Inhaltsverzeichnis
Werbung
X.509-Zertifikat
TAINY xMOD
Eine Art „Siegel", welches die Echtheit eines öffentlichen Schlüssels (
asymmetrische Verschlüsselung) und zugehöriger Daten belegt.
Damit der Benutzer eines zum Verschlüsseln dienenden öffentlichen
Schlüssels sichergehen kann, dass der ihm übermittelte öffentliche
Schlüssel wirklich von seinem tatsächlichen Aussteller und damit der
Instanz stammt, die die zu versendenden Daten erhalten soll, gibt es die
Möglichkeit der Zertifizierung. Diese Beglaubigung der Echtheit des
öffentlichen Schlüssels und die damit verbundene Verknüpfung der Identität
des Ausstellers mit seinem Schlüssel übernimmt eine zertifizierende Stelle
(Certification Authority - CA). Dies geschieht nach den Regeln der CA,
indem der Aussteller des öffentlichen Schlüssels beispielsweise persönlich
zu erscheinen hat. Nach erfolgreicher Überprüfung signiert die CA den
öffentliche Schlüssel mit ihrer (digitalen) Unterschrift, ihrer Signatur. Es
entsteht ein Zertifikat.
Ein X.509(v3)-Zertifikat beinhaltet also einen öffentlichen Schlüssel,
Informationen über den Schlüsseleigentümer (angegeben als Distinguished
Name (DN)), erlaubte Verwendungszwecke usw. und der Signatur der CA.
Die Signatur entsteht wie folgt: Aus der Bitfolge des öffentlichen Schlüssels,
den Daten über seinen Inhaber und aus weiteren Daten erzeugt die CA
eine individuelle Bitfolge, die bis zu 160 Bit lang sein kann, den sog. HASH-
Wert. Diesen verschlüsselt die CA mit ihrem privaten Schlüssel und fügt ihn
dem Zertifikat hinzu. Durch die Verschlüsselung mit dem privaten Schlüssel
der CA ist die Echtheit belegt, d. h. die verschlüsselte HASH-Zeichenfolge
ist die digitale Unterschrift der CA, ihre Signatur. Sollten die Daten des
Zertifikats missbräuchlich geändert werden, stimmt dieser HASH-Wert nicht
mehr, das Zertifikat ist dann wertlos.
Der HASH-Wert wird auch als Fingerabdruck bezeichnet. Da er mit dem
privaten Schlüssel der CA verschlüsselt ist, kann jeder, der den
zugehörigen öffentlichen Schlüssel besitzt, die Bitfolge entschlüsseln und
damit die Echtheit dieses Fingerabdrucks bzw. dieser Unterschrift
überprüfen.
Durch die Heranziehung von Beglaubigungsstellen ist es möglich, dass
nicht jeder Schlüsseleigentümer den anderen kennen muss, sondern nur
die benutzte Beglaubigungsstelle. Die zusätzlichen Informationen zu dem
Schlüssel vereinfachen zudem die Administrierbarkeit des Schlüssels.
X.509-Zertifikate kommen z.B. bei E-Mail-Verschlüsselung mittels S/MIME
oder IPsec zum Einsatz.
Kleines Router-Lexikon
Seite 107 von 113
Quicklinks ausblenden:
Werbung
Inhaltsverzeichnis
