Die Bedeutung von Verschlüsselung und Signaturen gewinnt in der computergestützten Kommunikation immer mehr an Bedeutung, da im Internet zunehmend auch vertrauliche Informationen ausgetauscht oder verbindliche Geschäftsabläufe abgewickelt werden. Die Benutzer von öffentlichen Netzen fordern daher:
Will man solche Dienste zur Verfügung stellen, ist neben technischen Maßnahmen (Hardware, Protokolle wie TLS/SSL) auch eine organisatorische Infrastruktur erforderlich. Ein wichtiger Bestandteil ist eine Zertifizierungsstelle (Certification Authority, CA). Eine CA zertifiziert unter bestimmten Voraussetzungen digitale Schlüssel von anderen Personen, Institutionen, Rechnern oder CAs. Es wird damit die Echtheit des digitalen Schlüssels und die Zugehörigkeit dieses Schlüssels zu einer Person, Institution oder einem Rechner beglaubigt. Ein Zertifikat sagt aber z.B. nichts über die Sicherheit eines Rechners oder die Fähigkeit einer Person aus, mit digitalen Schlüsseln sorgsam umzugehen. Zertifizierungs- und Arbeitsrichtlinien einer CA sind in einer sogenannten CA-Policy festgeschrieben.
Um eine gesicherte Kommunikation mit unseren Servern zu ermöglichen (und nicht zuletzt um Geld zu sparen - Zertifikate von kommerziellen Anbietern sind ziemlich teuer!), hat das URZ der TU Chemnitz eine solche CA eingerichtet. Momentan zertifiziert diese CA nur Schlüssel von Servern für WWW, E-Mail usw. Mit diesen Server-Zertifikaten kommen Sie als Nutzer immer dann in Berührung, wenn Sie z.B. auf unsere WWW-Server mit dem gesicherten Protokoll https zugreifen:
Neben https für WWW gibt es auch andere gesicherte Protokolle, wie z.B. POP und IMAP über TLS/SSL zur E-Mail-Bearbeitung. Mit diesen gesicherten Protokollen erreicht man die eingangs erwähnten Sicherheitsmerkmale: Der Datenverkehr ist kryptografisch verschlüsselt (d.h. insbesondere auch die Übertragung des Passwortes ist nicht "abhörbar"), das Zertifikat des Servers bestätigt dessen Authentizität (d.h. ich kann prüfen, ob ich mein Passwort auch dem richtigen Server gebe), und der Datenaustausch kann nicht manipuliert worden sein (das würde der Browser bemerken, weil eine "Prüfsumme" nicht stimmt).
Die WWW-Browser beinhalten bereits eine Anzahl von Zertifikaten von meist kommerziellen CAs, nicht aber unser CA-Zertifikat (Ausnahme: Mozilla- und Netscape-Installationen des URZ). Damit ist das Vertrauen des Browser-Benutzers in diese Zertifizierungsstellen quasi implizit vorhanden (ob dies im einzelnen gerechtfertigt ist, ist eine andere Frage ...). Dies macht den Umgang mit Servern einfach, die von diesen CAs zertifiziert wurden.
Um mit einem Server der TU Chemnitz sicher und komfortabel
kommunizieren zu können, sollten Sie das Zertifikat unserer
Zertifizierungsstelle in Ihren WWW-Browser einlesen.
Das Zertifikat einer CA ist quasi die Unterschrift, die alle von dieser CA
zertifizierten Server tragen.
Mit Anerkennung dieser "Unterschrift" bestätigen Sie,
dass Sie künftig allen Server-Zertifikaten mit dieser Unterschrift
vertrauen (und Ihr Browser Sie nicht wieder auf ein "unbekanntes Zertifikat"
hinweist, wie im obigen Bild).
Hinweise dazu finden Sie im WWW unter
http://www.tu-chemnitz.de/urz/ca/ca-cert/
Um auch diesen ersten Schritt - das Einlesen des CA-Zertifikates - sicherheitstechnisch problemlos abzuwickeln, können Sie die "Prüfsumme" oder "Fingerprint" dieses Zertifikates mit dem hier abgedruckten vergleichen:
|
|
| |
Wir werden in Zukunft die Fingerprints der Zertifizierungsstelle in jeder Ausgabe der URZ-Mitteilungen abdrucken.
Die Policy der Zertifizierungsstelle des URZ der TU Chemnitz wurde vor
kurzem in Kraft gesetzt.
Sie finden den Wortlaut der Policy, die ausgestellten Zertifikate unserer
Zertifizierungsstelle und weitere Informationen zur CA im WWW:
http://www.tu-chemnitz.de/urz/ca/
| Frank Richter, November 2002 |