DFNPKI: Was sind Zertifikate
Wie funktionieren Zertifikate?
Die Abläufe rund um Zertifikate, Zertifizierungsstellen, Signatur und Verschlüsselung werden in dieser Beschreibung „nur“ aus Anwendersicht beschrieben. Es wird explizit auf die Beschreibung der mathematischen Feinheiten und der zugrundeliegenden mathematischen Verfahren verzichtet.[1] Die Unterscheidung zwischen „Unumkehrbar“ und „praktisch Unumkehrbar“ wird hier einem allgemein einfacherem Verständnis geopfert, ebenso die möglichen Auswirkungen weiterer Fortschritte im Bereich der Quantentheorie.
Ein letzter Hinweis sei erlaubt, es geht in dieser Beschreibung „nur“ um die Anwendung von „Benutzerzertifikaten“, die Welt der „Serverzertifikate“ bleibt hier außen vor.
Zertifikate basieren auf mathematischen Verfahren, die in eine Richtung sehr einfach, in die Gegenrichtung aber nur sehr schwierig und mit immensem[2] Zeitaufwand berechnet werden können.
In der Anwendung kann man Zertifikate mit besonderen Vorhangschlössern vergleichen die zwei gegensätzlich funktionierende Schlüssel haben. Wurde das Schloss mit dem einen Schlüssel verschlossen, kann es nur mit dem zweiten wieder geöffnet werden, und umgekehrt.
Einer dieser Schlüssel verbleibt immer unter Kontrolle des Besitzers (privater Schlüssel) der zweite Schlüssel wird in viele Kopien öffentlich verteilt (öffentlicher Schlüssel).
Mittels dieser Eigenschaft kann die Unabstreitbarkeit (Authentizität), Unveränderbarkeit (Integrität) und Vertraulichkeit von Dokumenten sichergestellt werden. Dies bedeutet vor alle drei Dinge:
Unabstreitbarkeit:
Bei einem Dokument mit gültiger Signatur ist sichergestellt das dieses Dokument vom Besitzer des Zertifikates signiert/unterschrieben wurde.
Unveränderbarkeit:
Jede nachträgliche Änderung an einem signierten Dokument führt zu einem Fehler in der Zertifikatsprüfung.
Vertraulichkeit:
Dokumente können mittels Zertifikaten verschlüsselt werden, so daß nur ein Berechtigter Empfänger dieses Dokument lesen kann (wird primär für Mail verwendet).
Um ein Funktionieren dieses Systems zu gewährleisten und insbesondere die Zuordnung der Zertifikate zu den Benutzern sicherzustellen, kommt als zusätzlicher Mitspieler noch eine sog. Zertifizierungsstelle ins Spiel, die die Zertifikate ausstellt und signiert.
Was passiert beim Signieren?
Der Verfasser eines Dokumentes erstellt wie gewohnt sein Dokument. Ist das Dokument fertig und soll signiert werden wird im Hintergrund eine Prüfsumme des Dokumentes erstellt. Diese ist für das jeweilige Dokument eindeutig und ermöglicht es Änderungen am Inhalt des Dokumentes zu erkennen. Anschließend wird die Prüfsumme mit dem privaten Schlüssel des Erstellers verschlüsselt.
Da der zweite Schlüssel öffentlich zugänglich ist, kann nun jeder Empfänger des Dokumentes diese verschlüsselte Prüfsumme entschlüsseln und mit einer selbst über das erhaltene Dokument erstellten Prüfsumme vergleichen. Hier gibt es nun drei mögliche Ergebnisse:
- Die Prüfsumme lässt sich mit dem öffentlichen Schlüssel entschlüsseln und die beiden Prüfsummen stimmen überein. Dies bedeutet das daß Dokument vom Besitzer des Schlüssels stammt, und auf dem Weg zum Empfänger nicht verändert wurde.
- Die Prüfsumme lässt sich mit dem öffentlichen Schlüssel entschlüsseln und die beiden Prüfsummen stimmen nicht überein. Dies bedeutet das daß ursprüngliche Dokument vom Besitzer des Schlüssels stammt, aber das es auf dem Weg zum Empfänger verändert wurde.
- Die Prüfsumme lässt sich mit dem öffentlichen Schlüssel nicht entschlüsseln. Dies bedeutet das das Dokument nicht dem angegebenen Absender zugeordnet werden kann.
Was passiert beim Verschlüsseln?
Auch hier erstellt der Verfasser sein Dokument ganz normal. Ist das Dokument fertig, "holt" er[3] sich den öffentlichen Schlüssel des Empfängers, und verschlüsselt das Dokument mit diesem.
Da sich eine Verschlüsselung mit dem öffentlichen Schlüssel nur mit dem privaten Schlüssel aufheben lässt, ist Sichergestellt das nur der Besitzer des privaten Schlüssels das Dokument wieder entschlüsseln kann.
Natürlich lässt sich der Vorgang des Signierens eines Dokumentes mit dem Verschlüsseln eines Dokumentes kombinieren. Hierbei wird sowohl die Herkunft und Integrität des Dokumentes als auch die Vertraulichkeit eines Dokumentes gewährleistet.
Wo kommt die Zertifizierungsstelle ins Spiel?
Die Aufgabe der Zertifizierungsstellen ist eine Vertrauensbasis für Zertifikate zu schaffen. Dies geschieht im Falle der DFN-Zertifizierungsstelle die wir an der DHBW nutzen durch die Kontrolle der Einhaltung bestimmter Spielregeln. Insbesondere der Identifikation des Benutzers der ein Zertifikat beantragt, daher ist z.B. auch die Vorlage eines Personalausweises oder eines anderen amtlichen Personaldokumentes für die Beantragung eines Benutzerzertifikates erforderlich.
Bei der Beantragung des Benutzerzertifikates passieren drei grundlegende Dinge:
- Das Schlüsselpaar wird erzeugt (privater Schlüssel und öffentlicher Schlüssel)
- Ein Zertifikatantrag zum Ausdrucken wird erzeugt
- Der öffentliche Schlüssel wird an die Zertifizierungsstelle übertragen
Wird nun der Antrag bei der Zertifizierungsstelle nach Prüfung der Identität[4] freigegeben wird der öffentliche Schlüssel des Benutzers mit dem geheimen Schlüssel der Zertifizierungsstelle signiert, und dem Benutzer zur Verfügung gestellt.
Durch diesen Zwischenschritt wird erreicht das nicht mehr die Vertrauenswürdigkeit jedes einzelnen Benutzerzertifikats geprüft werden muss, sondern (sofern die Zertifizierungsstelle vertrauenswürdig ist) die Gültigkeit der Signatur der jeweiligen Zertifizierungsstelle maßgeblich wird.
Eine abschließende Spitzfindigkeit sei hier noch erlaubt: Wenn im Zusammenhang mit Signaturen und Zertifikaten Begriffe wie „Vertrauenswürdigkeit“ oder „Echtheit“ verwendet werden, bezieht sich dies immer auf die formalen Aspekte eines Dokumentes (unverfälscht, nicht abstreitbar etc.), nicht auf die Qualität des Inhaltes.
Fußnoten/Hinweise
- ↑ Weitere Lektüre z.B.:
Singh, S.: Geheime Botschaften, dtv Verlagsgesellschaft, 2001;
Ertel W., Löhmann, E.: Angewandte Kryptographie, Carl Hanser Verlag, 2019. - ↑ Je nach Verfahren und herangezogener Literaturstelle liegt der Aufwand im Bereich der geschätzten Lebensdauer unseres Universums.
- ↑ D.h. sein Mailprogramm, wobei es hier zum Teil drastische Unterschiede im Automatisierungsgrad gibt.
- ↑ Die Identitätsprüfung ist durch unsere Zertifizierungsstelle (DFN) vorgeschrieben, dies kann durch die Mitarbeiter des IT.S nicht ausgehebelt werden.