Einführung zum Konzept von Zertifikaten

Asymmetrische Chiffrierungs-Algorithmen beruhen auf dem Teilen eines öffentlichen Schlüssels zwischen mehreren Usern. In der Regel wird dieser Schlüssel über ein elektronisches Verzeichnis (meist im Format LDAP) oder eine Website geteilt.

Diese Methode hat allerdings einen großen Nachteil : nichts garantiert, dass der Schlüssel wirklich von dem User ist, mit dem er verbunden ist.. Ein Hacker kann den öffentlichen Schlüssel im Verzeichnis korrumpieren, indem er ihn durch seinen öffentlichen Schlüssel ersetzt. Der Hacker kann dann alle Nachrichten dechiffrieren, die mit dem Schlüssel im Verzeichnis chiffriert wurden.

Ein Zertifikat ermöglicht die Zuordnung eines öffentlichen Schlüssels zu einer Einheit (Person, Maschine,...), um dessen Validität zu gewährleisten. In gewisser Weise ist das Zertifikat die Identitätskarte des öffentlichen Schlüssels, die von einem Organ ausgestellt wird, das Zertifizierungs-Stelle genannt wird (oft geschrieben als CA für Certification Authority).

Die Zertifizierungs-Stelle ist zuständig für die Ausstellung von Zertifikaten, die Zuordnung des Validitätsdatums (ähnlich dem Verbrauchsdatum von Nahrungsmitteln), und dafür, eventuell Zertifikate vor diesem Datum für nichtig zu erklären, falls der Schlüssel (oder Besitzer) kompromittiert wurde.

Struktur eines Zertifikats

Zertifikate sind kleine Dateien, die aus zwei Teilen bestehen :

• Ein Teil, der die Informationen enthält
• Ein Teil, der die Signatur der Zertifizierungs-Stelle enthält

Die Struktur des Zertifikats wird vom Standard X.509 derUIT (genauer X.509v3) normiert, der die im Zertifikat vorhandenen Informationen vorgibt :

• Die Version von X.509, der das Zertifikat entspricht ;
• Die Seriennummer des Zertifikats ;
• Der Chiffrierungs-Algorithmus, der verwendet wurde, um das Zertifikat zu signieren ;
• Der Name (DN, für Distinguished Name) der ausstellenden Zertifizierungs-Stelle ;
• Das Anfangsdatum der Validität des Zertifikats ;
• Das Enddatum der Validität des Zertifikats ;
• Das Verwendungsobjekt des öffentlichen Schlüssels ;
• Der öffentliche Schlüssel des Eigentümers des Zertifikats ;
• Die Signatur des Ausstellers des Zertifikats (thumbprint).

Die Gesamtheit dieser Informationen (Informationen + öffentlicher Schlüssel des Anfragenden) wird von der Zertifizierungs- Stelle signiert, das bedeutet, dass eine Hashfunktion einen Abdruck dieser Informationen erzeugt, dieser Hash wird dann mit Hilfe des privaten Schlüssels der Zertifizierungs-Stelle chiffriert, wobei der öffentliche Schlüssel zuvor verbreitet wurde, um den Usern zu ermöglichen, die Signatur mit dem öffentlichen Schlüssel der Zertifizierungs-Stelle zu überprüfen.

Will ein User mit einer anderen Person Kontakt aufnehmen, muss er sich nur das Zertifikat des Empfängers beschaffen. Dieses Zertifikat enthält den Namen und öffentlichen Schlüssel des Empfängers, und ist von der Zertifizierungs-Stelle signiert. Die Validität der Nachricht kann man daher dadurch überprüfen, dass man einerseits die Hashfunktion auf die Informationen anwendet, die im Zertifikat vorhanden sind, und andererseits die Signatur der Zertifizierungs-Stelle mit ihrem öffentlichen Schlüssel dechiffriert, und danach die beiden Ergebnisse vergleicht.

Signaturen von Zertifikaten

Man unterscheidet verschiedene Arten von Zertifikaten, je nach Niveau der Signatur :

• Selbst-signierte Zertifikate sind Zertifikate zur internen Verwendung. Von einem lokalen Server signiert dienen diese Zertifikate dazu, die Vertraulichkeit des Austausches innerhalb einer Organisation zu gewährleisten, zum Beispiel im Fall von Intranets. So kann eine Authentifizierung der User mittels Selbst-signierter Zertifikate erfolgen.
• Zertifikate, die von einem Zertifizierungs-Organ signiert sind sind nötig, wenn man die Sicherheit des Austausches mit anonymen Usern gewährleisten muss, beispielsweise bei einer gesicherten Website, die für die Allgemeinheit zugänglich ist. Durch den externen Zertifizierer wird dem User versichert, dass das Zertifikat wirklich der Organisation gehört, der es zugeschrieben ist.

Einsatzgebiete

Zertifikate werden in der Regel in den folgenden drei Kontexten verwendet :

• DasClient Zertifikat, ist am Arbeitsplatz des Users gespeichert oder, wie eine Chipkarte, in einem Behälter enthalten und erlaubt die Identifikation eines Users und Zuteilung von Rechten. In den meisten Fällen wird es beim Verbindungsaufbau an den Server übertragen, dieser erteilt Rechte in Abhängigkeit der Befugnisse des Users. Es handelt sich praktisch um eine digitale ID-Karte, die ein asymmetrisches Schlüsselpaar mit einer Länge von 512 bis 1024 Bits verwendet
• Das Server Zertifikat ist auf einem Webserver installiert und gewährleistet die Verknüpfung zwischen einem Dienst und dessen Eigentümer. Im Fall einer Website kann es sicherstellen, dass dieURL und instbesondere die Domain der Website wirklich dieser oder jener Organisation gehört. Außerdem ermöglicht es die Sicherung von Transaktionen mit Usern, durch das SSL-Protokoll.
• DasVPN Zertifikat ist ein Zertifikat, das in Netzwerk-Equipment installiert ist, und Kommunikationsströme zwischen zwei Punkten (zum Beispiel zwei Seiten eines Unternehmens) chiffrieren kann. In diesem Fall besitzen die User ein Client Zertifikat, die Server benutzen ein Server Zertifikat, und das Kommunikationsn-Equipment verwendet ein spezielles Zertifikat (in der Regel ein IPSec Zertifikat.