Freigeben über

Zertifikate und öffentliche Schlüssel

  • Artikel

Zertifikatdienste sind eine Grundlage für die Public Key Infrastructure (PKI), die die Mittel zur Sicherung und Authentifizierung von Informationen bereitstellt. Die Beziehung zwischen einem Zertifikathalter, der Identität des Zertifikatinhabers und dem öffentlichen Schlüssel des Zertifikatinhabers ist ein wichtiger Teil der PKI. Diese Infrastruktur besteht aus den folgenden Teilen:

Das Paar des öffentlichen/privaten Schlüssels

PKI erfordert die Verwendung von paaren öffentlichen/privaten Schlüsseln. Die Mathematik von öffentlichen/privaten Schlüsselpaaren ist über den Umfang dieser Dokumentation hinaus, aber es ist wichtig, die funktionale Beziehung zwischen einem öffentlichen und einem privaten Schlüssel zu beachten. PKI-Kryptografiealgorithmen verwenden den öffentlichen Schlüssel des Empfängers einer verschlüsselten Nachricht, um Daten zu verschlüsseln und den verwandten privaten Schlüssel und nur den zugehörigen privaten Schlüssel zum Entschlüsseln der verschlüsselten Nachricht.

Ebenso wird eine digitale Signatur des Inhalts, die unten beschrieben wird, mit dem privaten Schlüssel des Signierers erstellt. Der entsprechende öffentliche Schlüssel, der für jeden verfügbar ist, wird verwendet, um diese Signatur zu überprüfen. Die Vertraulichkeit des privaten Schlüssels muss beibehalten werden, da das Framework nach der Kompromittierung des privaten Schlüssels getrennt wird.

Angesichts ausreichender Zeit und Ressourcen kann ein paar öffentlicher/privater Schlüssel kompromittiert werden, das heißt, der private Schlüssel kann entdeckt werden. Je länger der Schlüssel, desto schwieriger ist es, brute Force zu verwenden, um den privaten Schlüssel zu ermitteln. In der Praxis können ausreichend starke Schlüssel verwendet werden, um den privaten Schlüssel in zeitgerechter Weise zu bestimmen, wodurch die Public Key-Infrastruktur ein funktionsfähiger Sicherheitsmechanismus ist.

Ein privater Schlüssel kann im geschützten Format auf einem Datenträger gespeichert werden, in diesem Fall kann er nur mit diesem bestimmten Computer verwendet werden, es sei denn, es wird physisch in einen anderen Computer verschoben. Eine Alternative besteht darin, einen Schlüssel auf einer Smartcard zu haben, die auf einem anderen Computer verwendet werden kann, sofern es über eine Smartcardlese und Unterstützungssoftware verfügt.

Der öffentliche Schlüssel, aber nicht der private Schlüssel des Betreffs eines digitalen Zertifikats wird als Teil der Zertifikatanforderung enthalten. (Daher muss ein öffentliches/privates Schlüsselpaar vorhanden sein, bevor sie die Zertifikatanforderung vornehmen.) Dieser öffentliche Schlüssel wird Teil des ausgestellten Zertifikats.

Die Zertifikatanforderung

Bevor ein Zertifikat ausgestellt wird, muss eine Zertifikatanforderung generiert werden. Diese Anforderung gilt für eine Entität, z. B. einen Endbenutzer, einen Computer oder eine Anwendung. Gehen Sie davon aus, dass sich die Entität selbst befindet. Details ihrer Identität sind in der Zertifikatanforderung enthalten. Nachdem die Anforderung generiert wurde, wird sie an eine Zertifizierungsstelle (Zertifizierungsstelle ) übermittelt. Die Zertifizierungsstelle verwendet dann Ihre Identitätsinformationen, um zu ermitteln, ob die Anforderung die Kriterien der Zertifizierungsstelle für die Ausgabe eines Zertifikats erfüllt. Wenn die Zertifizierungsstelle die Anforderung genehmigt, stellt sie ein Zertifikat für Sie dar, da die Entität in der Anforderung benannt ist.

Zertifizierungsstelle

Bevor Sie Ihr Zertifikat ausgestellt haben, überprüft die CA Ihre Identität. Wenn das Zertifikat ausgestellt wird, wird Ihre Identität an das Zertifikat gebunden, das Ihren öffentlichen Schlüssel enthält. Ihr Zertifikat enthält auch die digitale Signatur der Zertifizierungsstelle (die von jedem überprüft werden kann, der Ihr Zertifikat empfängt).

Da Ihr Zertifikat die Identität der ausstellenden Zertifizierungsstelle enthält, kann eine interessierte Person, die dieser Zertifizierungsstelle vertrauen, diese Vertrauensstellung auf Ihr Zertifikat erweitern. Die Ausstellung eines Zertifikats stellt keine Vertrauensstellung her, sondern überträgt vertrauen. Wenn der Zertifikatsverbraucher die ausstellende Zertifizierungsstelle nicht vertrauenswürdig ist, wird das Zertifikat nicht (oder zumindest nicht) vertrauenswürdig sein.

Eine Kette signierter Zertifikate ermöglicht die Übertragung in andere CAs auch. Dadurch können Parteien, die verschiedene CAs verwenden, weiterhin vertrauenswürdige Zertifikate vertrauen (sofern es eine gemeinsame Zertifizierungsstelle in der Kette gibt, d. h. eine Zertifizierungsstelle, die von beiden Parteien vertrauenswürdig ist).

Das Zertifikat

Zusätzlich zu Ihrem öffentlichen Schlüssel und der Identität der ausstellenden Zertifizierungsstelle enthält das ausgestellte Zertifikat Informationen zu den Zwecken Ihres Schlüssels und Zertifikats. Darüber hinaus enthält sie den Pfad zur Liste der widerrufenen Zertifikate und gibt den Gültigkeitszeitraum des Zertifikats an (Anfangs- und Endtermine).

Wenn der Zertifikatverbraucher der Zertifizierungsstelle für Ihr Zertifikat vertraut, muss der Zertifikatsverbraucher bestimmen, ob das Zertifikat weiterhin gültig ist, indem er die Anfangs- und Endtermine des Zertifikats mit dem aktuellen Zeitpunkt vergleicht und überprüft, ob das Zertifikat nicht in der Liste der widerrufenen Zertifikate enthalten ist.

Die Zertifikatsperrliste

Vorausgesetzt, das Zertifikat wird in einem gültigen Zeitraum verwendet, und der Zertifikatsverbraucher vertrauen der ausstellenden Zertifizierungsstelle, es gibt ein weiteres Element für den Zertifikatverbraucher, um vor der Verwendung des Zertifikats zu überprüfen: die Zertifikatsperrliste (CRL). Der Zertifikatverbraucher überprüft die CRL der Zertifizierungsstelle (der Pfad, der als Erweiterung in Ihrem Zertifikat enthalten ist), um sicherzustellen, dass Ihr Zertifikat nicht in der Liste der Zertifikate aufgeführt ist, die widerrufen wurden. CRLs sind vorhanden, da es Zeiten gibt, in denen ein Zertifikat nicht abgelaufen ist, aber es kann nicht mehr vertrauenswürdig sein. Regelmäßig veröffentlicht die CA eine aktualisierte CRL. Zertifikatverbraucher sind verantwortlich für den Vergleich von Zertifikaten mit dem aktuellen CRL, bevor das Zertifikat vertrauenswürdig ist.

Der öffentliche Schlüssel, der für die Verschlüsselung verwendet wird

Wenn ein Absender eine Nachricht vor dem Senden an Sie verschlüsseln möchte, ruft der Absender zuerst Ihr Zertifikat ab. Nachdem der Absender bestimmt, dass die Zertifizierungsstelle vertrauenswürdig ist und Ihr Zertifikat gültig ist und nicht widerrufen wird, verwendet der Absender Ihren öffentlichen Schlüssel (erinnern Sie sich daran, dass es Teil des Zertifikats ist) mit kryptografischen Algorithmen, um die Nurtextnachricht in Verschlüsselungstext zu verschlüsseln. Wenn Sie den Verschlüsselungstext erhalten, verwenden Sie Ihren privaten Schlüssel, um den Ciphertext zu entschlüsseln.

Wenn ein Drittanbieter die Verschlüsselungstext-E-Mail-Nachricht abfangen, kann der Drittanbieter sie nicht entschlüsseln, ohne auf ihren privaten Schlüssel zuzugreifen.

Beachten Sie, dass der Massen der hier aufgeführten Aktivitäten nicht direkt vom Benutzer behandelt werden.

Ihr öffentlicher Schlüssel, der für die Signaturüberprüfung verwendet wird

Eine digitale Signatur wird als Bestätigung verwendet, dass eine Nachricht nicht geändert wurde und als Bestätigung der Identität des Nachrichtensenders. Diese digitale Signatur hängt von Ihrem privaten Schlüssel und dem Nachrichteninhalt ab. Mithilfe der Nachricht als Eingabe und Ihrem privaten Schlüssel erstellen kryptografische Algorithmen die digitale Signatur. Der Inhalt der Nachricht wird durch den Signierungsprozess nicht geändert. Ein Empfänger kann ihren öffentlichen Schlüssel verwenden (nach der Überprüfung der Gültigkeit, ausgabestellenden Zertifizierungsstelle und des Sperrstatus), um festzustellen, ob die Signatur dem Nachrichteninhalt entspricht und ob die Nachricht von Ihnen gesendet wurde.

Wenn ein Drittanbieter die beabsichtigte Nachricht abfangen, ändert es (sogar leicht) und leitet sie und die ursprüngliche Signatur an den Empfänger weiter, wird der Empfänger nach Prüfung der Nachricht und Signatur in der Lage sein, zu bestimmen, dass die Nachricht verdächtige ist. Wenn ein Dritter eine Nachricht erstellt und mit einer gefälschten digitalen Signatur unter dem Schein sendet, dass es von Ihnen stammt, kann der Empfänger ihren öffentlichen Schlüssel verwenden, um festzustellen, dass die Nachricht und Signatur nicht miteinander übereinstimmen.

Nichtrepudiation wird auch von digitalen Signaturen unterstützt. Wenn der Absender einer signierten Nachricht das Senden der Nachricht verweigert, kann der Empfänger die Signatur verwenden, um diesen Anspruch zu widerlegen.

Beachten Sie, dass die Massen der hier aufgeführten Aktivitäten auch von Software behandelt werden, nicht direkt vom Benutzer.

Rolle "Microsoft-Zertifikatdienste"

Microsoft Certificate Services hat die Rolle, Zertifikate auszustellen oder Anforderungen für Zertifikate zu verweigern, wie von Richtlinienmodulen geleitet, die für die Gewährleistung der Identität des Zertifikatanforderungers verantwortlich sind. Zertifikatdienste bieten auch die Möglichkeit, ein Zertifikat zu widerrufen sowie das CRL zu veröffentlichen. Zertifikatdienste können auch zentral (z. B. an einen Verzeichnisdienst) ausgestellte Zertifikate verteilen. Die Möglichkeit, Zertifikate zusammen mit der Publikation von CRLs zu erstellen, zu verteilen, zu widerrufen und zu verwalten, bietet die erforderlichen Funktionen für öffentliche Schlüsselinfrastrukturen.