Was ist ein digitales Zertifikat?
Ein digitales Zertifikat, auch als Public-Key-Zertifikat bezeichnet, wird verwendet, um den Besitz eines öffentlichen Schlüssels kryptografisch mit der Entität zu verknüpfen, der er gehört. Digitale Zertifikate dienen zur Freigabe öffentlicher Schlüssel, die zur Verschlüsselung und Authentifizierung verwendet werden.
Digitale Zertifikate umfassen den zu zertifizierenden öffentlichen Schlüssel, identifizierende Informationen über die Entität, der der öffentliche Schlüssel gehört, Metadaten in Bezug auf das digitale Zertifikat und eine digitale Signatur des öffentlichen Schlüssels, den der Zertifikatsaussteller erstellt hat.
Die Verteilung, Authentifizierung und der Widerruf digitaler Zertifikate sind die Hauptfunktionen der Public Key Infrastructure (PKI), dem System, das öffentliche Schlüssel verteilt und authentifiziert.
Die Kryptografie mit öffentlichen Schlüsseln hängt von Schlüsselpaaren ab: Einem privaten Schlüssel, der vom Eigentümer gehalten und zum Signieren und Entschlüsseln verwendet wird, und einem öffentlichen Schlüssel, der zum Verschlüsseln von Daten verwendet werden kann, die an den Eigentümer des öffentlichen Schlüssels gesendet werden, oder zum Authentifizieren der signierten Daten des Zertifikatsinhabers. Mit dem digitalen Zertifikat können Entitäten ihren öffentlichen Schlüssel freigeben, damit er authentifiziert werden kann.
Digitale Zertifikate werden in Kryptografiefunktionen mit öffentlichen Schlüsseln am häufigsten zum Initialisieren von SSL-Verbindungen (Secure Sockets Layer) zwischen Webbrowsern und Webservern verwendet. Digitale Zertifikate werden auch für die gemeinsame Nutzung von Schlüsseln verwendet, die für die Verschlüsselung öffentlicher Schlüssel und die Authentifizierung digitaler Signaturen verwendet werden.
Alle gängigen Webbrowser und Webserver verwenden digitale Zertifikate, um sicherzustellen, dass nicht autorisierte Akteure veröffentlichte Inhalte nicht geändert haben, und um Schlüssel zum Verschlüsseln und Entschlüsseln von Webinhalten freizugeben. Digitale Zertifikate werden auch in anderen Kontexten online und offline verwendet, um kryptografische Sicherheit und Datenschutz zu gewährleisten.
Digitale Zertifikate, die von mobilen Betriebsumgebungen, Laptops, Tablet-Computern, IoT-Geräten (Internet of Things) sowie Netzwerk- und Softwareanwendungen unterstützt werden, schützen Websites, drahtlose Netzwerke und virtuelle private Netzwerke.
Wie werden digitale Zertifikate verwendet?
Digitale Zertifikate werden auf folgende Weise verwendet:
- Kredit- und Debitkarten verwenden in Chips eingebettete digitale Zertifikate, die sich mit Händlern und Banken verbinden, um sicherzustellen, dass die durchgeführten Transaktionen sicher und authentisch sind.
- Digitale Zahlungsunternehmen verwenden digitale Zertifikate, um ihre Geldautomaten, Kioske und Point-of-Sale-Geräte vor Ort mit einem zentralen Server in ihrem Rechenzentrum zu authentifizieren.
- Websites verwenden digitale Zertifikate zur Domänenvalidierung, um zu zeigen, dass sie vertrauenswürdig und authentisch sind.
- Digitale Zertifikate werden in sicheren E-Mails verwendet, um einen Benutzer gegenüber einem anderen zu identifizieren, und können auch zum Signieren elektronischer Dokumente verwendet werden. Der Absender signiert die E-Mail digital und der Empfänger überprüft die Signatur.
- Hersteller von Computerhardware betten digitale Zertifikate in Kabelmodems ein, um den Diebstahl von Breitbanddiensten durch Klonen von Geräten zu verhindern.
Angesichts zunehmender Cyberbedrohungen erwägen immer mehr Unternehmen, digitale Zertifikate an alle IoT-Geräte anzuhängen, die am Edge und in ihren Unternehmen betrieben werden. Ziel ist es, Cyberbedrohungen vorzubeugen und geistiges Eigentum zu schützen.
Wer kann ein digitales Zertifikat ausstellen?
Eine Entität kann ihre eigene PKI erstellen und ihre eigenen digitalen Zertifikate ausstellen, indem sie ein selbstsigniertes Zertifikat erstellt. Dieser Ansatz kann sinnvoll sein, wenn eine Organisation ihre eigene PKI verwaltet, um Zertifikate für den eigenen internen Gebrauch auszustellen. Certificate Authorities (CAs), die im Rahmen einer PKI als vertrauenswürdige Dritte gelten, stellen jedoch die meisten digitalen Zertifikate aus. Die Verwendung eines vertrauenswürdigen Drittanbieters zur Ausstellung digitaler Zertifikate ermöglicht es Einzelpersonen, ihr Vertrauen in die Zertifizierungsstelle auf die von ihr ausgestellten digitalen Zertifikate auszudehnen.
Digitale Zertifikate vs. digitale Signaturen
Public Key Cryptography unterstützt verschiedene Funktionen, einschließlich Verschlüsselung und Authentifizierung, und ermöglicht eine digitale Signatur. Digitale Signaturen werden mithilfe von Algorithmen zum Signieren von Daten generiert, sodass ein Empfänger unwiderlegbar bestätigen kann, dass die Daten von einem bestimmten öffentlichen Schlüsselinhaber signiert wurden.
Digitale Signaturen werden generiert, indem die zu signierenden Daten mit einem Einweg-kryptografischen Hash gehasht werden; Das Ergebnis wird dann mit dem privaten Schlüssel des Unterzeichners verschlüsselt. Die digitale Signatur enthält diesen verschlüsselten Hash, der nur authentifiziert oder verifiziert werden kann, indem der öffentliche Schlüssel des Absenders zum Entschlüsseln der digitalen Signatur verwendet und dann derselbe Einweg-Hashalgorithmus für den signierten Inhalt ausgeführt wird. Die beiden Hashes werden dann verglichen. Wenn sie übereinstimmen, beweist dies, dass die Daten seit dem Signieren unverändert waren und dass der Absender der Eigentümer des öffentlichen Schlüsselpaars ist, mit dem sie signiert wurden.
Eine digitale Signatur kann von der Verteilung eines öffentlichen Schlüssels in Form eines digitalen Zertifikats abhängen, es ist jedoch nicht zwingend erforderlich, dass der öffentliche Schlüssel in dieser Form übertragen wird. Digitale Zertifikate werden jedoch digital signiert und sollten nur vertrauenswürdig sein, wenn die Signatur überprüft werden kann.
Was sind die verschiedenen Arten von digitalen Zertifikaten?
Webserver und Webbrowser verwenden drei Arten von digitalen Zertifikaten, um sich über das Internet zu authentifizieren. Diese digitalen Zertifikate werden verwendet, um einen Webserver für eine Domäne mit der Person oder Organisation zu verknüpfen, der die Domäne gehört. Sie werden normalerweise als SSL-Zertifikate bezeichnet, obwohl das Transport Layer Security-Protokoll SSL abgelöst hat. Die drei Arten sind die folgenden:
- Domain-validierte (DV) SSL-Zertifikate bieten die geringste Sicherheit über den Inhaber des Zertifikats. Bewerber für DV SSL-Zertifikate müssen nur nachweisen, dass sie das Recht haben, den Domainnamen zu verwenden. Diese Zertifikate können zwar sicherstellen, dass der Zertifikatsinhaber Daten sendet und empfängt, bieten jedoch keine Garantie dafür, wer diese Entität ist.
- Organization-validated (OV) SSL-Zertifikate bieten zusätzliche Zusicherungen über den Zertifikatsinhaber. Sie bestätigen, dass der Antragsteller das Recht hat, die Domain zu nutzen. Antragsteller von OV SSL-Zertifikaten werden außerdem einer zusätzlichen Bestätigung ihres Eigentums an der Domain unterzogen.
- Extended Validation (EV) SSL-Zertifikate werden erst ausgestellt, nachdem der Antragsteller seine Identität zur Zufriedenheit der Zertifizierungsstelle nachgewiesen hat. Der Überprüfungsprozess überprüft die Existenz der Entität, die das Zertifikat beantragt, stellt sicher, dass die Identität mit den offiziellen Aufzeichnungen übereinstimmt und zur Verwendung der Domäne berechtigt ist, und bestätigt, dass der Domäneninhaber die Ausstellung des Zertifikats autorisiert hat.
Die genauen Methoden und Kriterien, die CAs befolgen, um diese Arten von SSL-Zertifikaten für Webdomänen bereitzustellen, entwickeln sich weiter, da sich die CA-Branche an neue Bedingungen und Anwendungen anpasst.
Es gibt auch andere Arten von digitalen Zertifikaten, die für verschiedene Zwecke verwendet werden:
- Codesignaturzertifikate können an Organisationen oder Einzelpersonen ausgestellt werden, die Software veröffentlichen. Diese Zertifikate werden verwendet, um öffentliche Schlüssel freizugeben, die Softwarecode signieren, einschließlich Patches und Softwareupdates. Codesignaturzertifikate bestätigen die Echtheit des signierten Codes.
- Client-Zertifikate, auch als digitale ID bezeichnet, werden an Einzelpersonen ausgegeben, um ihre Identität an den öffentlichen Schlüssel im Zertifikat zu binden. Einzelpersonen können diese Zertifikate verwenden, um Nachrichten oder andere Daten digital zu signieren. Sie können ihre privaten Schlüssel auch zum Verschlüsseln von Daten verwenden, die Empfänger mithilfe des öffentlichen Schlüssels im Clientzertifikat entschlüsseln können.
Vorteile digitaler Zertifikate
Digitale Zertifikate bieten folgende Vorteile:
- Privatsphäre. Wenn Sie die Kommunikation verschlüsseln, schützen digitale Zertifikate vertrauliche Daten und verhindern, dass die Informationen von Unbefugten eingesehen werden. Diese Technologie schützt Unternehmen und Einzelpersonen mit großen Mengen sensibler Daten.
- Benutzerfreundlichkeit. Der digitale Zertifizierungsprozess ist weitgehend automatisiert.
- Kosteneffizienz. Im Vergleich zu anderen Verschlüsselungs- und Zertifizierungsformen sind digitale Zertifikate günstiger. Die meisten digitalen Zertifikate kosten weniger als 100 US-Dollar pro Jahr.
- Flexibilität. Digitale Zertifikate müssen nicht von einer Zertifizierungsstelle erworben werden. Für Organisationen, die daran interessiert sind, einen eigenen internen Pool digitaler Zertifikate zu erstellen und zu verwalten, ist ein Do-it-yourself-Ansatz zur Erstellung digitaler Zertifikate möglich.
Einschränkungen digitaler Zertifikate
Einige Einschränkungen digitaler Zertifikate umfassen Folgendes:
- Sicherheit. Wie jede andere Sicherheitsabschreckung können auch digitale Zertifikate gehackt werden. Der logischste Weg für einen Massenhack ist, wenn die ausstellende digitale CA gehackt wird. Dies gibt schlechten Akteuren einen Einstieg in das Repository für digitale Zertifikate, das von der Behörde gehostet wird.
- Langsame Leistung. Es braucht Zeit, um digitale Zertifikate zu authentifizieren und zu ver- und entschlüsseln. Die Wartezeit kann frustrierend sein.
- Integration. Digitale Zertifikate sind keine eigenständige Technologie. Um effektiv zu sein, müssen sie ordnungsgemäß in Systeme, Daten, Anwendungen, Netzwerke und Hardware integriert sein. Das ist keine kleine Aufgabe.
- Verwaltung. Je mehr digitale Zertifikate ein Unternehmen verwendet, desto größer ist die Notwendigkeit, sie zu verwalten und zu verfolgen, welche auslaufen und erneuert werden müssen. Dritte können diese Dienste anbieten, oder Unternehmen können sich dafür entscheiden, die Arbeit selbst zu erledigen. Aber es kann teuer sein.
Erfahren Sie, wie Timing-Angriffe verwendet werden können, um Verschlüsselungsschlüssel zu knacken.