Start Sicherheit Zertifikate
07 | 09 | 2010
Software
Informationen
Über Logosec
Zertifikate
Zertifikate - funktion
Beitragsseiten
Zertifikate
Funktionsweise
Sicherheitsprotokolle
Technik
Alle Seiten
Seite 2 von 4

Wie Funktioniert das denn mit den Zertifikaten?

Zu Deinem Zertifikat gehört ein privater (private) und ein öffentlicher (public) Schlüssel (key). Der öffentliche Schlüssel steht jedem zur Verfügung und ist auch ein Bestandteil Deines Zertifikats. Den geheimen Schlüssel musst Du gut sichern und darfst ihn nicht weitergeben. Dein Freund Bernd kann nun zum Beispiel eine für Dich bestimmte EMail mit Deinem öffentlichen Schlüssel verschlüsseln und Dir zuschicken. Du kannst die Email dann mit Deinem privaten Schlüssel wieder entschlüsseln. So ist sichergestellt, dass niemand einen Einblick in den Inhalt der EMail bekommt, weil diese nur mit dem geheimen Schlüssel zu entschlüsseln ist.

Outlook, Outlook Express und Thunderbird verfügen bereits über eine Schnittstelle (S/MIME), um Emails zur signieren und zu verschlüsseln. Weitere Infos dazu findet Ihr auf unserer Seite E-Mailverschlüsselung (in Vorbereitung)!.

Ab Windows 2000 könnt Ihr euch selber ein eignes Vollzertifikat (mit privaten Schlüssel) erstellen lassen. Dieses Zertifikat ist zwar nicht von einer CA signiert, aber für den privaten Gebrauch voll einsatzfähig. Windows 2000 legt automatisch für jeden User ein Zertifikat an. Vorgehen:

  1. Systemsteuerung
  2. Verwaltung
  3. Lokale Sicherheitseinstellung
  4. Richtlinien öffentlicher Schlüssel
  5. Agenten für Wiederherstellung von verschusselten Daten
  6. Links den User selektieren
  7. doppelklicken
  8. Registrierkarte Details wählen
  9. In Datei kopieren wählen
  10. Den Anweisungen folgen (unbedingt mit Privaten Schlüssel exportieren)

Ist ein Zertifikat wie das andere und kann ich die in jedem Programm einsetzen?

Nein!!! - Es gibt unterschiedliche Zertifikate und nicht jedes Programm unterstützt jedes Zertifikatsformat. Wir (User) können nun nur hoffen, dass sich langsam ein Standard finden wird. Derzeit kristallisieren sich folgende Systeme zur Verschlüsselung und Signatur von Emails raus:

  • PGP : (Pretty Good Privacy)
  • S/MIME : PEM (Privacy Enhanced Mail)
  • MailTrusT : Erweiterung von PEM, die dessen Mängel weitgehend behebt und den deutschen Verhältnissen anpasst.

Nähere Erklärungen zu diesen Systemen geben wir weiter unten. Wichtig ist nur, dass diese Systeme alle ein unterschiedliches Zertifikat verwenden. Das X.509-Zertifikat, dass bei S/MIME verwendet wird, solltet Ihr euch auf jedem Fall schon mal merken. Dieses Zertifikatsformat ist mit am weitesten verbreitet.

Wo kann ich diese Zertifikate den sonst noch gebrauchen?

Im letzten Punkt haben wir den Einsatz von Zertifikaten im Bereich EMail gezeigt. Einige Zertifikate (auch das X.509-Zertifikat) werden sowohl im WorldWideWeb (z. B. SSL) als auch im ECash (z. B. SET) verwendet. Wichtig wird der Einsatz von Zertifikaten auch im Bereich ECommerce, um rechtsverbindliche Geschäfte im Internet zu realisieren!

Wie sieht den so ein Zertifikat jetzt aus?

Wie oben schon erwähnt, werden die PGP CA-Zertifikate und die X.509 CA-Zertifikate am häufigsten eingesetzt. Im folgenden Abschnitt werden wir mal kurz auf den Aufbau eines X.509v3-Zertifikates eingehen (v3 bedeutet Version 3). Die genaue Spezifikation zum X.509v3-Zertifikat wird weiter unten (Zertifikatsaufbau) gezeigt. Wenn Du Dir das mal angesehen hast, wirst Du die Sache vermutlich für tierisch kompliziert halten. Du kannst Dir folgendes zum Zertifikatsaufbau/Inhalt merken:

Ein Zertifikat enthält eigentlich ähnliche Daten wie Dein Personalausweis. In Deinem Zertifikat sind der Aussteller (Zertifizierungsstelle / CA) vergleichbar mit der Behörde, die Gültigkeitsdauer, Dein Name, EMail, Adresse und eine Zertifikatsnummer (vgl. Personalausweisnummer) gespeichert. Ferner beinhaltet Dein Zertifikat auch Deinen Öffentlichen Schlüssel (Public Key), mit dem andere Daten für Dich verschlüsseln können. Das ganze ist in einem ASN.1-Kodierten Datenstream in einer Datei auf Deinem PC oder auf Deiner Chipkarte abgespeichert. Falls Du aber mehr darüber wissen willst, solltest Du Dich unbedingt mit der ASN.1-Sprache auseinandersetzen. Ein paar Grundlegende Infos findest Du auf unserer ASN.1-Page.

Kann ich mit fremden Zertifikaten auch signieren / entschlüsseln?

Nur, wenn Du im Besitzt eines Vollzertifikates (d. h. mit privaten Schlüssel) bist. Ein Vollzertifikat (Eigenes Zertifikat) besitzt einen privaten Schlüssel (Signieren / Entschlüsseln) und einen öffentlichen Schlüssel (Verifizieren / Verschlüsseln). Im Gegensatz dazu verfügt ein fremdes Zertifikat nur über einen öffentlichen Schlüssel (Verifizieren / Verschlüsseln).

Zum Beispiel bietet das Programm abylon BASIC von abylonsoft die folgende sechs Möglichkeiten:

  1. Signieren und Verschlüsseln (SME für...)
  2. Verifizieren und Entschlüsseln (SME auspacken...)
  3. Signieren
  4. Verifizieren
  5. Verschlüsseln
  6. Entschlüsseln

Die Operationen Signieren (Unterschreiben) und Entschlüsseln kannst Du nur mit einem Vollzertifikat (Eigenem Zertifikat) durchführen. Die Operationen Verschlüsseln für..., Verifizieren, Verschlüsseln kannst Du mit einem Vollzertifikat oder Fremdzertifikat ausführen. Aber Vorsicht!!! - Wenn Du Daten mit einem Fremdzertifikat Verschlüsselst (Verschlüsseln für...), dann kannst Du diese anschließend auch selber nicht mehr entschlüsseln. Das ist eigentlich der Witz an der ganzen Sache.

Wenn Du nun eine Datei signierst und Deinem Freund schickst, der z.B. auch das Programm abylon BASIC (oder abylon READER) installiert hat, dann wird Dein Zertifikat mit Deinem öffentlichen Schlüssel automatisch bei Deinem Freund in die Zertifikatsdatenbank eingetragen. Dein Freund kann dann mit Deinem Zertifikat nur Daten für Dich verschlüsseln und Deine Unterschrift prüfen (verifizieren), jedoch nicht damit signieren (Unterschreiben) oder für Dich bestimmte Daten entschlüsseln.

Das ist leider etwas kompliziert, aber deshalb auch idiotensicher!!! Wir können euch nur empfehlen, in Zukunft euere EMails etc. nur noch in signierter und verschlüsselter Form abzuwickeln.

Was ist den jetzt so geil an diesem Zertifikat?

Nun - Wie im letzten Punkt beschrieben, stehen Deine persönlichen und noch andere Daten in Deinem Zertifikat. Dieses Zertifikat wird von einer zugelassenen Zertifizierungsstelle (CA) ausgestellt, bei der Du Dich eindeutig identifizieren musstest. Die Zertifizierungsstelle hat nun über die Daten Deines Zertifikats "tbsCertificate" einen HASH-Wert gebildet, der je nach Verfahren bis zu 160 Bit lang sein kann. Dieser HASH-Wert wie ein Fingerabdruck und ist eindeutig dem Inhalt Deines Zertifikats zugeordnet. Wenn Du auch nur 1 Bit an Deinem Zertifikat änderst, ist der HASH-Wert anders! Damit Du aber nicht in Versuchung kommst irgendwas zu ändern, wird dieser HASH-Wert von der Zertifizierungsstelle verschlüsselt (Signiert) und Deinem Zertifikat hinzugefügt "signature". Wenn Du jetzt Deinen Namen oder andere Zertifikatsdaten änderst, stimmt die Signatur bei Deinem Zertifikat nicht mehr und es ist wertlos. Damit sind Deine Personalien eindeutig und fälschungssicher in digitaler Form abgelegt - Und das ist doch GEIL - oder?

Nun kannst Du Dich bei anderen Freunden oder Firmen mit Deinem Zertifikat eindeutig identifizieren (ähnlich Deiner Unterschrift). Du kannst z. B. übers Internet einen Vertrag abschließen, der mit hoher Wahrscheinlichkeit (SigG) rechtswirksam ist. "Hohe Wahrscheinlichkeit" bedeutet, dass es noch keinen Präzedenzfall gibt und niemand genau sagen kann, wie die Richter urteilen werden.

Ich kann mir doch selber ein Zertifikat machen und/oder die Angaben fälschen - oder?

Ja! - Aber Du stehst mit Deinem Zertifikat dann ganz alleine auf dieser großen Welt. Niemand wird Dein Zertifikat anerkennen. Der Trick ist, dass die Zertifizierungsstelle Dein Zertifikat mit einen sehr sehr geheimen RSA-Schlüssel verschlüsselt (Signiert) hat und Du nicht über diesen Schlüssel verfügst. Zu diesem geheimen RSA-Schlüssel gibt es noch einen öffentlichen Schlüssel, den die Zertifizierungsstelle veröffentlicht. Mit diesem öffentlichen Schlüssel kann jeder Dein Zertifikat auf Authentizität prüfen.

Allerdings kannst Du Dir auch ein Zertifikat selber ausstellen, dass Du dann aber nur für den privaten Gebrauch nutzen kannst. Wenn Deine Freunde nun Dein Zertifikat manuell akzeptieren, dann ist es zumindest im privaten Rahmen im vollen Umfang einsetzbar.

Die Theorie war ja ganz nett, aber wie sieht's in der Praxis aus?

Dafür gibt's ab dem 11.08.1999 die PraxisPage! (findet Ihr auf der ITSicherheit)

Außerdem könnt Ihr euch auch unter Windows mal die Zertifikate ansehen. Dafür geht einfach unter

Start - Einstellungen - Systemsteuerung in die Internetoptionen

und schaut euch auf Inhalte die Installierten Zertifikate an. Evtl. verfügt Ihr ja schon über ein eigenes Zertifikat. Das findet Ihr dann unter "Eigene".

Fazit:

Falls euch noch Fragen und/oder Informationen bzgl. Zertifikaten interessieren, so schreibt uns bitte eine E-Mail (Kontakt) und wir werden versuchen so schnell wie möglich diese Dinge hier noch mit einzubauen.
 
Schlagzeilen

Unsere neu gestaltete Homepage ist Joomla-basiert! Wir freuen uns schon auf Eure tatkräftige Mithilfe zu unseren Themen Sicherheit und Software. Einen Beitrag einreichen...

Werbung
Conrad Electronic

(c) 1998-2009 LogoSec based on Design from raduga
powered by Softwaredesign-Solution