LU07c - Der Aufbau eines digitalen Zertifikates

• Den Standard für den Aufbau eines digitalen Zertifikates nennen können.
• Wichtigsten Teile des digitalen Zertifikates nennen und erläutern können.

Digitale Zertifikate bilden das Rückgrat sicherer Kommunikation im Internet. Sie dienen dazu, einen öffentlichen Schlüssel eindeutig an eine Identität – etwa eine Person, einen Server oder eine Organisation – zu binden. Damit können Kommunikationspartner prüfen, ob ein Schlüssel tatsächlich zu dem angegebenen Inhaber gehört.

Der Aufbau eines Zertifikats folgt festgelegten Standards (z. B. X.509) und enthält typischerweise Angaben wie den Namen des Inhabers, den öffentlichen Schlüssel, die Gültigkeitsdauer, die ausstellende Zertifizierungsstelle (CA) sowie eine digitale Signatur. Diese Struktur sorgt dafür, dass Zertifikate sowohl maschinell überprüfbar als auch vertrauenswürdig sind.

Die Eigenschaften des im Public-Key-Zertifikat enthaltenen Schlüssels – und damit der Geltungsbereich des Public-Key-Zertifikates – können durch Attributzertifikate genauer festgelegt werden. Attributzertifikate enthalten selbst keinen öffentlichen Schlüssel, sondern verweisen auf das betroffene Public-Key-Zertifikat über dessen Seriennummer.

Der Aussteller eines Zertifikats heißt Zertifizierungsinstanz und sollte vertrauenswürdig sein. Die digitale Signatur stellt Authentizität und Integrität sicher, benötigt aber wiederum ein Zertifikat für den Signaturschlüssel der CA. Daraus entsteht die Public-Key-Infrastruktur (PKI). Zertifizierungsstellen unterscheiden sich stark in der Qualität: von kostenlosen, kaum geprüften Zertifikaten bis hin zu teuren, hochsicheren Chipkarten-Zertifikaten. Maßgeblich sind die Zertifizierungsrichtlinien (Certificate Policy, CP).

Zertifikate haben eine begrenzte Laufzeit. Unsichere Zertifikate müssen vorzeitig gesperrt werden, damit Vertrauen gewahrt bleibt. Sperrinformationen werden typischerweise über Sperrlisten (CRL), Webseiten oder zunehmend per Online-Abfrage veröffentlicht.

Struktur und Inhalt von digitalen Zertifikaten werden durch diverse Standards vorgegeben. Aus der Vielzahl von Standards wurde der X.509 Stanard am meisten verwendet. Ein von einer Zertifizierungsstelle ausgestelltes digitales Zertifikat wird im X.509-System immer an einen „Distinguished Name“ oder einen „Alternative Name“ wie eine E-Mail-Adresse oder einen DNS Eintrag gebunden.

X.509 beinhaltet ausserdem einen Standard, mittels dessen Zertifikate seitens der Zertifizierungsstelle wieder ungültig gemacht werden können, wenn deren Sicherheit nicht mehr gegeben ist (z. B. nach dem öffentlichen Bekanntwerden des Private Keys für das Signieren von E-Mails). Die Zertifizierungsstelle kann hierfür ungültige Zertifikate in Zertifikatsperrlisten (certificate revocation list, kurz CRL) führen. Die automatische Überprüfung, ob ein Zertifikat inzwischen Teil einer Sperrliste ist, ist allerdings nicht in allen Programmen, die X.509-Zertifikate akzeptieren, standardmässig aktiviert.

• Zertifikat
  • Version
  • Seriennummer
  • Algorithmen-ID
• Aussteller
  • Land/Region
  • Bundesland/Kanton
  • Ort
  • Organisationseinheit
  • Organisation
  • Gemeinsamer Name
• Gültigkeit
  • Von
  • Bis
• Zertifikatinhaber
• Zertifikatinhaber-Schlüsselinformationen
  • Public-Key-Algorithmus
  • Public Key des Zertifikatinhabers
• Eindeutige ID des Ausstellers (optional)
• Eindeutige ID des Inhabers (optional)
• Erweiterungen
  • o …
• Zertifikat-Signaturalgorithmus
• Zertifikat-Signatu

Volkan Demir