Teilen über

Zertifikate und öffentliche Schlüssel

  • Artikel

Zertifikatdienste sind eine Grundlage für die Public Key Infrastructure (PKI), die die Mittel zum Schützen und Authentifizieren von Informationen bietet. Die Beziehung zwischen einem Zertifikatinhaber, der Identität des Zertifikatinhabers und dem öffentlichen Schlüssel des Zertifikatinhabers ist ein wichtiger Teil der PKI. Diese Infrastruktur besteht aus den folgenden Teilen:

Das Schlüsselpaar "Öffentlicher/Privater Schlüssel"

PKI erfordert die Verwendung von öffentlichen/privaten Schlüsselpaaren. Die Mathematik öffentlicher/privater Schlüsselpaare liegt außerhalb des Umfangs dieser Dokumentation, aber es ist wichtig, die funktionale Beziehung zwischen einem öffentlichen und einem privaten Schlüssel zu beachten. PKI-kryptografische Algorithmen verwenden den öffentlichen Schlüssel des Empfängers einer verschlüsselten Nachricht zum Verschlüsseln von Daten sowie den zugehörigen privaten Schlüssel und nur den zugehörigen privaten Schlüssel, um die verschlüsselte Nachricht zu entschlüsseln.

Ebenso wird eine digitale Signatur des Inhalts erstellt, der unten ausführlich beschrieben wird, mit dem privaten Schlüssel des Signierers. Der entsprechende öffentliche Schlüssel, der für jeden verfügbar ist, wird verwendet, um diese Signatur zu überprüfen. Das Geheimnis des privaten Schlüssels muss beibehalten werden, da der Rahmen nach dem Kompromittierung des privaten Schlüssels auseinanderfällt.

Angesichts ausreichender Zeit und Ressourcen kann ein paar öffentlicher/privater Schlüssel kompromittiert werden, d. h. der private Schlüssel kann ermittelt werden. Je länger der Schlüssel ist, desto schwieriger ist es, Brute-Force zu verwenden, um den privaten Schlüssel zu ermitteln. In der Praxis können ausreichend starke Schlüssel verwendet werden, um den privaten Schlüssel zeitnah zu bestimmen, wodurch die Public Key-Infrastruktur zu einem lebensfähigen Sicherheitsmechanismus wird.

Ein privater Schlüssel kann in geschütztem Format auf einem Datenträger gespeichert werden, in diesem Fall kann er nur mit diesem bestimmten Computer verwendet werden, es sei denn, er wird physisch auf einen anderen Computer verschoben. Eine Alternative besteht darin, einen Schlüssel auf einer Smartcard zu haben, die auf einem anderen Computer verwendet werden kann, vorausgesetzt, es verfügt über einen Smartcardleser und unterstützende Software.

Der öffentliche Schlüssel, aber nicht der private Schlüssel des Betreffs eines digitalen Zertifikats, wird als Teil der Zertifikatanforderungeingeschlossen. (Daher muss ein öffentliches/privates Schlüsselpaar vorhanden sein, bevor die Zertifikatanforderung gestellt wird.) Dieser öffentliche Schlüssel wird Teil des ausgestellten Zertifikats.

Die Zertifikatanforderung

Bevor ein Zertifikat ausgestellt wird, muss eine Zertifikatanforderung generiert werden. Diese Anforderung gilt für eine Entität, z. B. einen Endbenutzer, einen Computer oder eine Anwendung. Gehen Sie zur Diskussion davon aus, dass sich die Entität selbst befindet. Details Ihrer Identität sind in der Zertifikatanforderung enthalten. Nachdem die Anforderung generiert wurde, wird sie an eine Zertifizierungsstelle (CA) übermittelt. Die Zertifizierungsstelle ermittelt dann anhand Ihrer Identitätsinformationen, ob die Anforderung die Kriterien der Zertifizierungsstelle für die Ausstellung eines Zertifikats erfüllt. Wenn die Zertifizierungsstelle die Anforderung genehmigt, gibt sie ein Zertifikat an Sie aus, als die in der Anforderung benannte Entität.

Die Zertifizierungsstelle

Bevor Sie Ihr Zertifikat ausstellen, überprüft die Zertifizierungsstelle Ihre Identität. Wenn das Zertifikat ausgestellt wird, ist Ihre Identität an das Zertifikat gebunden, das Ihren öffentlichen Schlüssel enthält. Ihr Zertifikat enthält auch die digitale Signatur der Zertifizierungsstelle (die von allen Personen überprüft werden kann, die Ihr Zertifikat erhalten).

Da Ihr Zertifikat die Identität der ausstellenden Zertifizierungsstelle enthält, kann eine interessierte Partei, die dieser Zertifizierungsstelle vertraut, diese Vertrauensstellung auf Ihr Zertifikat erweitern. Die Ausstellung eines Zertifikats stellt keine Vertrauensstellung fest, überträgt jedoch vertrauen. Wenn der Zertifikatanwender der ausstellenden Zertifizierungsstelle nicht vertraut, vertrauen sie Ihrem Zertifikat (oder zumindest nicht).

Eine Kette von signierten Zertifikaten ermöglicht es, auch an andere Zertifizierungsstellen zu übertragen. Auf diese Weise können Parteien, die unterschiedliche Zertifizierungsstellen verwenden, weiterhin vertrauenswürdige Zertifikate (vorausgesetzt, es gibt eine gemeinsame Zertifizierungsstelle in der Kette, d. h. eine Zertifizierungsstelle, die von beiden Parteien als vertrauenswürdig eingestuft wird).

Das Zertifikat

Zusätzlich zu Ihrem öffentlichen Schlüssel und der Identität der ausstellenden Zertifizierungsstelle enthält das ausgestellte Zertifikat Informationen über die Zwecke Ihres Schlüssels und Zertifikats. Darüber hinaus enthält sie den Pfad zur Liste der widerrufenen Zertifikate der Zertifizierungsstelle und gibt den Gültigkeitszeitraum des Zertifikats an (Anfangs- und Endtermine).

Vorausgesetzt, der Zertifikatanwender vertraut der ausstellenden Zertifizierungsstelle für Ihr Zertifikat, muss der Zertifikatsanwender ermitteln, ob das Zertifikat noch gültig ist, indem er die Anfangs- und Enddaten des Zertifikats mit der aktuellen Uhrzeit vergleicht und überprüft, ob das Zertifikat nicht in der Liste der widerrufenen Zertifikate enthalten ist.

Die Zertifikatsperrliste

Wenn das Zertifikat in einem gültigen Zeitraum verwendet wird und der Zertifikatsanwender der ausstellenden Zertifizierungsstelle vertraut, gibt es ein weiteres Element für den Zertifikatsanwender, bevor es das Zertifikat verwendet: die Zertifikatsperrliste (CRL). Der Zertifikatanwender überprüft die CRL der Zertifizierungsstelle (der Pfad, zu dem in Ihrem Zertifikat als Erweiterung enthalten ist), um sicherzustellen, dass ihr Zertifikat nicht in der Liste der Zertifikate enthalten ist, die widerrufen wurden. CRLs sind vorhanden, da es Zeiten gibt, in denen ein Zertifikat nicht abgelaufen ist, aber nicht mehr vertrauenswürdig sein kann. In regelmäßigen Abständen veröffentlicht die Zertifizierungsstelle eine aktualisierte CRL. Zertifikatsanwender sind dafür verantwortlich, Zertifikate mit der aktuellen CRL zu vergleichen, bevor Sie das Zertifikat als vertrauenswürdig betrachten.

Ihr öffentlicher Schlüssel, der für die Verschlüsselung verwendet wird

Wenn ein Absender eine Nachricht vor dem Senden an Sie verschlüsseln möchte, ruft der Absender zuerst Ihr Zertifikat ab. Nachdem der Absender festgestellt hat, dass die Zertifizierungsstelle vertrauenswürdig ist und Ihr Zertifikat gültig ist und nicht widerrufen wird, verwendet der Absender Ihren öffentlichen Schlüssel (erinnern Sie sich daran, dass es Teil des Zertifikats ist) mit kryptografischen Algorithmen, um die Nur-Text- Nachricht in Chiffretext-zu verschlüsseln. Wenn Sie den Chiffretext erhalten, verwenden Sie Ihren privaten Schlüssel, um den Chiffretext zu entschlüsseln.

Wenn ein Drittanbieter die Verschlüsselungstext-E-Mail-Nachricht abfangen, kann der Dritte sie nicht entschlüsseln, ohne auf Ihren privaten Schlüsselzuzugreifen.

Beachten Sie, dass der Großteil der hier aufgeführten Aktivitäten von Software behandelt wird, nicht direkt vom Benutzer.

Ihr öffentlicher Schlüssel, der für die Signaturüberprüfung verwendet wird

Eine digitale Signatur wird als Bestätigung verwendet, dass eine Nachricht nicht geändert wurde und als Bestätigung der Identität des Absenders der Nachricht. Diese digitale Signatur hängt von Ihrem privaten Schlüssel und dem Nachrichteninhalt ab. Mithilfe der Nachricht als Eingabe und Ihrem privaten Schlüssel erstellen kryptografische Algorithmen die digitale Signatur. Der Inhalt der Nachricht wird vom Signiervorgang nicht geändert. Ein Empfänger kann Ihren öffentlichen Schlüssel verwenden (nachdem Sie die Gültigkeit, die Ausstellungsstelle und den Sperrstatus Ihres Zertifikats überprüft haben), um zu bestimmen, ob die Signatur dem Nachrichteninhalt entspricht und ob die Nachricht von Ihnen gesendet wurde.

Wenn ein Drittanbieter die beabsichtigte Nachricht abfangen, ändert sie (sogar geringfügig) und leitet sie und die ursprüngliche Signatur an den Empfänger weiter, der Empfänger kann bei der Prüfung der Nachricht und Signatur feststellen, dass die Nachricht verdächtig ist. Wenn ein Dritter eine Nachricht erstellt und mit einer gefälschten digitalen Signatur unter dem Vorwand sendet, dass er von Ihnen stammt, kann der Empfänger ihren öffentlichen Schlüssel verwenden, um zu bestimmen, dass die Nachricht und Signatur nicht miteinander übereinstimmen.

wird auch von digitalen Signaturen unterstützt. Wenn der Absender einer signierten Nachricht das Senden der Nachricht verweigert, kann der Empfänger die Signatur verwenden, um diesen Anspruch zu widerlegen.

Beachten Sie, dass der Großteil der hier aufgeführten Aktivitäten auch von Software behandelt wird, nicht direkt vom Benutzer.

Rolle "Microsoft-Zertifikatdienste"

Microsoft-Zertifikatdienste haben die Rolle des Ausstellens von Zertifikaten oder das Verweigern von Zertifikatanforderungen gemäß Richtlinienmodulen, die für die Sicherstellung der Identität des Zertifikatsanforderungers verantwortlich sind. Zertifikatdienste bieten auch die Möglichkeit, ein Zertifikat zu widerrufen und die CRL zu veröffentlichen. Zertifikatdienste können auch ausgestellte Zertifikate zentral verteilen (z. B. an einen Verzeichnisdienst). Die Möglichkeit, Zertifikate zusammen mit der Veröffentlichung von CRLs auszustellen, zu verteilen, zu widerrufen und zu verwalten, bietet die erforderlichen Funktionen für die Public Key-Infrastruktur.