Diskussion:Digitales Zertifikat

aus Wikipedia, der freien Enzyklopädie

Inhaltsverzeichnis 1 Inhaltund Struktur 2 Alte Beiträge 3 Oder so ähnlich 4 Unterscheidung Qualifiziertes Zertifikates <> qualif. elektr. Signatur 5 Prüfung von digitalen Zertifikaten

[Bearbeiten] Inhaltund Struktur

... ließen leider sehr zu wünschen übrig. Da wird einfach mal ein X.509-Zertifikat reinkopiert, PGP und Gnu-PG erläutert (und hierarchische PKI nicht!), SSL und S/MIME als je eine der drei (!) Anwendungen genannt, aber die logische Idee hinter einem Zertifikat fehlt. Ich will hier nicht über andere Autoren herziehen, jeder hat das Recht zu schreiben und ist willkommen. Aber wir sollten versuchen, erst das Konzept zu erklären und dann Beispiele zu geben. Aber dann bitte ausgewogen. Neben SSL steht eben auch SSH, IKE/IPSec, WTLS, u.v.m. Klar sind manche Beispiele praktisch relevanter, aber das muss man dann auch so formulieren.

Ich habe den Artikel ziemlich überarbeitet. Als nächstes werde ich den Abschnitt Vertrauensmodelle zum Artikel PKI verschieben, dort gehört er hin. Hier muss eigentlich nicht mehr viel stehen, außer was ein Zertifikat ist, der Zusammenhang mit einer PKI, Standards (fehlt noch) und vielleicht ein Beispiel.--Mojo1442 14:26, 21. Dez. 2006 (CET)

So, ich habe den Artikel wie angekündigt noch einmal überarbeitet und mit dem Artikel zu Public Key Infrastrukturen konsolidiert.--Mojo1442 14:26, 21. Dez. 2006 (CET)

[Bearbeiten] Alte Beiträge

Wenn es schon ein derart ausführliches Beispiel gibt, sollten zumindest Teile der kryptischen Zeichenkolonnen erklärt werden. --Mikue 14:07, 15. Okt 2003 (CEST)

hi

ich will also mal einen Versuch starten die Zeichenreihen zu erklären...

   Public Key Algorithm: rsaEncryption
   RSA Public Key: (1024 bit)
           Modulus (1024 bit):
                   00:c4:40:4c:6e:14:1b:61:36:84:24:b2:61:c0:b5:
                   d7:e4:7a:a5:4b:94:ef:d9:5e:43:7f:c1:64:80:fd:
                   9f:50:41:6b:70:73:80:48:90:f3:58:bf:f0:4c:b9:
                   90:32:81:59:18:16:3f:19:f4:5f:11:68:36:85:f6:
                   1c:a9:af:fa:a9:a8:7b:44:85:79:b5:f1:20:d3:25:
                   7d:1c:de:68:15:0c:b6:bc:59:46:0a:d8:99:4e:07:
                   50:0a:5d:83:61:d4:db:c9:7d:c3:2e:eb:0a:8f:62:
                   8f:7e:00:e1:37:67:3f:36:d5:04:38:44:44:77:e9:
                   f0:b4:95:f5:f9:34:9f:f8:43
               Exponent: 65537 (0x10001)

Im Artikel wird erwähnt, dass es sich bei einem Zertifikat im Prinzip um einen signierten Public Key handelt.

In diesem Beispiel ist das Verschlüsselungsverfahren RSA. Bei diesem Verfahren besteht der Public Key aus zwei Zahlen: Hier Modulus und Exponent genannt. Um im RSA Verfahren eine Nachricht M zu verschlüsseln, berechnet man (M^Exponent mod Modulus). Dabei ist die Modulus Zahl das Produkt zweier (großer) Primzahlen. Hier hat die Modulus Zahl 1024 bit. Die Zeichenreihe ist die se Bitzahl in der Hexadezimal Darstellung. Jede Ziffer (0..9,a..f) sind 4 bit also sind :xx: 8 bit und es gibt, (wenn ich mich nicht verzählt habe) 128 Ziffernpaare mal 8 bit = 1024 bit.

   Signature Algorithm: md5WithRSAEncryption
       12:ed:f7:b3:5e:a0:93:3f:a0:1d:60:cb:47:19:7d:15:59:9b:
       3b:2c:a8:a3:6a:03:43:d0:85:d3:86:86:2f:e3:aa:79:39:e7:
       82:20:ed:f4:11:85:a3:41:5e:5c:8d:36:a2:71:b6:6a:08:f9:
       cc:1e:da:c4:78:05:75:8f:9b:10:f0:15:f0:9e:67:a0:4e:a1:
       4d:3f:16:4c:9b:19:56:6a:f2:af:89:54:52:4a:06:34:42:0d:
       d5:40:25:6b:b0:c0:a2:03:18:cd:d1:07:20:b6:e5:c5:1e:21:
       44:e7:c5:09:d2:d5:94:9d:6c:13:07:2f:3b:7c:4c:64:90:bf:
       ff:8e

Hier bin ich mir nicht mehr so ganz sicher, aber die ist die Signatur der Trusted Party die das Zertifikat ausstellt. Also müsste dies hier der mit dem Secret Key der Trusted Party verschlüsselte Hashcode des Zertifikats sein. (Oder so ähnlich) --Autor unbekannt

Eine Verschlüsselung findet bei einer digitalen Signatur schon mal gar nicht statt! Ich habe dieses Beispiel zum Artikel X.509 verschoben.--Mojo1442 14:23, 21. Dez. 2006 (CET)

[Bearbeiten] Oder so ähnlich

Ja, an dieser Stelle wird die Sache auch für mich ziemlich unklar. Die Signatur ist Bestandteil des Zertifikats. Daher ist es offensichtlich unmöglich die Signatur aus dem gesamten Zertifikat zu berechnen, weil die Signatur vor der Berechnung nicht bekannt ist und der Hashwertberechnung (erster Schritt der Signaturberechnung) nicht möglich ist. Was genau in die Signaturberechnung eingeht, konnte ich aber bisher nicht recherchieren. Es käme z.B. der Text bis

Signature Algorithm: md5WithRSAEncryption

in Frage oder wirklich nur der öffentliche Schlüssel. Vor allem ist mir aber gänzlich unklar, wie das Zertifikat (also die Signatur darunter) in der Praxis geprüft werden kann. Es wahrscheinlich erforderlich ein weiteres Zertifikat zur Prüfung und eine geeignete Software zu besorgen. Es stellt sich dann erneut die Frage, wie dieses weitere Zertikat und die Software zu prüfen sind. Franz Scheerer

Es geht alles vor Signature Algorithm: md5WithRSAEncryption in die Signatur ein. Diesen ersten Teil nennt X.509 auch ToBeSigned. Allerdings sind die Informationen im Zertifikat noch einmal kodiert und sehen nicht so aus wie oben angegeben. Der Ausdruck Signature Algorithm: steht z.B. so nicht da, sondern ein entsprechender Object Identifier (OID). Auch md5WithRSAEncryption ist nur ein Name für einen OID, er lautet 1.2.840.113549.1.1.4.

Die Prüfung erfolgt mit dem Public Key des Ausstellers, den man sich aus einem anderen Zertifikat besorgen muss. Das wäre dann natürlich wieder zu prüfen, sofern es sich nicht um ein Root-CA-Zertifikat handlt. So entsteht ein Validierungspfad (siehe Public Key Infrastruktur).--Mojo1442 14:34, 21. Dez. 2006 (CET)

[Bearbeiten] Unterscheidung Qualifiziertes Zertifikates <> qualif. elektr. Signatur

An mehreren Stellen im Artikel steht in etwa "Qualifizierte Zertifikaten sind der eigenhändigen Unterschrift gleichgestellt." Hier wäre noch eine klarere Formulierung nötig, weil es nicht die Zertifikate, sondern die qualif. elektronischen Signaturen sind, die der eigenh. Unterschrift gleichgestellt sind

[Bearbeiten] Prüfung von digitalen Zertifikaten

Wie kann man sicher sein, dass man ein VB / VBA Projekt (in diesem Fall eine Word Vorlage) richtig signiert hat. Das Zertifikat ist in Ordnung, die Signatur wurde von Word auf einem deutschen Betriebssystem mit deutschem Office 2003 auch als gültig erkannt.

Trotzdem kam es zu folgenden Problemen:

1.) auf asiatischen Umgebungen bekam ich eine Makromeldung.

2.) auf einigen Umgebungen bekam ich eine Meldung, dass der Ersteller nicht verifiziert werden konnte.

Für gewöhnlich reicht es, die Sicherheitsstufe im Word auf hoch zu stellen und die Liste der Vertrauenwürdigen Herausgeber und der Ursprünglichen zu entfernen (VBA | Trusted in der Window Registrierung löschen)

Wie kann man aber nun solche Fälle abdecken? Wer bietet Tools zum Testen hierfür an?