Wenn es um die Schutzziele Authentizität und Integrität geht, spielt das digitale Zertifikat eine wichtige Rolle. Allein ein Passwort zur Feststellung einer Identität reicht oft nicht aus, da dieses erspäht oder erraten werden kann. Deswegen sind in der IT-Sicherheit digitale Zertifikate von großer Bedeutung. Dieser Artikel bietet eine Erklärung, was ein digitales Zertifikat ist und wann dieses zum Einsatz kommt.
Der Inhalt im Überblick
Was ist ein digitales Zertifikat?
Ein digitales Zertifikat ist ein elektronischer Echtheitsnachweis, der die Identität einer Person, eines Rechners oder einer Organisation bescheinigt. Im realen Leben kann ein Zertifikat mit einem Personalausweis verglichen werden. Anhand der Angaben in dem Personalausweis kann die Identität einer Person festgestellt werden.
„Man-in-the-Middle-Angriff“
Bei einer asymmetrischen Verschlüsselung wird ein öffentlicher Schlüssel zum Verschlüsseln und ein privater Schlüssel zum Entschlüsseln benötigt. In diesem Zusammenhang stellt sich aber die Frage, woher der Sender weiß, dass der öffentliche Schlüssel mit dem er die Nachricht verschlüsseln möchte „echt“ ist und nicht von einem Angreifer stammt. Denn ein kryptographischer Schlüssel ist „nur“ eine Information, die verändert werden kann und nichts über die Zuordnung zu einer bestimmten Person bzw. Rechner aussagt. Man kann allein anhand des Schlüssels noch nicht herausfinden, wem dieser „gehört“.
Beispiel: Bob möchte Alice vertrauliche Informationen verschlüsselt zukommen lassen. Eve, die den Datenverkehr belauscht, möchte Kenntnis von dem Inhalt erhalten. Sie gibt sich als Alice aus und schickt Bob eine gefälschte E-Mail, mit ihrem öffentlichen Schlüssel zu. Im Glauben, dass es sich um einen Schlüssel von Alice handelt, verschlüsselt Bob seine Nachricht und versendet diese. Eve fängt die E-Mail ab und entschlüsselt die Nachricht mir ihrem privaten Schlüssel.
Ein Zertifikat soll solch eine „Man-in-the-Middle-Attacke“ verhindern, indem es Schlüssel vor der Manipulation schützt. Anhand des Zertifikates kann überprüft werden, ob der Schlüssel von der/dem Person/Rechner/Organisation stammt, mit der/dem man kommunizieren möchte. Deswegen werden die Schlüssel mittels Zertifikaten zusätzlich „personalisiert“. Bob und Alice können anhand des Zertifikates herausfinden, wem der Schlüssel zugeordnet ist.
Welche Eigenschaften hat ein digitales Zertifikat?
Ein Zertifikat ist ein Datensatz. Gemäß dem Standard X509 muss ein Zertifikat bestimmte Angaben enthalten, kann aber auch zusätzliche optionale Informationen haben. Zu den Pflichtangaben gehören u.a.:
- Namen des Zertifikatsinhabers
- Zertifizierungsstelle
- Gültigkeitsdauer
- Seriennummer
- öffentlicher Schlüssel des Inhabers (damit kann die Echtheit des Schlüssels überprüft werden) und
- digitale Signatur der ausstellenden Zertifizierungsstelle, so dass verifiziert werden kann, ob das Zertifikat echt ist.
Einsatzgebiete von digitalen Zertifikaten
Die Einsatzgebiete von digitalen Zertifikaten sind vielfältig. Sie werden meistens dort eingesetzt, wo die Identität festgestellt werden muss. Insbesondere findet man Zertifikate in den folgenden Systemen:
- SSL/TLS: Bei Netzwerkprotokollen sollen Zertifikate sicherstellen, dass sich der Server identifiziert.
- E-Mail-Verschlüsselung: zur Bestätigung der Echtheit von E-Mails werden ebenfalls Zertifikate eingesetzt.
- Digitale Signatur: Zertifikate werden auch für die digitale Signatur benötigt, um Dokumente als unverfälscht ansehen zu können.
- Identitätsprüfung bei Systemanmeldung: wenn sich zwei Rechner verbinden und vertraulich miteinander kommunizieren möchten (z.B. über VPN), reicht ein Passwort oft nicht aus. Denn dieses kann erspäht oder erraten werden. Auch hier sollte zur Identifikation ein Zertifikat verwendet werden.
Zertifizierungsstellen
Damit Zertifizierungsstellen als vertrauenswürdig angesehen werden können, müssen diese strenge Sicherheitsanforderungen erfüllen, die z.B. in den Signaturgesetzen festgelegt sind. Auch diese haben einen privaten und öffentlichen Schlüssel, wobei Letzterer bekannt sein muss. Die öffentlichen Schlüssel der Zertifizierungsstellen sind in den meisten Browsern bzw. Betriebssystemen bereits vorinstalliert. Durch die Kenntnis des öffentlichen Schlüssels der Zertifizierungsinstanz kann der Browser ein empfangenes Zertifikat überprüfen.
Aber auch hier stellt sich die Frage, ob der öffentliche Schlüssel einer vertrauenswürdigen Zertifizierungsstelle zugeordnet ist. Deswegen besitzen auch die Zertifizierungsstellen ein Zertifikat, welches von einer übergeordneten Stelle ausgestellt wird. Dadurch entsteht eine Hierarchie von Zertifizierungsstellen, wobei die Bundesnetzagentur für Telekommunikation und Post als Wurzelzertifizierungsinstanz fungiert, deren öffentlicher Schlüssel u.a. im Bundesanzeiger veröffentlicht wird.
Sicherheit
Trotz aller Sicherheitsmaßnahmen kann ein digitales Zertifikat genauso wie ein Personalausweis gefälscht werden. Zum einen kann innerhalb der Zertifizierungsstelle ein Täter ein Zertifikat mit gefälschten Angaben erzeugen. Zum anderen kann sich ein Täter als eine andere Person bzw. Organisation ausgeben und ein Zertifikat bei einer nicht vertrauenswürdigen Zertifizierungsstelle auf dessen Namen beantragen.
Die letztgenannte Möglichkeit kommt insbesondere in Zusammenhang mit Phishing Attacken oft vor. Ein Täter kann gefälschte Online-Banking-Seiten als „echt“ ausgeben, die zudem eine verschlüsselte Verbindung haben. Auf den ersten Blick kann die Fälschung nicht enttarnt werden, weil der Browser auch diese Seiten als verschlüsselte Verbindung mit einem „https“ kennzeichnet. Deswegen gibt es im Internetverkehr ein Extended-Validation-SSL-Zertifikat, dessen Ausgabe an strenge Vergabekriterien gebunden ist. Ist ein solches EV SSL Zertifikat vorhanden, zeigt der Browser in der URL-Zeile zusätzlich den Firmenname grün an. Damit kann der Nutzer darauf vertrauen, dass die Webseite „echt“ ist.
Auch der elektronischen Identitätsnachweis mit dem Personalausweis oder dem elektronischen Aufenthaltstitel oder die hoheitliche elektronischen Identitätsprüfung an Hand elektronischer Personalausweise oder EU-Reisepässe erfolgt auf der Basis von Zertifikaten.
Hallo,
mir scheint da ein Fehler in der Beschreibung des öffentlichen Schlüssels zu sein. Meiner Meinung nach müsste es heißen, dass die digitale Signatur dazu dient, die Echtheit des öffentlichen Schlüssels zu überprüfen. Der öffentliche Schlüssel hat nichts mit der Überprüfung zu tun.
Ein digitale Signatur dient dazu den Inhalt zu verifizieren, bzw. die Unverfälschtheit darzustellen (Integrität). Mit dem öffentlichen Schlüssel kann die Signatur geprüft und so festgestellt werden ob ein Dokument / eine Nachricht verfälscht wurde.
Natürlich kann auch ein öffentlicher Schlüssel digital signiert werden. Dazu braucht es dann aber wieder einen öffentlichen Schlüssel, um die Signatur zu prüfen.