Kryptographie |
... newer stories
Freitag, 3. Dezember 2004
Zertifizierungstellen
elke.beck.uni-sbg, 08:02h
Zuvor noch ein kurzer Überblick über diesen Text, der zuerst einige allgemeine Fragen klärt und dann speziell auf Zertifizierungsstellen eingeht:
1. Sinn und Nutzen der Zertifikate und der Zertifizierungsstellen(=Zertifizierungsdiensteanbieter)Zur Anwendung des asymetrischen Verschlüsselungsverfahren wird ein öffentlicher Schlüssel verschickt, damit der Empfänger der Botschaft diese entschlüsseln kann. Das Problem, dass sich dabei ergibt, ist, dass der Empfänger aber nicht weiß, ob der öffentliche Schlüssel auch wirklich von dem angegebenen Sender stammt und nicht von einem unbekannten Dritten. Deshalb ist es möglich, sich durch ein Zertifikat den versandten öffentlichen Schlüssel als den eigenen garantieren zu lassen. Die Vergabe, Überprüfung, Widerruf und Erneuerung eines solchen Zertifikats ist Aufgabe der Zertifizierungsstellen, auch Certificate Authority (CA), genannt.Damit eine Organisation oder Person (Sender) für ihren Schlüssel ein Zertifikat erhält, wird diese von den Zertifizierungsstellen mit einem strengen Verfahren authentifiziert und überprüft. Die Zertifikate enthalten erstens „Informationen über den Namen des Inhabers, dessen öffentlichen Schlüssel, eine Seriennummer, eine Gültigkeitsdauer und den Namen der Zertifizierungsstelle“ (Wikipedia) und zweitens den privaten Schüssel der Zertifizierungsstelle als Signatur. Diese digitale Unterschrift der Stelle soll wiederum beweisen, dass die Zertifizierung auch wirklich von dieser Stelle vorgenommen wurde und dies kann der Empfänger mit dem dazu passenden öffentlichen Schlüssel der Stelle überprüfen. Nun könnte man aber einwenden wie man denn sicher sein kann, dass auch dieser öffentliche Schlüssel der Zertifizierungsstelle echt ist. Damit sich dieses System nicht ad absurdum führt, gibt es eine oberste Zertifizierungsinstanz, deren Funktion weiter unten noch detaillierter behandelt wird. (vgl. Wikipedia – Begriffe: Zertifikat (Informatik) und Zertifizierungsstelle und VeriSign - Zertifizierungsstelle) --- 2. EU-Signaturrichtlinie und Signaturgesetz für Österreich1999 wurde von der EU eine Richtlinie (PDF) über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen herausgegeben, die von den EU-Mitgliedsstaaten in Form von Gesetzen und Verordnungen in ihrem jeweiligen nationalen Recht verankert wird. In Österreich wurde im gleichen Jahr deshalb ein „Bundesgesetz über elektronische Signaturen (Signaturgesetz, SigG)“ entwickelt, das durch die Signaturverordnung konkretisiert wurde(vgl. RTR-Website zum Signaturrecht).Dieses Gesetz bestimmt:
--- 3. Aufsichtsbehörden und deren Aufgabe bezüglich elektronischer SignaturenZuständig für die Aufsicht über Zertifizierungsdiensteanbieter ist gemäß Art. 4 Abs. 1 der Signaturrichtlinie jener Staat, in dessen Hoheitsgebiet der Zertifizierungsdiensteanbieter niedergelassen ist.In Österreich ist das – wie bereits erwähnt – die Telecom-Control-Commission mit der RTR – Rundfunk & Telekom Regulierungs-GmbH. In Deutschland ist die Reg TP - Regulierungsbehörde für Telekommunikation und Post dafür zuständig. Ihre Regulierungsaufgaben bestehen darin, zu überprüfen, ob die Angaben im Sicherheits- und im Zertifizierungskonzept der Zertifizierungsdiensteanbieter von jenen umgesetzt werden, „die Verwendung geeigneter technischer Komponenten und Verfahren zu überwachen“, „die Zertifizierungsdiensteanbieter zu akkreditieren“ und die „organisatorische Aufsicht über Bestätigungsstellen durchzuführen“. Weiters müssen sie eine Liste an gültigen, gesperrten und widerrufenen Zertifikaten veröffentlichen. (vgl. RTR-Website: § 13 Aufsichtsstelle) --- 4. ZertifizierungZertifizierungsdiensteanbieter (=Zertifizierungsstellen):Zertifizierungsdiensteanbieter, von denen es sehr viele gibt, können Firmen, öffentliche Organisationen oder Regierungsstellen sein (vgl. Wikipedia, „Zertifizierungsstelle“).Eine Liste an Zertifizierungsdiensteanbietern, die ihre Tätigkeit bei der RTR angezeigt haben, ist auf deren Website zu finden, incl. einer Bewertung bezgl. qualifizierter, fortgeschrittener Zertifikate. Darin sind u.a. folgende Firmen und Vereine enthalten:
Die am meisten verwendeten Web-Browser (z.B. Internet Explorer) haben bereits eine Liste von bekannten Zertifizierungsstellen und deren öffentliche Schlüssel integriert, sodass Zertifikate dieser Stellen automatisch überprüft werden (vgl. VeriSign). Daher folgt weiters eine Auflistung der deutsch- und englischsprachigen Zertifizierungsstellen, die der Internet Explorer bereits kennt (exclusive der bereits angeführten):
VerfahrenDamit ein Zertifikat laut Signaturverordnung als qualifiziert gilt, müssen als Verfahren RSA oder DSA verwendet werden.(vgl. RTR-Website: Schlüsseltyp)RSA ist ein asymmetrisches Verschlüsselungsverfahren, das – zur Zeit – als sicher gilt. Sein Name setzt sich aus den Anfangsbuchstaben der Nachnamen seiner Erfinder zusammen: Ronald L. Rivest, Adi Shamir und Leonard Adleman Der DSA-Algorithmus wurde von der NSA entwickelt, um hochsichere Verschlüsselung zu kontrollieren. (vgl. Wikipedia: „elektronische Unterschrift“) GebührenDazu möchte ich auf den Weblog von Vivienne Kaier verweisen, die sich ausführlich mit den anfallenden Kosten befasst hat.... link (2 comments) ... comment ... older stories
|
Online for 7339 days
Last update: 2005.01.18, 16:13 You're not logged in ... login
...
Kollaborateure
... Zertifizierung ... Steganografie ... FTP ... home ... topics ... ::collabor:: home
eine sehr gut ..
.. gegliederte, ausführlich dargestellte, zitierte... by Hans.Mittendorfer.Uni-Linz (2005.01.18, 16:13) Zertifizierungstellen
Zuvor noch ein kurzer Überblick über diesen... by elke.beck.uni-sbg (2005.01.10, 20:12) Sehr ausführlicher...
Sehr ausführlicher FTP Beitrag! Echt gut! Danke... by roman.koenigshofer.uni-sbg (2005.01.06, 17:13) FTP
Das File Transfer Protocol, kurz FTP, ist ein Netzwerkprotokoll,... by elke.beck.uni-sbg (2005.01.04, 14:54) hi elke
erstmal - gratuliere zu deinem weglog. habe mich mit... by Vivienne.Kaier.uni-sbg (2004.12.05, 15:24) |