Elektronische Zertifikate

Elektronische Zertifikate

Ein Problem mit öffentlichen Schlüsseln ist, dass sie zwar öffentlich bekannt sein können, aber nicht festgestellt werden kann, ob sie wirklich vom angegebenen Absender stammen. Elektronische Zertifikate helfen, diese Unsicherheit zu überwinden.
Mit Hilfe von Zertifikaten können die Echtheit von öffentlichen Schlüsseln und sonstigen Attributen, wie z.B. Ausbildungsqualifikationen, Kreditrahmen, Positionen in Organisationen, usw. überprüft werden. Ein Zertifikat könnte man als Äquivalent zu einem Ausweispapier (z.B. Personalausweis, Reisepass) in der realen Welt bezeichnen. Bei Zertifikaten handelt es sich um ein elektronisches Dokument, welches Attribute zu einem Inhaber, wie Name, E-Mail-Adresse sowie andere persönliche Angaben, und dessen öffentlichen Schlüssel enthält. Ausgestellt wird das Zertifikat durch eine Zertifizierungsinstanz, die zuvor die Angaben des Benutzers überprüft. Das kann eine Zertifizierungsinstanz eines Anbieters für digitale Signaturen sein, oder eine Abteilung eines Unternehmens bzw. einer Organisation oder im Zweifel auch eine Behörde. Die Informationen zu diesem Aussteller sowie seine digitale Signatur über alle Attribute des Zertifikats sind ebenfalls Teil des Zertifikats, um die Authentizität zu gewährleisten und das Zertifikat vor Manipulation zu schützen. Durchgesetzt als Standard in diesem Bereich hat sich der ITU-Standard X.509. Bei Erhalt eines Zertifikates kann dank der digitalen Signatur des Ausstellers die Echtzeit einfach überprüft werden. Damit steht ein Nachweis zur Verfügung, dass ein öffentlicher Schlüssel und weitere Attribute echt sind.

Aufbau und Erstellung von Zertifikaten

Der öffentliche Schlüssel eines jeden Nutzers wird in Form eines Zertifikats zur Verfügung gestellt. Dieses enthält im mindestens die Kennung der Zertifizierungsinstanz, die das Zertifikat erstellt hat, die Kennung des Nutzers, für den das Zertifikat erstellt wurde, seinen öffentlichen Schlüssel und eine Angabe zur Gültigkeitsdauer des Zertifikats.
Das Zertifikat ist von der Zertifizierungsinstanz, die es erstellt hat, digital signiert. Das Ergebnis, die digitale Signatur des Zertifikates der Zertifizierungstelle, ist ebenfalls Bestandteil des Zertifikates (siehe Abb. 7).
Jeder, der den öffentlichen Schlüssel der Zertifizierungsinstanz besitzt, ist damit in der Lage zu überprüfen, ob der öffentliche Schlüssel eines Nutzers wirklich von der Zertifizierungsinstanz stammt.
Mit anderen Worten: Die Zertifizierungsinstanz veröffentlicht Zertifikate mit öffentlichen Schlüsseln, die die Zugehörigkeit von Nutzern und deren öffentlichen Schlüsseln bestätigen.

Verifizierung von Zertifikaten

Nach dem Erhalt eines Zertifikats wird die aktuelle kryptographische Prüfsumme über den Inhalt des Zertifikats berechnet. Außerdem wird aus der digitalen Signatur des Zertifikats und dem öffentlichen Schlüssel der Zertifizierungsinstanz unter Verwendung des Public-Key-Verfahrens die ursprüngliche kryptographische Prüfsumme berechnet. Stimmen die beiden Prüfsummen überein, ist die Unversehrtheit und die Echtheit des öffentlichen Schlüssels des Nutzers bewiesen (siehe Abb. 8).
Voraussetzung ist, dass alle Nutzer des Sicherheitssystems der Zertifizierungsinstanz vertrauen können. Dazu muss die Zertifizierungsinstanz bestimmten Sicherheitsanforderungen genügen. Im Gesetz zur Digitalen Signatur werden die Sicherheitsanforderungen beschrieben, die eine Zertifizierungsinstanz erfüllen muss, die rechtlich anerkannte Zertifikate ausgeben möchte. Dazu zählen unter anderem vertrauenswürdiges Personal, zertifizierte Sicherheitskomponenten und eine vertrauenswürdige Systemumgebung. In einem globalen Sicherheitssystem können parallel oder hierarchisch verteilte Zertifizierungsinstanzen zusammengefasst sein.

Es bleibt jedoch das Problem, dass der Nutzer zuvor an den öffentlichen Schlüssel der Zertifizierungsinstanz kommen muss. Eine Möglichkeit ist eine Nutzung von Wurzelzertifikaten. Bei einem Wurzelzertifikat handelt es sich um ein selbst signiertes Zertifikat, welches den öffentlichen Schlüssel des Ausstellers, der Zertifizierungsinstanz enthält. Die Wurzelzertifikate sind besonders sensibel und haben einen hohen Schutzbedarf. Wäre ein Angreifer in der Lage, auf einem Rechnersystem ein falsches Wurzelzertifikat unterzubringen, wäre der Benutzer zahlreichen Angriffsszenarien schutzlos ausgeliefert. Daher werden Betriebssysteme oder Internetbrowser bereits mit den gängigsten Wurzelzertifikaten ausgestattet. Beispiele von Wurzelzertifikaten, die von den gängigen Browsern, wie Windows Internet-Explorer und Firefox, zur Verfügung gestellt werden, sind: Deutsche Telekom Root CA, GTE GlobalSign Root CA, TC TrustCenter CA und von VeriSign.
von Dieses Einbringen von Wurzelzertifikaten in Internetbrowser unterliegt einer strengen Prüfung der Zertifizierungsinstanz auf Vertrauenswürdigkeit.
Aus diesem Grund sollte bei Erwerb dieser Produkte auf einen vertraulichen Bezugskanal geachtet werden.
In der Tabelle 1 ist der Inhalt eines X.509-Zertifikats dargestellt.

Tabelle 1: Aufbau eines X.509-Zertifikates

Versionsnummer z.B. X.509v3

Seriennummer vom Zertifikat

Verwendete Algorithmen für die Signatur und Hashwert

Weitere Angaben zum Herausgeber

Gültigkeit des Zertifikats (z. B. nicht vor xxx oder nicht nach xxx)

Angaben zum Inhaber

Öffentlicher Schlüssel des Inhabers

Erweiterungen, die nach X.509 erlaubt sind

Signatur des Herausgebers

Kryptographische Prüfsummen und Zertifikate sind wichtige Bestandteile moderner Sicherheitssysteme. Die beiden Sicherheitsmechanismen helfen die Verbindung zwischen öffentlichen Schlüsseln mit weiteren Attributen und Benutzern sowie zwischen Nachrichten und digitale Signaturen mathematisch zu überprüfen.