Digitale Zertifikate

Digitale Zertifikate stellen die digitale Analogie zu amtlichen Ausweisdokumenten dar: Eine vertrauenswürdige Instanz bestätigt die Identität einer Person oder eines Computers. Beim Personalausweis wird die Identität einer Person durch den Staat (= vertrauenswürdige Instanz) bestätigt.

Mit digitalen Zertifikaten wird bestätigt, daß ein bestimmter öffentlicher Schlüssel zu einer bestimmten Person oder einem bestimmten Computer gehört. Damit kann für einen vorliegenden öffentlichen Schlüssel stets nachgewiesen werden, daß dieser zu einer bestimmten Person bzw. einem bestimmten Computer gehört, also die Person bzw. der Computer den passenden privaten Schlüssel besitzt.

Ein Zertifikat besteht aus dem öffentlichen Schlüssel und den identifizierenden Daten der zugehörigen Person bzw. des zugehörigen Computers sowie einer digitalen Signatur des öffentlichen Schlüssels und den identifizierenden Daten durch eine Zertifizierungsstelle. Die identifizierenden Daten für eine Person sind z. B. Name und Adresse, für einen Computer werden beispielsweise der Computername und Angaben zur betreibenden Institution herangezogen.

Um ein von einer bestimmten Zertifizierungsstelle ausgestelltes Zertifikat überprüfen zu können, benötigt man den öffentlichen Schlüssel der Zertifizierungsstelle. Dieser steht meist im Internet zum Download zur Verfügung, und zwar wiederum in Form eines Zertifikats, das außer dem öffentlichen Schlüssel auch die identifizierenden Daten der Zertifizierungsstelle enthält. Dieses Zertifikat ist von der Zertifizierungsstelle signiert (selbstsigniertes Zertifikat, auch Stammzertifikat genannt), um anzuzeigen, daß es keine "höhere" Instanz gibt, die die Echtheit dieses Zertifikats bestätigt. Wer dieses Zertifikat zur Prüfung öffentlicher Schlüssel verwendet, vertraut damit der Zertifizierungsstelle insoweit, als er davon ausgeht, daß die Zertifizierungsstelle vor Ausstellung eines Personen- oder Computerzertifikats hinreichend die Identität der Person bzw. des Computers geprüft hat.

Da das Internet zunächst keine Sicherheit gegen die Verfälschung übertragener Daten durch Hacker bietet, muß vor Verwendung eines über das Internet erhaltenen Stammzertifikats seine Korrektheit geprüft werden. Dies geschieht oft dergestalt, daß die Zertifizierungsstelle die identifizierenden Daten des Zertifikats nebst einem Fingerabdruck in einem weiteren Medium (z. B. einer gedruckten Broschüre) veröffentlicht. Ein über Internet erhaltenes Stammzertifikat kann man dann durch Vergleich der identifizierenden Daten und des Fingerabdrucks auf Authentizität prüfen.

Widerruf von Zertifikaten

Ein Zertifikat wird nur für einen begrenzten Gültigkeitszeitraum ausgestellt (üblich ist z. B. eine Gültigkeitsdauer von einem Jahr). Wird der mit einem Zertifikat in Verbindung stehende private Schlüssel kompromittiert (d. h. er gerät in falsche Hände) oder geht verloren, sollte das Zertifikat von der Zertifizierungsstelle widerrufen werden. Die Zertifizierungsstelle gibt in regelmäßigen Abständen Widerrufslisten (Certificate Revocation Lists), die die nicht mehr gültigen Zertifikate enthalten. Man sollte daher stets prüfen, ob ein Zertifikat mittlerweile widerrufen wurde. Die gängigen Webbrowser können so eingestellt werden, daß die Überprüfung automatisch vorgenommen wird.