Asymmetrische Verfahren der Kryptographie / Public Key - Verfahren

Jeder Schlüsselinhaber verfügt über ein Schlüsselpaar. Damit sind Ver- und Entschlüsselung sowie digitale Signatur möglich.

BTU-CA Global

Zertifizierungsstelle der BTU Cottbus, wird im Rechenzentrum betrieben und arbeitet im Rahmen der DFN PKI. Die Root-CA (oberste Zertifizierungsinstanz, Wurzel-Instanz) ist die Deutsche Telekom Root CA 2 . Die BTU-CA Global stellt Nutzer-Zertifikate für Angehörige der BTU Cottbus sowie Server-Zertifikate aus.

Digitale Signatur

Elektronische Unterschrift

Kryptographie

Umfasst Algorithmen, Schlüssel und Zertifikate zum Verschlüsseln, Entschlüsseln, Signieren, Prüfen von Signaturen und zum Bilden von  Prüfsummen.
Kryptografie dient der Sicherung der

• Vertraulichkeit von Daten (nur berechtigte Personen sollen für sie bestimmte Daten einsehen können, wird durch Verschlüsselung sichergestellt)
• Authentizität von Daten (der Absender der Daten soll eindeutig feststellbar sein, sichergestellt durch digitale Signatur)
• Integrität von Daten (es soll feststellbar sein, ob Daten unverändert beim Empfänger ankommen, wird durch digitale Signatur sichergestellt)

Nutzer-Zertifikat

Zertifikate (vergleichbar mit digitalen Ausweisen) für Studenten und Mitarbeiter der BTU Cottbus, sie können zur Verschlüsselung/digitalen Signatur von E-Mail, zur Authentifizierung z.B. an Server-Anwendungen und für den VPN-/WLAN-Zugang der BTU genutzt werden.

Öffentlicher Schlüssel / Public Key

Bei der digitalen Signatur:

• Überprüfung der digitalen Signatur des Schlüsselinhabers durch den Empfänger von Daten

Bei der Verschlüsselung:

• Verschlüsselung ausgehender Daten durch den Schlüsselinhaber für den Empfänger der Daten. Kann der Öffentlichkeit zugänglich gemacht werden.

PKI

Public Key Infrastruktur / Public Key Infrastructure.

Struktur, in der mit Hilfe von asymmetrischen Verschlüsselungsverfahren digitale Zertifikate ausgestellt werden. Sie ist oft hierarchisch organisiert:
Eine Wurzelinstanz arbeitet mit einem selbstsignierten Wurzelzertifikat und stellt Zertifikate für CAs aus, die damit in der Lage sind, ihrerseits Zertifikate auszustellen. Das an der BTU eingesetzte System ist folgendermaßen aufgebaut:
Deutsche Telekom Root CA 2 -> DFN-PKI -> BTU-CA Global -> Nutzer und Server

Policy / Richtlinien

Alle Richtlinien einer Zertifizierungsstelle, die insbesondere festlegen, wie geprüft und wie gearbeitet wird. Hiermit kann jeder Benutzer nachvollziehen, ob er der Stelle trauen kann.

Privater Schlüssel / Private Key

Bei der digitalen Signatur:

• Erzeugung der digitalen Signatur durch den Schlüsselinhaber

Bei der Verschlüsselung:

• Entschlüsselung von Daten, die für den Schlüsselinhaber bestimmt sind. Muss unbedingt geheim gehalten und durch starke Mechanismen (Passwort, Passphrase, PIN) geschützt werden.

Schlüsselpaar

Besteht aus einem privaten Schlüssel und einem öffentlichen Schlüssel.

Server-Zertifikat

Zertifikate für Server,  sie dienen zur Verschlüsselung der Verbindung zwischen  Client und Server sowie zur Sicherstellung der Authentizität von Servern.

Sperrlisten / Certificate Revocation Lists / CRLs

Listen gesperrter (zurückgezogener), ungültiger Zertifikate.

SSL (Secure Socket Layer) / TLS (Transport Layer Security)

Anwendungsprotokoll für X.509 Zertifikate. Es werden  sowohl asymmetrische als auch symmetrische Verschlüsselungsverfahren genutzt, dies wird auch als hybrides Verschlüsselungsverfahren bezeichnet. TLS ist die Weiterentwicklung von SSL.

Symmetrische Verfahren der Kryptographie

Sowohl für Ver- als auch für Entschlüsselung wird derselbe geheime Schlüssel verwendet. Problem: Austausch des Schlüssels und der Informationen, die ihn schützen (Passwort, Passphrase, PIN).

X.509

Standards u.a. für Zertifikate und CRLs.

Zertifikat

Eine Form des öffentlichen Schlüssels, die von Anwendungen verarbeitet werden kann. Jedes Zertifikat hat einen eindeutigen Namen. Durch diesen Namen ist das Zertifikat einem Benutzer zugeordnet, aber i.d.R. auch einer Organisation. Im Rahmen der Zertifizierung wird die Identität des Benutzers überprüft und durch eine digitale Signatur einer Zertifizierungsstelle bestätigt.

Zertifizierungsstelle / Certification Authority / CA

Vertrauenswürdige Instanz, bestätigt die Bindung zwischen öffentlichem Schlüssel und dessen Besitzer nach einem in der Policy festgelegten Prüfverfahren.

*.p12- oder *.pfx-Datei

Enthält i.A. sowohl den Private Key als auch das Zertifikat, diese Datei kann in die genutzten Anwendungen importiert werden (Browser, E-Mail-Client, VPN-Client). Diese Datei ist gut zu schützen, da der Private Key enthalten ist.