Home » Home » Informationen » Glossar » digitales Zertifikat

 

digitales Zertifikat

digitales Zertifikat


 Ein Digitales Zertifikat (auch Zertifikat oder Public-Key-Zertifikat) sind strukturierte Daten, die den Eigentümer sowie weitere Eigenschaften eines öffentlichen Schlüssels bestätigen. Durch ein digitales Zertifikat können Nutzer eines asymmetrischen Kryptosystems den öffentlichen Schlüssel einer Identität (z. B. einer Person, einer Organisation oder einem IT-System) zuordnen und seinen Geltungsbereich bestimmen. Damit ermöglichen digitale Zertifikate den Schutz der Vertraulichkeit, Authentizität und Integrität von Daten durch die korrekte Anwendung der öffentlichen Schlüssel.

Um beim Einsatz von asymmetrischen Kryptosystemen falsche (z. B. untergeschobene) von echten Schlüsseln zu unterscheiden, wird ein Nachweis benötigt, dass der verwendete öffentliche Schlüssel auch zum designierten Empfänger der verschlüsselten Nachricht bzw. zum Sender einer elektronisch signierten Nachricht gehört. Außerdem muss bei der Verschlüsselung bzw. Prüfung der digitalen Signatur sichergestellt werden, dass der Schlüssel auch mit diesem kryptographischen Verfahren und für den gedachten Anwendungsbereich verwendet werden darf. Diese Nachweise werden durch digitale Zertifikate geleistet.

Typische Anwendungen von digitalen Zertifikaten sind

  • elektronische Signaturen,
  • die Sicherheit in Netzwerkprotokollen (z. B. SSL, IPsec oder SSH) oder
  • der Schutz von E-Mails (z. B. mit S/MIME oder PGP).

Zertifikate enthalten in der Regel die folgenden Informationen:

  1. Den Namen (oder eine andere eindeutige Bezeichnung) des Ausstellers (engl. Issuer) des Zertifikates.
  2. Informationen zu den Regeln und Verfahren, unter denen das Zertifikat ausgegeben wurde.
  3. Informationen zu Gültigkeitsdauer des Zertifikates.
  4. Den öffentlichen Schlüssel, zu dem das Zertifikat Angaben macht.
  5. Den Namen (oder eine andere eindeutige Bezeichnung) des Eigentümers des öffentlichen Schlüssels (engl. subject).
  6. Weitere Informationen zum Eigentümer des öffentlichen Schlüssels.
  7. Angaben zum zulässigen Anwendungs- und Geltungsbereich des öffentlichen Schlüssels.
  8. Eine digitale Signatur des Ausstellers über alle anderen Informationen.

Eine besondere Form digitaler Zertifikate sind Attributzertifikate. Diese verweisen auf ein anderes digitales Zertifikat und enthalten daher keinen öffentlichen Schlüssel. Attributzertifikate legen den Geltungsbereich des betreffenden digitalen Zertifikates genauer fest, indem sie z. B. monetäre Beschränkungen für Transaktionen oder Zeichnungsbefugnisse festlegen.

Der Aussteller eines Zertifikates wird als Zertifizierungsinstanz bezeichnet. Die Zertifizierungsinstanz sollte von einer vertrauenswürdigen Organisation oder Stelle (z. B. eine Behörde) betrieben werden, damit die Anwender sich auf die in den Zertifikaten enthaltenen Informationen verlassen können. Durch die digitale Signatur über das Zertifikat lässt sich die Authentizität und Integrität des digitalen Zertifikates überprüfen. Für diese Prüfung wird jedoch wiederum eine Zuordnung des Signaturschlüssels des Ausstellers zu seiner Identität, d. h. ein weiteres Zertifikat, benötigt. Diese Hierarchie von Zertifikaten bildet eine Public Key Infrastruktur (PKI).

Die Gültigkeit eines digitalen Zertifikates ist meist auf einen im Zertifikat festgelegten Zeitraum begrenzt. Zertifikate für Schlüssel, die nicht mehr sicher sind, können und sollten vorzeitig gesperrt und die Sperrinformationen veröffentlicht werden. Die Vertrauenswürdigkeit eines digitalen Zertifikates hängt in erheblichem Maße davon ab, ob und wie rasch es gesperrt werden kann und wie zuverlässig und zeitnah die Sperrung veröffentlicht wird. Üblicherweise werden Sperrungen über eine Zertifikatsperrliste (CRL), gelegentlich auch über eine Web-Seite, veröffentlicht. Zunehmend werden auch Dienste zur Online-Abfrage des Sperrstatus (z. B. über OCSP) angeboten, die im Unterschied zu Sperrlisten auch Positivauskünfte („dieses Zertifikat ist authentisch und gültig“) geben können.

Zertifikate werden von vielen verschiedenen Zertifizierungstellen und in vielen verschiedenen Qualitätsstufen ausgegeben. Diese können sich erheblich in der Zuverlässigkeit der im Zertifikat enthaltenen Informationen unterscheiden. So hängt die Verlässlichkeit der Zuordnung zwischen dem öffentlichen Schlüssel und seinem Eigentümer von den eingesetzten Verfahren zur Identifizierung der Schlüsseleigentümer und zur Sperrung der Zertifikate ab. Einige Zertifizierungstellen identifizieren ihre Antragsteller z. B. nur persönlich und gegen Vorlage eines amtlichen Ausweises, andere führen gar keine Prüfung der Angaben des Antragstellers durch.

Die Zertifikate der Kategorie Class 1 sind für Privatanwender in der Regel kostenlos von den Zertifizierungsstellen zu erhalten. Dagegen können Zertifikate höherer Kategorien und mit langer Gültigkeit einige Hundert Euro im Jahr kosten.

 

Zurück