von P2P-ZuSI hinsichtlich der neben der Verfügbarkeit relevanten Sicherheitsziele Vertraulichkeit und Integrität werden anhand dieses Modells nachgewiesen.
Ein Ausblick auf mögliche Einsatzszenarien im Internet ebenso wie in geschlossenen Netzwerken von Unternehmen, Universitäten oder Behörden zeigt die Praxisrelevanz der Arbeit.

The doctoral thesis provides the specification and security analysis of a distributed peer to peer directory to store data of certificate-based authentication and authorization infrastructures (AAI).
The most fitting peer to peer system � Kademlia � is selected with regard to reliability and data availability. A stochastic framework to quantify availability under the assumption of malicious participants is presented. A proper solution for validation and revocation of certificates is chosen - taking into account that it cannot be presumed that all peers are trustworthy.
A layered model of the distributed peer to peer directory for certificates and status data, called P2P-ZuSI, is specified. It separates the concrete peer to peer system, the P2P-ZuSI rule set and the AAI layer. It thus allows for the flexible and transparent implementation of distributed data storage for any actual AAI system.
A hierarchical coloured Petri net model is created following a role-based paradigm. The security properties regarding integrity and confidentiality are verified based on this model.
Finally, application scenarios in the internet as well as in corporate networks are presented to demonstrate the relevance to practice.