Digitale Zertifikate - Basis für eine sichere Kommunikation

Digitale Zertifikate dienen der Authentifizierung von Teilnehmern im Internet. Sie sind aber auch Basis für die meisten Arten der Transportverschlüsselung. Daten sollten heutzutage in öffentlichen Netzen grundsätzlich nicht mehr klartextlich übertragen werden. Um eine sichere Verschlüsselung anwenden zu können, ist es allerdings erforderlich, dass vorher auf einem geschützten Kanal die verwendeten Schlüssel zwischen den Kommunikationspartnern getauscht wurden.

Findet der Datentransfer zwischen zwei zuvor unbekannten Teilnehmern statt, wie dies beim Versenden von E-Mails und beim Aufruf beliebiger Webseiten die Regel ist, müssen für den Aufbau der sicheren Verbindung besondere Anforderungen eingehalten werden. Wesentliche Voraussetzung ist es, mit dem korrekten Adressaten Kontakt aufzunehmen. Zudem wird der Schlüsseltausch oft durch asymmetrische Verschlüsselungsverfahren - für die ein öffentlicher und ein privater Schlüssel notwendig sind - abgesichert. Beides lässt sich mit der Verwendung von digitalen Zertifikaten gewährleisten.

Wie funktionieren digitale Zertifikate

Digitale Zertifikate sind Dateien, die einem zuvor festgelegten Format entsprechen. Sie enthalten unter anderem folgende Inhalte:

• Inhaber: Dies ist die Person oder Firma, für die das Zertifikat erstellt wurde.
• Gültigkeit: Zertifikate sind nur begrenzte Zeit gültig, meist aber mehrere Jahre.
• Öffentlicher Schlüssel: Das Zertifikat enthält den öffentlichen Schlüssel des Inhabers, der von Dritten abgerufen werden kann, um eine verschlüsselte Verbindung zu initialisieren oder dessen Identität zu verifizieren.
• Aussteller: Hier wird die ausstellende Zertifikatsautorität aufgeführt.
• Digitale Signatur: Mit privatem Schlüssel des Ausstellers verschlüsselter Hashwert des Zertifikats.

Essenziell ist die Möglichkeit, Inhalt und Aussteller anhand der digitalen Signatur verifizieren zu können. Auch hierfür wird das Prinzip der asymmetrischen Verschlüsselung angewendet. Bei dieser Form der Kodierung gibt es einen öffentlichen und einen privaten Schlüssel. Inhalte, die mit einem der beiden verschlüsselt wurden, können nur mit dem jeweils anderen entschlüsselt werden.

Über den Inhalt des ausgestellten Zertifikates wird ein Hashwert gebildet. Dabei handelt es sich um einen einzigartigen "Fingerabdruck" des Datensatzes, der mit einem kryptologischen Algorithmus berechnet wird. Dieser Hashwert wird mit dem privaten Schlüssel des Zertifikatausstellers verschlüsselt. Jeder, der in der Folge den Inhalt des Zertifikates überprüfen möchte, kann den Hashwert mit dessen öffentlichen Schlüssel wieder dekodieren und mit dem Inhalt abgleichen. Verfälscht ein Angreifer den Datensatz und kodiert ihn mit seinem privaten Schlüssel, wird unweigerlich ein falscher Hashwert angezeigt, wenn die Dekodierung mit dem öffentlichen Schlüssel des richtigen Ausstellers erfolgt. Dies ermöglicht es, digitale Signaturen auf ihre Korrektheit zu überprüfen.

Public-Key-Infrastruktur als Basis des Vertrauens

Für die Ausstellung und Verwaltung von Zertifikaten ist eine Public-Key-Infrastruktur (PKI) notwendig. Dort ist eine Certificate Authority für die Signierung von ausgestellten Zertifikaten verantwortlich. Entsprechende Registrierungsstellen, sogenannte Registration Authorities (RA), übernehmen die Identitätsüberprüfung eines Antragstellers. Sie bürgen danach sozusagen für die im Zertifikat eingetragenen Inhalte. Eine PKI ist in der Regel hierarchisch aufgebaut. So können Anbieter auch den Haupt-Zertifizierungsstellen nachgeordnet sein. Wie in einem sich verzweigenden Baum, kann jeweils die nächsthöhere Instanz nachverfolgt und anhand der Signatur überprüft werden.

Digitale Zertifikate der oberen Instanzen (Root) sind in der verarbeitenden Software meist hinterlegt, beispielsweise in Webbrowsern. Dadurch ist es einem Browser möglich, die Korrektheit eines Zertifikates einer Webseite zu überprüfen, die per HyperText-Transfer-Protocol-Secure (HTTPS) aufgerufen werden soll. Die PKI bietet einen Verzeichnisdienst, in dem die ausgestellten Zertifikate hinterlegt sind. Zudem gibt es eine Sperrliste, die sogenannte Certificate Revocation List. In dieser Liste werden widerrufene Zertifikate gespeichert.

Arten und Anwendungszwecke von Zertifikaten

Es haben sich über die Jahre verschiedene Standards für digitale Zertifikate gebildet. Zu den bekanntesten zählen:

- X.509: Dieser internationale Standard ist weit verbreitet und wird unter anderem für den Aufbau verschlüsselter Verbindungen im Internet verwendet. Das HTTPS-Protokoll nutzt hierfür beispielsweise die X.509-Zertifikate sowohl für die Authentifizierung als auch für den Schlüsseltausch. Ebenso kommen sie bei der SecureShell (SSH) zur Anwendung. Auch die E-Mail-Verschlüsselung per S/MIME verwendet X.509-Zertifikate.

- PGP: Der Pretty-Good-Privacy-Standard ist ebenfalls aus der Verschlüsselung von E-Mails bekannt. Die entsprechenden Zertifikatsdateien kann der Anwender selbst erstellen, zum Beispiel mit der Software GPG. Für die Veröffentlichung seines öffentlichen Schlüssels ist der Inhaber danach selbst verantwortlich. Dies kann er etwa über Key-Server und auf seiner Webseite vornehmen.

- CVC: Card-Verifiable-Certificate sind kompakte Zertifikate, die zum Beispiel auf Smartcards und elektronischen Ausweisen gespeichert werden können.

Für die gewerbliche Nutzung empfiehlt es sich, nur Zertifikate von anerkannten Dienstanbietern zu verwenden. Ansonsten besteht unter Umständen das Risiko, dass Warnmeldungen beim Verbindungsaufbau angezeigt werden und Kunden verunsichern.

Digitale Zertifikate überprüfen

Grundsätzlich geschieht die Überprüfung nach der korrekten Einrichtung automatisiert durch die zugreifende Software. Am bekanntesten ist die Zertifikatsprüfung im Browser. So zeigen alle gängigen Webbrowser beim verschlüsselten Zugriff auf einen Webserver ein entsprechendes Symbol an, häufig ein Schloss.

Dabei kann noch zwischen unterschiedlichen Validierungsklassen der Anbieter unterschieden werden:

- Domainvalidierte Zertifikate (DV): Hierbei überprüft die Registrierungsstelle, ob es sich um den Inhaber der Domain handelt, der entsprechend auch Zugriff auf die hinterlegte Mailadresse hat.
- Organisationsvalidierte Zertifikate (OV): Bei dieser Form der Validierung wird die Existenz des Unternehmens oder der Organisation anhand eingereichter Dokumente und Kriterien wie einer veröffentlichten Telefonnummer überprüft.
- Erweitert validierte Zertifikate (EV): Hier erfolgen separate Identitätsüberprüfungen der Antragsteller und zum Beispiel Überprüfungen anhand des Handelsregisters. Diese Schutzklasse wird in manchen Browsern mit einer grünen Adressleiste gekennzeichnet.

Zusätzlich kann der Anwender sich die verwendeten Zertifikate im Browser anzeigen lassen, indem er auf das Schlosssymbol klickt. In entsprechenden Untermenüs werden alle hinterlegten Informationen ausgegeben.

In Mailprogrammen müssen Zertifikate für eine Ende-zu-Ende-Verschlüsselung einmalig eingebunden werden. Danach sind sie in den Einstellungen zugreifbar und können eingesehen werden. Anders ist es bei digitalen Signaturen, die von Dritten mit einer E-Mail übersandt werden. Programme wie Microsoft Outlook zeigen die Signierung mit einem kleinen Symbol an. Der Empfänger einer Nachricht kann durch Anklicken des Symbols entsprechende Details aufrufen.

Digitale Zertifikate - ohne geht es nicht

Der Einsatz von durch eine PKI signierten digitalen Zertifikaten ist aus der modernden Kommunikationstechnik nicht mehr wergzudenken. Bei jeglichen Aktivitäten über den Browser, im Virtual Private Network (VPN) und für die E-Mailübertragung kommen sie zum Einsatz. Dies geschieht meist im Hintergrund. Da digitale Zertifikate aber so etwas wie ein Ausweis des Kommunikationspartners sind, sollten bei etwaigen Unstimmigkeiten sofort die Alarmglocken des Anwenders schrillen. Sensible Transaktionen dürfen dann auf keinen Fall mehr ausgeführt werden, wenn Zweifel bezüglich der Integrität eines digitalen Zertifikates bestehen.