Network Haven

Zertifikate

2 Min. Lesezeit

Zertifikate

  • Zertifikate nutzen digitale Signaturen um die Authentizität sicherzustellen
    • Dabei wird der öffentliche Schlüssel, samt den DNS-Namen des Servers signiert mit dem privaten Schlüssel der CA
  • Warum Zertifikate? - Authentifizierung
    • Sicherstellen das ich derjenige bin, der ich vorgebe zu sein
    • Vertrauensstellung
  • Trusted Third Party
    • Unabhängige (dritte) Instanz, welche die Behauptung jemand zu sein, verifiziert
    • Diese Instanz wird von mir als auch vom gegenüber vertraut
  • Für den Beweis einer Identität benötigen wir
    • Identität: DNS-Name | Timo Gremler
    • Dokument: Zertifikat | Personalausweis
    • Teilnehmer: Client & Server | Alice & Bob
    • Schutzmechanismen: Digitale Signatur | Hologramme
  • Da im Diffie-Hellman Schlüsselaustausch der öffentliche Schlüssel genutzt wird um einen symmetrischen Sitzungsschlüssel abzuleiten, wird der öffentliche Schlüssel mit einem privaten Schlüssel signiert. Dieser wird wieder rum von der Gegenstelle durch den öffentlichen Schlüssel signierten Schlüssel (Zertifikat) verifiziert. Damit kann sichergestellt werden ob der öffentliche Schlüssel wirklich von Alice kommt.

Beispiel Polizei

Ablauf

Certificates Authorities

Zu vertrauende Third Parties sind in der Regel private Unternehmen oder auch Certificate Authorities genannt. Bspw. ist Lets Encrypt eine CA. Um nun dem Management der Zertifikate Herr zu werden, haben diese CAs nicht nur eine Zertifizierungsstelle mit nur einem privaten Schlüssel, sondern sie sind hierarchisch angeordnet.

Hierarchie

An der Spitze steht eine Root-CA welche in der Regel niemals direkt ein Zertifikat ausstellt, sondern nur sogenannte Sub-CA Zertifikate ausstellt und erneuert. Von diesen Zwischenstellen kann es beliebig viele geben, vorausgesetzt die Vererbung bzw. die Trust Chain stimmt überein. Diese Sub-CAs sind auch in der Regel diejenige Stellen, welche die Zertifikat dann an Endbenutzer ausgeben.

Vorteil dieser Hrerarchie ist es, dass wenn mal ein Sub-CA Zertifikat zurückgezogen werden muss, nur ein kleiner Teil von Endbenutzern und Endbenutzer-Zertifkate betroffen ist und nicht die gesamte CA.

References

Graphansicht

Backlinks