Glossary

Sorry, this informations are only available in german language at the moment.


Active Directory

Der Verzeichnisdienst von Microsoft Windows heißt Active Directory (AD). Ein AD verwaltet die Objekte innerhalb einer IT-Infrastruktur wie beispielsweise Benutzer, Gruppen, Computer, Server, Dateifreigaben und andere Geräte wie Drucker und Scanner und deren Eigenschaften. Mit Hilfe des Active Directory werden Informationen der Objekte organisiert sowie Rechte bereitgestellt und überwacht. In großen Systemen kann ein Active Directory sehr groß und komplex werden. Der Zugriff auf diese Informationen und Rechte ist in der Praxis häufig über Passwörter abgesichert und daher äußerst unsicher. Zertifikatsbasierte Zugriffskontrolle wie z.B. FlexSecureID lösen dieses Problem.

Asymmetrische Verschlüsselung

Ein asymmetrisches Kryptosystem ist ein Kryptosystem, bei dem jeder der kommunizierenden Parteien ein Schlüsselpaar besitzt, das aus einem geheimen Teil (privater Schlüssel) und einem nicht geheimen Teil (öffentlicher Schlüssel) besteht. Der öffentliche Schlüssel ermöglicht es jedermann, Daten für den Inhaber des privaten Schlüssels zu verschlüsseln, dessen digitale Signaturen zu prüfen oder ihn zu authentifizieren. Der private Schlüssel ermöglicht es seinem Inhaber, mit dem öffentlichen Schlüssel verschlüsselte Daten zu entschlüsseln, digitale Signaturen zu erzeugen oder sich zu authentisieren. Die Schlüssel und die dazugehörigen Zertifikate werden von speziellen Softwaresystemen, den Trustcentern, bereitgestellt. FlexSecure ist einer der internationalen Technologieführer für Trustcenter-  und Verschlüsselungs­technologie. So verwendet z.B. die deutsche Bundesnetzagentur die Software FlexiTrust HS für die oberste nationale Zertifizierungsstelle der Bundesrepublik Deutschland.

Authentifizierung

Bei der Authentifizierung wird die Identität einer Person oder eines Objekts überprüft. In der Praxis werden hierzu oft Passwörter verwendet. Dies gilt mittlerweile als äußerst unsicher (und ist dennoch immer noch gängige Praxis). Eine sichere Authentifizierung erfolgt in der Regel mit Hilfe eines Tokens, dass starke kryptographische Verfahren unterstützt. Mit den Produkten von FlexSecure lassen sich Token und Identitäten sicher und einfach erstellen und verwalten.

Autorisierung

Gewähren des Zugriffs auf ein Objekt, sofern eine entsprechende Berechtigung hierzu vorhanden ist. Auch hier werden meist immer noch Passwort-basierte Systeme eingesetzt, obwohl Passwörter hinsichtlich Sicherheit und Handhabbarkeit (und damit auch Wirtschaftlichkeit) als äußerst mangelhaft einzustufen sind. Sicher und komfortabel sind tokenbasierte Systeme (siehe Authentifizierung).

BNA

Das Akronym BNA steht für Bundesnetzagentur, die Regulierungsbehörde der Bundesrepublik. Die BNA ist die oberste Instanz für die Gültigkeitsprüfung aller elektronischen Zertifikate nach dem deutschen Signaturgesetz. 

BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist der zentrale IT-Sicherheitsdienstleister des Bundes. Durch die Grundlagenarbeit im Bereich der IT-Sicherheit ist damit eine tragende Säule der inneren Sicherheit in Deutschland. FlexSecure hat im Auftrag des BSI mehrere Forschungs- und Entwicklungsprojekte verantwortet, so. z.B. bei der Entwicklung der Infrastruktur für den Elektronischen Reisepass, des elektronischen Personalausweises, sowie neuer, hochsicherer Verschlüsselungsverfahren („post quantum Kryptographie“).

Common criteria

Die Common Criteria for Information Technology Security Evaluation (kurz auch Common Criteria oder CC; deutsch: Gemeinsame Kriterien für die Bewertung der Sicherheit von Informationstechnologie) sind ein internationaler Standard über die Kriterien der Bewertung und Zertifizierung der Sicherheit von Computersystemen im Hinblick auf Datensicherheit. Auch in Deutschland werden Systeme nach Vorgabe des BSI nach CC evaluiert. Die CC definieren dabei nicht nur die Anforderungen an IT-Sicherheit, sondern auch die Methodologie der Prüfverfahren. Lösungen von FlexSecure sind CC zertifiziert, so z.B. die Trustcenterlösungen Flexitrust nach CC‑EAL3+ hoch.

FlexSecure verfügt über große Erfahrung bei der Durchführung von Common Criteria Evaluierungen. Lesen Sie hier mehr.

CSCA

Country Signing Certification Authority. Das Bundesamt für Sicherheit in der Informationstechnologie hat eine Public Key Infrastruktur zur Verwaltung und Prüfung von Zertifikaten und Signaturen auf den deutschen Reispässen aufgebaut. Wichtiger Partner in diesem Projekt war die FlexSecure GmbH – so wird u. A. das Trustcenter der CSCA auf der hochsicheren FlexiTrust HS Plattform betrieben.

eID

siehe elektronische Identität

Elektronische Gesundheitskarte

Die eGK ist eine Smartcard (siehe unten), die den Nachweis der digitalen Identität innerhalb der Telematikinfrastruktur des deutschen Gesundheitswesens oder die sichere Speicherung von gesundheitsrelevanten Daten des Inhabers bietet. Zum Zugriff auf die Daten innerhalb der Telematikinfrastruktur (außer den Notfalldaten) durch Dritte ist dabei eine doppelte Autorisierung durch den Versicherten PIN) und den Zugriffsberechtigten (also zum Beispiel Arzt) durch den sogenannten elektronischen Heilberufsausweis vorgesehen, der über eine Möglichkeit zur sicheren Authentifizierung und über eine qualifizierte elektronische Signatur verfügt (siehe unten). Die Absicherung und die Berechtigungen basieren auf einer Public Key Infrastruktur, an die höchste Anforderungen hinsichtlich Skalierbarkeit, Verfügbarkeit und Hochsicherheit beruhen. Das Deutsche Gesundheitsnetz, betreibt die Infrastruktur für den elektronischen Heilberufeausweis und setzt dabei FlexSecure’s Trustcenterlösung FlexiTrust HS ein.

Elektronische Identität

Bei der elektronischen Identität wird die tatsächliche Identität von z.B. Personen oder Geräten durch ein auf einer Smartcard gespeichertes Zertifikat eindeutig nachgewiesen. Für den nationalen Identitätsausweis war FlexSecure an der Entwicklung der Infrastrukutur für des Elektronischen des elektronischen Personalausweises beteiligt. Für den Identitätsausweis innerhalb einer unternehmensweiten IT-Infrastruktur werden häufig Passwörter verwendet, die extrem unsicher sind und deren Missbrauch jährlich Schäden in Milliardenhöhe anrichtet. Mit der Unternehmenslösung FlexSecureID bietet FlexSecure eine hochsichere und dennoch wirtschaftliche Lösung zur Verwaltung elektronischer Identitäten an (siehe Authentifizierung und Identity Management).

Elektronische Signatur

Unter einer elektronischen Signatur versteht man mit elektronischen Informationen verknüpfte Daten, mit denen man den Unterzeichner bzw. Signaturersteller identifizieren und die Integrität der signierten elektronischen Informationen prüfen kann. In der Regel handelt es sich bei den elektronischen Informationen um elektronische Dokumente. Die elektronische Signatur erfüllt somit technisch gesehen den gleichen Zweck wie eine eigenhändige Unterschrift auf Papierdokumenten. Der Gesetzgeber hat die Richtlinien für die Gültigkeit von elektronischen Signaturen im Signaturgesetz festgelegt. So erfüllen in Deutschland nur qualifizierte elektronische Signaturen gemäß § 2 Nr. 3 Signaturgesetz (SigG) die Anforderungen an die elektronische Form gemäß § 126a BGB, die die gesetzlich vorgeschriebene Schriftform ersetzen kann. Der Begriff „elektronische Signatur“ ist ein rein rechtlicher Begriff und nicht mit dem Begriff „digitale Signatur“ zu verwechseln – auch wenn  im Zusammenhang mit digitalen Informationen in der Regel digitale Signaturen zur Erzeugung einer elektronischen Signatur verwendet werden. Bei qualifizierten Signaturen ist  die Gültigkeit der dabei verwendeten Zertifikate lückenlos bis zur nationalen Wurzelinstanz bei der Bundesnetzagentur (siehe oben) nachzuweisen.

Elektronischer Reisepass (ePass)

Der neue elektronische Reisepass enthält einen Chip auf dem die Personendaten, das Passbild des Inhabers und optional biometrische Daten gespeichert werden. Diese Daten sind dort geschützt elektronisch signiert abgelegt und können nur von Geräten ausgelesen werden, die sich gegenüber dem Reisepass durch ein geeignetes elektronisches Zertifikat als berechtigt ausweisen können. An der Entwicklung und Implementierung der hierbei notwendigen Sicherheitstechnologie war FlexSecure maßgeblich beteiligt.

Elektronischer Personalausweis (ePA)

Auch in neuen elektronischen Personalausweisen steckt ein Prozessorchip, auf dem Personendaten gespeichert sein werden - geschützt durch Signaturen und Zertifikate einer staatlich verankerten Public Key Infrastruktur.

Mit dem ePA wird es möglich sein, sich im Internet elektronisch zu authentisieren – sowohl gegenüber Behörden als auch gegenüber privatwirtschaftlichen Dienstleistungsanbietern, beispielsweise beim Online-Shopping oder Online-Banking. Gleichzeitig kann der Ausweisinhaber sicher sein, dass diejenige Stelle, die seine Daten abfragt, tatsächlich dazu berechtigt ist. Dabei kann der Inhaber des Personalausweises frei auswählen, welche seiner persönlichen Daten (Name, Wohnort, Geburtsdatum, etc.) er für die Authentisierung verwenden möchte. Die Daten werden letztlich erst freigegeben, wenn der Inhaber die Übermittlung durch die Eingabe seiner sechsstelligen PIN bestätigt.

Die Entwicklung von ersten Anwendungen für die elektronischen Identitätsfunktion (eID-Funktion) des neuen elektronischen Personalausweises (ePA) sowie eine Integration der vom BSI spezifizierten Sicherheitsprotokolle und der Middleware erfolgte bereits durch die FlexSecure GmbH gemeinsam mit dem Darmstädter Fraunhofer Institut SIT und der TU Darmstadt. Im Rahmen eines ePA-Pilotierungsprojektes an der TU Darmstadt, dem Campuspiloten, sammelt FlexSecure bereits vielfältige Erfahrung im Bereich der Anwendungen für den elektronischen Personalausweis.

Entität

Unter einer Entität versteht man im Kontext von Public Key Infrastrukturen (siehe unten) eine Person oder ein Gerät.

Geheimer Schlüssel

Unter einem geheimen Schlüssel (englisch secret key) versteht man in der Kryptologie Schlüssel, die nur ihren legitimen Inhabern bekannt sein dürfen, und diese in die Lage versetzen, einen Geheimtext in einen Klartext zu entschlüsseln, sich zu authentisieren oder eine digitale Signatur zu erzeugen.

Während man in symmetrischen Kryptosystemen für alle Operationen den (selben) geheimen Schlüssel verwendet, nutzt man in asymmetrischen Kryptosystemen zur Verschlüsselung, zur Authentifizierung eines Gegenüber oder zur Prüfung einer digitalen Signatur den öffentlichen Schlüssel des Anderen. Um eine Verwechslung mit geheimen Schlüsseln symmetrischer Verfahren zu vermeiden, spricht man in der Fachliteratur bei asymmetrischen Kryptosystemen von einem privaten Schlüssel (siehe unten).

Identity Management

Als Identitätsmanagement (IDM) wird der zielgerichtete und bewusste Umgang mit Identität, Anonymität und Pseudoanonymität bezeichnet. Der Personalausweis ist ein Beispiel für eine staatlich vorgegebene Form der Identifizierung. In großen IT- Infrastrukturen wächst die Komplexität, dort sorgt Identity Management für eine handhabbare Verwaltung von Identitäten, Rollen und Berechtigungen.

Gleichzeitig wächst die potentielle Gefahr eines Missbrauchs und der damit verbundene potentielle Schaden. Alle Unternehmen mit komplexerer IT-Infrastruktur sind hier heute herausgefordert. Ein Schwachpunkt vieler Identity Managementsysteme ist die schwache Authentifizierung der Anwender über Passwörter. Hier helfen nur starke kryptographische Verfahren und eine Public Key Infrastruktur (→ siehe dort).

Integrität

Integrität ist auf dem Gebiet der Informationssicherheit ein Schutzziel, das besagt, dass Daten über einen bestimmten Zeitraum vollständig und unverändert sein sollen. Eine Veränderung könnte absichtlich, unabsichtlich oder durch einen technischen Fehler auftreten. Integrität umfasst also Datensicherheit (Schutz vor Verlust) und Fälschungssicherheit (Schutz vor vorsätzlicher Veränderung).

Internet

Ist ein weltweites Netzwerk bestehend aus vielen Rechnernetzwerken, durch das weltweit Daten ausgetauscht werden.

Internet Engineering Task Force

Die Internet Engineering Task Force (IETF) ist eine Organisation, die sich mit der technischen Weiterentwicklung des Internets befasst, um dessen Funktionsweise zu verbessern. Ihr Auftrag ist die Erstellung hochqualitativer, relevanter technischer Dokumente, welche die Art und Weise beeinflussen, wie Menschen das Internet weiterentwickeln, benutzen und verwalten.

Kryptographie

Die Anfänge der Kryptographie liegen im Altertum. Die Ägypter verwendeten im dritten Jahrtausend v. Chr. ein Verschlüsselungssystem in religiösen Texten. In der Antike fand sie für militärische Zwecke beispielsweise in Form der Skytale Anwendung. Das Thema „Geheimschriften“ war auch im Mittelalter von hoher Bedeutung für die geheime Nachrichtenübermittlung. Heute befasst sich die Kryptographie allgemein mit dem Thema Informationssicherheit, also dem Schutz von Daten gegen fremdes Ausspähen.

Die moderne Kryptographie hat vier Hauptziele zum Schutz von Informationen:

  • Vertraulichkeit / Zugriffsschutz: Nur dazu berechtigte Personen sollen in der Lage sein, die Daten oder die Nachricht zu lesen oder Informationen über ihren Inhalt zu erlangen.
  • Integrität / Änderungsschutz: Der Empfänger soll in der Lage sein festzustellen, ob die Daten oder die Nachricht nach ihrer Erzeugung verändert wurden.
  • Authentizität / Fälschungsschutz: Der Urheber der Daten oder der Absender der Nachricht soll eindeutig identifizierbar sein, und seine Urheberschaft sollte nachprüfbar sein.
  • Verbindlichkeit / Nichtabstreitbarkeit: Der Urheber der Daten oder Absender einer Nachricht soll nicht in der Lage sein, seine Urheberschaft zu bestreiten, d. h. sie sollte sich gegenüber Dritten nachweisen lassen.

Maschinenzertifikate

Nicht nur Menschen benötigen elektronische Zertifikate zum Nachweis Ihrer realen Identität in der digitalen Welt, auch beliebige elektronische Systeme müssen sich eindeutig und vertrauenswürdig ausweisen können. Dies wird umso wichtiger, je mehr die Vernetzung von Geräten zunimmt. Beispielhaft seien hier elektronische Sensoren. Deren Messwerten muss unbedingt vertraut werden können, da ja unter Umständen kritische Entscheidungen davon abhängen. Sicher ist dieses Vertrauen nur, wenn die Kommunikation zu diesen Systemen durch Zertifikate abgesichert ist, deren Gültigkeit nachweisbar ist. Der Bedarf an Maschinenzertifikaten und deren effizientem Management wird in Zukunft deutlich zunehmen (siehe auch TPM). Die Infrastruktur­lösungen von FlexSecure bieten hier eine optimale und wirtschaftliche Plattform.

OCSP Responder

Ein OCSP Responder gibt verbindliche Statusauskünfte über elektronische Zertifikate, dies geschieht in der Regel in Echtzeit. Die Statusauskünfte umfassen u.a. Informationen über die Existenz und die Gültigkeit der Zertifikate. Viele aktuelle Softwaresysteme (z.B. Windows Vista, Adobe Acrobat, Mozilla Firefox, etc.) können OCSP-Anfragen durchführen. Der FlexSecure OCSP Responder zeichnet sich dabei durch extreme Robustheit, Performanz und Hochverfügbarkeit aus und wird da eingesetzt, wo neben diesen Eigenschaften auch höchste Sicherheit gefordert ist (z.B. die nationale Root-CA der Bundesrepublik Deutschland bei der Bundesnetzagentur, der Root-CA für die elektronische Gesundheitskarte, Banken und viele andere).  

Öffentlicher Schlüssel

Unter einem öffentlichen Schlüssel (engl. public key) versteht man in der Kryptologie einen Teilschlüssel eines asymmetrischen Kryptosystems, der vom Schlüsselinhaber veröffentlicht wird. Er bildet damit das Gegenstück zum privaten Schlüssel (siehe unten), der nur dem Schlüsselinhaber bekannt ist.

Passwort

Ein Kennwort, auch Passwort (engl.: password), Passphrase, Schlüsselwort, Codewort (auch: Kodewort), Lösung, Lösungswort oder Parole genannt, dient zur Authentifizierung und eindeutigen Identifizierung. Hierzu wird eine Information benutzt, die als „Ausweis“ dient und möglichst unverwechselbar die eigene Identität oder Berechtigung bestätigt. Die Authentizität des sich so Ausweisenden bleibt nur so lange gewahrt, wie das Kennwort geheim bleibt, und Dritten nicht bekannt wird. Passwörter können sehr leicht in falsche Hände geraten. Durch den hierbei möglichen Zugriff auf vertrauliche und unternehmenskritische Daten entsteht allein in Deutschland ein jährlicher Schaden in Milliardenhöhe. Im privaten Bereich nimmt z.B. der Missbrauch von Identitäten durch unberechtigten Gebrauch von ausgespähten Passwörtern kontinuierlich zu (siehe auch FlexSecureID).

Phishing

Phishing [ˈfɪʃɪŋ] werden Versuche genannt, über gefälschte WWW-Adressen an Daten eines Internet-Benutzers zu gelangen. Der Begriff ist ein englisches Kunstwort, das sich an fishing („Angeln“, „Fischen“, evtl. in Anlehnung an Phreaking auch password fishing bildlich das „Angeln nach Passwörtern mit Ködern anlehnt. Häufig wird das h in dem Begriff mit harvesting erklärt, so dass der Begriff Phishing dann Password harvesting fishing lautet. Zwei-Faktor-Verfahren auf der Basis elektronischer Zertifikate (siehe FlexSecureID) sind gegen Pishing völlig immun.  

Privater Schlüssel

Um eine Verwechslung mit geheimen Schlüsseln symmetrischer Verfahren zu vermeiden, spricht man in der Fachliteratur bei asymmetrischen Kryptosystemen von einem privaten Schlüssel.

PKI - Public Key Infrastruktur

Mit Public-Key-Infrastruktur (PKI, engl. public key infrastructure) bezeichnet man in der Kryptologie ein System, welches es ermöglicht, digitale Zertifikate auszustellen, zu verteilen und zu prüfen. Die Zertifikate ordnen Personen oder Geräten verbindlich öffentliche Schlüssel zu.  Die innerhalb einer PKI ausgestellten Zertifikate werden zur Absicherung computergestützter Kommunikation verwendet.

Das Herz oder die „Sicherheitszentrale“ einer PKI ist das Trustcenter, welches auf der Basis einer speziellen, gesicherten Softwareplatform die Erzeugung, Verwaltung und Überprüfung von Zertifikaten vornimmt. Dabei ist die Sicherheit von elektronischen Zertifikaten (und der hiervon abhängigen Dienste) nur so gut, wie die kryptographischen Algorithmen, mit denen ein Zertifikat erstellt wurde. FlexSecure ist ein internationaler Technologieführer für Trustcentersysteme, PKI’s und digitale Identitäten.

Registrierung

Die Registrierung einer Entität ist ein Vorgang, beim dem die Entität identifiziert wird und/oder Attribute der Entität überprüft werden. Als Ergebnis der Registrierung wird der Entität eine partielle Identität für einen bestimmten Kontext zugewiesen.

Rolle

Eine Rolle besteht aus mindestens einer Berechtigung.

SCVP - Server Based Certificate Validation Protocol

Mit SCVP wird die Gültigkeitsprüfung eines Zertifikats vollständig Serverseitig ermöglicht. SCVP ist damit die konsequente Weiterentwicklung von OCSP. Während bei der Verwendung von OCSP für die vollständige Gültigkeitsprüfung eines Zertifikats alle Zertifikate einer Zertifizierugshierarchie von der Clientanwendung ermittelt und geprüft werden müssen, übernimmt diese bei SCVP der Server. Der FlexSecure SCVP Server Basiert auf der geleichen bewährten Technologie, die bereits für den OCSP Server verwendet wurde.

Service-orientierte Architektur

Eine Service-orientierte Architektur ist ein Softwareinfrastruktur, in der Programm-Module als lose gekoppelte Dienste implementiert werden, die über Webservice-Schnittstellen miteinander kommunizieren und zu komplexeren Diensten komponiert werden. Da im SOA-Umfeld die Kommunikation zwischen den einzelnen Services geschützt werden muss, stellt eine PKI einen wichtigen Aspekt für die Absicherung der Services dar. Mit Hilfe der PKI können die nötigen Schlüssel verteilt werden, um innerhalb des Systems die Sicherheitsanforderungen wie Vertraulichkeit, Authentizität, Integrität und Verbindlichkeit umsetzen zu können. Eine PKI sollte aufgrund dieser Tatsachen als zentrale Komponente innerhalb der SOA-Sicherheitsinfrastruktur vorhanden sein. Allerdings besitzt eine PKI eine hohe Komplexität, die vor den Nutzern des Systems verborgen werden muss.  Unser System FlexiTrust bietet die notwendige Flexibilität für die Absicherung komplexer, dynamischer SOA-Dienste.

Service Provider

Ein SP bietet in einer Service-orientierten Architektur bestimmte Dienste an.

Single Sign-On

Single Sign-On bedeutet, dass ein Benutzer nach einer einmaligen Authentifizierung auf alle Rechner und Dienste, für die er berechtigt ist, zugreifen kann, ohne sich jedes mal neu anzumelden. Je mehr Dienste dabei im Zugriff stehen und je kritischer die Berechtigungen oder Informationen sind, die dabei zur Verfügung stehen, desto höher sind die Anforderungen an die Sicherheit bei der Authentifizierung des Benutzers. Die meist verwendeten Passwörter sind völlig ungeeignet (siehe Passwörter).

Die Sicherheitsprodukte von FlexSecure unterstützen eine breite Palette von Single Sign-On Systemen – Microsoft, SAP, Citrix u.v.a.  – und steigern damit erheblich die Effizienz und die Sicherheit.

Security Token

Englischer Begriff für Sicherheitsmerkmal.

Signed Security Token

Englischer Begriff für integritätsgeschütztes Sicherheitsmerkmal.

Smartcard

Unter einer Smartcard versteht man in der Regel Prozessor-Chipkarten mit einem Mikroprozessor, über den man z.B. die Daten auf der Karte über kryptographische Verfahren vor fremdem Zugriff schützen kann.

Die Smartcards können damit als sicherer Informations- oder Schlüsselspeicher dienen, aber sie bieten auch verschiedene Sicherheitsdienste wie Authentifizierung, Verschlüsselung, Signatur usw. an, die in einer vertrauenswürdigen Umgebung genutzt werden können. Da die geheimen Schlüssel auf der Smartcard gespeichert sind und diese nicht verlassen, ist das Erspähen des Schlüssels nicht möglich. Operationen auf der Smartcard, z.B. die Erzeugung einer elektronischen Signatur ist daher ebenfalls das sicherste Verfahren. Smartcards sind unverzichtbarer Bestandteil einer PKI.

Softwarezertifikate

Nicht nur Menschen und Geräte benötigen elektronische Zertifikate zum Nachweis Ihrer realen Identität in der digitalen Welt, auch Softwaresysteme müssen sich eindeutig und vertrauenswürdig ausweisen können. Wie sollte ein Betriebssystem sonst einem Update oder einer Servicewebsite vertrauen? Woher weiß das System, dass eine Updatedatei wirklich unverändert vom richtigen, vertrauenswürdigen Lieferanten kommt und nicht zum Beispiel von einer Hackerwebsite mit vorgetäuschter Identität? Welchen Schaden könnte ein vorgetäuschtes Windows-Update, das in Wirklichkeit Spyware enthält anrichten!

Die Sicherheit fast aller Softwareupdates basiert heute auf Zertifikaten, die die Authentizität und die Integrität von Softwareupdates oder anderen Softwareprodukten eindeutig nachweisen. Der Bedarf an effizientem und hochsicherem Management von Zertifikaten wird in Zukunft deutlich zunehmen - die Infrastruktur­lösungen von FlexSecure bieten hier eine optimale und wirtschaftliche Plattform.

Sperrliste – CRL

Eine Sperrliste (Certificate Revocation List) ist eine elektronisch signierte Liste aller gesperrten Zertifikate einer Zertifizierungsinstanz. Sie enthält i.d.R. zu jedem Eintrag den Zeitpunkt der Sperrung und den Gültigkeitszeitrum der CRL selbst. Da Sperrlisten regelmäßig von allen Teilnehmern einer PKI abgefragt werden müssen, um den Status verwendeter Zertifikate zu prüfen und da solche Listen im Laufe der Zeit sehr groß werden können, stellen sie großen Infrastrukturen vor technische Probleme. Aus diesem Grund wurden alternative Mechanismen und Protokolle entwickelt, beispielsweise das OCSP- und das SCVP Protokoll.

TLS - Transport Layer Security

Das Transport Layer Security Protokoll (RFC2246, RFC4346) wurde von der IETF als Nachfolger des SSl-Protokolls spezifiziert.

Trustcenter

Ein Trustcenter oder Zertifizierungsstelle (englisch Certificate Authority, kurz CA) ist eine Organisation, die digitale Zertifikate herausgibt. Ein digitales Zertifikat (siehe unten) dient dazu, einen bestimmten öffentlichen Schlüssel einer Person oder Organisation oder auch einem Gerät zuzuordnen. Diese Zuordnung wird von der Zertifizierungsstelle beglaubigt, indem sie sie mit ihrer eigenen digitalen Unterschrift versieht.

Elektronische Zertifikate enthalten „Schlüssel“ und Zusatzinformationen, die zur Authentifizierung sowie zur Verschlüsselung vertraulicher Daten oder deren Integritätsprüfung dienen. Als Zusatzinformationen sind in Zertifikaten zum Beispiel Gültigkeitszeitraum, Verweise auf den Aussteller des Zertifikats und Zertifikatsperrlisten oder Informationen zum Schlüsselinhaber z.B. Titel oder Prokura, etc. enthalten, die durch die CA mit in das Zertifikat eingebracht werden.

Die Aufgabe einer Beglaubigungsinstitution ist es, solche digitalen Zertifikate herauszugeben und zu überprüfen. Sie ist dabei für die Bereitstellung, Zuweisung und Integritätssicherung der von ihr ausgegebenen Zertifikate verantwortlich. Damit ist sie ein wichtiger Teil der Public-Key-Infrastruktur.

Eine Zertifizierungsstelle kann ein spezielles Unternehmen sein oder eine Institution innerhalb eines Unternehmens, das einen entsprechenden eigenen Server installiert hat (zum Beispiel mit OpenSSL). Auch öffentliche Organisationen oder Regierungs­stellen können als Zertifizierungsstelle dienen, z. B. die Bundesnetzagentur.

In Deutschland müssen für die Ausgabe von fortgeschrittenen elektronischen Zertifikaten gem. § 2 Nr.2 SigG bzw. für qualifizierte elektronische Signaturen gem. § 2 Nr.3 SigG zusätzliche Voraussetzungen erfüllt werden. Insbesondere unterliegen die Aussteller der Zertifikate der Aufsicht der Bundesnetzagentur, um die Zuverlässigkeit und Integrität dieser Zertifikate im Rechtsverkehr zu gewährleisten. Beispielsweise muss sich der Antragsteller für eine solche Signatur bei einer genehmigten Stelle durch seinen Personalausweis persönlich identifizieren, damit ein solches elektronisches Zertifikat auf ihn ausgestellt werden kann. Die von den Ausstellern betriebenen Rechenzentren müssen besonders gesichert sein und erfüllen damit hohe Sicherheitsanforderungen.

Führende Anbieter sowie insbesondere die Bundesnetzagentur setzen hierbei unsere hochsichere und hochverfügbare Trustcentersoftware FlexiTrust HS ein.

Trusted Platform Modules (TPM)

TPM sind Chips, die ähnlich einer Smartcard, geheime Schlüssel speichern. Der Chip ist in diesem Fall aber fest in ein Gerät eingebaut, z. B. auf ein Computermainboard aufgelötet. Das ganze Gerät wird so zum Token und  damit eindeutig identifizierbar. Ist das Token in eine PKI eingebunden, kann dem Gerät hierdurch ein genau definierter Vertrauensstatus zugeordnet werden (siehe auch Maschinenzertifikate).

Uniform Resource Identifier (URI)

Ein Uniform Resource Identifier ist eine Zeichenfolge, die der in RFC3986 definierten Syntax genügt und zur Identifizierung einer abstrakten oder physikalischen Ressource dient.

Webserver

Ein Webserver ist eine Softwarekomponente, die mit einem Uniform Resource Identifier (URI) eindeutig identifizierbar ist und deren Schnittstellen mittels der Web Services Description Language definiert und beschrieben werden können.

Zertifikat

Ein digitales Zertifikat (auch Zertifikat oder Public-Key-Zertifikat) sind strukturierte Daten, die den Eigentümer sowie weitere Eigenschaften eines öffentlichen Schlüssels bestätigen. Durch ein digitales Zertifikat können Nutzer eines asymmetrischen Kryptosystems den öffentlichen Schlüssel einer Identität (z. B. einer Person, einer Organisation oder einem IT-System) zuordnen und seinen Geltungsbereich bestimmen. Damit ermöglichen digitale Zertifikate den Schutz der Vertraulichkeit, Authentizität und Integrität von Daten durch die korrekte Anwendung der öffentlichen Schlüssel.

Typische Anwendungen von digitalen Zertifikaten sind:

  • Elektronische Signaturen,
  • Sicherheit durch Verschlüsselung bei der Datenübertragung in Netzwerkprotokollen (z. B. SSL, darunter HTTPS für Webbrowser, IPsec oder SSH),
  • Sicherheit durch Verschlüsselung von E-Mails (z. B. mit S/MIME oder PGP).
  • Sicherer elektronischer Identitätsnachweis und dadurch z.B. sichere Authentifizierung in IT-Systemen

Der Aussteller eines Zertifikates wird als Zertifizierungsinstanz oder Trustcenter bezeichnet. Die Zertifizierungsinstanz sollte von einer vertrauenswürdigen Organisation oder Stelle (z. B. eine Behörde) betrieben werden, damit die Anwender sich auf die in den Zertifikaten enthaltenen Informationen verlassen können.

Durch die digitale Signatur über das Zertifikat lässt sich die Authentizität und Integrität des digitalen Zertifikates überprüfen. Für diese Prüfung wird jedoch wiederum eine Zuordnung des Signaturschlüssels des Ausstellers zu seiner Identität, d. h. ein weiteres Zertifikat, benötigt. Diese Hierarchie von Zertifikaten bildet eine Public Key Infrastruktur (PKI). Ganz oben in der Hierarchie steht in Deutschland die nationale Root-CA bei der Bundesnetzagentur.

Die Gültigkeit eines digitalen Zertifikates ist meist auf einen im Zertifikat festgelegten Zeitraum begrenzt. Zertifikate für Schlüssel, die nicht mehr sicher sind, können und sollten vorzeitig gesperrt und die Sperrinformationen veröffentlicht werden. Die Vertrauenswürdigkeit eines digitalen Zertifikates hängt in erheblichem Maße davon ab, ob und wie rasch es gesperrt werden kann und wie zuverlässig und zeitnah die Sperrung veröffentlicht wird. Üblicherweise werden Sperrungen über eine Zertifikatsperrliste (CRL), gelegentlich auch über eine Web-Seite, veröffentlicht. Zunehmend werden auch Dienste zur Online-Abfrage des Sperrstatus (z. B. über OCSP, siehe oben) angeboten, die im Unterschied zu Sperrlisten auch Positivauskünfte („dieses Zertifikat ist authentisch und gültig“) geben können.

 

FlexSecure News (EN)

no news in this list.