Allg. Info zu Zertifikaten

Allgemeines zu X.509-Zertifikaten an der UniBwM

Allgemeines

Allgemeines zu Zerti­fikaten

Zerti­fikate wer­den bei public-key-Ver­fahren ein­ge­setzt, um Per­so­nen und Ser­ver zu iden­ti­fi­zieren. Sie ga­ran­tie­ren nicht die Un­be­denk­lich­keit der da­mit ver­se­henen Infor­ma­tionen (bei­spiels­weise kann eine digi­tal sig­nierte oder ver­schlüs­selte Mail Mal­ware ent­hal­ten). Sie hel­fen aber, den Ur­sprung der Infor­ma­tionen fest­zu­stellen.

Public-key-Ver­fah­ren unter­stel­len, dass die Zuordnung eines public-key zu seinem private-key be­kannt ist. Zer­ti­fi­kate ga­ran­tie­ren nun ge­rade diese Zu­ord­nung. Sie sol­len ver­hin­dern, dass Dritte un­berech­tigt an einer Kom­muni­ka­tion teil­neh­men, in dem z.B. ein public-key ver­teilt wird, der nur vor­gibt, zu einem be­stimm­ten  private-key (bei­spiels­weise eines Ser­vers) zu gehören.

PKI - Public-Key-Infrastruktur

Eine PKI (Public Key Infrastruktur) er­mög­licht eine auto­mati­sierte Über­prü­fung von public-keys. Mit ihrer Hil­fe ge­langt man ver­läss­lich an die je­wei­li­gen public-keys, ohne die In­ha­ber der private-keys per­sön­lich zu ken­nen, key- signing-Parties zu be­su­chen o.ä.

Eine PKI be­steht in der Regel aus meh­re­ren Zer­ti­fi­zie­rungs­stel­len (CA). Ihre Ko­ope­ra­tion wird durch Policies ge­re­gelt. Die CA bil­den meist Hier­archien. Ihre Zer­ti­fi­ka­te kön­nen durch den Im­port eines so­ge­nann­ten Wur­zel­zer­ti­fi­kats ak­zep­tiert werden.

CA stel­len Zer­ti­fi­kate aus. Ein Zer­ti­fikat ent­hält die Unter­schrift der CA zu­sam­men mit einem öf­fent­li­chen Schlüs­sel (public-key). Die CA be­glau­bigt damit die Iden­ti­tät des Zer­ti­fikat­in­ha­bers; d.h. sie be­stä­tigt die Zu­ord­nung public-key zu Per­son bzw. Ser­ver, welche(r) den private-key be­sitzt. Der Zer­ti­fikat­in­ha­ber seiner­seits muss die Policies ak­zep­tie­ren, um ein Zer­ti­fi­kat zu be­kommen. In der Regel ist es nicht Auf­gabe der CA, das Schlüs­sel­paar aus public-key und private-key zu er­zeugen.

In unserer Um­ge­bung veranlasst das Rechenzentrum, dass ein Schlüs­sel­paar mit einer vom DFN-Verein betriebenen Soft­ware er­zeugt und und zertifiiziert wird. Nur nachdem das RZ die Daten des An­trag­stel­lers ge­prüft hat, wird dieses Zertifikat dem Nutzer übergeben. Das Re­chen­zent­rum betreibt damit den sogenannten Teilnehmerservice der UniBwM CA.

Hinweise

Wer ein Wur­zel­zer­ti­fi­kat akzeptiert, vertraut allen Zer­ti­fi­katen in der da­runter­lie­gen­den Hier­archie.
Das Zerti­fikat der UniBwM CA "UniBwm CA-G01" basiert auf dem Zerti­fikat von "DFN-Verein PCA Global - G01" und dieses wiederum auf dem von "Deutsche Telekom Root CA 2". Darum genügt es in der Re­gel, die­sem Wur­zel­zer­ti­fikat ("Deutsche Telekom Root CA 2") zu vertrauen.

Browser-Hersteller stat­ten ihre Pro­dukte mit einem Satz von Wur­zel­zer­ti­fi­ka­ten aus, wo­durch Nut­zer nur in sel­tenen Fäl­len zu­sätz­liche Wur­zel­zer­ti­fi­ka­te inte­grie­ren müs­sen. Sie ak­zep­tieren da­durch meist un­be­wusst eine Viel­zahl von Zer­ti­fi­katen.

Einsatz von Server-Zertifikaten

Bei Ser­vern werden Zer­ti­fi­kate be­nutzt, um Nut­zern die Si­cher­heit zu ge­ben, den rich­tigen Ser­ver zu be­nut­zen (Schutz vor Phishing) und um die Da­ten­über­tra­gung mit SSL/TLS zu ver­schlüs­seln (Schutz vor Ab­hören).
Typi­sche Anwen­dun­gen sind Web-Server mit https: Bei­spiels­weise möchte man bei der Nut­zer­ver­wal­tung des RZ unter https://nutzer.unibw.de sicher sein, mit dem ein­schlä­gi­gen Ser­ver des RZ ver­bun­den zu sein, ohne ab­ge­hört zu werden.

Einsatz von per­sön­lichen Zerti­fikaten

Digitale Unterschrift (signature)

Der Inhaber eines persön­lichen (SmartCard Sign and Logon-) Zerti­fikats kann mit seinem private- key Nach­rich­ten digi­tal unter­schrei­ben. Der Emp­fän­ger kann mit dem Zer­ti­fi­kat fest­stel­len, ob die digi­tal unter­schrie­bene Nach­richt wirk­lich von dem In­ha­ber des Zer­ti­fi­kats stammt und ob der In­halt der Nach­richt un­ver­ändert ist.

Verschlüsselung (encryption)

Bei Kenntnis eines (SmartCard Encrypt-)Zer­ti­fikats kann man Nach­rich­ten mit dem darin ent­hal­tenen public-key ver­schlüs­seln und an den Zer­tifi­kat­in­haber sen­den, ohne dass Aus­sen­ste­hende den Inhalt lesen können.

Hinweise

Ver­schlüs­se­lte Nach­rich­ten sind bei Ver­lust des ge­hei­men Schlüs­sels ver­lo­ren. Da­her  for­dert die Uni­versi­tät die Hin­ter­le­gung die­ser private-keys. Als Fol­ge gibt es bei der "UniBwM CA" ge­tren­nte Zer­ti­fi­kate für di­gi­tale Un­ter­schrif­ten und Ver­schlüs­selung, denn die private-keys di­gi­taler Un­ter­schrif­ten sol­len nicht ko­piert wer­den, auch nicht als Backup.

Bei Ve­rsen­den ver­schlüs­sel­ter Nach­rich­ten wird in der Regel auch der eigene private-key be­nö­tigt, weil die Mail­pro­gram­me eine ver­schlüs­sel­te Ko­pie im so­ge­nann­ten Sent-Ord­ner ab­legen.

Sicher­heit ist ab­hängig von der Ge­heim­hal­tung des private-key

Die Sicher­heit von public-key-Ver­fahren beruht auf der Ge­heim­hal­tung des private-key. Dafür ist grund­sätz­lich der Zer­ti­fi­kat­neh­mer ver­ant­wort­lich.

Gültigkeit von Zerti­fikaten

Zer­ti­fi­kate sind nur einen be­schränkten und im Zer­ti­fikat genannten Zeit­raum lang gül­tig. Bei Bedarf, bei­spiels­weise wenn der ge­heime Schlüs­sel bekannt wird, kann (und muss) die CA ein Zer­ti­fikat, das sie aus­ge­stellt hat, vor­zeitg wider­rufen. In Form einer Sperr­liste ver­öf­fent­licht eine CA die Zerti­fikate, denen sie das Ver­trauen ent­zo­gen hat.