Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

--- faecher:informatik:oberstufe:kryptographie:pki:start [25.04.2023 09:55] – [Sperrung von Schlüsseln] sron
+++ faecher:informatik:oberstufe:kryptographie:pki:start [25.04.2023 10:06] (aktuell) – [Digitale Zertifikate] sron
@@ Zeile 32: / Zeile 32: @@
 ===== Digitale Zertifikate =====
-Alle Problem rühren daher, dass der öffentliche Schlüssel zunächst nur eine Abfolge von Nullen und Einsen ist - er enhält darüber hinaus keine weiteren Informationen (Name, Mailadresse oder ähnliches) und wenn der Si eenthält (z.B. gnuPG) können diese Metainformationen frei gesetzt und geändert werden - sind also nicht vertrauenswürdig.
+Alle Problem rühren daher, dass der öffentliche Schlüssel zunächst nur eine Abfolge von Nullen und Einsen ist - er enhält darüber hinaus keine weiteren Informationen (Name, Mailadresse oder ähnliches) und wenn er diese enthält (z.B. gnuPG) können diese Metainformationen frei gesetzt und geändert werden - sind also nicht vertrauenswürdig.
 Ein PKI löst dieses Problem, indem sie einen Datensatz, der aus dem eigentlichen Schlüssel und weiteren Informationen besteht, durch einen "zentralen privaten Schlüssel" signiert und damit eine Verbindlichkeit einführt:
@@ Zeile 38: / Zeile 38: @@
 {{ :faecher:informatik:oberstufe:kryptographie:pki:ca1.drawio.png |}}
-Eine wichtige Frage bei einem solchen digitalen Zertifikat ist, wer es signiert (wer die "Zertifizierung" durchführt). Die naheliegendste Möglichkeit besteht darin, eine unabhängige Instanz einzurichten wird, die diese Aufgabe übernimmt. Eine solche Instanz wird Zertifizierungsstelle oder **Certification Authority (CA)** genannt. Ein Unternehmen das Public-Key-Verfahren eingesetzt kann seine die CA durch die IT-Abteilung betreiben, es ist aber auch üblich, dass eine Behörde als CA-Betreiber auftritt oder dass ein Unternehmen die Dienste einer CA am Markt anbietet.
+Eine wichtige Frage bei einem solchen digitalen Zertifikat ist, wer es signiert (wer die "Zertifizierung" durchführt). Die naheliegendste Möglichkeit besteht darin, eine unabhängige Instanz einzurichten, die diese Aufgabe übernimmt. Eine solche Instanz wird Zertifizierungsstelle oder **Certification Authority (CA)** genannt. Ein Unternehmen das Public-Key-Verfahren einsetzt kann seine CA durch die IT-Abteilung betreiben, es ist aber auch üblich, dass eine Behörde als CA-Betreiber auftritt oder dass ein Unternehmen die Dienste einer CA am Markt anbietet.
-Einen Sinn hat eine CA nur dann wenn man ihre Signaturen verifizieren kann. Dazu muss man den öffentlichen Schlüssel der CA kennen.  Woher weiß man jetzt aber, ob man den richtigen CA-Schlüssel hat? Woher weiß man, ob er nicht gesperrt wurde? Ist die Gültigkeitsdauer des CA-Schlüssels schon abgelaufen? Diese Fragen lassen sich nur beantworten, wenn auch der öffentliche Schlüssel der CA in ein digitales Zertifikat gefasst wird. **Aber wer signiert jetzt das Zertifikat der CA?** Das Problem ist also lediglich eine Stufe "nach oben verschoben".
+Einen Sinn hat eine CA nur dann, wenn man ihre Signaturen verifizieren kann. Dazu muss man den öffentlichen Schlüssel der CA kennen.  Woher weiß man jetzt aber, ob man den richtigen CA-Schlüssel hat? Woher weiß man, ob er nicht gesperrt wurde? Ist die Gültigkeitsdauer des CA-Schlüssels schon abgelaufen? Diese Fragen lassen sich nur beantworten, wenn auch der öffentliche Schlüssel der CA in ein digitales Zertifikat gefasst wird. **Aber wer signiert jetzt das Zertifikat der CA?** Das Problem ist also lediglich eine Stufe "nach oben verschoben".
 Praktisch wird das derzeit durch sogenannte Root-Zertifikate umgesetzt, welche Browser und Betriebssysteme mitbringen, hier ein Screenshot aus Firefox:
@@ Zeile 61: / Zeile 61: @@
 {{ :faecher:informatik:oberstufe:kryptographie:pki:ca2.drawio.png |}}
-Man spricht (im Gegensatz zum web-of-Trust von **Hierarchical Trust**.
+Man spricht (im Gegensatz zum Web-of-Trust) von **Hierarchical Trust**.