Werbung
7.3.1.7
Signaturen
Erzeugen
Der Aussteller eines Zertifikates erzeugt aus den Daten des Zertifikats mit einem bestimmten
Hash-Algorithmus (z.B. SHA-2, Secure Hash Algorithm) einen Hash-Wert (Fingerprint). Aus
dem Hash-Wert und seinem privaten Schlüssel erzeugt er dann eine digitale Signatur. Häufig
wird dazu das RSA-Signaturverfahren verwendet. Die digitale Signatur wird im Zertifikat
gespeichert. Dadurch ist das Zertifikat signiert.
Verifizieren
Der Prüfer eines Zertifikats besorgt sich das Zertifikat des Ausstellers und damit den
öffentlichen Schlüssel. Mit demselben Hash-Algorithmus, der bei der Signierung verwendet
wurde (z.B. SHA-2), erzeugt er aus den Daten des Zertifikats erneut ein Hash-Wert. Diesen
Hash-Wert vergleicht er mit dem Hash-Wert, der mit Hilfe des öffentlichen Schlüssel des
Zertifikateausstellers und dem Signaturalgorithmus zur Prüfung der Signatur ermittelt wird.
Wenn die Prüfung der Signatur ein positives Ergebnis liefert, die Hash-Wert zueinander
passen, ist sowohl die Identität des Zertifikatsinhabers als auch die Integrität, d. h.
die Echtheit und Unverfälschtheit des Zertifikateinhalts, nachgewiesen. Jeder, der den
öffentlichen Schlüssel, d. h. das Zertifikat der Zertifizierungsstelle hat, kann die Signatur
prüfen und so erkennen, dass das Zertifikat tatsächlich von der Zertifizierungsstelle signiert
wurde.
7.3.1.8
Speicherplätze
SINEC OS definiert die folgenden Speicherplätze für Schlüssel und Zertifikate:
• Keystore
Im Keystore werden Schlüsselpaare gespeichert, die SINEC OS wie folgt verwendet:
– Zur Bereitstellung eines Server-Dienstes (z. B. HTTPS)
– Zur Authentifizierung als Client (z. B. um eine sichere Verbindung für eine
Zusammen mit einem Schlüsselpaar können ein oder mehrere Zertifikate gespeichert
werden, um den öffentlichen Schlüssel zu signieren.
• Truststore
Im Truststore werden Zertifikate gespeichert, mit denen SINEC OS andere Geräte
authentifiziert.
Ein Eintrag kann mehrere Zertifikate enthalten. So können z. B. alle Zertifikate von
zuverlässigen Zertifizierungsstellen in einem Eintrag abgelegt werden.
Der Einsatz einer zuverlässigen Zertifizierungsstelle kann den Konfigurationsaufwand
reduzieren. Ein Truststore mit nur einem Zertifikat kann mehrere Remote-Server
authentifizieren.
Der Keystore und der Truststore sind zentrale Speicherplätze in SINEC OS. Andere Funktionen
können Schlüsselpaare oder zuverlässige öffentliche Schlüssel und Zertifikate aus dem
Keystore und Truststore verwenden.
Web User Interface (Web UI) SINEC OS v3.0
Projektierungshandbuch, 04/2024, C79000-G8900-C680-03
Datenübertragung aufzubauen)
Security
7.3 Schlüssel und Zertifikate
191
Werbung
