Zertifikate vom Schlüsselservern importieren

16 Die Zertifikatsprüfung

16 Die Zertifikatsprüfung

Woher wissen Sie eigentlich, dass das fremde Zertifikat wirklich vom genannten Absender stammt? Und umgekehrt - warum sollte Ihr Korrespondenzpartner glauben, dass das Zertifikat, das Sie ihm geschickt haben, auch wirklich von Ihnen stammt? Die Absenderangabe auf einer E-Mail besagt eigentlich gar nichts.

Wenn Ihre Bank z.B. eine E-Mail mit Ihrem Namen und der Anweisung erhält, Ihr sämtliches Guthaben auf ein Nummernkonto auf den Bahamas zu überweisen, wird sie sich hoffentlich weigern - E-Mail-Adresse hin oder her. Eine E-Mail-Adresse besagt überhaupt nichts über die Identität des Absenders.

Der Fingerabdruck

Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist die Sache mit der Identität schnell geregelt: Sie prüfen den Fingerabdruck des anderen Zertifikats.

Jedes Zertifikat trägt eine einmalige Kennzeichnung, die es zweifelsfrei identifiziert; besser noch als ein Fingerabdruck eines Menschen. Deshalb bezeichnet man diese Kennzeichnung eben als „Fingerprint“.

Wenn Sie sich zu einem Zertifikat die Details in Kleopatra anzeigen lassen (z.B. durch Doppelklick auf das Zertifikat), sehen Sie u.a. dessen 40-stelligen Fingerabdruck:

Der Fingerprint von Adeles OpenPGP-Zertifikat ist also:
BA90 087D 0C6C 7F4D EAF0 0907 BCFA 2133 DDC8 CA90

Wie gesagt - der Fingerabdruck identifiziert das Zertifikat und seinen

Besitzer eindeutig.

Rufen Sie Ihren Korrespondenzpartner einfach an, und lassen Sie sich von ihm den Fingerprint seines Zertifikats vorlesen. Wenn die Angaben mit dem Ihnen vorliegenden Zertifikat übereinstimmen, haben Sie eindeutig das richtige Zertifikat.

Natürlich können Sie sich auch persönlich mit dem Eigentümer des Zertifikats treffen oder auf jedem anderen Wege mit ihm kommunizieren, solange Sie ganz sicher sind, dass Zertifikat und Eigentümer zusammen gehören. Häufig ist der Fingerprint auch auf Visitenkarten abgedruckt; wenn Sie also eine authentische Visitenkarte haben, so können Sie sich den Anruf ersparen.

OpenPGP-Zertifikat signieren

Nachdem Sie sich „per Fingerabdruck“ von der Echtheit des Zertifikats überzeugt haben, haben Sie nun die Möglichkeit, dieses Zertifikat zu signieren.

Beachten Sie: Signieren von Zertifikaten durch Benutzer ist nur mit OpenPGP möglich. Bei X.509 ist das authorisierten Stellen vorbehalten!

Durch das Signieren eines (fremden) Zertifikats teilen Sie anderen (Gpg4win-)Benutzern mit, dass Sie dieses Zertifikat für echt halten: Sie übernehmen so etwas wie die „Patenschaft“ über dieses Zertifikat und erhöhen das allgemeine Vertrauen in seiner Echtheit.

Wie funktioniert das Signieren nun genau?
Selektieren Sie in Kleopatra das OpenPGP-Zertifikat, dass Sie für echt

halten und signieren möchten. Wählen Sie anschließend im Menü: Zertifikate -> Zertifikat beglaubigen...

Im nachfolgenden Dialog bestätigen Sie nun noch einmal das zu signierende OpenPGP-Zertifikat mit [Weiter]:

Im nächsten Schritt wählen Sie Ihr OpenPGP-Zertifikat aus, mit dem Sie das (im letzten Schritt ausgewählte) Zertifikat signieren wollen:

Entscheiden Sie hier, ob Sie [Nur für mich selbst beglaubigen] oder [Für alle sichtbar beglaubigen] wollen. Bei letzterer Variante haben Sie die Option, das signierte Zertifikat anschließend auf einen Keyserver hochzuladen und damit der Welt ein mit Ihrer Beglaubigung versehenes, aktualisiertes Zertifikat zur Verfügung zu stellen.

Bestätigen Sie Ihre Auswahl mit [Beglaubigen].

Wie beim Signieren einer E-Mail müssen Sie auch beim Signieren eines Zertifikats (mit Ihrem privaten Schlüssel) Ihre Passphrase eingeben. Erst nach korrekter Eingabe ist die Beglaubigung abgeschlossen.

Nach erfolgreicher Signierung erhalten Sie folgendes Fenster:

Wollen Sie nun einmal die erfolgte Beglaubigung überprüfen?
Dann öffnen Sie die Zertifikatsdetails des eben signierten

Zertifikats. Wählen Sie den Reiter Benutzer-IDs und Beglaubigungen und klicken auf die Schaltfläche [Hole Beglaubigungen ein].

Sortiert nach den Benutzer-IDs sehen sie alle Beglaubigungen, die in diesem Zertifikat enthalten sind. Hier sollte Sie auch Ihre Zertifikat wiederfinden, mit dem Sie eben signiert haben.

Das Netz des Vertrauens

Durch das Signieren/Beglaubigen von Zertifikaten entsteht - auch über den Kreis von Gpg4win-Benutzern und Ihrer täglichen Korrespondenz hinaus - ein „Netz des Vertrauens“, bei dem Sie nicht mehr zwangsläufig darauf angewiesen sind, ein OpenPGP-Zertifikat direkt zu prüfen.

Natürlich steigt das Vertrauen in die Gültigkeit eines Zertifikats, wenn mehrere Leute ihn signieren. Ihr eigenes OpenPGP-Zertifikat wird im Laufe der Zeit die Signaturen vieler anderer GnuPG-Benutzer tragen. Damit können immer mehr Menschen darauf vertrauen, dass dieses Zertifikat wirklich Ihnen und niemandem sonst gehört.

Wenn man dieses „Web of Trust“ weiterspinnt, entsteht eine flexible Beglaubigungs-Infrastruktur.

Eine einzige Möglichkeit ist denkbar, mit dem man diese Zertifikatsprüfung aushebeln kann: Jemand schiebt Ihnen einen falsches Zertifikat unter. Also einen öffentlicher OpenPGP-Schlüssel, der vorgibt, von X zu stammen, in Wirklichkeit aber von Y ausgetauscht wurde. Wenn ein solches gefälschtes Zertifikat signiert wird, hat das „Netz des Vertrauens“ natürlich ein Loch. Deshalb ist es so wichtig, sich zu vergewissern, ob ein Zertifikat, wirklich zu der Person gehört, der er zu gehören vorgibt.

Was aber, wenn eine Bank oder Behörde überprüfen möchte, ob die Zertifikate ihrer Kunden echt sind? Alle anzurufen, kann hier sicher nicht die Lösung sein...

Zertifizierungsinstanzen

Hier braucht man eine „übergeordnete“ Instanz, der alle Benutzer vertrauen können. Sie überprüfen ja auch nicht persönlich den Personalausweis eines Unbekannten durch einen Anruf beim Einwohnermeldeamt, sondern vertrauen darauf, dass die ausstellende Behörde diese Überprüfung korrekt durchgeführt und beglaubigt hat.

Solche Zertifizierungsinstanzen gibt es auch bei der Public-Key Verschlüsselung für OpenPGP. In Deutschland bietet unter anderem z.B. die Zeitschrift c't schon lange einen solchen Dienst kostenlos an, ebenso wie viele Universitäten.

Wenn man also ein OpenPGP-Zertifikat erhält, dem eine Zertifizierungsstelle per Signatur seine Echtheit bestätigt, kann man sich darauf verlassen.

Derartige Beglaubigungsinstanzen oder „Trust Center“ sind auch bei

anderen Verschlüsselungssystemen - wie z.B. S/MIME - vorgesehen. Im Gegensatz zum ,,Web of Trust" sind sie hierarchisch strukturiert: Es gibt eine „Oberste Beglaubigungsinstanz“, die weitere „Unterinstanzen“ beglaubigt und ihnen das Recht vergibt, Benutzerzertifikate zu beglaubigen (vgl. Kapitel 3).

Am besten ist diese Infrastruktur mit einem Siegel vergleichbar: die Plakette auf Ihrem Autonummernschild kann Ihnen nur eine dazu berichtigte Institution geben, die die Befugnis dazu wiederum von einer übergeordneten Stelle erhalten hat.

Mit der hierarchischen Zertifizierungs-Infrastruktur entspricht dieses Modell natürlich wesentlich besser den Bedürfnissen staatlicher und behördlicher Instanzen als das lose, auf gegenseitigem Vertrauen beruhende „Web of Trust“ von GnuPG. Der Kern der Beglaubigung selbst ist allerdings völlig identisch: Gpg4win unterstützt neben dem „Web of Trust“ (OpenPGP) zusätzlich auch eine hierarchische Zertifizierungsstruktur (S/MIME). Demnach bietet Gpg4win eine Grundlage um dem strengen Signaturgesetz der Bundesrepublik Deutschland zu entsprechen.

Wenn Sie sich weiter für dieses Thema interessieren, dann können Sie sich an der Quelle informieren: die Website „Sicherheit im Internet“ des Bundesministeriums für Wirtschaft und Technologie hält Sie über dieses und viele andere Themen aktuell auf dem Laufenden.

Eine weitere exzellente, mehr technische Informationsquelle zum Thema der Beglaubigungsinfrastrukturen bietet das Original GnuPG Handbuch, das Sie ebenfalls im Internet finden.

© 22. Oktober 2008, v3.0.0-beta1 und evtl. seitdem weiter bearbeitet
Das Gpg4win Kompendium ist unter der GNU Free Documentation License v1.2 lizensiert.

16 Die Zertifikatsprüfung

Inhalt