Cryptography Reference
In-Depth Information
Im zweiten Schritt wird die Korrektheit des Zertifikats des Signierenden geprüft. Zertifikate
selbst brauchen nicht gesichert werden. Sie können z.B. zusammen mit einer signierten E-Mail
wie eine elektronische Visitenkarte offen übertragen werden. Der Empfänger kann ja die Kor-
rektheit des Zertifikats mit dem Schlüssel der Zertifizierungsinstanz e
CA
verifizieren. Aller-
dings benötigt er dazu den öffentliche Schlüssel e
CA
von der Zertifizierungsinstanz CA aus
einer verlässlichen Quelle. Deshalb ist die CA selbst wieder bei einer übergeordneten CA
legitimiert oder, falls sie der Endpunkt in der Vertrauenshierarchie ist, muss das Wurzel-
Zertifikat auf sicherem Wege bekannt gemacht werden. Möglichkeiten dazu sind die Veröf-
fentlichung in Massenmedien, wo ein Täuschungsversuch sofort offenbar würde, das Verteilen
über installierte Betriebssysteme, das Verteilen über Chipkarten von Banken oder Behörden,
durch gesicherte Downloads sowie die manuelle Kontrolle mit bildlich übertragenen „Fingerp-
rints“.
Wurzel-CA
CA
Cert(CA,
CA)
Zwischen-CA
CA1
Cert(CA,
CA1)
Cert(CA1,
TLN2)
2.
1.
TEXT
PKI-Teilnehmer
TLN1
PKI-Teilnehmer
TLN2
sig
[TEXT]
TLN2
Verifikationspfad für TLN1, um die Signatur von TLN2 zu überprüfen:
Abb. 6-3: Verifikation: TLN1 prüft eine Unterschrift von TLN2.
Fall: 2stufige Hierarchie mit einer Zwischen-CA „CA1“.
(1) TLN1 prüft die Signatur von TEXT mit dem Zertifikat Cert(CA1, TLN2) und prüft anschließend
(2) das Teilnehmer-Zertifikat von CA1 über TLN2.
Grundsätzlich kann eine Zertifizierungsstelle eine eigenständige neue Wurzel angelegen oder
in die Hierarchie von bereits vorhandenen CAs eingebunden werden. Im zweiten Fall wird die
Zertifizierungsstelle von einer bereits existierenden CA als besonderer Teilnehmer, der autori-
siert ist, weitere Benutzer oder Dienste zu etablieren, registriert. Wird hingegen eine eigens-
tändige Wurzel-CA angelegt, stellt diese Instanz den Endpunkt in der Zertifizierungshierarchie
dar. Diese unterschiedlichen Anordnungen sind von besonderer Bedeutung bei der Verifikati-
on von Signaturen. Bei der Überprüfung einer digitalen Signatur ist, wie in Abb. 6-3 darges-
tellt, der gesamte Zertifizierungspfad zu betrachten. Beginnend vom Signaturzertifikat bis hin
