Werbung
Security
7.3 Schlüssel und Zertifikate
7.3.1.6
Zertifikatskette
Ein digitales Zertifikat bindet eine Identität mit den Daten eines Zertifikatsinhabers an den
öffentlichen Schlüssel der Identität. Das digitale Zertifikat selbst ist wiederum durch eine digitale
Signatur geschützt, deren Echtheit mit dem öffentlichen Schlüssel des Zertifikatsaussteller
geprüft werden kann. Um die Identität des Ausstellerschlüssels zu prüfen, wird wiederum ein
digitales Zertifikat benötigt. Auf diese Weise entsteht eine Kette von digitalen Zertifikaten, die
jeweils die Authentizität des öffentlichen Schlüssels bestätigen, mit dem das vorhergehende
Zertifikat geprüft werden kann. Eine solche Kette von Zertifikaten wird Zertifikatskette genannt.
Zertifikate sind hierfür hierarchisch organisiert:
• Stammzertifikate
An der Spitze der Hierarchie stehen Stammzertifikate, auch Wurzelzertifikate oder Root-
Zertifikate genannt. Das sind Zertifikate, die nicht durch eine weitere Instanz beglaubigt
werden müssen. Sie werden von einer zuverlässigen Zertifizierungsstelle (Certificate
Authority) ausgestellt. Zertifikatsinhaber und Zertifikatsaussteller von Stammzertifikaten
sind identisch. Stammzertifikate genießen absolutes Vertrauen, sie sind der "Anker" des
Vertrauens und müssen deshalb beim Empfänger als vertrauenswürdige Zertifikate bekannt
sein. Die Kommunikationspartner müssen sich auf die Echtheit dieses Zertifikates ohne ein
weiteres Zertifikat verlassen können.
• Zwischenzertifikate
Stammzertifikaten werden dazu verwendet, Zertifikate von untergeordneten
Zertifizierungsstellen, sogenannte Zwischenzertifikate, zu signieren. Damit überträgt sich
das Vertrauen vom Stammzertifikat auf das Zwischenzertifikat. Ein Zwischenzertifikat kann
genauso gut ein Zertifikat signieren wie ein Stammzertifikat, daher werden beide auch "CA-
Zertifikate" genannt.
• Anwenderzertifikate
Diese Hierarchie lässt sich über mehrere Zwischenzertifikate weiterführen bis zum
Anwenderzertifikat, auch End-Entity Zertifikat genannt. Das Anwenderzertifikat ist das
Zertifikat der Identität, die identifiziert werden soll.
Die Kette von Zwischenzertifikaten bis zum Stammzertifikat muss in der korrekten
Reihenfolge in jedem Gerät vorhanden sein, das das Anwenderzertifikat eines
Kommunikationspartners validieren soll.
7.3.1.7
Signaturen
Erzeugen
Der Aussteller eines Zertifikates erzeugt aus den Daten des Zertifikats mit einem bestimmten
Hash-Algorithmus (z.B. SHA-2, Secure Hash Algorithm) einen Hash-Wert (Fingerprint). Aus
dem Hash-Wert und seinem privaten Schlüssel erzeugt er dann eine digitale Signatur. Häufig
wird dazu das RSA-Signaturverfahren verwendet. Die digitale Signatur wird im Zertifikat
gespeichert. Dadurch ist das Zertifikat signiert.
Verifizieren
Der Prüfer eines Zertifikats besorgt sich das Zertifikat des Ausstellers und damit den
öffentlichen Schlüssel. Mit demselben Hash-Algorithmus, der bei der Signierung verwendet
wurde (z.B. SHA-2), erzeugt er aus den Daten des Zertifikats erneut ein Hash-Wert. Diesen
Hash-Wert vergleicht er mit dem Hash-Wert, der mit Hilfe des öffentlichen Schlüssel des
Zertifikateausstellers und dem Signaturalgorithmus zur Prüfung der Signatur ermittelt wird.
154
Web User Interface (Web UI) SINEC OS v2.3
Projektierungshandbuch, 04/2023, C79000-G8900-C680-01
Werbung
