Wie funktioniert ein digitales Zertifikat?

it-sicherheit 10
Fachbeitrag

Wenn es um die Schutzziele Authentizität und Integrität geht, spielt das digitale Zertifikat eine wichtige Rolle. Allein ein Passwort zur Feststellung einer Identität reicht oft nicht aus, da dieses erspäht oder erraten werden kann. Deswegen sind in der IT-Sicherheit digitale Zertifikate von großer Bedeutung. Dieser Artikel bietet eine Erklärung, was ein digitales Zertifikat ist und wann dieses zum Einsatz kommt.

Was ist ein digitales Zertifikat?

Ein digitales Zertifikat ist ein elektronischer Echtheitsnachweis, der die Identität einer Person, eines Rechners oder einer Organisation bescheinigt. Im realen Leben kann ein Zertifikat mit einem Personalausweis verglichen werden. Anhand der Angaben in dem Personalausweis kann die Identität einer Person festgestellt werden.

„Man-in-the-Middle-Angriff“

Bei einer asymmetrischen Verschlüsselung wird ein öffentlicher Schlüssel zum Verschlüsseln und ein privater Schlüssel zum Entschlüsseln benötigt. In diesem Zusammenhang stellt sich aber die Frage, woher der Sender weiß, dass der öffentliche Schlüssel mit dem er die Nachricht verschlüsseln möchte „echt“ ist und nicht von einem Angreifer stammt. Denn ein kryptographischer Schlüssel ist „nur“ eine Information, die verändert werden kann und nichts über die Zuordnung zu einer bestimmten Person bzw. Rechner aussagt. Man kann allein anhand des Schlüssels noch nicht herausfinden, wem dieser „gehört“.

Beispiel: Bob möchte Alice vertrauliche Informationen verschlüsselt zukommen lassen. Eve, die den Datenverkehr belauscht, möchte Kenntnis von dem Inhalt erhalten. Sie gibt sich als Alice aus und schickt Bob eine gefälschte E-Mail, mit ihrem öffentlichen Schlüssel zu. Im Glauben, dass es sich um einen Schlüssel von Alice handelt, verschlüsselt Bob seine Nachricht und versendet diese. Eve fängt die E-Mail ab und entschlüsselt die Nachricht mir ihrem privaten Schlüssel.

Ein Zertifikat soll solch eine „Man-in-the-Middle-Attacke“ verhindern, indem es Schlüssel vor der Manipulation schützt. Anhand des Zertifikates kann überprüft werden, ob der Schlüssel von der/dem Person/Rechner/Organisation stammt, mit der/dem man kommunizieren möchte. Deswegen werden die Schlüssel mittels Zertifikaten zusätzlich „personalisiert“. Bob und Alice können anhand des Zertifikates herausfinden, wem der Schlüssel zugeordnet ist.

Welche Eigenschaften hat ein digitales Zertifikat?

Ein Zertifikat ist ein Datensatz. Gemäß dem Standard X509 muss ein Zertifikat bestimmte Angaben enthalten, kann aber auch zusätzliche optionale Informationen haben. Zu den Pflichtangaben gehören u.a.:

  • Namen des Zertifikatsinhabers
  • Zertifizierungsstelle
  • Gültigkeitsdauer
  • Seriennummer
  • öffentlicher Schlüssel des Inhabers (damit kann die Echtheit des Schlüssels überprüft werden) und
  • digitale Signatur der ausstellenden Zertifizierungsstelle, so dass verifiziert werden kann, ob das Zertifikat echt ist.

Einsatzgebiete von digitalen Zertifikaten

Die Einsatzgebiete von digitalen Zertifikaten sind vielfältig. Sie werden meistens dort eingesetzt, wo die Identität festgestellt werden muss. Insbesondere findet man Zertifikate in den folgenden Systemen:

  • SSL/TLS: Bei Netzwerkprotokollen sollen Zertifikate sicherstellen, dass sich der Server identifiziert.
  • E-Mail-Verschlüsselung: zur Bestätigung der Echtheit von E-Mails werden ebenfalls Zertifikate eingesetzt.
  • Digitale Signatur: Zertifikate werden auch für die digitale Signatur benötigt, um Dokumente als unverfälscht ansehen zu können.
  • Identitätsprüfung bei Systemanmeldung: wenn sich zwei Rechner verbinden und vertraulich miteinander kommunizieren möchten (z.B. über VPN), reicht ein Passwort oft nicht aus. Denn dieses kann erspäht oder erraten werden. Auch hier sollte zur Identifikation ein Zertifikat verwendet werden.

Zertifizierungsstellen

Damit Zertifizierungsstellen als vertrauenswürdig angesehen werden können, müssen diese strenge Sicherheitsanforderungen erfüllen, die z.B. in den Signaturgesetzen festgelegt sind. Auch diese haben einen privaten und öffentlichen Schlüssel, wobei Letzterer bekannt sein muss. Die öffentlichen Schlüssel der Zertifizierungsstellen sind in den meisten Browsern bzw. Betriebssystemen bereits vorinstalliert. Durch die Kenntnis des öffentlichen Schlüssels der Zertifizierungsinstanz kann der Browser ein empfangenes Zertifikat überprüfen.

Aber auch hier stellt sich die Frage, ob der öffentliche Schlüssel einer vertrauenswürdigen Zertifizierungsstelle zugeordnet ist. Deswegen besitzen auch die Zertifizierungsstellen ein Zertifikat, welches von einer übergeordneten Stelle ausgestellt wird. Dadurch entsteht eine Hierarchie von Zertifizierungsstellen, wobei die Bundesnetzagentur für Telekommunikation und Post als Wurzelzertifizierungsinstanz fungiert, deren öffentlicher Schlüssel u.a. im Bundesanzeiger veröffentlicht wird.

Sicherheit

Trotz aller Sicherheitsmaßnahmen kann ein digitales Zertifikat genauso wie ein Personalausweis gefälscht werden. Zum einen kann innerhalb der Zertifizierungsstelle ein Täter ein Zertifikat mit gefälschten Angaben erzeugen. Zum anderen kann sich ein Täter als eine andere Person bzw. Organisation ausgeben und ein Zertifikat bei einer nicht vertrauenswürdigen Zertifizierungsstelle auf dessen Namen beantragen.

Die letztgenannte Möglichkeit kommt insbesondere in Zusammenhang mit Phishing Attacken oft vor. Ein Täter kann gefälschte Online-Banking-Seiten als „echt“ ausgeben, die zudem eine verschlüsselte Verbindung haben. Auf den ersten Blick kann die Fälschung nicht enttarnt werden, weil der Browser auch diese Seiten als verschlüsselte Verbindung mit einem „https“ kennzeichnet. Deswegen gibt es im Internetverkehr ein Extended-Validation-SSL-Zertifikat, dessen Ausgabe an strenge Vergabekriterien gebunden ist. Ist ein solches EV SSL Zertifikat vorhanden, zeigt der Browser in der URL-Zeile zusätzlich den Firmenname grün an. Damit kann der Nutzer darauf vertrauen, dass die Webseite „echt“ ist.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Ein Kommentar zu diesem Beitrag

  1. Auch der elektronischen Identitätsnachweis mit dem Personalausweis oder dem elektronischen Aufenthaltstitel oder die hoheitliche elektronischen Identitätsprüfung an Hand elektronischer Personalausweise oder EU-Reisepässe erfolgt auf der Basis von Zertifikaten.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.