|
|
A Digitale Zertifikate bewältigen eines der Probleme der Signatur-Technologie. Sie können eine Datei
authentifizieren, indem Sie die Signatur und den Auszug (Hash-Wert) verwenden, aber wie können Sie überprüfen, dass der private
Schlüssel und der dazugehörige öffentliche Schlüssel wirklich dem Datei-Urheber gehören?
Das Problem der Vertrauenswürdigkeit wird dadurch gelöst, dass das die Ausgabe der Schlüssel an Dritte, die sogenannte
Zertifizierungsstelle (Certificate Authority, CA) delegiert wird. Die CA untersucht die Referenzen des Anwenders und gibt einen privaten Schlüssel nur an seriöse
Personen aus. Der dazugehörige öffentliche Schlüssel wird als Teil einer größeren Datei erzeugt, die Digitales
Zertifikat genannt wird und neben der Adresse des
Anwenders auch noch weitere Benutzerinformationen enthält. Das Zertifikat wird dann wiederum durch die CA signiert.
|
|
|
|
|
|
|
|
Die Liste vertrauenswürdiger Zertifikate wird auf einem Windows-PC durch den Internet Explorer und andere Hilfsprogramme verwaltet.
Klicken Sie im Internet Explorer auf Extras, Internetoptionen, Inhalte, Zertifikate.
Jedes Zertifikat wird in einem benannten Zertifikatenspeicher abgelegt, der vom Zweck des Zertifikates oder vom "Vertrauens"-Status des Zertifikates abhängt.
Wenn z. B. ein Anwender von Windows XP ein code-signiertes Programm installiert, öffnet sich ein Speicherdialog, es sei denn, ein korrespondierendes Zertifikat
ist bereits im Zertifikatenspeicher des "vertrauenswürdigen Herstellers" abgelegt.
|
|
|
Das RedTitan XML-Digitales-Dokumenten-Authentifizierungssystem zeigt als Teil des Verifikations-Prozesses das Zertifikat an, das den öffentlichen Schlüssel enthält,
der zum privaten Schlüssel gehört, mit dessen Hilfe ein benanntes Dokument signiert wurde.
Um die Signierung von Dokumenten zu aktivieren, muss der Benutzer ein Zertifikat und den entsprechenden privaten Schlüssel bei einer Zertifizierungsstelle anfordern.
Diese kann z. B. THAWTE sein.
Als Standard verwendet RedTitan die RSA laboratories PKCS #7 Cryptographic Message Syntax
Standard-Format-Zertifikate und die privaten Schlüssel im PVK-Format.
Der private Schlüssel kann aber auch in einem "Container" abgelegt werden, der an die Microsoft-Zertifikate angehängt ist. In diesem Fall wird er niemals in Klartext
exportiert und wird durch den Windows-Anmeldemechanismus geschützt.
Eine Zertifizierungsstelle stellt die Datei im PKCS#7-Format zur Verfügung, die sowohl das Anwender-Zertifikat und weitere Zertifikate enthält, die den CA-Status
bestätigen. Der Authorisierungsprozess prüft den Status jedes Zertifikates in der "Vertrauensliste", um festzustellen, ob jedes Dokument im richtigen Zeitfenster
erstellt und nicht annulliert oder anderweitig beeinträchtigt worden ist.
|
|
