[[Certification Authority (CA)]]
Sie befinden sich hier: home » Linux / UNIX » Certification Authority (CA)
Zeige Quelltext
Letzte ÄnderungenÜbersicht

Dies ist eine alte Version des Dokuments!

Certification Authority (CA)

Eine »Certification Authority (CA)«1) ist eine Instanz die digitale Zertifikate erstellt und signiert, quasi digital unterschreibt. Damit wird ein öffentlicher Schlüssel einer Person oder Organisation beglaubigt. Somit soll sichergestellt werden, dass der Kommunikationspartner auch derjenige ist, den er vorgibt zu sein. Ein Anwendungsbeispiel für die Verwendung von digitalen Zertifikaten ist die Verschlüsselung der Kommunikation bestimmter Webseiten im Umgang mit sensiblen Daten, zB Logininformationen.

Vereinfacht ausgedrückt verläuft der SSL-Handshake wie folgt2):

  • Der Client sendet eine Anfrage zur verschlüsselten Kommunikation.
  • Der Server antwortet und sendet sein digitales Zertifikat.
  • Der Client prüft die Gültigkeit des Zertifikats.
  • Der Client antwortet mit einem zufällig generiert Schlüssel und verschlüsselt diesen mit dem öffentlichen Schlüssel des Servers.
  • Der Server verschlüsselt nun die Daten mit seinem privaten und dem öffentlichen (zufällig generierten) Schlüssel des Clients.
  • Der Client entschlüsselt die Daten mit seinem in Verbindung mit dem zufällig generierten privaten und dem öffentlichen Schlüssel des Servers.

Somit können Daten nur dann ver- und entschlüsselt werden, wenn beide Kommunikationspartner die öffentlichen Schlüssel des jeweils anderen übermittelt bekommen haben. Das Schlüsselpaar privater Schlüssel »private key« und öffentlicher Schlüssel »public key« stehen in direktem Zusammenhang. Ein Datenpaket wird mit dem privaten Schlüssel des Senders und dem öffentlichen Schlüssel des Empfängers verschlüsselt und der Empfänger entpackt das Paket mit seinem privaten Schlüssel und den öffentlichen Schlüssel des Senders. Somit ist sichergestellt dass sich beide Kommunikationspartner kennen und sich kein dritter einschleichen kann ohne aufzufallen.

Erstellen einer neuen CA

Vertrauen ist eine der Hauptanforderungen an SSL verschlüsselte Kommunikation und auch zugleich das Hauptproblem jeder selbst erstellten »CA«. Damit ein Client einem Serverzertifikat vertraut muss es auch von einer vertrauenswürdigen »CA« ausgestellt worden sein. Möchte ich nun als Bandit ein gültiges uns seriöses Serverzertifikat für zb »www.meinonlinebanking.de« erstellen lassen, muss ich der ausstellenden »CA« meine Identität beweisen. Das geht von der Lieferung einer Kopie des Personalausweises bis hin zu notarieller Beglaubigung bei sicherheitsrelevanten Organisationen. Der Bandit könnte jetzt zwar eine eigene »CA« installieren und das Zertifikat seiner gekaperten Seite »www.meinonlinebanking.de« selbst ausstellen, nur hat er dann das Problem, dass kein Webbrowser diese ausstellende CA kennt und dieser somit auch nicht vertraut und eine Warnung ausgeben wird.

Warum dann also selbst eine »CA« erstellen? Die Gründe können vielfältig sein und reichen vermutlich von bloßer Ignoranz über Zertikikate zu Demo und Dokumentationszwecken bis hin zu Unternehmenszertifikaten, wo die Client System vorhersagbar und somit bekannt sind. Bei bekannten Clientsystemen zB bestünde die Möglichkeit das Zertifikat der »CA« in den Zertifikatsspeicher des Clients als vertrauenswürdige »CA« zu importieren, was dann die Zertifikatswarnung beim aufrufen des SSL verschlüsselten Inhalts beseitigt.

1) http://de.wikipedia.org/wiki/Zertifizierungsstelle
2) http://publib.boulder.ibm.com/tividd/td/TRM/SC23-4822-00/de_DE/HTML/user277.htm
tux/root_ca.1401883592.txt.gz (20206 views) · Zuletzt geändert: 2014/06/04 14:06 von wikisysop
Zeige QuelltextÄltere Versionen
Medien-ManagerNach oben
CC Attribution-Share Alike 3.0 Unported
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0