Digitale X.509-Zertifizierung

  • Artikel

Eine primäre Aufgabe eines digitalen Zertifikats besteht darin, Zugriff auf den öffentlichen Schlüssel des Betreffs bereitzustellen. Das Zertifikat bestätigt auch, dass der öffentliche Schlüssel des Zertifikats zum Betreff des Zertifikats gehört. Beispielsweise kann eine Zertifizierungsstelle (Zertifizierungsstelle) eine spezielle Nachricht (die Zertifikatinformationen) digital signieren, die den Namen eines Benutzers enthält, sagen Sie "Alice", und ihren öffentlichen Schlüssel. Dies muss so erfolgen, dass jeder überprüfen kann, ob das Zertifikat ausgestellt und von keiner anderen als der CA signiert wurde. Wenn die Zertifizierungsstelle vertrauenswürdig ist und überprüft werden kann, ob das Zertifikat von Alice von dieser Zertifizierungsstelle ausgestellt wurde, kann jeder Empfänger des Zertifikats von Alice den öffentlichen Schlüssel von Alice aus diesem Zertifikat vertrauen.

Die typische Implementierung der digitalen Zertifizierung umfasst einen Prozess zum Signieren des Zertifikats.

Der Prozess geht wie folgt vor:

  1. Alice sendet eine signierte Zertifikatanforderung , die ihren Namen, ihren öffentlichen Schlüssel und vielleicht einige zusätzliche Informationen an eine Zertifizierungsstelle enthält.
  2. Die CA erstellt eine Nachricht, m, aus der Anforderung von Alice. Die CA signiert die Nachricht mit seinem privaten Schlüssel, erstellen eine separate Signaturnachricht, sig. Die CA gibt die Nachricht, m und die Signatur, sig, an Alice zurück. Zusammen bilden m und sig das Zertifikat von Alice.
  3. Alice sendet beide Teile ihres Zertifikats an Bob, um ihm Zugriff auf ihren öffentlichen Schlüssel zu geben.
  4. Bob überprüft die Signatur, sig mithilfe des öffentlichen Schlüssels der CA. Wenn die Signatur gültig ist, akzeptiert er den öffentlichen Schlüssel im Zertifikat als öffentlichen Schlüssel von Alice.

Wie bei jeder digitalen Signatur kann jeder Empfänger mit Zugriff auf den öffentlichen Schlüssel der Zertifizierungsstelle bestimmen, ob eine bestimmte Zertifizierungsstelle das Zertifikat signiert hat. Dieser Prozess erfordert keinen Zugriff auf geheime Informationen. Das szenario, das gerade vorgestellt wurde, geht davon aus, dass Bob Zugriff auf den öffentlichen Schlüssel der Ca hat. Bob hätte Zugriff auf diesen Schlüssel, wenn er über eine Kopie des Zertifikats der Zertifizierungsstelle verfügt, die diesen öffentlichen Schlüssel enthält.

X.509 digitale Zertifikate umfassen nicht nur den Namen und den öffentlichen Schlüssel eines Benutzers, sondern auch andere Informationen zum Benutzer. Diese Zertifikate sind mehr als Schritte in einer digitalen Hierarchie des Vertrauens. Sie ermöglichen es der Zertifizierungsstelle, dem Empfänger eines Zertifikats nicht nur den öffentlichen Schlüssel des Betreffs des Zertifikats zu vertrauen, sondern auch andere Informationen zum Betreff des Zertifikats. Diese anderen Informationen können unter anderem eine E-Mail-Adresse, eine Autorisierung zum Signieren von Dokumenten eines bestimmten Werts oder die Autorisierung zum Erstellen einer Zertifizierungsstelle enthalten und andere Zertifikate signieren.

X.509-Zertifikate und viele andere Zertifikate verfügen über eine gültige Zeitdauer. Ein Zertifikat kann ablaufen und nicht mehr gültig sein. Eine Zertifizierungsstelle kann ein Zertifikat aus mehreren Gründen widerrufen. Um Widerrufe zu behandeln, verwaltet und verteilt eine Zertifizierungsstelle eine Liste der widerrufenen Zertifikate, die als Zertifikatsperrliste (CRL) bezeichnet werden. Netzwerkbenutzer greifen auf die CRL zu, um die Gültigkeit eines Zertifikats zu ermitteln.