- Rechenzentrum »
- Dienste & Service »
- Zertifikate (PKI) »
- Grundlagen
Grundlagen der Zertifizierung
Die sichere Datenübertragung im Internet setzt den Einsatz kryptographischer Verfahren einerseits und den Austausch von Zertifikaten andererseits voraus. Haben Sie das schon einmal bedacht, wenn Sie Ihre privaten und dienstlichen Geschäfte über das Internet abwickeln? Kennen Sie die in der nebenstehenden Abbildung wiedergegebenen Dialogfenster, und klicken Sie hier in der Regel auf Ja, nur damit es weitergeht?
Wenn Sie jetzt 10 Minuten investieren und sich mit der Funktionsweise von Zertifikaten und ihrer Umsetzung auseinandersetzen, wird Ihnen das weder bei Ihrer nächsten PowerPoint-Präsentation noch bei Ihrem nächsten Druckerproblem helfen, aber Sie werden sich mit zwei der wichtigsten IT-Sicherheitskonzepte vertraut gemacht und ihren Gebrauch verstanden haben.
Möchten Sie Ihre vertraulichen Informationen elektronisch übermitteln, muß nicht nur sichergestellt sein, daß kein Dritter die Daten bei der Übertragung einsehen oder gar verändern kann. Der Empfänger muß sich dem Absender auch eindeutig als der zu erkennen geben, dem die vertraulichen Informationen zukommen sollen.
Was nützt Verschlüsselung während der Datenübermittlung, die zwar vor dem Abhören schützt, wenn die eigenen Kontodaten nicht direkt bei der eigenen Bank landen. Woher wissen Sie denn, daß Ihr Webbrowser gerade die Eingangsseite Ihrer Hausbank oder die Eingabemaske Ihres Finanzamts lädt? Wie können Sie sich sicher sein, daß Ihr ebay Paßwort ebay, Ihr Yahoo Paßwort Yahoo und Ihre RZ-Benutzerkennung einen Dienst des Rechenzentrums freischaltet? Alleine die Eingabe der richtigen URL, der http-Adresse der Webseite, gibt Ihnen keine absolute Sicherheit!
Es gibt natürlich ein Verfahren, daß diesen Gefahren begegnet. Und es gibt natürlich Betrüger, die die Unkenntnis der Benutzer über seine Funktionsweise ausnutzen. Diese Webseite möchte dieses Defizit beseitigen helfen.
Die Lösung heißt Zertifizierung. Um ihre Idee zu verstehen, muß man sich klar machen, wie Verschlüsselungsverfahren im Internet funktionieren. Sie basieren auf Schlüsselpaaren. Nachrichten, die mit dem einen Schlüssel verschlüsselt wurden, können nur mit dem anderen entschlüsselt werden. Ein Schlüssel ist öffentlich bekannt (public key). Über sein Gegenstück verfügt alleine sein Besitzer (private key).
Möchten Sie eine verschlüsselte Nachricht verschicken, verwenden Sie dazu den öffentlichen Schlüssel des Empfängers der Nachricht. Nur mit dem dazugehörigen privaten Schlüssel läßt sich die Nachricht entschlüsseln, und nur der Empfänger kennt diesen Schlüssel. Folglich kann auch nur der Empfänger die Nachricht lesen.
Verschlüsseln und Signieren: Zwei Seiten einer Medaille
Auf demselben Prinzip basieren elektronische Signaturen. Möchten Sie sicherstellen, daß der Empfänger sich von der Urheberschaft Ihrer Nachricht überzeugen kann, verwenden Sie dazu Ihren privaten Schlüssel. Jeder kann mit Ihrem öffentlichen Schlüssel die Nachricht entschlüsseln. Das Entschlüsseln führt zu der Schlußfolgerung, daß die Nachricht ursprünglich mit Ihrem privaten Schlüssel verschlüsselt wurde, den nur Sie kennen. Folglich können nur Sie die Nachricht verfaßt haben.
Und wo ist das Problem? Wie kann jemand sicher sein, daß irgendein x-beliebiger Schlüssel tatsächlich Ihr öffentlicher Schlüssel ist?
Hier kommt die Zertifizierung ins Spiel. Sie verknüpft den öffentlichen Schlüssel mit Hinweisen auf seinen Besitzer. Dieser Zusammenhang wird mit dem privaten Schlüssel einer sog. Zertifizierungsinstanz (CA) signiert. Die Verbindung aus öffentlichem Schlüssel, Hinweisen auf seinen Besitzer und Signatur heißt Zertifikat. Die Überprüfung der Zugehörigkeit eines Schlüssels wird demnach an eine übergeordnete Instanz, nämlich an die CA, delegiert.
Zertifikat = Öffentlicher Schlüssel + Besitzerhinweis + Signatur
Und wo ist jetzt das Problem? Mit dem öffentlichen Schlüssel der CA kann zwar die Authentizität Ihres öffentlichen Schlüssels verifiziert werden. Aber wie überprüfen Sie die Authentizität des öffentlichen Schlüssels der CA? Der wird einfach von einer zweiten CA signiert, die wiederum von einer dritten CA signiert wird, die schließlich von einer vierten CA signiert wird usw.
Selbstverständlich muß die Signierung einer CA durch eine andere irgendwo enden. Diese Kette muß eine oberste CA, eine Stamm- oder Wurzelzertifizierungsinstanz, besitzen. Letztere signiert sich einfach selbst. Wenn Sie einer Wurzelzertifizierungsinstanz vertrauen, vertrauen Sie allen öffentlichen Schlüsseln, die von dieser CA signiert wurden, oder mit anderen Worten sämtlichen von der Wurzelzertifizierungsinstanz ausgestellten Zertifikaten.
Das Rechenzentrum der Universität Augsburg betreibt eine Zertifizierungsinstanz (UAUX-CA) innerhalb der DFN-PKI. Das bedeutet, unsere CA wurde von der CA des DFN-Vereins (DFN-PCA) signiert. Der DFN-Verein wiederum wurde von der Deutsche Telekom Root CA 2 signiert. Bei letzterem handelt es sich bereits um ein Wurzelzertifikat, das heißt die Zertifikatskette besteht aus lediglich drei Gliedern.
Um jetzt in den Genuß eines sicheren Datentransfers mit dem Rechenzentrum zu kommen, müssen Ihre Anwendungen, beispielsweise der Internet Explorer oder Ihr Mailprogramm, in der Regel nur das Wurzelzertifikat der Deutsche Telekom kennen. Glücklicherweise ist das in den meisten Fällen bereits der Fall, so daß Sie um den Import des Wurzelzertifikats herumkommen. Wie das bei den verschiedenen Anwendungen funktioniert, zeigt die jeweilige Anleitung in der Rubrik Anleitungen für Benutzer.
- [Impressum]
- [Datenschutz]
- 20.06.2008