Startseite › IT-Sicherheit › Projekte + Software › Public Key Infrastruktur

 

und Zertifikate

Digitale Zertifikate - Technik und Organisation

Digitale Zertifikate als Mittel zur Authentifizierung und zur Verschlüsselung von Daten und Online-Verbindungen gewinnen eine immer größere Bedeutung. Ein Zertifikat beschreibt und beglaubigt die Identität des Besitzers und kann somit als Identitätsnachweis bei Anmeldung an dafür eingerichteten Applikationen wie einem Webserver, VPN-Client, Betriebssytem-Login usw. verwendet werden. Desweiteren kann es bei digitaler Kommunikation wie EMail oder Online-Zugriff auf einen Webserver auch als Mittel zur individuellen Verschlüsselung von Daten eingesetzt werden. Individuell heißt, daß die Daten nur von einem ganz bestimmten Empfänger wieder entschlüsselt werden können.

Das Grundprinzip der digitalen Zertifikate ist der Einsatz eines asymmetrischen Verschlüsselungsverfahrens. Nach bestimmten mathematischen Vefahren werden zwei zueinander gehörige Schlüssel berechnet. Der eine wird veröffentlicht und Kommunikationspartnern zur Verfügung gestellt, der zweite Schlüssel wird vom Besitzer geheim gehalten. Das System zur Beglaubigung und Bereitstellung von öffentlichen Schlüsseln nennt man Public Key Infrastruktur (PKI).

Eine mit dem öffentlichen Schlüssel verschlüsselte Nachricht an den Besitzer der beiden Schlüssel kann nur mit dem geheimen zweiten Schlüssel entschlüsselt werden. Gewisse asymmetrische Verschlüsselungsverfahren wie das bekannte RSA-Verfahren haben außerdem die Eigenart, dass die beiden Schlüssel auch in umgekehrter Reihenfolge eingesetzt werden können. Eine mit dem geheimen Schlüssel verschlüsselte Nachricht kann nur mit dem zugehörigen öffentlichen Schlüssel lesbar gemacht werden. Das beweist gleichzeitig die Unversehrtheit des Inhalts und die Korrektheit der Absenderangabe der Nachricht. Da asymmetrische Verschlüsselungsverfahren aufwändig zu berechnen sind, verwendet man in der Praxis für den Echtheitsnachweis nur einen verschlüsselten Hashwert der Nachricht. Dieses Verfahren wird auch als digitale Signatur bezeichnet, dh. man "unterschreibt" eine lesbare, digitale Nachricht durch Verschlüsselung der Prüfsumme. Ein digitales Zertifikat ist schließlich eine digitale Signatur über den öffentlichen Schlüssel eines Nutzers. Üblicherweise verwendet man Zertifikate nach der Norm X.509v3. Damit ist eine gewisse inhaltliche Struktur vorgegeben, auf der Applikationen aufsetzen können.

Wenn Zertifikate für die Verschlüsselung von Nachrichten, z.B. EMails, genutzt werden sollen, müssen sie allgemein zugänglich sein. Zu diesem Zweck werden Sie gängigerweise als Attribut der Personen-Objekte im LDAP veröffentlicht.

Zur praktischen Handhabung von Zertifikaten durch Benutzer werden sie bevorzugt auf Chipkarten oder USB-Token gehalten, die gleichzeitig zusätzliche Schutzmechanismen gegen Mißbrauch mitbringen. [Link auf Aladdin-Infos bei NetUSE?]

Anders als bei der netzartig organisierten Vertrauensstruktur bei der Nutzung von PGP ("web of trust") sind die Vertrauensverhältnisse bei X.509-Zertifikate streng hierarchisch strukturiert. Zertifikate, dh. Beglaubigungen für die korrekte Identität des Besitzers öffentlicher Schlüssel, werden von einer Certificate Authority (CA) ausgegeben. Die CA definiert und garantiert das Sicherheitsniveau der von ihr ausgegebenen Zertifikate. Wie wird die Identität des Besitzers überprüft? Wie wird die Infrastruktur der CA selbst, mit der die Zertifikate ausgestellt und verwaltet werden, vor Missbrauch geschützt? Für welche Anwendungen sind die Zertifikate zugelassen? Wie ist bei Kompromittierung eines Zertifikates vorzugehen? Wie werden Zertifikate und Zertifikatswiderruflisten veröffentlicht? Diese und weitere Fragen müssen vor dem konkreten Aufbau einer Zertifizierungsstelle anhand der konkreten Anforderungen diskutiert und geklärt werden.

Für größere Firmen und Behörden ist der Betrieb einer eigenen Zertifizierungsstelle lohnenswert. Als Softwareprodukte für die Verwaltung einer CA kommt neben kommerziellen Produkten die OpenSource-Lösung OpenXPKI in Frage. Die Software ist sehr weitgehend an die individuellen Bedürfnisse der Anwender anzupassen, erfordert allerdings auch einen erheblichen Einarbeitungsaufwand auf administrativer Seite.

Wir erarbeiten gemeinsam mit Ihnen ein PKI-Konzept für Ihr Unternehmen und unterstützen Sie bei der Umsetzung.

Die Nutzung von Zertifikaten für offizielle Rechtsgeschäfte ist im deutschen Recht inzwischen offiziell vorgesehen. Allerdings ist der rechtliche Rahmen für diese sogenannten qualifizierten Zertifikate so eng gefaßt, daß man sie weder selbst erstellen und verwalten noch im praktischen Gebrauch für andere Zwecke als im Gesetz definiert einsetzen kann.

Da Aufbau und Verwaltung einer eigenen Zertifizierungsstelle einen erheblichen Personalaufwand bedingt, empfiehlt es sich, Zertifikate für kleine Nutzerzahlen von einem Zertifikatsdienstleister einzukaufen und verwalten zu lassen. NetUSE bietet die Ausstellung und Verwaltung von Zertifikaten im Rahmen des Produktes NetUSE Managed Token an.

Impressum   Sitemap   AGB   Disclaimer