Wer kann ein Zertifikat beantragen?

Jedes Hochschulmitglied ist berechtig Zertifikate zu beantragen. Wir behalten es uns jedoch vor Zertifikatsanträge abzulehnen, wenn deren intendierter Verwendungszweck dazu Anlass gibt oder die Anzahl der beantrageten Zertifikate die Kapazitäten unserer Abteilung übersteigen.

Die THM stellt nur Zertifikate für die sich im Besitz der TH befindlichen Domänen aus. Adressen anderer Anbieter werden von uns nicht zertifiziert. Dazu gehören insbesondere private Maildienstleister und Webhoster.

Was ist unter einem Public-Key-Verfahren zu verstehen?

Beim Public-Key-Verfahren besitzt jeder Anwender zwei Schlüssel, einen öffentlichen und einen geheimen, der häufig auch als privater Schlüssel bezeichnet wird. Beide Schlüssel können zum Verschlüsseln von Daten eingesetzt werden, wobei das Entschlüsseln der Daten nur mit dem jeweils anderen Schlüssel wieder möglich ist. 

Der öffentliche Schlüssel ist allgemein verfügbar während der private Schlüssel von seinem Besitzer geheim gehalten wird. Hierdurch wird es möglich dem Besitzer eines geheimen Schlüssels eine Nachricht in verschlüsselter Form zukommen zu lassen ohne dass man dafür dessen geheimen Schlüssel kennen muss. Man kodiert die Daten mit dem öffentlichen Schlüssel des Empfängers. Das Entschlüsseln der Daten ist hiernach nur mit dem privaten Schlüssel wieder möglich, den nur der Empfänger kennt.

Public-Key-Verfahren sind ein vergleichweise junges Gebiet in der Kryptografie, das sich erst in den 70er Jahren des letzten Jahrhunderts entwickelte. Sie werden meistens unter dem Überbegriff asymmetrische Verschlüsselung diskutiert. Trotz ihrer "Jugend" haben sich diese Verfahren in den letzten Jahren sehr weit verbreitet da sie die technische Basis für digitale Signaturen und Verschlüsselung über unsichere Verbindungen (insbesondere das Internet) darstellen.

Herkömmliche (symmetrische-) Verfahren, bei denen jeder Anwender nur einen geheimen Schlüssel besitzt, sind zwar im ersten Moment einfacherer zu handhaben, jedoch hat sich das Problem der Schlüsselverteilung in der Praxis als kaum befriedigend lösbar erwiesen. Beide Kommunikationspartner müssen denselben geheimen Schlüssel kennen, um eine gesicherte Verbindung zueinander aufbauen zu können. Authentifizierungssysteme wie Kerberos versuchen um dieses Problem vermittels zentraler Authentifizierungsdienste herum zu arbeiten, jedoch haben sich diese Systeme im Internet bisher nicht durchsetzen können. Public-Key-Verfahren sind im Internet der De-facto-Standard.

Was ist eine Zertifizierungsstelle und wozu braucht man so etwas?

"Im Internet weiß niemand, dass Du ein Hund bist", lautet ein geflügeltes Wort, das auf einen 1993 im "New Yoker" erschienenen Artikel zurück geht. Gemeint ist damit, dass sich die eigene Identität im Internet leicht verbergen lässt.

Mag diese Eigenschaft des Internets in einigen Zusammenhängen wünschenswert sein, so ist sie im beruflichen Alltag zumeist hinderlich. Man ist auf authentische Kommunikationsbeziehungen angewiesen. Gerade im Internet, wo es keine natürlichen Erkennungsmerkmale gibt, bedarf es einer einfachen und wirksamen Methode sich seines Gegenübers zu vergewissern. Aus diesem Grund gibt es Zertifizierungsstellen.   

Eine Zertifizierungsstelle (engl. Certificate Authority, CA) ist eine zentrale Einrichtung, die Identitätsdaten (E-Mail-Adressen und Rechnernamen) sowie öffentliche Schlüssel beglaubigt und entsprechende Bescheinigungen ausstellt. Diese Bescheinigungen haben die Form fälschungssicherer digitaler Zertifikate, die sich zumeist am X.509 -Standard ausrichten. Benutzer können über eine der CA angeschlossene Registrierungsstelle Zertifikatsanträge bei der CA einreichen, um Ihre Daten beglaubigen zu lassen. Dabei müssen Sie sich den Regularien der Zertifizierungsstelle unterwerfen. Die Zertifizierungsstelle (oder CA) bewertet die Anträge und Antragssteller anhand definierter und nachvollziehbarer Kriteren. Nur wenn sich nach sorgfältiger Prüfung die Identität eines Antragsstellers oder einer Maschine eindeutig feststellen lässt beglaubigt die CA diese Identität durch das Ausstellen eines entsprechendes Zertifikates. Die Zertifikate haben nur für einen begrenzten Zeitraum Gültigkeit (in der Regel ein bis zwei Jahre) und können von der CA jederzeit widerrufen werden, wenn es dafür zwingende Gründe gibt. Wird der CA beispielsweise die missbräuchliche Nutzung eines Zertifikates bekannt, so wird sie dieses Zertifikat sperren.

Vertraut man einer CA, kann man als Folge dieser Vertrauensbeziehung allen Zertifikaten trauen, die von dieser CA ausgestellt wurden. Das gilt sowohl für Zertifikate, die zu Maschinen gehören (zumeist Rechner im Internet) als auch für Zertifikate, die die Identität von Personen (auch jur. Personen) beglaubigen. 

Der DFN-Verein betreibt in seiner PKI eine eigene Zertifizierungsstelle für die TH Mittelhessen. Dieser CA ist eine Registrierungsstelle (RA) angeschlossen, die durch die Abteilung IT-Services für die Hochschule betrieben wird. Dadurch ist es den Mitgliedern unserer Hochschule möglich ihre Vertrauensbeziehung zu den zentralen Einrichtungen der Hochschule wirksam auf den digitalen Bereich zu übertragen. Sie können damit untereinander und mit den Mitgliedern anderer Hochschulen und Forschungseinrichtungen über sichere und vertrauenswürdige Internet-Verbindungen kommunizieren und Daten austauschen.

Die wichtigsten Anwendungsbereiche

E-Mail

Wenn die mit der Hochschule korrespondierenden Zertifikate in Ihr Mailprogramm importiert wurden, kann Ihr Mailprogramm für Sie erkennen, ob die digitale Siganatur eines Hochschulmitglieds, das Ihnen eine digital signierte E-Mail hat zukommen lassen, korrekt ist, d.h. auf einem von der CA austgestelltem Zertifikat basiert. Sie vertrauen darauf, dass Sie tatsächlich mit der Person kommunizieren, deren E-Mail-Adresse als Absender in der Nachricht auftaucht, weil Sie vernüftigerweise davon ausgehen, dass die Zertifizierungsstelle die Identität der betreffenden Person ausreichend geprüft hat. Bei unsignierten E-Mails oder E-Mails, die über nicht verifizierbare Signaturen verfügen, wäre dieses Vertrauen kaum zu rechtfertigten. Selbst wenn Sie sich sicher sind mit einer bestimmten Person zu kommunizieren, bieten Ihnen unsignierte Nachrichten keinen hinreichenden Anhaltspunkt dafür, dass am anderern Ende der Verbindung tatsächlich der Mensch sitzt, den Sie dort erwarten. Auch können Sie bei unsignierten Nachrichten nicht sicher sein, dass die Nachricht auf dem Weg zu Ihnen nicht von Dritten verändert wurde.

Mit Hilfe von Zertifikaten können Sie E-Mail-Nachrichten für bestimmte Empfänger verschlüsseln so dass nur diese Ihre Nachricht lesen können und die Botschaft somit nicht auf dem Weg durchs Internet ausgespäht werden kann. Umgekehrt können Sie verschüsselte Nachrichten empfangen. Dies ermöglicht es Ihnen vertrauliche Dienstgeschäfte über das Internet abzuwickeln oder sensible Daten zu versenden. 

Web 

Wenn die mit der Hochschule korrespondierenden Zertifikate in Ihren Browser importiert wurden, kann dieser für Sie bei verschlüsselten Verbindungen erkennen, ob auf der Gegenseite eine von der Zertifizierungsstelle als vertrauenswürdig eingestufte Maschine ihren Dienst versieht. Kann die Gegenseite kein korrekt signiertes Zertifikat vorlegen, das ihre Identität beurkundet, gibt Ihr Browser eine Warnung aus. Diese Warnung erscheint immer dann, wenn der Browser kein vertrauenswürdiges Stammzertifikat in seinem Zertifikatsspeicher findet, das die Korrektheit des vorgelegten Zertifikates bestätigt.

Was ist eine Zertifikats-Widerrufsliste?

Die in der Zertifikats-Widerrufsliste (engl. Certificate Revocation List, CRL) aufgeführten Zertifikate gelten als widerrufen. Eine solche Instanz gibt der CA die Möglichkeit von ihr ausgestellte Zertifikate zurückzuziehen. Nutzt man die Dienste einer CA, sollte man in den entsprechenden Anwendungen (Browser, Mailclient) unbedingt die zur CA gehörende Widerrufsliste installieren. Andernfalls bekommt man nicht mit, wenn Zertifikate zurück gezogen wurden und vertraut gegebenfalls Servern und Personen, denen man besser kein Vertrauen schenkt.

Falls Sie es noch nicht getan haben, importieren Sie bitte die CRL der Fachhochschule!

Was ist eine Public-Key-Infrastruktur (PKI)?

 (Artikel basiert auf Wikipedia

Als Öffentlicher-Schlüssel-Infrastruktur bzw. Public-Key-Infrastruktur (PKI, engl.: public key infrastructure) bezeichnet man in der Kryptologie und Kryptografie ein System, welches es ermöglicht, digitale Zertifikate auszustellen, zu verteilen und zu prüfen. Die innerhalb einer PKI ausgestellten Zertifikate sind meist auf Personen oder Maschinen festgelegt und werden zur Absicherung computergestützter Kommunikation verwendet.

Der zu Grunde liegende Gedanke ist der folgende: Mit Hilfe eines asymmetrischen Kryptosystems (siehe Public-Key-Verfahren) können Nachrichten im Internet signiert und verschlüsselt werden. Das Signieren garantiert, dass die Nachricht in dieser Form wirklich vom angegebenen Absender stammt. Allerdings benötigt man hierzu den Public-Key des Absenders. Dieser könnte z. B. per E-Mail versendet werden. Es stellt sich genau an diesem Punkt aber die Frage, wie sichergestellt werden kann, dass es sich tatsächlich um den Schlüssel des Absenders handelt und nicht um die Fälschung eines Betrügers. Hierzu kann der zu verschickende Schlüssel selbst wieder mit einem vertrauenswürdigen Schlüssel signiert sein. Auf diese Weise lässt sich eine Hierarchie aus vertrauenswürdigen Institutionen aufbauen. Auf die Echtheit der Schlüssel der obersten Institutionen dieser Hierarchie muss man sich aber verlassen können. Sie sind oft in die verarbeitende Computer-Software integriert.

Wesentliche Bestandteile einer (minimalen) PKI sind:

  • Digitale Zertifikate: Digital signierte elektronische Daten, die sich zum Nachweis der Echtheit von Objekten verwenden lassen.
  • Zertifizierungsstelle (Certificate Authority, CA): Organisation, welche das CA-Zertifikat bereitstellt und die Signatur von Zertifikatsanträgen übernimmt.
  • Registrierungsstelle (Registration Authority, RA): Organisation, bei der Personen, Maschinen oder auch untergeordnete Zertifizierungsstellen Zertifikate beantragen können. Diese prüft die Richtigkeit der Daten im gewünschten Zertifikat und genehmigt den Zertifikatsantrag der dann durch die Zertifizierungsstelle signiert wird.
  • Zertifikatwiderrufslisten (Certificate Revocation List): Eine Liste mit Zertifikaten die vor Ablauf der Gültigkeit zurückgezogenen wurden z.B. weil des Schlüsselmaterial kompromittiert wurde. Prinzipiell muss eine PKI immer eine Zertifikatsstatusprüfung anbieten. Hierbei können jedoch neben der CRL (Offline-Statusprüfung) auch s.g. Online-Statusprüfungen wie OCSP oder SCVP zum Einsatz kommen. Online-Statusprüfungen werden gängigerweise dort eingesetzt wo die zeitgenaue Prüfung des Zertifikates wichtig ist z.B. bei finanziellen Transfers etc.
  • Verzeichnisdienst: ein durchsuchbares Verzeichnis, welches ausgestellte Zertifikate enthält, meist ein LDAP-Server, seltener ein X.500-Server.
  • Validierungsdienst: Ein Dienst, der die Überprüfung von Zertifikaten in Echtzeit ermöglicht.
  • Dokumente: Eine PKI führt eines oder mehrere Dokumente, in denen die Arbeitsprinzipien der PKI beschrieben sind. Kernpunkte sind der Registrierungsprozess, Handhabung des Secret-Key-Materials, zentrale oder dezentrale Schlüsselerzeugung, technischer Schutz der PKI-Systeme sowie evtl. rechtliche Zusicherungen. In X.509-Zertifikaten kann das CPS in den Extensions eines Zertifikates verlinkt werden. Nachfolgenden Dokumente sind teilweise üblich.
    • CP (Certificate Policy): In diesem Dokument beschreibt die PKI ihr Anforderungsprofil an ihre eigene Arbeitsweise. Es dient Dritten zur Analyse der Vertrauenswürdigkeit und damit zur Aufnahme in den Browser.
    • CPS (Certificate Practice Statement): Hier wird die konkrete Umsetzung der Anforderungen in die PKI beschrieben. Dieses Dokument beschreibt die Umsetzung der CP.
    • PDS (Policy Disclosure Statement): Dieses Dokument ist ein Auszug aus dem CPS, falls das CPS nicht veröffentlich werden soll.

Eine PKI bietet ein hierarchisches Gültigkeitsmodell an. Wird einer Zertifizierungsstelle vertraut, wird damit allen von ihr signierten Zertifikaten auch vertraut. Da eine PKI untergeordnete PKIs haben kann (Mehrstufigkeit), wird auch allen untergeordneten PKIs vertraut.

Was ist eine digitale Signatur?

Eine digitale Signatur hat im digitalen Bereich dieselbe Funktion wie eine herkömmliche Unterschrift im normalen Leben. Eine digitale Signatur kann auf verschiedenen Wegen zustande kommen.  An der Fachhochschule kommt ein Zertifikatsbasiertes System zum Einsatz, um digitale Signaturen zu ermöglichen. Dabei fertigen die Benutzer die digitalen Signaturen mit ihrem privaten Schlüssel an. Da jeder Anwender über einen korrespondierenden beglaubigte öffentliche Schlüssel (Zertifikat) verfügt, kann jedermann diese Signaturen auf ihre Korrektheit hin überprüfen.

Was ist ein privater Schlüssel und wie geht man damit um?

Der Begriff privater Schlüssel bezeichnet bei Public-Key-Verfahren den Geheimschlüssel. Dieser Schlüssel ist vom Anwender wie ein Passwort zu behandeln. Der private Schlüssel dient zum Entschlüsseln und zum Signieren von Daten. Wird er korrumpiert ist dies ITS sofort anzuzeigen. Der private Schlüssel sollte immer durch eine sog. Passphrase geschützt werden. Dies ist ein einfaches Passwort mit dem der private Schlüssel selbst verschlüsselt wird. Vor der Benutzung des privaten Schlüssel (z.B. beim Signieren einer E-Mail) wird dann die Eingabe der Passphrase fällig. Dies ist ein guter Schutz und führt zudem dazu, dass man sofort bemerkt, wenn eine Anwendung den privaten Schlüssel benutzen will.