Inhaltspezifische Aktionen

Technisches: Zertifikate und Public Key Infrastruktur

Digitale Zertifikate nach dem Standard X.509 sind für einen sicheren Datenaustausch, bei dem der Inhalt zu schützen oder der Kommunikationspartner verlässlich zu identifizieren ist, das technisch übliche und adäquate Mittel. Innerhalb einer Public Key Infrastruktur sind (persönliche) Nutzer- oder (unpersönliche) Server-Zertifikate sowie die sie signierenden übergeordnete Zertikate einer Zertifikats-Authorität (CA) hierarchisch angeordnet.

Sinn von Zertifikaten

 Bei elektronischer Kommunikation – z.B. Versand von E-Mails, Nutzung der Angebote von Web-Servern, Authentifizierung zum Zugriff auf geschützte Netze per VPN – gewinnen zunehmend Sicherheitsaspekte an Bedeutung. Diese Aspekte sind

  • Verschlüsselung der Informationen während der Übertragung
    z.B. Verhindern des Abhörens von Inhalten von E-Mails, Login-Informationen [Passwörtern],
  • Verschlüsselung der Informationen bei der Aufbewahrung
    z.B. das Verhindern des Lesens von Dokumenten, die in unbefugte Hände geraten sind,
  • Prüfung der Integrität der Daten, d.h. das Erkennen, ob Veränderungen vorgenommen wurden,
    z.B. bei elektonisch vorliegenden Vertragstexten,
  • Prüfung der Identität der Kommunikationspartner
    z.B. zur Erkennung von nachgebauten Login-Seiten (von Banken, ...), die zur Eingabe vertraulicher Informationen auffordern, oder der Prüfung der Identität der Absender von E-Mails, der Ersteller von elektonischen Dokumenten.

Zertifikate

Diese Anforderungen lassen sich mit asymmetrischen Schlüsselverfahren im Rahmen einer Public Key Infrastruktur (PKI) nach dem Standard X.509 erfüllen. Diese besteht im wesentlichen aus folgenden Komponenten:

  • Paaren von privaten und öffentlichen Schlüsseln, wobei
    • der private Teil nur dem Inhaber bekannt ist,
    • der öffentliche Teil über z.B. Verzeichnisdienste wie LDAP veröffentlich werden kann;
  • einer übergeordneten Zertifikats-Authorität (CA), die im Rahmen einer Policy festlegt, nach welchen Regeln Schlüssel zu erstellen sind und wie öffentliche Schlüssel durch die CA signiert werden

PKI

Durch die Signatur eines öffentlichen Schlüssels durch die übergeordnete CA

  • wird ein Zertifikat erzeugt: dieses besteht u.a. aus dem öffentlichen Schlüssel des Zertifikatnehmers oder -inhabers, aus Informationen wie dem Namen des Zertifikatnehmers, Angaben zum Gültigkeitszeitraum und schließlich einer elektronischen Unterschrift der CA unter all diese Daten
  • und damit durch die CA die Zuordnung dieses Zertifikats zu einer identifizierten Person bestätigt. Diese Identifizierung gestattet es später, signierte Daten verlässlich einer Person zuzuordnen.

Da Zertifikate stets durch ein übergeordnetes Zertfiikat signiert sind, entsteht so eine Zertifikats-Hierarchie.

Ein Zertifikat ist durch den Nutzer (Besucher einer SSL-gesicherten Webseite, Leser eines signiertes PDF-Dokuments oder einer singierten Mail) dadurch überprüfbar, dass die Gültigkeit der im Zertifikat enthaltenen CA-Signatur geprüft wird und man außerdem der CA dahingehend vertraut, dass diese keine unberechtigten Zertikate ausstellt. Wenn man bei einer mehrstufigen Hierarchie so bis bis zum obersten CA-Zertifkat durchgeprüft hat, ist es hinreichend, diesem obersten Root-CA-Zertifikat zu vertrauen.

 

Die Zertifikatsprüfung – auch hinsichtlich andere Kriterien wie Gültigkeitszeitraum, Widerrufslisten etc. – erledigen die üblichen Programme – Thunderbird oder MS Outlook für signierte Mails, Firefox oder Internet Explorer für SSL-Server, Adobe Acrobat für signierte PDF-Dateien – i.allg. automatisch. Die Root-CA-Zertfikate üblicher kommerzieller (Thawte, Verisign, ... für bspw. Banken)  oder universitärer Hierarchien sind daher mit entsprechenden Vertrauenseinstellungen in diesen Anwendungen meist vorinstalliert