HOME Bevor Sie weitermachen, eine ganz wichtige Frage: Top 12 E-Mails verschl252sseln11 Die Zertifikatsprüfung Inhalt English

11 Die Zertifikatsprüfung

Woher wissen Sie eigentlich, dass das fremde Zertifikat wirklich vom genannten Absender stammt? Und umgekehrt - warum sollte Ihr Korrespondenzpartner glauben, dass das Zertifikat, das Sie ihm geschickt haben, auch wirklich von Ihnen stammt? Die Absenderangabe auf einer E-Mail besagt eigentlich gar nichts, genauso wie die Absenderangabe auf einem Briefumschlag.

Wenn Ihre Bank z.B. eine E-Mail mit Ihrem Namen und der Anweisung erhält, Ihr sämtliches Guthaben auf ein Nummernkonto auf den Bahamas zu überweisen, wird sie sich hoffentlich weigern - E-Mail-Adresse hin oder her. Eine E-Mail-Adresse besagt überhaupt nichts über die Identität des Absenders.

Der Fingerabdruck

Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist die Sache mit der Identität schnell geregelt: Sie prüfen den Fingerabdruck des anderen Zertifikats.

Jedes Zertifikat trägt eine einmalige Kennzeichnung, die es zweifelsfrei identifiziert; besser noch als ein Fingerabdruck eines Menschen. Deshalb bezeichnet man diese Kennzeichnung ebenfalls als „Fingerabdruck“.

Wenn Sie sich die Details eines Zertifikats in Kleopatra anzeigen lassen, z.B. durch Doppelklick auf das Zertifikat, sehen Sie u.a. dessen 40-stelligen Fingerabdruck:

Der Fingerabdruck des oben dargestellten OpenPGP-Zertifikats ist also:
7EDC0D141A82250847448E91FE7EEC85C93D94BA

 
Wie gesagt - der Fingerabdruck identifiziert das Zertifikat und seinen Besitzer eindeutig.

Rufen Sie Ihren Korrespondenzpartner einfach an und lassen Sie sich von ihm den Fingerabdruck seines Zertifikats vorlesen. Wenn die Angaben mit dem Ihnen vorliegenden Zertifikat übereinstimmen, haben Sie eindeutig das richtige Zertifikat.

Natürlich können Sie sich auch persönlich mit dem Eigentümer des Zertifikats treffen oder auf einem anderen Wege sicherstellen, dass Zertifikat und Eigentümer zusammen gehören. Häufig ist der Fingerabdruck auch auf Visitenkarten abgedruckt; wenn Sie also eine garantiert authentische Visitenkarte haben, so können Sie sich den Anruf ersparen.

OpenPGP-Zertifikat beglaubigen

Nachdem Sie sich „per Fingerabdruck“ von der Echtheit des Zertifikats überzeugt haben, können Sie es beglaubigen - allerdings nur in OpenPGP. Bei X.509 können Benutzer keine Zertifikate beglaubigen - das bleibt den Beglaubigungsinstanzen (CAs) vorbehalten.

Durch das Beglaubigen eines Zertifikats teilen Sie anderen (Gpg4win-)Benutzern mit, dass Sie dieses Zertifikat für echt - also autentisch - halten: Sie übernehmen so etwas wie die „Patenschaft“ für dieses Zertifikat und erhöhen das allgemeine Vertrauen in seine Echtheit.

 
Wie funktioniert das Beglaubigen nun genau?
Selektieren Sie in Kleopatra das OpenPGP-Zertifikat, das Sie für echt halten und beglaubigen möchten. Wählen Sie anschließend im Menü: Zertifikate -> Zertifikat beglaubigen...

Im nachfolgenden Dialog bestätigen Sie nun noch einmal das zu beglaubigende OpenPGP-Zertifikat mit [Weiter]:

Im nächsten Schritt wählen Sie Ihr eigenes OpenPGP-Zertifikat aus, mit dem Sie das im letzten Schritt ausgewählte Zertifikat beglaubigen wollen:

Entscheiden Sie hier, ob Sie [Nur für mich selbst beglaubigen] oder [Für alle sichtbar beglaubigen] wollen. Bei letzterer Variante haben Sie die Option, das beglaubigte Zertifikat anschließend auf einen OpenPGP-Zertifikatsserver hochzuladen und damit der Welt ein mit Ihrer Beglaubigung versehenes, aktualisiertes Zertifikat zur Verfügung zu stellen.

Bestätigen Sie Ihre Auswahl mit [Beglaubigen].

Wie beim Signieren einer E-Mail müssen Sie auch beim Beglaubigen eines Zertifikats (mit Ihrem privaten Schlüssel) Ihre Passphrase eingeben. Erst nach korrekter Eingabe ist die Beglaubigung abgeschlossen.

Nach erfolgreicher Beglaubigung erhalten Sie folgendes Fenster:

 
Wollen Sie die erfolgte Beglaubigung nun einmal prüfen?
Dann öffnen Sie die Zertifikatsdetails des eben beglaubigten Zertifikats. Wählen Sie den Reiter Benutzer-Kennungen und Beglaubigungen und klicken Sie auf die Schaltfläche [Hole Beglaubigungen ein].

Sortiert nach den Benutzerkennungen sehen Sie alle Beglaubigungen, die in diesem Zertifikat enthalten sind. Hier sollten Sie auch Ihr Zertifikat wiederfinden, mit dem Sie soeben beglaubigt haben.

Das Netz des Vertrauens

Durch das Beglaubigen von Zertifikaten entsteht - auch über den Kreis von Gpg4win-Benutzern und Ihre täglichen Korrespondenz hinaus - ein „Netz des Vertrauens“ („Web of Trust“, WoT), bei dem Sie nicht mehr zwangsläufig darauf angewiesen sind, ein OpenPGP-Zertifikat direkt auf Echtheit (Autentizität) zu prüfen.

Natürlich steigt das Vertrauen in ein Zertifikat, wenn mehrere Leute es beglaubigen. Ihr eigenes OpenPGP-Zertifikat wird im Laufe der Zeit die Beglaubigungen vieler anderer GnuPG-Benutzer tragen. Damit können immer mehr Menschen darauf vertrauen, dass dieses Zertifikat wirklich Ihnen und niemandem sonst gehört.

Wenn man dieses „Web of Trust“ weiterspinnt, entsteht eine flexible Beglaubigungs-Infrastruktur.

Eine einzige Möglichkeit ist denkbar, mit der man diese Zertifikatsprüfung aushebeln kann: Jemand schiebt Ihnen ein falsches Zertifikat unter. Also einen öffentlichen OpenPGP-Schlüssel, der vorgibt, von X zu stammen, in Wirklichkeit aber von Y ausgetauscht wurde. Wenn ein solches gefälschtes Zertifikat beglaubigt wird, hat das „Netz des Vertrauens“ natürlich ein Loch. Deshalb ist es so wichtig, sich zu vergewissern, ob ein Zertifikat wirklich zu der Person gehört, der es zu gehören vorgibt, bevor man es beglaubigt.

Was aber, wenn eine Bank oder Behörde prüfen möchte, ob die Zertifikate ihrer Kunden echt sind? Alle anzurufen kann hier sicher nicht die Lösung sein ...

Beglaubigungsinstanzen

Hier braucht man eine „übergeordnete“ Instanz, der alle Benutzer vertrauen können. Sie prüfen ja auch nicht persönlich den Personalausweis eines Unbekannten durch einen Anruf beim Einwohnermeldeamt, sondern vertrauen darauf, dass die ausstellende Behörde diese Überprüfung korrekt durchgeführt und beglaubigt hat.

Solche Beglaubigungsinstanzen gibt es auch für OpenPGP-Zertifikate. In Deutschland bietet unter anderem z.B. die Zeitschrift c't schon lange einen solchen Dienst kostenlos an, ebenso wie viele Universitäten.

Wenn man also ein OpenPGP-Zertifikat erhält, das durch eine solche Beglaubigungsinstanz per Beglaubigung seine Echtheit bestätigt, sollte man sich darauf verlassen können.

Derartige Beglaubigungsinstanzen oder „Trust Center“ sind auch bei anderen Verschlüsselungsverfahren - wie z.B. S/MIME - vorgesehen. Im Gegensatz zum ,,Web of Trust" sind sie hierarchisch strukturiert: Es gibt eine „Oberste Beglaubigungsinstanz“, die weitere „Unterinstanzen“ beglaubigt und ihnen das Recht gibt, Benutzerzertifikate zu beglaubigen (vgl. Kapitel 5).

Am besten ist diese Infrastruktur mit einem Siegel vergleichbar: Die Plakette auf Ihrem Autonummernschild kann Ihnen nur eine dazu berechtigte Institution geben, die die Befugnis dazu wiederum von einer übergeordneten Stelle erhalten hat. Technisch ist eine Beglaubigung nichts anderes als eine Signatur eines Zertifikates durch den Beglaubigenden.

Die hierarchischen Beglaubigungs-Infrastrukturen entsprechen natürlich wesentlich besser den Bedürfnissen staatlicher und behördlicher Instanzen als das lose, auf gegenseitigem Vertrauen beruhende „Web of Trust“ von GnuPG. Der Kern der Beglaubigung selbst ist allerdings völlig identisch: Gpg4win unterstützt neben dem „Web of Trust“ (OpenPGP) zusätzlich auch eine hierarchische Beglaubigungsstruktur (S/MIME). Demnach bietet Gpg4win eine Grundlage, um dem Signaturgesetz der Bundesrepublik Deutschland zu entsprechen.

Wenn Sie sich weiter für dieses Thema interessieren, dann können Sie sich z.B. bei folgenden Webadressen über dieses und viele andere IT-Sicherheits-Themen informieren:

Eine weitere, eher technische Informationsquelle zum Thema der Beglaubigungsinfrastrukturen bietet das GnuPG Handbuch das Sie ebenfalls im Internet finden unter:
www.gnupg.org/gph/de/manual


© 21. Mai 2010, v3.0.0 (zuletzt geringfügig korrigiert am 21. September 2010)
Das Gpg4win-Kompendium ist unter der GNU Free Documentation License v1.2 lizensiert.


HOME Bevor Sie weitermachen, eine ganz wichtige Frage: Top 12 E-Mails verschl252sseln11 Die Zertifikatsprüfung Inhalt English