Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision | ||
cert-basics [2012/08/31 11:22] – [Die digitale Signatur] bush | cert-basics [2012/12/05 16:05] – [Die digitale Signatur] bush | ||
---|---|---|---|
Zeile 42: | Zeile 42: | ||
Der Hashwert ist somit eine Art eindeutiger Fingerabdruck oder " | Der Hashwert ist somit eine Art eindeutiger Fingerabdruck oder " | ||
- | Voraussetzung dazu ist allerdings, dass der Hashwert vom Absender sicher zum Empfänger | + | Voraussetzung dazu ist allerdings, dass der Hashwert vom Absender sicher zum Empfänger |
Hier kommt nun das Public Key - Verfahren zum tragen: Der Sender einer Nachricht erzeugt einen Hashwert seiner zu sendenden Daten, verschlüsselt ihn mit seinem privaten Schlüssel und fügt die so erzeugte Signatur der Nachricht bei. Der Empfänger, der im Besitz des öffentlichen Schlüssels des Absenders ist, entschlüsselt die Signatur im Anhang und vergleicht das Ergebnis (= Original-Hash) mit seiner eigenen Hash-Berechnung (natürlich ohne die angehängte Signatur!). Bei Gleichheit der Hashwerte kann der Empfänger sicher sein, dass die Nachricht unterwegs nicht verfälscht wurde - vorausgesetzt, | Hier kommt nun das Public Key - Verfahren zum tragen: Der Sender einer Nachricht erzeugt einen Hashwert seiner zu sendenden Daten, verschlüsselt ihn mit seinem privaten Schlüssel und fügt die so erzeugte Signatur der Nachricht bei. Der Empfänger, der im Besitz des öffentlichen Schlüssels des Absenders ist, entschlüsselt die Signatur im Anhang und vergleicht das Ergebnis (= Original-Hash) mit seiner eigenen Hash-Berechnung (natürlich ohne die angehängte Signatur!). Bei Gleichheit der Hashwerte kann der Empfänger sicher sein, dass die Nachricht unterwegs nicht verfälscht wurde - vorausgesetzt, | ||
Zeile 69: | Zeile 69: | ||
* DER ist ein binäres Format mit den typischen Dateinamenserweiterungen .der oder .crt | * DER ist ein binäres Format mit den typischen Dateinamenserweiterungen .der oder .crt | ||
* PEM ist ein Base64-codiertes Format mit der Erweiterung .pem, das man sich mit einem beliebigen Texteditor ansehen kann.\\ Zum lesen muss allerdings wie auch bei den binären Formaten ein passendes Programm (z.B. **[[http:// | * PEM ist ein Base64-codiertes Format mit der Erweiterung .pem, das man sich mit einem beliebigen Texteditor ansehen kann.\\ Zum lesen muss allerdings wie auch bei den binären Formaten ein passendes Programm (z.B. **[[http:// | ||
- | * PKCS#12 ist ein binäres Format, das Zertifikate ohne oder mit privatem Schlüssel enthalten kann.\\ Falls ein privater Schlüssel enthalten ist, wird er über ein Passwort geschützt.\\ Diese Dateien mit der Namenserweiterung .p12 oder .pfx werden z.B. zum Sichern oder Übertragen von Zertifikaten und geheimen Schlüsseln verwendet, wie es in **[[usercert|User-Zertifikat beantragen]]** für die Übertragung eines Benutzerzertifikates aus Mozilla Firefox nach Mozilla Thunderbird beschrieben ist. | + | * PKCS#12 ist ein binäres Format, das Zertifikate ohne oder mit privatem Schlüssel enthalten kann.\\ Falls ein privater Schlüssel enthalten ist, werden die Dateien |
Muster eines PEM-Formates: | Muster eines PEM-Formates: | ||
Zeile 125: | Zeile 125: | ||
Mit den oben schon erwähnten Werkzeugen (keytool oder openSSL) kann die gesamte Prozedur zum Herstellen eines Zertifikates durchgeführt werden. | Mit den oben schon erwähnten Werkzeugen (keytool oder openSSL) kann die gesamte Prozedur zum Herstellen eines Zertifikates durchgeführt werden. | ||
- | * **Schritt 1:** Grundsätzlich beginnt die Herstellung eines Zertifikates mit der Erzeugung eines Schlüsselpaares. Man speichert dieses in einer Datei ab, die als Schlüsselspeicher (keystore) bezeichnet wird. Da jeder Eintrag in einem Schlüsselspeicher mit einem Namen (alias) versehen wird, kann man sich bei nachfolgenden Operationen (z.B Vergabe eines Passwortes) auf den gewünschten Eintrag beziehen. | + | * **Schritt 1:** Grundsätzlich beginnt die Herstellung eines Zertifikates mit der Erzeugung eines Schlüsselpaares. Man speichert dieses in einer Datei ab, die als Schlüsselspeicher (keystore) bezeichnet wird. Da jeder Eintrag in einem Schlüsselspeicher mit einem Namen (alias) versehen wird, kann man sich bei nachfolgenden Operationen (z.B Vergabe eines Passwortes) auf den gewünschten Eintrag beziehen. Wenn ein Schlüsselspeicher mehrere Schlüsselpaare enthält, spricht man sinnigerweise auch oft von einem Schlüsselbund (key ring) :-) . |
Vor dem nächsten Schritt muss man sich entscheiden, | Vor dem nächsten Schritt muss man sich entscheiden, | ||
Zeile 133: | Zeile 133: | ||
Wir wollen uns aber in diesem Artikel auf die Zertifkate konzentrieren, | Wir wollen uns aber in diesem Artikel auf die Zertifkate konzentrieren, | ||
- | * In **Schritt 2** erzeugt man einen Zertifikatsantrag (certificate signing request, CSR), der neben dem öffentlichen Schlüssel die Daten aufnimmt, die ins Zertifikat übernommen werden sollen. Der CSR wird als separate PEM-Datei üblicherweise mit der Dateiendung .csr abgespeichert und an die Zertifizierungsstelle geschickt. | + | * In **Schritt 2** erzeugt man einen Zertifikatsantrag (certificate signing request, CSR), der neben dem öffentlichen Schlüssel die Daten aufnimmt, die ins Zertifikat übernommen werden sollen. Der CSR wird als separate PEM-Datei üblicherweise mit der Dateiendung .csr abgespeichert und an die Zertifizierungsstelle geschickt. Bei der Beantragung eines persönlichen Zertifikates wird der CSR vom Browser implizit durchgeführt. |
- | * **Schritt 3:** Die vorgelagerte Registrierungsstelle (hier die Uni FR RA) identifiziert den Antragsteller/ | + | * **Schritt 3:** Die vorgelagerte Registrierungsstelle (registration authority, |
* **Schritt 4:** Nach erfolgter Identifizierung unterschreibt die RA den Zertifikatsantrag digital und löst damit die Herstellung des Zertifikates aus. | * **Schritt 4:** Nach erfolgter Identifizierung unterschreibt die RA den Zertifikatsantrag digital und löst damit die Herstellung des Zertifikates aus. | ||
Zeile 179: | Zeile 179: | ||
Zur Qualität trägt z.B. bei: | Zur Qualität trägt z.B. bei: | ||
- | - wie aufwändig die Zuordnung eines Zertifikates und seines öffentlichen Schlüssels zu seinem Eigentümer (=Antragsteller) kontolliert wird.\\ Gelegentlich werden kostenfreie(!) Zertifikate herausgegeben, | + | - wie aufwändig die Zuordnung eines Zertifikates und seines öffentlichen Schlüssels zu seinem Eigentümer (=Antragsteller) kontolliert wird.\\ Gelegentlich werden kostenfreie(!) Zertifikate herausgegeben, |
- ob und wie schnell ein ungültig gewordenes Zertifikat gesperrt werden kann und wie rasch diese Information an die Nutzer gelangt.\\ Zertifikate, | - ob und wie schnell ein ungültig gewordenes Zertifikat gesperrt werden kann und wie rasch diese Information an die Nutzer gelangt.\\ Zertifikate, | ||
Zeile 185: | Zeile 185: | ||
Zu 2:\\ | Zu 2:\\ | ||
- | {{ : | + | {{ : |
< | < | ||