LU07a - Digitale Zertifikate

• Wissen was unter Digitalen Zertifikaten im Allgemeinen verstanden wird.
• Potentielle Einsatzgebiete von digitalen Zertifikaten nennen können.
• Den Aufbau eines digitalen Zertifikates beschreiben können.

Ein digitales Zertifikat ist ein digitaler Datensatz, der bestimmte Eigenschaften von Personen oder Objekten bestätigt und dessen Authentizität und Integrität durch kryptografische Verfahren geprüft werden kann. Das digitale Zertifikat enthält insbesondere die zu seiner Prüfung erforderlichen Daten.

Weit verbreitet sind Public-Key-Zertifikate nach dem Standard X.509, welche die Identität des Inhabers und weitere Eigenschaften eines öffentlichen kryptographischen Schlüssels bestätigen.

Attributzertifikate enthalten dagegen keinen öffentlichen Schlüssel, sondern verweisen auf ein Public-Key-Zertifikat und legen dessen Geltungsbereich genauer fest.

Ein Public-Key-Zertifikat ist ein digitales Zertifikat, das den Eigentümer sowie weitere Eigenschaften eines öffentlichen Schlüssels bestätigt. Durch ein Public-Key-Zertifikat können Nutzer eines asymmetrischen Kryptosystems den öffentlichen Schlüssel einer Identität (z. B. einer Person, einer Organisation oder einem IT-System) zuordnen und seinen Geltungsbereich bestimmen. Damit ermöglichen Public-Key-Zertifikate den Schutz der Vertraulichkeit, Authentizität und Integrität von Daten durch die korrekte Anwendung der öffentlichen Schlüssel.

Um beim Einsatz von asymmetrischen Kryptosystemen falsche (z. B. untergeschobene) von echten Schlüsseln zu unterscheiden, wird ein Nachweis benötigt, dass der verwendete öffentliche Schlüssel auch zum designierten Empfänger der verschlüsselten Nachricht bzw. zum Sender einer digital signierten Nachricht gehört. Ausserdem muss bei der Verschlüsselung und Prüfung der digitalen Signatur sichergestellt werden, dass der Schlüssel auch mit diesem kryptographischen Verfahren und für den gedachten Anwendungsbereich verwendet werden darf. Diese Nachweise werden durch digitale Zertifikate geleistet.

Mit Hilfe eines asymmetrischen Verfahrens können Nachrichten in einem Netzwerk digital signiert und verschlüsselt werden. Sichere Kryptosysteme können bei geeigneter Wahl der Parameter, wie z. B. der Schlüssellänge, auch bei Kenntnis des Verfahrens nicht in überschaubarer Zeit gebrochen werden.

In asymmetrischen Kryptosystemen benötigt der Sender für eine verschlüsselte Übermittlung den öffentlichen Schlüssels (Public Key) des Empfängers. Dieser könnte z. B. per E-Mail versendet oder von einer Web-Seite heruntergeladen werden. Dabei muss sichergestellt sein, dass es sich tatsächlich um den Schlüssel des Empfängers handelt und nicht um eine Fälschung eines Betrügers. Hier kommt die Zertifizierung (Echtheits-Nachweis) von PublicKeys in Spiel.

Hierzu dienen digitale Zertifikate, die die Authentizität eines öffentlichen Schlüssels und seinen zulässigen Anwendungs und Geltungsbereich bestätigen. Das digitale Zertifikat ist selbst durch eine digitale Signatur geschützt, deren Echtheit mit dem öffentlichen Schlüssel des Ausstellers des Zertifikates geprüft werden kann.

Um die Authentizität des Ausstellerschlüssels zu prüfen, wird wiederum ein digitales Zertifikat benötigt. Auf diese Weise lässt sich eine Kette von digitalen Zertifikaten aufbauen, die jeweils die Authentizität des öffentlichen Schlüssels bestätigen, mit dem das vorhergehende Zertifikat geprüft werden kann. Eine solche Kette von Zertifikaten wird Validierungspfad oder Zertifizierungspfad genannt. Auf die Echtheit des letzten Zertifikates (und des durch diesen zertifizierten Schlüssel müssen sich die Kommunikationspartner ohne ein weiteres Zertifikat verlassen können.

Typische Anwendungen von Public Key Zertifikaten sind:

• Digitale Signaturen
• Sicherheit in Netzwerkprotokollen ( B. SSL, darunter HTTPS für Webbrowser , IPSec oder SSH
• Schutz von E Mails (z. B. mit S/MIME oder PGP
• Authentisierung und Zugriffskontrolle bei Chipkarten.

Unabhängig von der gewählten Verschlüsselungsart (Symmetrisch oder Asymmetrisch), müssen die Schlüssel verteilt werden. Grundsätzlich stehen uns hier zwei Konzepte bzw. Architekturen zur Verfügung.

• PKI = Public Key Infrastructure
• WoT = Web of Ttrust

Mit Public-Key-Infrastruktur (PKI) bezeichnet man in der Kryptologie ein System, das digitale Zertifikate ausstellen, verteilen und prüfen kann. Die innerhalb einer PKI ausgestellten Zertifikate werden zur Absicherung rechnergestützter Kommunikation verwendet rechnergestützter Kommunikation verwendet.

Problemstellung

Die Verschlüsselung mit öffentlichen Schlüsseln bietet (gegenüber der symmetrischen Verschlüsselung) den Vorteil, dass der auszutauschende Schlüssel nicht über einen sicheren Kanal übertragen werden muss, sondern öffentlich ist. Zur Übertragung des Schlüssels kann man sich daher eines Verbunds von Schlüsselservern bedienen, auf die jeder seine öffentlichen Schlüssel hochladen kann und von denen jeder die jeweiligen Schlüssel der Person abrufen kann, mit denen man kommunizieren möchte.

Daraus ergibt sich aber ein Problem: Eine Person könnte einen Schlüssel veröffentlichen, mit welchem sie sich als jemand anderes ausgibt. Es muss also eine Möglichkeit zur Verfügung stehen, die Authentizität eines Schlüssels zu prüfen.

Lösungs(-Ansatz) Bei der PKI wird dieser Echtheitsüberprüfung durch die Zertifizierungstelle (CA = Certification Authority). Im Web of Trust hingegen übernehmen alle Teilnehmer diese Funktion.

Netz des Vertrauens bzw. Web of Trust (WOT) ist in der Kryptologie die Idee, die Echtheit von digitalen Schlüsseln durch ein Netz von gegenseitigen Bestätigungen (Signaturen), kombiniert mit dem individuell zugewiesenen Vertrauen in die Bestätigungen der anderen („Owner Trust“), zu sichern. Es stellt eine dezentrale Alternative zum PKI-System dar.

Alice signiert den Schlüssel von Bob und vertraut Bobs Schlüsselsignaturen

Bob signiert den Schlüssel von Carl. Bobs Vertrauen in Carls Schlüssel ist weder bekannt, noch relevant. 

Somit betrachtet Alicen den Schlüssel von Carl als gültig.