Über Zertifikate

Zertifikate bestehen aus zwei Schlüsseln (einem Schlüsselpaar), die mathematisch miteinander verwandt sind:
öffentlicher Schlüssel (public key)
privater Schlüssel (private key)

Während der public key, wie der Name es schon sagt, an alle Personen verteilt werden darf, muss der private key im alleinigen Besitz des Eigentümers bleiben und entsprechend geschützt werden.
Ausnahme bilden hier nur die Gruppenzertifikate, deren private keys an einen beschränkten Personenkreis weitergegeben werden dürfen.

Sollte ein private key in fremde Hände gelangen, so muss das Zertifikat sofort gesperrt und ein neues beantragt werden. Andernfalls können Dritte Ihre Identität stehlen und bspw. Verträge in Ihrem Namen unterschreiben.
Auch Gruppenzertifikate müssen dementsprechend gesperrt und erneuert werden, sobald ein Gruppenmitglied ausscheidet.

Welche Rolle spielen public und private key?

• Signieren

  

  Alice signiert ab sofort Ihre E-Mails.
  So kann jeder Empfänger Ihre Identität (stammt die Nachricht wirklich von Alice) und die Integrität der Nachricht (wurde diese im Nachhinein verändert) überprüfen.

  Dazu benötigt Alice nur Ihr persönliches Nutzerzertifikat, das Sie in Outlook eingebunden hat. Wählt Sie nun beim Verfassen einer E-Mail die Option Signieren unter dem Reiter Optionen aus, passiert beim Absenden der Nachricht im Hintergrund folgendes:

  1. Es wird eine Prüfsumme aus der Nachricht gebildet.
  2. Diese Prüfsumme wird mit dem privaten Schlüssel von Alice verschlüsselt.
  3. Der Nachricht werden die verschlüsselte Prüfsumme und der öffentliche Schlüssel von Alice angehängt.
  4. Die E-Mail wird gesendet.
  
  

  Beim Empfänger wird die eingegangene, signierte E-Mail geprüft:

  1. Es wird geprüft, ob das Zertifikat von Alice von einer vertrauenswürdigen Instanz ausgestellt wurde und gültig ist.
  2. Es wird eine eigene Prüfsumme aus der Nachricht gebildet.
  3. Mit dem beigefügten öffentlichen Schlüssel wird die verschlüsselte Prüfsumme von Alice entschlüsselt.
  4. Die Prüfsummen werden verglichen. Sind diese identisch, wurde die Nachricht nicht verändert.
  
  

  Dem Empfänger wird angezeigt, dass die Signatur vertrauenswürdig ist.

• Signieren und Verschlüsseln

  

  Alice möchte eine E-Mail, die besonders vertrauliche Informationen enthält, nun zusätzlich verschlüsseln.
  So verhindert Sie, dass Dritte sensible Daten mitlesen können.

  Dazu benötigt Alice neben Ihrem eigenen Nutzerzertifikat nun auch den öffentlichen Schlüssel des Empfängers. Dieser kann (wie in diesem Beispiel) in der globalen Adressliste (GAL) von Outlook vom Empfänger veröffentlicht worden sein.
  Alice wählt Ihren gewünschten Empfänger Leon aus der globalen Adressliste aus und aktiviert neben Signieren nun zusätzlich die Option Verschlüsseln.
  Nun passiert beim Absenden der Nachricht folgendes:

  1. Es wird eine Prüfsumme aus der Nachricht gebildet.
  2. Diese Prüfsumme wird mit dem privaten Schlüssel von Alice verschlüsselt.
  3. Der Nachricht werden die verschlüsselte Prüfsumme und der öffentliche Schlüssel von Alice angehängt.
  4. Mit dem öffentlichen Schlüssel von Leon aus der GAL wird die gesamte E-Mail verschlüsselt.
  5. Die Nachricht wird gesendet.
  
  

  Beim Empfänger wird die eingegangene E-Mail entschlüsselt und geprüft:

  1. Die E-Mail wird mit dem privaten Schlüssel von Leon entschlüsselt.
  2. Es wird geprüft, ob das Zertifikat von Alice von einer vertrauenswürdigen Instanz ausgestellt wurde und gültig ist.
  3. Es wird eine eigene Prüfsumme aus der Nachricht gebildet.
  4. Mit dem beigefügten öffentlichen Schlüssel wird die verschlüsselte Prüfsumme von Alice entschlüsselt.
  5. Die Prüfsummen werden verglichen. Sind diese identisch, wurde die Nachricht nicht verändert.
  
  

  Dem Empfänger wird die entschlüsselte Nachricht und Vertrauenswürdigkeit der Signatur angezeigt.