Zertifikate - eine Übersicht

von Aleander Plata

Inhaltsverzeichnis

Kurze Wiederholung: die digitale Unterschrift nach ElGamal

Hinweise zu Zertifikaten

Verschiedene Szenarien

Szenario 1 - Der Student sucht eine Wohnung

Szenario 2 - Der Student kauft ein

Szenario 3 - Der Administrator und der Server

Szenario 4 - Der Programmierer

Eine Übersicht - Produkte, Anbieter und Preise

Der ElGamal-Unterschriftenalgorithmus

Als erstes wiederhole ich kurz die Vorgehensweise, in der beliebige Texte unterschrieben werden. Als Vorlage dient die Kryptographie Vorlesung von Prof. von zur Gathen und Stinson Absatz 6.2.

Dazu wird als erstes festgelegt:

Öffentlich: Primzahl p, Erzeugendes alpha von Z

_p^×

Geheim: a ist Element von Z

_p-1

mit beta=alpha

(mod p)

Schlüssel: K=(p, beta, alpha,a)

Das Unterschreiben von Text x aus Z_p :

wähle ein zufälliges k aus Z

_p-1^×

und SIG

(x,k)=(x, gamma, delta) mit gamma= alpha

mod p und delta=(x-a_*gamma) k

^-1

mod p-1

Die Unterschrift gilt als korrekt, wenn gilt:

VERK(x, gamma,delta)=true <=> beta

^gamma

_*gamma

^delta

=alpha

(mod p)

Hinweise zu Zertifikaten

TC TrustCenter ist keine gemäß § 4 SigG genehmigte Zertifizierungsstelle.
TC TrustCenter hat bereits einen Antrag auf Genehmigung bei der RegTP gestellt, über den bisher noch nicht entschieden wurde..

Je höher die Zertifikatklasse, desto höher die Vertrauenswürdigkeit.
Alle von TC TrustCenter angebotenen Zertifikate werden in eine "Level of Trust"-Klasse eingeordnet, welche die grundsätzliche Art der Überprüfung der Inhalte und der Identitätsfeststellung beschreibt. Anhand der Klasse eines vorgelegten Zertifikates kann auf einfache Weise die Vertrauenswürdigkeit der angegebenen Inhalte abgeschätzt werden. Die Sicherheit der Verschlüsselung und damit der Vertraulichkeit ist hiervon nicht betroffen.

Keine Prüfung von Kreditwürdigkeit.

TC TrustCenter prüft die Korrektheit der in Zertifikaten angegebenen Identität auf die beschriebene Weise. Es werden keinerlei Prüfungen über Liquidität, Kreditwürdigkeit oder dergleichen der angegebenen Identität durchgeführt. Zertifikate schaffen Vertrauen darin, daß der Zertifikatinhaber tatsächlich derjenige ist, der er vorgibt zu sein. Sie geben keinerlei Hinweise auf die Vertrauenswürdigkeit des Zertifikatinhabers selbst.

Die Entscheidung über die Angemessenheit für eine Anwendung liegt beim Teilnehmer.
TC TrustCenter bietet Zertifikate verschiedener Klassen an, die den Grad an Vertrauenswürdigkeit in die Zertifikate beschreiben. Jeder Teilnehmer des Zertifizierungsservice muß selbst individuell entscheiden und verantworten, ob eine bestimmte Zertifikatklasse den Anforderungen seiner speziellen Anwendung genügt.

Informationspflicht des Teilnehmers.

Es wird ausdrücklich in den AGB des TC darauf hingewiesen, daß es unerläßlich ist, sich vor der Antragstellung oder Teilnahme am Zertifizierungsservice Grundkenntnisse über Public Key Verfahren anzueignen. Informationen und Hilfestellung zu Fragen zu Digitalen Signaturen, Zertifikaten und dem Zertifizierungsservice werden von TC TrustCenter auf der Web Site bereitgestellt.

Sorgfalts- und Mitwirkungspflicht des Zertifikatinhabers.

Der Zertifikatinhaber muß zur Sicherheit der Verfahren beitragen. Dazu muß er die Sorgfalts- und Mitwirkungspflichten in den AGB des TrustCenters beachten.

Anpassung an Marktbedürfnisse.

Aufgrund der sich stetig ändernden Marktanforderungen ist es unerläßlich, daß die Dienste der Zertifizierungsstelle den konkreten Bedürfnissen der Kunden angepaßt werden. Dieses Dokument, die AGB und die Zertifizierungsrichtlinien werden dementsprechend regelmäßig überarbeitet. Dabei kann es in Detailfragen zu kurzzeitigen Differenzen zwischen den verschiedenen Dokumenten kommen.

Szenario 1 - Der Student sucht eine Wohnung

Die WG will sich absichern, denn sie haben schlechte Erfahrungen gemacht. (Sie haben Bestätigungen von nicht vorhandenen Personen erhalten usw.)
Deshalb schickt unser Student X ihnen eine zertifizierte Email.

Anforderungen an das Zertifikat

Er wählt ein Zertifikat aus, das bestätigt, daß

die E-Mailadresse existiert und

der Besitzer des öffentlichen Schlüssels Zugriff darauf hat

Zertifikat Class 1

Class 1 Digital ID Preise

beim TrustCenter für 20,- DM

bei VeriSign für US$9,95

bei der British Telecom (BT) für £7,50

Szenario 2 - Der Student kauft ein

Sammelbestellung per Internet

Student Y verkauft Einzelteile über das Internet. Er nimmt Bestellungen per E-Mail entgegen und schickt eine Sammelbestellung an einen Groß-händler, um Boni für große Stückzahlen ausnutzen zu können.
Student X will beim Y kaufen. Y fordert dazu ein Zertifikat mit einer höheren Sicherheit (als Class 1) , um nicht auf einem Berg von Einzelteilen sitzen zu bleiben.

=> X braucht ein Zertifikat, bei dem die Angaben zu seiner Person überprüft wurden.

Er kann sich zwischen zwei Zertifikatsklassen entscheiden:

Class 3: überprüft wird, daß die E-Mailadresse dieser Person zuzuordnen ist und die persönlichen Angaben (Name, Adresse, Geburtsdatum usw.) der Person stimmen. (Jeweils durch den Personalausweis bei einer Poststelle oder einem IdentPoint von TrustCenter)
Class 4: wie Class 3, jedoch bei einer Meldebehörde mit Überprüfung der Daten anhand des Melderegisters (momentan nur für Personen, die in Hamburg wohnen)

Wie werden die Daten überprüft?

mittels des Post Ident Verfahrens (der einfache Weg):

Die Identitätsfeststellung über das Post Ident Verfahren ist für die meisten Benutzer sicherlich der einfachste Weg, da sie bei jeder Filiale der Deutschen Post vorgenommen werden kann und somit selten ein weiter Weg nötig ist.In der Regel treffen ein bis zwei Werktage nach der Antragstellung über das Online-Formular die für die Identitäts- feststellung notwendigen Unterlagen beim Antragsteller ein. Dazu gehören neben dem Anschreiben detaillierte Erläuterungen zum weiteren Ablauf, ein Informationsblattbetreffend der Sorgfalts-und Mitwirkungspflichten des Zertifikatinhabers, eine Antragsbestätigung, ein Coupon für das Post Ident Verfahren sowie je ein blauer und weißer Umschlag.
Auf der Antragsbestätigung ist die per E-Mail erhaltene Kontrollnummer zu notieren sowie zu unterschreiben. Die unterschriebene Bestätigung wird zusammen mit einer vom Antragsteller anzufertigenden Personalausweiskopie (beide Seiten) in den blauen Umschlag gesteckt, und dieser daraufhin verschlossen. Sodann begibt sich der Antragsteller mit den beiden Umschlägen und dem Coupon zur nächstgelegenen Postfiliale und händigt sie dem Postbeamten aus, der daraufhin die Identitätsfeststellung vornimmt und alle erforderlichen Unterlagen (inklusive des blauen Umschlags) im weißen Freiumschlag an TC TrustCenter weiterleitet. Nach Eintreffen der Unterlagen bei TC TrustCenter werden diese geprüft und bei erfolgreicher Überprüfung das Zertifikat erzeugt (üblicherweise innerhalb eines Werktages).Der Antragsteller wird per E-Mail von der Ausstellung des Zertifikats benachrichtigt und erhält darin Informationen zu dessen Installation und Benutzung.

mittels der TrustCenter Ident Points (der schnelle Weg):

Die Identitätsfeststellung bei TC TrustCenter Ident Points ist unkomplizierter und schneller als das Post Ident Verfahren, allerdings gibt es erheblich mehr Postfilialen als TC IdentPoints.

Während beim Post Ident Verfahren die Unterlagen per Post zunächst an den Antragsteller und nach der Identitätsfeststellung im Postamt an TC TrustCenter zurückgesendet werden müssen, erfolgt die Identitätsfeststellung im TC TrustCenter Ident Point online, so daß das Zertifikat im Regelfall noch am selben Tag ausgestellt und dem Antragsteller zugesandt wird. Sobald der Antragsteller per E-Mail die Kontrollnummer erhalten hat, kann er sich, ausgerüstet mit dieser Kontrollnummer sowie der Antragsnummer und seinem Personalausweis, zum von ihm gewählten TC TrustCenter Ident Point begeben und die Identitätsfeststellung dort vornehmen lassen.

Im TC TrustCenter Ident Point muß der Antragsteller E-Mail-Kontrollnummer und Antragsnummer nennen. Nach Eingabe der Personalausweisdaten werden diese an TC TrustCenter gesendet, dort abgeglichen und das Zertifikat ausgestellt. Der Antragsteller muß eine An-tragsbestätigung unterschreiben und eine Kopie seines Ausweises anfertigen lassen, die vom Ident Point an TC TrustCenter zur Überprüfung weitergeleitet werden. Sollte sich es herausstellen, daß Unstimmigkeiten im Zertifikatantrag vorhanden sind, behält sich TC TrustCenter vor, daß Zertifikat zu revozieren. Im Falle der Sperrung des Zertifikats wird der Inhaber hiervon in Kenntnis gesetzt und erhält die Möglichkeit, einen neuen Antrag zu stellen und die fehlerhaften Angaben zu korrigieren.

Preise

Preise für die Zertifikate Class 3 und 4 beim TrustCenter: Bis 50 Personen 120,-DM (also auch für Einzelpersonen) Bis 100 Personen 96,-DM
Vergleichbare Zertifikate gibt es bei VeriSign und der BT nicht

Szenario 3 - Der Administrator und der Server

Kurze Beschreibung

Student X arbeitet nach erfolgreich abgeschlossenem Studium für ein Unternehmen. Er hat unter anderem die Aufgabe Zertifikate zu beantragen und zu verwalten. Als erstes beantragt X ein Zertifikat für einen Server,

um die gesicherte Übertragung zum/vom Server zu gewährleisten,
zur sicheren Übertragung von persönlichen Daten
sowie zur sicheren E-Mailkommunikation im geschäftlichen Bereich.

Der Ablauf

mittels eines Handelsregisterauszugs (HRA) oder ähnlichem (z.B. einem Gewerbeschein) wird die Existenz des Unternehmens geprüft
die zeichnungsberechtigten Personen bestimmen Inhalt, wie z.B. den E-Mailnamen, Abkürzungen oder (textuelle) Logos
Serverzertifikatsdaten (z.B. Domain- und Organisationsname) werden von TrustCenter auf doppelte vergebene Namen geprüft
durch schriftliche Unterlagen und Unterschriften werden dann die Inhalte durch den Administrator bestätigt
nach Außen: ähnlich einem Fax

Zusätzliche Sicherheit

Durch die Zuweisung eines Zertifikates zu einer natürlichen Person kann eine noch größere Sicherheit erreicht werden.

Diese achtet dann besonders auf deren Benutzung bzw. Gebrauch.
Deren Identifikation wird durch Personalausweis festgestellt.

Lösung: Class 3 Zertifikat des TrustCenters, ähnlich dem Class 2 Zertifikat zusätzlich beinhaltet dieses die Identität der natürlichen und verantwortlichen Person. Preis steht noch nicht fest.

Die Anbieter und Preise

	1.	Jahr	2. Jahr
	1. Server	weitere Server	je Server
TrustCenter Class 2	500,- DM	250,- DM	250,-DM
VeriSign Secure Web Server	US$349,-	US$249,-	US$249,-
BT Class 3 Secure Server	£304,32	£233,82	£233,82

Szenario 4 - Der Programmierer

Wie kann X sein Produkt schützen ?

Es gibt ein spezielle Zertifikat für Programmierer bzw. Unternehmen, um die Softwareprodukte zu schützen. Dieses sind

Class 3 Code-Protect Zertifikat beim Trust-Center für 700,- DM im ersten Jahr und 500,- DM für jedes weitere

Software Publisher Digital ID bei VeriSign für US$400 pro Jahr

Die Übersicht

Trust Center

Name Personen-
kreis Geprüft wird Besonderheiten Sicherheit Rechtliche Gültigkeit Preis

Class 0 G Nichts nur für Testzwecke keine keine -

Class 1 P E-Mailadresse existiert und Besitzer des öffentlichen Schlüssels hat Zugriff darauf für Client-Authentisierung (gegenüber einem Web Server) oder persönliche E-Mail gering keine 20,-DM

Class 2 G/O 1. angegebene Unternehmen existiert (Handelsregisterauszug oder ähnliches)
2. zeichnungsberechitigte Personen bestimmen Inhalt des Zertifikats
3. Zertifikatsdaten (z. B. Serverzertifikaten: Domain<->Organisation) von TC überprüft - beinhaltet Class 1 Zertifikat
- durch schriftliche Unterlagen und Unterschriften werden die Inhalte bestätigt
- für gesicherte Übertragungen vom/zum Web Server gedacht; zur sicheren Übertragung von persönlichen Daten ; sonwie sichere E-Mailkommunikation im geschäftlichen Bereich hoch mittel
(ähnlich Fax) 500,- DM
für den ersten
250,- DM
für jeden weiteren Server in ersten Jahr;
250,-DM pro Server/Jahr ab 2.

Class 3 P/G für Privatpersonen : E-Mailadresse
durch Personalausweis/Reispass Identifizierung
und Angaben der Person mit Ausweis
für Geschäftsleute: wie Class 2, zusätzlich die Identität der natürlichen und verantwortlichen Personen - für Electronic Commerce gedacht, z. B. Internet Banking oder Online Shopping
- spezielle Zertifikate für Softwareentwickler Einzelpersonen und Firmen (MS Authenticode, Netscape Object Signing)
- zu jedem gibt es eine verantwortliche Person, die anhand ihres Ausweises identifiziert worden ist hoch hoch
(wie Brief) siehe oben
96,-DM bis 120,-DM für Private

Class 4 P wie bei Class 3 , allerdings findet die Identifizierung bei einer Meldebehörde statt, und damit Prüfung der Daten anhand des Melderegisters höchster Grad an Vertraulichkeit für Privatpersonen hoch hoch
(wie beglaubigteKopie eines Ausweises) ? steht noch nicht fest

Legende: G - Keufleute
O - Organisationen
P - Privatepersonen

Nichtdeutsche Anbieter

VeriSign	BT
Class 1 wie TC US$9,95	Class 1 wie TC £7,50
Secure Web Server wie Class 2 TC US$249 bis US$349	Class 3 Sercure Server wie Class 3 TC £233,82 bis £304,32
Software Publisher wie Class 3 TC US$400

Die Anbieter

TrustCenter unter www.trustcenter.de

VeriSign unter www.verisign.com

BT unter www.trustwise.com

Die Übersicht über die Produkte und Preise ist nicht vollständig!

Stand: Mai 1999

Name	Personen- kreis	Geprüft wird	Besonderheiten	Sicherheit	Rechtliche Gültigkeit	Preis
Class 0	G	Nichts	nur für Testzwecke	keine	keine	-
Class 1	P	E-Mailadresse existiert und Besitzer des öffentlichen Schlüssels hat Zugriff darauf	für Client-Authentisierung (gegenüber einem Web Server) oder persönliche E-Mail	gering	keine	20,-DM
Class 2	G/O	1. angegebene Unternehmen existiert (Handelsregisterauszug oder ähnliches) 2. zeichnungsberechitigte Personen bestimmen Inhalt des Zertifikats 3. Zertifikatsdaten (z. B. Serverzertifikaten: Domain<->Organisation) von TC überprüft	- beinhaltet Class 1 Zertifikat - durch schriftliche Unterlagen und Unterschriften werden die Inhalte bestätigt - für gesicherte Übertragungen vom/zum Web Server gedacht; zur sicheren Übertragung von persönlichen Daten ; sonwie sichere E-Mailkommunikation im geschäftlichen Bereich	hoch	mittel (ähnlich Fax)	500,- DM für den ersten 250,- DM für jeden weiteren Server in ersten Jahr; 250,-DM pro Server/Jahr ab 2.
Class 3	P/G	für Privatpersonen : E-Mailadresse durch Personalausweis/Reispass Identifizierung und Angaben der Person mit Ausweis für Geschäftsleute: wie Class 2, zusätzlich die Identität der natürlichen und verantwortlichen Personen	- für Electronic Commerce gedacht, z. B. Internet Banking oder Online Shopping - spezielle Zertifikate für Softwareentwickler Einzelpersonen und Firmen (MS Authenticode, Netscape Object Signing) - zu jedem gibt es eine verantwortliche Person, die anhand ihres Ausweises identifiziert worden ist	hoch	hoch (wie Brief)	siehe oben 96,-DM bis 120,-DM für Private
Class 4	P	wie bei Class 3 , allerdings findet die Identifizierung bei einer Meldebehörde statt, und damit Prüfung der Daten anhand des Melderegisters	höchster Grad an Vertraulichkeit für Privatpersonen	hoch	hoch (wie beglaubigteKopie eines Ausweises)	? steht noch nicht fest