Wie bzw. woher bekommt man das digitale Zertifikat (public key) des jeweiligen Benutzers der ein PDF Dokument digital signiert hat?
Hallo ich habe zwei Verständnis-fragen zur PKI bezüglich private key und public key.
Angenommenes Bsp. interne, zweistufige PKI. Root-CA wurde heruntergefahren, Sub-CA ist AD-integriert und stellt digitale Zertifikate aus, mit denen digital signiert werden kann. (Windows-Umgebung)
Wenn ein Benutzer nun ein digitales Zertifikat ausgestellt werden soll. Dann wird ja von der Sub-CA ein private key für den Benutzer erstellt und ein digitales Zertifikat mit dem öffentlichen Schlüssel in einem allgemeinen zugänglichen Verzeichnis hinterlegt.
Dabei stell ich mir nun die Frage wie eig. der private key zum Benutzer-Client kommt. Wird dieser über LDAP bzw. LDAPS übertragen und wo wird dieser gespeichert? Ich habe gelesen das beispielsweise der private key im %APPDATA%\microsoft\crypto verschlüsselt gespeichert wird.
Die zweite Frage die ich mir stelle bezieht sich auf die Gegenprüfung der digitalen Signatur. Angenommen eine Person namens Max hat ein digitales Zertifikat und unterschreibt damit ein PDF-Dokument digital. Das PDF-Dokument schickt er an Moritz. Moritz will nun die digitale Signatur gegenprüfen und braucht ja um die digitale Signatur zu entschlüsseln den öffentlichen Schlüssel von Max.
Genau an dieser Stelle habe ich ein Verständnisproblem. Wie kommt nun Moritz an das digitale Zertifikat von Max? Ist in der digitalen Signatur auch der Ort angegeben wo Moritz das digitale Zertifikat von Max erhält oder wird beispielsweise das digitale Zertifikat von Max dem signierten PDF-Dokument beigefügt.
Die weitere Überprüfung der Zertifikatskette habe ich verstanden. Mir ist nur schleierhaft wo Moritz den öffentlichen Schlüssel bzw. das digitale Zertifikat von Max herbekommt. Digitale Zertifikate werden ja nicht wie beispielsweise Zertifikat und Sperrliste von Root-CA und Sub-CA auf einem Webserver gehostet.
Also Fragen nochmal kurz und knapp:
Wie wird der private Schlüssel übertragen
Wo wird der private Schlüssel beim Benutzer gespeichert
Wie bekommt man das digitale Zertifikat vom Ersteller der digitalen Signatur?
Ganz schön viel Text aber ich hoffe das so mein Verständnisproblem etwas mehr nachvollziehbar ist, wo es genau hakt.
Angenommenes Bsp. interne, zweistufige PKI. Root-CA wurde heruntergefahren, Sub-CA ist AD-integriert und stellt digitale Zertifikate aus, mit denen digital signiert werden kann. (Windows-Umgebung)
Wenn ein Benutzer nun ein digitales Zertifikat ausgestellt werden soll. Dann wird ja von der Sub-CA ein private key für den Benutzer erstellt und ein digitales Zertifikat mit dem öffentlichen Schlüssel in einem allgemeinen zugänglichen Verzeichnis hinterlegt.
Dabei stell ich mir nun die Frage wie eig. der private key zum Benutzer-Client kommt. Wird dieser über LDAP bzw. LDAPS übertragen und wo wird dieser gespeichert? Ich habe gelesen das beispielsweise der private key im %APPDATA%\microsoft\crypto verschlüsselt gespeichert wird.
Die zweite Frage die ich mir stelle bezieht sich auf die Gegenprüfung der digitalen Signatur. Angenommen eine Person namens Max hat ein digitales Zertifikat und unterschreibt damit ein PDF-Dokument digital. Das PDF-Dokument schickt er an Moritz. Moritz will nun die digitale Signatur gegenprüfen und braucht ja um die digitale Signatur zu entschlüsseln den öffentlichen Schlüssel von Max.
Genau an dieser Stelle habe ich ein Verständnisproblem. Wie kommt nun Moritz an das digitale Zertifikat von Max? Ist in der digitalen Signatur auch der Ort angegeben wo Moritz das digitale Zertifikat von Max erhält oder wird beispielsweise das digitale Zertifikat von Max dem signierten PDF-Dokument beigefügt.
Die weitere Überprüfung der Zertifikatskette habe ich verstanden. Mir ist nur schleierhaft wo Moritz den öffentlichen Schlüssel bzw. das digitale Zertifikat von Max herbekommt. Digitale Zertifikate werden ja nicht wie beispielsweise Zertifikat und Sperrliste von Root-CA und Sub-CA auf einem Webserver gehostet.
Also Fragen nochmal kurz und knapp:
Wie wird der private Schlüssel übertragen
Wo wird der private Schlüssel beim Benutzer gespeichert
Wie bekommt man das digitale Zertifikat vom Ersteller der digitalen Signatur?
Ganz schön viel Text aber ich hoffe das so mein Verständnisproblem etwas mehr nachvollziehbar ist, wo es genau hakt.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 584015
Url: https://administrator.de/forum/wie-bzw-woher-bekommt-man-das-digitale-zertifikat-public-key-des-jeweiligen-benutzers-der-ein-pdf-dokument-584015.html
Ausgedruckt am: 27.04.2025 um 22:04 Uhr
3 Kommentare
Neuester Kommentar
Moin.
ich kann dir schon mal die Frage 3 beantworten:
Man unterscheidet zwischen Signierung und Verschlüsselung.
Bei der Signierung wird aus einem text/dokument zusammen mit dem Private Key eine art Prüfsumme gebildet und zusammen mit dem Public Key an das Dok. angehängt bzw im Falle PDF mit ins Dok. integriert.
Der Empfänger kann dann mittels des PubKeys die Korrektheit des Dokuments prüfen.
Dem Public Key des Absenders wird vertraut, wenn der austellenden CA vertraut wird ODER der Public Key des Absenders als korrekt bekannt ist. Zusätzlich kann man prüfen, ob der Public Key von der CA zurückgezogen wurde, das geschiet über die CRL, Certificate Revocation List
Verschlüsselt werden Dokument mit dem Public Key des Empfängers! Die PubKeys müssen dazu vorab verteilt werden. Der Empfänger entschlüsselt dann mit seinem Private Key
lg,
Slainte
ich kann dir schon mal die Frage 3 beantworten:
Man unterscheidet zwischen Signierung und Verschlüsselung.
Bei der Signierung wird aus einem text/dokument zusammen mit dem Private Key eine art Prüfsumme gebildet und zusammen mit dem Public Key an das Dok. angehängt bzw im Falle PDF mit ins Dok. integriert.
Der Empfänger kann dann mittels des PubKeys die Korrektheit des Dokuments prüfen.
Dem Public Key des Absenders wird vertraut, wenn der austellenden CA vertraut wird ODER der Public Key des Absenders als korrekt bekannt ist. Zusätzlich kann man prüfen, ob der Public Key von der CA zurückgezogen wurde, das geschiet über die CRL, Certificate Revocation List
Verschlüsselt werden Dokument mit dem Public Key des Empfängers! Die PubKeys müssen dazu vorab verteilt werden. Der Empfänger entschlüsselt dann mit seinem Private Key
lg,
Slainte
Ah ok, schon mal danke für die Antwort.
Also ich bin "relativ" neu in diesem Thema PKI und digitale Signaturen. Es ist durchaus sehr interessant aber sehr komplex...
Ja ich bringe ab und zu die Begrifflichkeiten durcheinander. Asymmetrische Verschlüsselung habe ich eig grob verstanden, public key kann nur verschlüsseln und private key entschlüsseln. Des Weiteren kann der private key auch zur Erstellung zur digitalen Signatur genommen werden und der public key zur Gegenprüfung.
Kurz mal mein Stand zur digitalen Signatur:
Wenn ich jetzt eine digitale Signatur erstelle ist ja eig heute Stand der Dinge das man einen Hashwert bespielsweise mit SHA256 erstellt und dann den private key nutzt um diesen auf den Hashwert anzuwenden. Also würde man ja theoretisch den Hashwert "entschlüsseln" wodurch sich der eigentliche Klartext ja verändert. Rückgängig kann dies dann mit dem public key gemacht werden, der dann den Hashwert "verschlüsselt" und letztlich der Klartext wieder erreicht wird. Mit einem neu erzeugten Hashwert kann dann der alte abgeglichen werden und wenn diese übereinstimmen ist die Integrität ja gewährleistet. Authentizität ist gewährleistet durch den passenden public key und der als gültig überprüften Zertifizierungskette.
--> So ist mein Wissensstand zur digitalen Signatur... Quelle: elektronik kompendium - digitale signatur und noch mehr seiten, wäre das so richtig oder habe ich etwas falsch verstanden?
Wenn ich dich jetzt richtig verstanden habe, wird der public key und weitere Informationen die für die Überprüfung der Zertifikatskette nötig sind dem PDF-Dokument bei der digitalen Signatur beigefügt. Im Umkehrschluss würde das ja bedeuten egal wem ich das signierte PDF gebe, er kann immer die Integrität überprüfen, da ja der public key im Zertifikat erhalten ist. (Authentizität ist davon abhängig, je nachdem wie die CRLs und CRTs der CAs abrufbar/verfügbar sind.)
So in etwa hatte ich mir das auch gedacht (das der public key bei der signierung hinzugefügt wird) nur nirgends wirklich lesen können, bzw. nachvollziehen können.
Gruß
Peekmeister
Also ich bin "relativ" neu in diesem Thema PKI und digitale Signaturen. Es ist durchaus sehr interessant aber sehr komplex...
Ja ich bringe ab und zu die Begrifflichkeiten durcheinander. Asymmetrische Verschlüsselung habe ich eig grob verstanden, public key kann nur verschlüsseln und private key entschlüsseln. Des Weiteren kann der private key auch zur Erstellung zur digitalen Signatur genommen werden und der public key zur Gegenprüfung.
Kurz mal mein Stand zur digitalen Signatur:
Wenn ich jetzt eine digitale Signatur erstelle ist ja eig heute Stand der Dinge das man einen Hashwert bespielsweise mit SHA256 erstellt und dann den private key nutzt um diesen auf den Hashwert anzuwenden. Also würde man ja theoretisch den Hashwert "entschlüsseln" wodurch sich der eigentliche Klartext ja verändert. Rückgängig kann dies dann mit dem public key gemacht werden, der dann den Hashwert "verschlüsselt" und letztlich der Klartext wieder erreicht wird. Mit einem neu erzeugten Hashwert kann dann der alte abgeglichen werden und wenn diese übereinstimmen ist die Integrität ja gewährleistet. Authentizität ist gewährleistet durch den passenden public key und der als gültig überprüften Zertifizierungskette.
--> So ist mein Wissensstand zur digitalen Signatur... Quelle: elektronik kompendium - digitale signatur und noch mehr seiten, wäre das so richtig oder habe ich etwas falsch verstanden?
Wenn ich dich jetzt richtig verstanden habe, wird der public key und weitere Informationen die für die Überprüfung der Zertifikatskette nötig sind dem PDF-Dokument bei der digitalen Signatur beigefügt. Im Umkehrschluss würde das ja bedeuten egal wem ich das signierte PDF gebe, er kann immer die Integrität überprüfen, da ja der public key im Zertifikat erhalten ist. (Authentizität ist davon abhängig, je nachdem wie die CRLs und CRTs der CAs abrufbar/verfügbar sind.)
So in etwa hatte ich mir das auch gedacht (das der public key bei der signierung hinzugefügt wird) nur nirgends wirklich lesen können, bzw. nachvollziehen können.
Gruß
Peekmeister
habe ich etwas falsch verstanden?
Jo.In Kürze:
1. Signieren != Veschlüsseln
2. Signiert wird mit dem Private Key
3. Die Signatur überprüft man mit dem Public Key
3. Verschlüsselt wird mit dem Public Key
4. Entschlüsselt wird mit´dem Private Key
5. Der Public Key und der Hashwert "reisen" NEBEN dem Dokument, NICHT IN dem Dokument
