Zertifikate und Digitale Signatur

Mitglied: Enrixk

Enrixk (Level 1) - Jetzt verbinden

29.04.2021 um 20:34 Uhr, 552 Aufrufe, 9 Kommentare

Hallo,

Stamm- und Zwischenzertifikate enthalten ja einen öffentlichen Schlüssel und eine Signatur. Wird mit dem im Zertifikat enthaltenen öffentlichen Schlüssel die Signatur geprüft oder ist der öffentliche schlüssel für andere Zwecke gedacht?

Danke und Gruß
Mitglied: Lochkartenstanzer
29.04.2021 um 21:16 Uhr
Zitat von @Enrixk:

Wird mit dem im Zertifikat enthaltenen öffentlichen Schlüssel die Signatur geprüft oder ist der öffentliche schlüssel für andere Zwecke gedacht?

Man kann mit dem öffentlichen Schlüsseln natürlich die Signatur prüfen. Außerdem kann man damit auch nachrichten an den Inhaber des zertifikats verschlüsseln. Denn nur der kann die Nachrichten entschlüssen, weil nur er den passenden privaten Schlüssel hat.

lks
Bitte warten ..
Mitglied: em-pie
29.04.2021 um 21:32 Uhr
Zitat von @Lochkartenstanzer:

Zitat von @Enrixk:

Wird mit dem im Zertifikat enthaltenen öffentlichen Schlüssel die Signatur geprüft oder ist der öffentliche schlüssel für andere Zwecke gedacht?

Man kann mit dem öffentlichen Schlüsseln natürlich die Signatur prüfen. Außerdem kann man damit auch nachrichten an den Inhaber des zertifikats verschlüsseln. Denn nur der kann die Nachrichten entschlüssen, weil nur er den passenden privaten Schlüssel hat.

lks

Und manchmal wird dieses asymmetrische Verschlüsselungsverfahren (Rechenintensiv) genutzt, damit beide Parteien einen gemeinsamen, symmetrischen Schlüssel vereinbaren können, mit dem wiederum der permanente Nachrichtenaustausch "kostengünstiger" durchgeführt werden kann.


Gruß
em-pie
Bitte warten ..
Mitglied: Enrixk
29.04.2021, aktualisiert um 21:34 Uhr
Okay, aber kann sich dann nicht ein Man in the Middle als Zertifizierungsstelle ausgeben (durch ARP-Spoofing), die Signatur selbst erstellen. Den passenden öffentlichen Schlüssel sendet er doch dann gleich mit. Wie kann hier der Benutzer sicherstellen, dass er tatsächlich mit dem richtigen Teilnehmer kommuniziert?
Bitte warten ..
Mitglied: warranty
29.04.2021, aktualisiert um 22:05 Uhr
Zitat von @Enrixk:

Okay, aber kann sich dann nicht ein Man in the Middle als Zertifizierungsstelle ausgeben (durch ARP-Spoofing), die Signatur selbst erstellen. Den passenden öffentlichen Schlüssel sendet er doch dann gleich mit. Wie kann hier der Benutzer sicherstellen, dass er tatsächlich mit dem richtigen Teilnehmer kommuniziert?
Dafür haben die Systeme einen Trust-Store in dem die Signaturen aller Stammzertifizierungsstellen (CA) hinterlegt sind . Bevor also der Client loslegt prüft er ob das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle abstammt (Chain of Trust). Tut es das nicht lehnt der Client die Verbindung schon ab bzw. Informiert den Client über ein nicht vertrauenswürdiges Zertifikat. Zusätzlich prüft der Client auch sogenannte CRLs (Certificate Revocation Lists) der CAs in denen Fingerprints von Zertifikaten hinterlegt sind die in der CA widerufen wurden .

Ergo Man in the Middle Attacken mit gefälschten Zertifikaten von selbst generierten CAs fallen somit sofort auf, außer jemand hat sich den private Key einer der öffentlichen CAs besorgt und damit seine Eigenen Zertifikate signiert, aber die werden ja gehütet wie Fort-Knox.
Bitte warten ..
Mitglied: Enrixk
29.04.2021 um 22:31 Uhr
Ich komme irgendwie durcheinander bei Zertifikatsketten. Um die Signatur zu prüfen braucht man doch den öffentlichen schlüssel der CA. Im Zertifikat selbst ist ein öffentlicher Schlüssel enthalten. Ist das dann der öffentliche Schlüssel der CA oder des Zertifikatsinhabers?

Mir ist noch was nicht ganz klar. Der Zertifikatsmanager meines Systems zeigt mir Stammzertifikate an. Wieso besitze ich die eigentlich? Ich bin doch nicht der Zertifikatsinhaber. Die Inhaber dieser Stammzertifikate sind doch die Root- und Zwischen-CAs. Wieso habe ich die Zertifikate auf meinem System? Genau genommen bräuchte ich doch nur die öffentlichen Schlüssel der CAs um die Signaturen zu prüfen. Gibt es hier einen öffentlichen und einen privaten Teil den man bei Zertifikaten unterscheidet?
Bitte warten ..
Mitglied: mbehrens
29.04.2021 um 22:38 Uhr
Zitat von @warranty:

Ergo Man in the Middle Attacken mit gefälschten Zertifikaten von selbst generierten CAs fallen somit sofort auf, außer jemand hat sich den private Key einer der öffentlichen CAs besorgt und damit seine Eigenen Zertifikate signiert, aber die werden ja gehütet wie Fort-Knox.

So etwas ist allerdings in vielen Unternehmensnetzen alltägliche Praxis (HTTPS Inspection) und fällt dort kaum auf.
Bitte warten ..
Mitglied: C.R.S.
30.04.2021, aktualisiert um 00:58 Uhr
Ein Zertifikat ist ein öffentlicher Schlüssel, der mitsamt bestimmter Metadaten von einer CA signiert ist. Die Stammzertifikate brauchst Du, um die Signatur darunter ausgestellter Zertifikate zu überprüfen. Nur zu eigenen Zertifikaten hast Du auch einen privaten Schlüssel.
Bitte warten ..
Mitglied: warranty
30.04.2021 um 07:27 Uhr
Zitat von @mbehrens:

Zitat von @warranty:

Ergo Man in the Middle Attacken mit gefälschten Zertifikaten von selbst generierten CAs fallen somit sofort auf, außer jemand hat sich den private Key einer der öffentlichen CAs besorgt und damit seine Eigenen Zertifikate signiert, aber die werden ja gehütet wie Fort-Knox.

So etwas ist allerdings in vielen Unternehmensnetzen alltägliche Praxis (HTTPS Inspection) und fällt dort kaum auf.
Ja, schon klar, aber nur weil die Unternehmen ihre eigenen CAs im TrustStore der Maschinen hinterlegen. Wenn nun der private Schlüssel davon unwissend in falsche Hände gerät dann ist natürlich die Kacke am Dampfen, deswegen ist der TrustStore ja auch so eine sensible Einrichtung.
Bitte warten ..
Mitglied: warranty
30.04.2021, aktualisiert um 07:45 Uhr
Zitat von @Enrixk:

Ich komme irgendwie durcheinander bei Zertifikatsketten. Um die Signatur zu prüfen braucht man doch den öffentlichen schlüssel der CA. Im Zertifikat selbst ist ein öffentlicher Schlüssel enthalten. Ist das dann der öffentliche Schlüssel der CA oder des Zertifikatsinhabers?
Nein, die öffentlichen Schlüssel sind in den Zertifikaten der RootCAs hinterlegt die auf deinem System liegen.

Mir ist noch was nicht ganz klar. Der Zertifikatsmanager meines Systems zeigt mir Stammzertifikate an. Wieso besitze ich die eigentlich?
Diese besitzt du auch nicht weil das nur der öffentliche Teil des Zertifikats ist, der private Schlüssel liegt natürlich bei der CA sicher verwahrt, denn nur mit diesem lassen sich untergeordnete Zertifikate signieren.

Die Inhaber dieser Stammzertifikate sind doch die Root- und Zwischen-CAs. Wieso habe ich die Zertifikate auf meinem System? Genau genommen bräuchte ich doch nur die öffentlichen Schlüssel der CAs um die Signaturen zu prüfen.
Und genau nur die liegen bei dir.

Gibt es hier einen öffentlichen und einen privaten Teil den man bei Zertifikaten unterscheidet?
Jepp.

Lies diese Links dann verstehst du die Chain of Trust und den Validierungsprozess
https://en.m.wikipedia.org/wiki/X.509#Certificate_chains_and_cross-certi ...
https://techcommunity.microsoft.com/t5/iis-support-blog/checking-the-cer ...
Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
FAX ist nicht mehr Datenschutzkonform
brammerVor 1 TagInformationDatenschutz52 Kommentare

Hallo, jetzt sollte es jeder begreifen FAX ist nicht mehr Datenschutzkonform brammer

Humor (lol)
Na, kann euer Toaster auch schon WLAN?
ITlerin95Vor 1 TagAllgemeinHumor (lol)16 Kommentare

Also ich frag mich ja selbst echt oft, ob wirkliche alle technischen Neuerungen auch wirklich notwendig sind. Hintergrund ist, ich brauch einen neuen Toaster. ...

Netzwerkgrundlagen
Statische Route auf UTM
gelöst Ex0r2k16Vor 15 StundenFrageNetzwerkgrundlagen31 Kommentare

Moin! Ich habe an meiner Sophos UTM an einem physischen Interface einen Switch angeschlossen. Dieser läuft im Netz 10.1.1.0/24. Ich kann von meinem aktuellen ...

Windows Update
Keine Updates zum Mai-Patchday über WSUS?
gelöst CoreknabeVor 1 TagFrageWindows Update12 Kommentare

Moin, wir laden über unseren WSUS die Windows Updates herunter (Server 2012R2). Jetzt stelle ich gerade verwundert fest, dass es Stand jetzt (19:45 Uhr) ...

Exchange Server
Sicherheitsupdates für Exchange Server 11. Mai 2021
kgbornVor 1 TagInformationExchange Server4 Kommentare

Sicherheitsupdates für Exchange Server 11. Mai 2021 Technet-Beitrag Meine Zusammenstellung: Sicherheitsupdates (KB5003435) für Microsoft Exchange Server (11. Mai 2021)

Exchange Server
Office 365 ohne lokalen Exchange
RicoPausBVor 1 TagFrageExchange Server8 Kommentare

Moin zusammen wir sind erst vor kurzem ins Office 365 eingestiegen und hatten vorher auch keinen Exchange Server im Einsatz. Ein Hybrid-Setup liegt also ...

SAN, NAS, DAS
Synology-NAS DS1813+: Lebensdauer des Gerätes?
OrmensonVor 1 TagFrageSAN, NAS, DAS10 Kommentare

Hallo Forum! In unserer Firma nutzen wir ein Synology NAS DS1813+ als zentraler Datenspeicherort. Konfiguriert ist er als RAID mit Ausfallsicherheit einer Platte. Die ...

Microsoft Office
Weiterleitung bestimmter Emails während Urlaubszeit
gelöst imebroVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, verschiedene Rechnungen werden an meine Email-Adresse gesendet. Daher habe ich vor einiger Zeit eine Outlook-Regel in meinem Outlook-Postfach erstellt, die automatisch Emails mit ...