Die vertrauenswürdige Sicherstellung von Identitäten ist ein wesentlicher Baustein im modernen Internet, in dem Personen und Systeme untereinander kritische Transaktionen durchführen. Ein heute gängiges Verfahren ist die Verwendung von Zertifikaten, in denen ein geheimer Schlüssel über kryptographische Methoden mit einer Person oder einem System verknüpft ist.

Das Zertifikat

Um eine Person oder ein System im Internet eindeutig identifizieren zu können, wird von einer vertrauenswürdigen Instanz ein so genanntes Zertifikat ausgestellt, welches folgende Information enthält:

Öffentlicher Schlüssel
Beim Erzeugen eines Zertifikats wird ein Schlüsselpaar generiert, welches aus einem privaten und einem öffentlichen Schlüssel besteht. Während der private Schlüssel beim Besitzer bleibt und nur diesem bekannt ist, kann der öffentliche Schlüssel publiziert werden. Über kryptographische Methoden kann mithilfe des öffentlichen Schlüssels jederzeit überprüft werden, ob eine digitale Signatur mit dem zugehörigen privaten Schlüssel erstellt worden ist und daher auch tatsächlich vom Schlüsselbesitzer stammt.
Namen des Schlüsselbesitzes
Im Zertifikat befindet sich die Information, welche Person oder welches System im Besitz des zugehörigen privaten Schlüssels ist. Für das Signaturzertifikat einer natürlichen Person können dies Vorname und Nachname sein, während für das SSL-Zertifikat einer Website üblicherweise die URL verwendet wird.
Signatur einer vertrauenswürdigen Instanz (Trustcenter)
Jene Stelle, die ein Zertifikat ausstellt, bestätigt mit ihrer Signatur den Ursprung dieses Zertifikats. Eine Anwendung sollte nur solche Zertifikate akzeptieren, welche von einer vertrauenswürdigen Instanz ausgestellt wurden, die im Rahmen der Ausgabe des Zertifikats auch die Identität des Schlüsselinhabers geprüft hat.

Trustcenter und Root-Zertifikate

Ein Trustcenter ist eine vertrauenswürdige Instanz, welche den Lebenszyklus eines Zertifikats bestimmt. Zu seinen Aufgaben gehört:

Prüfung der Identität
Bevor ein Zertifikat ausgegeben wird, vergewissert sich das Trustcenter, dass der private Schlüssel tatsächlich jener Person gehört, welche im Zertifikat als Besitzer eingetragen wird.
Ausstellen des Zertifikats
Das Trustcenter erstellt das Zertifikat und signiert es mit seinem eigenen Ausstellungsschlüssel (Root-Zertifikat).
Führen von Widerrufslisten
Während der Lebensdauer eines Zertifikats kann es vorkommen, dass der Schlüsselinhaber den Zugang zu seinem privaten Schlüssel verliert oder die geheimen Zugangsdaten zum Schlüssel (PIN) einem Dritten bekannt werden. In diesen Fällen kann das Zertifikat widerrufen werden. Signaturen, welche nach dem Widerrufszeitpunkt erstellt werden, sind dann als ungültig abzunehmen.
Das Trustcenter führt eine elektronische Liste, in der alle widerrufenen Zertifikate aufgeführt sind. Möchte nun ein System die Authentizität einer digitalen Signatur prüfen, muss es anhand der Widerrufsliste sicherstellen, dass das Zertifikat zum Zeitpunkt der Signaturerstellung nicht widerrufen war.
Bereitstellung von Root-Zertifikaten
Damit Systeme zur automatischen Prüfung von digitalen Signaturen wissen, welche Trustcenter als vertrauenswürdig einzustufen sind, sind in diesen Systemen die so genannten Root-Zertifikate der vertrauenswürdigen Trustcenter hinterlegt.