Einführung zum Konzept von Zertifikaten
Asymmetrische Chiffrierungs-Algorithmen beruhen auf dem Teilen eines
öffentlichen Schlüssels zwischen mehreren Usern. In der Regel wird dieser
Schlüssel über ein elektronisches Verzeichnis (meist im Format
LDAP) oder eine Website geteilt.
Diese Methode hat allerdings einen großen Nachteil : nichts garantiert,
dass der Schlüssel wirklich von dem User ist, mit dem er verbunden ist..
Ein Hacker kann den öffentlichen Schlüssel im Verzeichnis korrumpieren, indem er ihn durch
seinen öffentlichen Schlüssel ersetzt. Der Hacker kann dann alle Nachrichten
dechiffrieren, die mit dem Schlüssel im Verzeichnis chiffriert wurden.
Ein Zertifikat ermöglicht die Zuordnung eines öffentlichen Schlüssels
zu einer Einheit (Person, Maschine,...), um dessen Validität zu gewährleisten. In gewisser
Weise ist das Zertifikat die Identitätskarte des öffentlichen Schlüssels, die von einem
Organ ausgestellt wird, das Zertifizierungs-Stelle genannt wird (oft geschrieben als CA für Certification Authority).
Die Zertifizierungs-Stelle ist zuständig für die Ausstellung von Zertifikaten, die Zuordnung
des Validitätsdatums (ähnlich dem Verbrauchsdatum von Nahrungsmitteln), und dafür, eventuell Zertifikate
vor diesem Datum für nichtig zu erklären, falls der Schlüssel (oder Besitzer) kompromittiert wurde.
Struktur eines Zertifikats
Zertifikate sind kleine Dateien, die aus zwei Teilen bestehen :
- Ein Teil, der die Informationen enthält
- Ein Teil, der die Signatur der Zertifizierungs-Stelle enthält
Die Struktur des Zertifikats wird vom Standard X.509 derUIT (genauer X.509v3) normiert,
der die im Zertifikat vorhandenen Informationen vorgibt :
- Die Version von X.509, der das Zertifikat entspricht ;
- Die Seriennummer des Zertifikats ;
- Der Chiffrierungs-Algorithmus, der verwendet wurde, um das Zertifikat zu signieren ;
- Der Name (DN, für Distinguished Name) der ausstellenden Zertifizierungs-Stelle ;
- Das Anfangsdatum der Validität des Zertifikats ;
- Das Enddatum der Validität des Zertifikats ;
- Das Verwendungsobjekt des öffentlichen Schlüssels ;
- Der öffentliche Schlüssel des Eigentümers des Zertifikats ;
- Die Signatur des Ausstellers des Zertifikats (thumbprint).
Die Gesamtheit dieser Informationen (Informationen + öffentlicher Schlüssel
des Anfragenden) wird von der Zertifizierungs-
Stelle signiert, das bedeutet, dass eine Hashfunktion einen Abdruck dieser Informationen erzeugt, dieser Hash
wird dann mit Hilfe des privaten Schlüssels der Zertifizierungs-Stelle chiffriert, wobei der
öffentliche Schlüssel zuvor verbreitet wurde, um den Usern zu ermöglichen,
die Signatur mit dem öffentlichen Schlüssel der Zertifizierungs-Stelle zu überprüfen.
Will ein User mit einer anderen Person Kontakt aufnehmen, muss er
sich nur das Zertifikat des Empfängers beschaffen. Dieses Zertifikat enthält den Namen und öffentlichen
Schlüssel des Empfängers, und ist von der
Zertifizierungs-Stelle signiert. Die Validität der Nachricht kann man daher dadurch überprüfen, dass man
einerseits die Hashfunktion auf die Informationen anwendet, die im Zertifikat vorhanden sind, und andererseits
die Signatur der Zertifizierungs-Stelle mit ihrem öffentlichen Schlüssel dechiffriert, und danach die beiden
Ergebnisse vergleicht.
Signaturen von Zertifikaten
Man unterscheidet verschiedene Arten von Zertifikaten, je nach Niveau der Signatur :
- Selbst-signierte Zertifikate sind Zertifikate zur internen Verwendung.
Von einem lokalen Server signiert dienen diese Zertifikate dazu, die Vertraulichkeit des
Austausches innerhalb einer Organisation zu gewährleisten, zum Beispiel im Fall
von Intranets. So kann eine Authentifizierung der User mittels Selbst-signierter
Zertifikate erfolgen.
- Zertifikate, die von einem Zertifizierungs-Organ signiert sind sind
nötig, wenn man die Sicherheit des Austausches mit anonymen
Usern gewährleisten muss, beispielsweise bei einer gesicherten Website, die für die
Allgemeinheit zugänglich ist. Durch den externen Zertifizierer wird dem User versichert,
dass das Zertifikat wirklich der Organisation gehört, der
es zugeschrieben ist.
Einsatzgebiete
Zertifikate werden in der Regel in den folgenden drei Kontexten verwendet :
- DasClient Zertifikat, ist am Arbeitsplatz des Users gespeichert oder,
wie eine Chipkarte, in einem Behälter enthalten und erlaubt die
Identifikation eines Users und Zuteilung von Rechten. In den meisten Fällen
wird es beim Verbindungsaufbau an den Server übertragen, dieser erteilt Rechte in
Abhängigkeit der Befugnisse des Users. Es handelt sich praktisch
um eine digitale ID-Karte, die ein asymmetrisches Schlüsselpaar
mit einer Länge von 512 bis 1024 Bits verwendet
- Das Server Zertifikat ist auf einem Webserver installiert und gewährleistet
die Verknüpfung zwischen einem Dienst und dessen Eigentümer. Im Fall einer Website
kann es sicherstellen, dass dieURL und instbesondere die Domain der Website
wirklich dieser oder jener Organisation gehört. Außerdem ermöglicht es
die Sicherung von Transaktionen mit Usern, durch das SSL-Protokoll.
- DasVPN Zertifikat ist ein Zertifikat, das in Netzwerk-Equipment installiert
ist, und Kommunikationsströme zwischen zwei Punkten (zum Beispiel zwei Seiten
eines Unternehmens) chiffrieren kann. In diesem Fall besitzen die User ein Client Zertifikat, die
Server benutzen ein Server Zertifikat, und das Kommunikationsn-Equipment verwendet
ein spezielles Zertifikat (in der Regel ein
IPSec Zertifikat.
Letzte Änderung am Montag 4 Mai 2009 à 15:00:01.