Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie bzw. woher bekommt man das digitale Zertifikat (public key) des jeweiligen Benutzers der ein PDF Dokument digital signiert hat?

Mitglied: Peekmeister

Peekmeister (Level 1) - Jetzt verbinden

02.07.2020 um 20:35 Uhr, 416 Aufrufe, 3 Kommentare

Hallo ich habe zwei Verständnis-fragen zur PKI bezüglich private key und public key.

Angenommenes Bsp. interne, zweistufige PKI. Root-CA wurde heruntergefahren, Sub-CA ist AD-integriert und stellt digitale Zertifikate aus, mit denen digital signiert werden kann. (Windows-Umgebung)

Wenn ein Benutzer nun ein digitales Zertifikat ausgestellt werden soll. Dann wird ja von der Sub-CA ein private key für den Benutzer erstellt und ein digitales Zertifikat mit dem öffentlichen Schlüssel in einem allgemeinen zugänglichen Verzeichnis hinterlegt.

Dabei stell ich mir nun die Frage wie eig. der private key zum Benutzer-Client kommt. Wird dieser über LDAP bzw. LDAPS übertragen und wo wird dieser gespeichert? Ich habe gelesen das beispielsweise der private key im %APPDATA%\microsoft\crypto verschlüsselt gespeichert wird.

Die zweite Frage die ich mir stelle bezieht sich auf die Gegenprüfung der digitalen Signatur. Angenommen eine Person namens Max hat ein digitales Zertifikat und unterschreibt damit ein PDF-Dokument digital. Das PDF-Dokument schickt er an Moritz. Moritz will nun die digitale Signatur gegenprüfen und braucht ja um die digitale Signatur zu entschlüsseln den öffentlichen Schlüssel von Max.
Genau an dieser Stelle habe ich ein Verständnisproblem. Wie kommt nun Moritz an das digitale Zertifikat von Max? Ist in der digitalen Signatur auch der Ort angegeben wo Moritz das digitale Zertifikat von Max erhält oder wird beispielsweise das digitale Zertifikat von Max dem signierten PDF-Dokument beigefügt.
Die weitere Überprüfung der Zertifikatskette habe ich verstanden. Mir ist nur schleierhaft wo Moritz den öffentlichen Schlüssel bzw. das digitale Zertifikat von Max herbekommt. Digitale Zertifikate werden ja nicht wie beispielsweise Zertifikat und Sperrliste von Root-CA und Sub-CA auf einem Webserver gehostet.

Also Fragen nochmal kurz und knapp:

Wie wird der private Schlüssel übertragen
Wo wird der private Schlüssel beim Benutzer gespeichert
Wie bekommt man das digitale Zertifikat vom Ersteller der digitalen Signatur?

Ganz schön viel Text aber ich hoffe das so mein Verständnisproblem etwas mehr nachvollziehbar ist, wo es genau hakt.
Mitglied: SlainteMhath
03.07.2020 um 07:29 Uhr
Moin.

ich kann dir schon mal die Frage 3 beantworten:

Man unterscheidet zwischen Signierung und Verschlüsselung.
Bei der Signierung wird aus einem text/dokument zusammen mit dem Private Key eine art Prüfsumme gebildet und zusammen mit dem Public Key an das Dok. angehängt bzw im Falle PDF mit ins Dok. integriert.
Der Empfänger kann dann mittels des PubKeys die Korrektheit des Dokuments prüfen.

Dem Public Key des Absenders wird vertraut, wenn der austellenden CA vertraut wird ODER der Public Key des Absenders als korrekt bekannt ist. Zusätzlich kann man prüfen, ob der Public Key von der CA zurückgezogen wurde, das geschiet über die CRL, Certificate Revocation List

Verschlüsselt werden Dokument mit dem Public Key des Empfängers! Die PubKeys müssen dazu vorab verteilt werden. Der Empfänger entschlüsselt dann mit seinem Private Key

lg,
Slainte
Bitte warten ..
Mitglied: Peekmeister
03.07.2020 um 08:29 Uhr
Ah ok, schon mal danke für die Antwort.

Also ich bin "relativ" neu in diesem Thema PKI und digitale Signaturen. Es ist durchaus sehr interessant aber sehr komplex...

Ja ich bringe ab und zu die Begrifflichkeiten durcheinander. Asymmetrische Verschlüsselung habe ich eig grob verstanden, public key kann nur verschlüsseln und private key entschlüsseln. Des Weiteren kann der private key auch zur Erstellung zur digitalen Signatur genommen werden und der public key zur Gegenprüfung.

Kurz mal mein Stand zur digitalen Signatur:
Wenn ich jetzt eine digitale Signatur erstelle ist ja eig heute Stand der Dinge das man einen Hashwert bespielsweise mit SHA256 erstellt und dann den private key nutzt um diesen auf den Hashwert anzuwenden. Also würde man ja theoretisch den Hashwert "entschlüsseln" wodurch sich der eigentliche Klartext ja verändert. Rückgängig kann dies dann mit dem public key gemacht werden, der dann den Hashwert "verschlüsselt" und letztlich der Klartext wieder erreicht wird. Mit einem neu erzeugten Hashwert kann dann der alte abgeglichen werden und wenn diese übereinstimmen ist die Integrität ja gewährleistet. Authentizität ist gewährleistet durch den passenden public key und der als gültig überprüften Zertifizierungskette.

--> So ist mein Wissensstand zur digitalen Signatur... Quelle: elektronik kompendium - digitale signatur und noch mehr seiten, wäre das so richtig oder habe ich etwas falsch verstanden?

Wenn ich dich jetzt richtig verstanden habe, wird der public key und weitere Informationen die für die Überprüfung der Zertifikatskette nötig sind dem PDF-Dokument bei der digitalen Signatur beigefügt. Im Umkehrschluss würde das ja bedeuten egal wem ich das signierte PDF gebe, er kann immer die Integrität überprüfen, da ja der public key im Zertifikat erhalten ist. (Authentizität ist davon abhängig, je nachdem wie die CRLs und CRTs der CAs abrufbar/verfügbar sind.)

So in etwa hatte ich mir das auch gedacht (das der public key bei der signierung hinzugefügt wird) nur nirgends wirklich lesen können, bzw. nachvollziehen können.


Gruß

Peekmeister
Bitte warten ..
Mitglied: SlainteMhath
03.07.2020 um 09:23 Uhr
habe ich etwas falsch verstanden?
Jo.

In Kürze:
1. Signieren != Veschlüsseln
2. Signiert wird mit dem Private Key
3. Die Signatur überprüft man mit dem Public Key
3. Verschlüsselt wird mit dem Public Key
4. Entschlüsselt wird mit´dem Private Key
5. Der Public Key und der Hashwert "reisen" NEBEN dem Dokument, NICHT IN dem Dokument
Bitte warten ..
Ähnliche Inhalte
Microsoft

Office Dokumente und PDF-Dateien digital unterschreiben

Frage von eazy-isiMicrosoft3 Kommentare

Guten Morgen zusammen, ich habe folgende Anforderung erhalten und stehe irgendwie auf dem Schlauch, wie ich diese umsetzen soll. ...

VB for Applications

PDF per VBA digital mit Smartcard unterschreiben

gelöst Frage von TeeKanneVB for Applications4 Kommentare

Guten Morgen, ich suche nach einer Möglichkeit durch VBA gesteuert, ein Signaturfeld in einem PDF-Dokument unterschreiben lassen. Leider konnte ...

Microsoft Office

Arbeitsprotokolle digital ausfüllen

Frage von zimbosmurfMicrosoft Office2 Kommentare

Hallo! Unter MS Office bin ich nicht 100% richtig, die Frage würde besser, aber auch nicht zu 100% in ...

Flatrates

Internetvertrag umstellen (wegen Analog zu Digital)

gelöst Frage von ThierryHenryFlatrates9 Kommentare

Hallo Ich habe mal eine andere Frage an euch (die ich hier zu erst stellen möchte bevor ich mich ...

Neue Wissensbeiträge
Exchange Server

Exchange Server 2016 and the End of Mainstream Support

Information von Dani vor 3 StundenExchange Server

As hopefully many of you already know Exchange Server 2016 enters the Extended Support phase of its product lifecycle ...

Viren und Trojaner

Schwachstelle in Teamviewer oder aufgeflogene Backdoor?

Information von magicteddy vor 1 TagViren und Trojaner

Moin, die Interpretation überlasse ich jedem selber, ich habe eine deutliche Abneigung dagegen. Wer es nutzen muss sollte schleunigst ...

Sicherheit

Eine ungepatchte Sicherheitslücke in der Windows Druckerwarteschlange ermöglicht das Ausführen von Malware mit Adminrechten

Information von transocean vor 3 TagenSicherheit

Moin, eigentlich sollte die Sicherheitslücke schon seit Mai 2020 geschlossen sein. Aber lest selbst. Grüße Uwe

Erkennung und -Abwehr

Liste ungeschützter Pulse-VPN-Server veröffentlicht

Information von Visucius vor 5 TagenErkennung und -Abwehr

bzw. Der tiefe Blick in die Profi-Administratoren-Welt ;-)

Heiß diskutierte Inhalte
Internet
VPN und Fritzbox
Frage von jensgebkenInternet29 Kommentare

Hallo Gemeinschaft, da der Support von AVM mir keine Antwort gibt, versuche ich es hier einmal HArdware 7490 zwei ...

Sicherheit
Verschlüsseln anstatt löschen ?
Frage von TastuserSicherheit17 Kommentare

Hallo, ist es möglich ganze Ordner auf Windows 10 zu verschlüsseln? Aber keine Kopien zu verschlüsseln (wie mit WinRAR) ...

Switche und Hubs
Neue Switches für Schule
Frage von Freak-On-SiliconSwitche und Hubs13 Kommentare

Servus; Eins Vorweg, bin leider in vielen Sachen noch nicht so erfahren. Und nein, ich kann LEIDER keinen Dienstleister ...

Windows 10
Bildschirmschoner startet zu früh, trotz korrekter GPO
Frage von toddehbWindows 1011 Kommentare

Hi, habe für einen Kollegen gerade ein neues Dell 7410 Laptop eingerichtet. Wie alle anderen Nutzer auch, bekommt er ...

Weniger Werbung?
Administrator Magazin
08 | 2020 Cloud-First-Strategien sind inzwischen die Regel und nicht mehr die Ausnahme und Workloads verlagern sich damit in die Cloud – auch Datenbanken. Dort geht es aber nicht nur um die Frage, wie die Datenbestände in die Wolke zu migrieren sind, sondern auch darum, welche Datenbank ...