| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung |
| cert-basics [2012/08/31 12:13] – [Die Qualität von Zertifikaten] bush | cert-basics [2021/05/10 14:11] (aktuell) – minnich |
|---|
| Das Thema **//Zertifikate//** ist kein Alltagsthema und vom Inhalt her etwas kompliziert bzw. nicht sofort einzusehen. Deshalb sollte man sich bei der Lektüre Zeit lassen. Wir sind allerdings sicher, dass Sie danach vom Mehrwert der digitalen Zertifikate überzeugt sind. :-D | Das Thema **//Zertifikate//** ist kein Alltagsthema und vom Inhalt her etwas kompliziert bzw. nicht sofort einzusehen. Deshalb sollte man sich bei der Lektüre Zeit lassen. Wir sind allerdings sicher, dass Sie danach vom Mehrwert der digitalen Zertifikate überzeugt sind. :-D |
| |
| Im diesem Beitrag wird auf die digitalen **[[http://portal.uni-freiburg.de/rz/services/sicherheit/zertifikate|Zertifikate]]** vom Typ **[[http://de.wikipedia.org/wiki/X509|X509]]** eingegangen, die im Rahmen der **[[https://www.pki.dfn.de/index.php?id=pkiueberblick|Public Key Infrastructure des Deutschen Forschungsnetzes]]** (DFN) von der **[[http://portal.uni-freiburg.de/rz/services/sicherheit/zertifizierung|Zertifizierungsstelle der Universität Freiburg]]** (Uni FR CA) herausgegeben werden. Der Artikel soll Hintergrundinformationen zum Thema "Zertifikate" liefern, die im Wiki-Beitrag **[[www_securepages|WWW - Sichere Seiten]]** stichwortartig angesprochen werden. | Im diesem Beitrag wird auf die digitalen Zertifikate ** vom Typ **[[http://de.wikipedia.org/wiki/X509|X509]]** eingegangen, die im Rahmen der Public Key Infrastructure des Deutschen Forschungsnetzes(DFN) von der **[[https://rz.uni-freiburg.de/services/sicherheit/zertifikate|Zertifizierungsstelle der Universität Freiburg]]** (Uni FR CA) herausgegeben werden. Der Artikel soll Hintergrundinformationen zum Thema "Zertifikate" liefern, die im Wiki-Beitrag **[[www_securepages|WWW - Sichere Seiten]]** stichwortartig angesprochen werden. |
| |
| Ausführliche allgemeinere Informationen zu diesem Thema finden Sie auch im Wikipedia-Artikel | Ausführliche allgemeinere Informationen zu diesem Thema finden Sie auch im Wikipedia-Artikel |
| **http://de.wikipedia.org/wiki/Digitales_Zertifikat** bzw. den Artikeln zu damit zusammen hängenden Themen wie z.B. "Digitale Signatur" oder "Asymmetrisches Kryptosystem". | **http://de.wikipedia.org/wiki/Digitales_Zertifikat** bzw. den Artikeln zu damit zusammen hängenden Themen wie z.B. "Digitale Signatur" oder "Asymmetrisches Kryptosystem".** \\ |
| |
| \\ | |
| |
| ===== Einleitung ===== | ===== Einleitung ===== |
| Der Hashwert ist somit eine Art eindeutiger Fingerabdruck oder "Quersumme" aus einem Datensatz und kann in Kenntnis des Rechenverfahrens von jedem Empfänger des Datensatzes wiederholt werden. Auf diese Weise wird die Integrität des Originaldatensatzes nachgewiesen. | Der Hashwert ist somit eine Art eindeutiger Fingerabdruck oder "Quersumme" aus einem Datensatz und kann in Kenntnis des Rechenverfahrens von jedem Empfänger des Datensatzes wiederholt werden. Auf diese Weise wird die Integrität des Originaldatensatzes nachgewiesen. |
| |
| Voraussetzung dazu ist allerdings, dass der Hashwert vom Absender sicher zum Empfänger gelangen kann, damit dieser darauf vertrauen kann, dass er seinen selbst berechneten Hashwert auch tatsächlich mit dem vom Sender gelieferten Original vergleicht. | Voraussetzung dazu ist allerdings, dass der Hashwert vom Absender sicher zum Empfänger gelangt, damit dieser darauf vertrauen kann, dass er seinen selbst berechneten Hashwert auch tatsächlich mit dem vom Sender gelieferten Original vergleicht. |
| |
| Hier kommt nun das Public Key - Verfahren zum tragen: Der Sender einer Nachricht erzeugt einen Hashwert seiner zu sendenden Daten, verschlüsselt ihn mit seinem privaten Schlüssel und fügt die so erzeugte Signatur der Nachricht bei. Der Empfänger, der im Besitz des öffentlichen Schlüssels des Absenders ist, entschlüsselt die Signatur im Anhang und vergleicht das Ergebnis (= Original-Hash) mit seiner eigenen Hash-Berechnung (natürlich ohne die angehängte Signatur!). Bei Gleichheit der Hashwerte kann der Empfänger sicher sein, dass die Nachricht unterwegs nicht verfälscht wurde - vorausgesetzt, der geheime Schlüssel des Senders ist nicht in falsche Hände geraten. | Hier kommt nun das Public Key - Verfahren zum tragen: Der Sender einer Nachricht erzeugt einen Hashwert seiner zu sendenden Daten, verschlüsselt ihn mit seinem privaten Schlüssel und fügt die so erzeugte Signatur der Nachricht bei. Der Empfänger, der im Besitz des öffentlichen Schlüssels des Absenders ist, entschlüsselt die Signatur im Anhang und vergleicht das Ergebnis (= Original-Hash) mit seiner eigenen Hash-Berechnung (natürlich ohne die angehängte Signatur!). Bei Gleichheit der Hashwerte kann der Empfänger sicher sein, dass die Nachricht unterwegs nicht verfälscht wurde - vorausgesetzt, der geheime Schlüssel des Senders ist nicht in falsche Hände geraten. |
| |
| Zu 2:\\ | Zu 2:\\ |
| {{ :bilder-netzsicherheit:crl-update.png|}} Web- oder Mailclients sollten den Download von CRLs ermöglichen. Im nebenstehenden Bild sehen Sie das Konfigurationsfenster von Mozilla Firefox, in dem ein täglicher Download eingestellt ist. Damit wird zumindest zugesichert, dass eine veröffentlichte Sperrliste spätestens nach einem Tag beim Browser angekommen ist. Das sagt natürlich nichts darüber aus, wie schnell der Inhaber des Zertifikates mit einer Sperrung reagiert hat.\\ \\ Ein betrübliches Bild liefert beim Firefox wie auch beim Thunderbird die in den Sperrlisteneinträgen genannten Aktualisierungszeiten, denen man hoffentlich nicht glauben muss :-( Da wird nämlich meist von monatlichen Intervallen, z.T. weit in der Vergangenheit, erzählt. Bei der manuellen Aktualisierung widerspricht sich das Programm anschließend selbst. | {{ :bilder-netzsicherheit:crl-update.png|}} Web- oder Mailclients sollten den Download von CRLs ermöglichen. Im nebenstehenden Bild sehen Sie das Konfigurationsfenster von Mozilla Firefox, in dem ein täglicher Download eingestellt ist. Damit wird zumindest zugesichert, dass eine veröffentlichte Sperrliste spätestens nach einem Tag beim Browser angekommen ist. Das sagt natürlich nichts darüber aus, wie schnell der Inhaber des Zertifikates mit einer Sperrung reagiert hat.\\ \\ Ein betrübliches Bild liefert beim Firefox wie auch beim Thunderbird die in den Sperrlisteneinträgen genannten Aktualisierungszeiten, denen man hoffentlich nicht glauben muss :-( Da wird nämlich meist von monatlichen Intervallen, z.T. weit in der Vergangenheit, erzählt. Bei einer manuellen Aktualisierung widerspricht sich das Programm anschließend selbst. |
| <html><br clear="all"></html> | <html><br clear="all"></html> |
| |
