Was steckt in der Digitalen ID?
Vor einigen Wochen haben wir an dieser Stelle das Thema Zertifikat und Verschlüsselung für Einsteiger behandelt. Heute wollen wir etwas tiefer auf einen wichtigen Punkt dazu eingehen. Die digitale ID. Warum ist deren Einsatz mehr als sinnvoll und was ist beim Gebrauch zu beachten.
Das digitale Zertifikat, wie die ID auch genannt wird, muss bei einer Zertifizierungsstelle erworben werden. Nach dem Kauf hat es meist eine Gültigkeitsdauer von einem Jahr und kann nach Ablauf verlängert werden.
Die Bestandteile der ID
Das ausgestellte Zertifikat besteht aus mehreren Informationen:
- Der öffentliche Schlüssel
- Ablaufdatum des öffentlichen Schlüssels
- Name und Emailadresse des Besitzers
- Name des Ausstellers
- Seriennummer der ID
- Digitale Signatur der ausstellenden Behörde (CA)
Vor dem Kauf des Zertifikats ist also vor allem die Wahl der „richtigen“ Certificate Authority entscheidend. Jeder, der zukünftig Ihrer ID vertrauen soll, beurteilt auch die Vertrauenswürdigkeit der Ausstellungsinstanz. Denn letztlich garantiert nur diese, dass der Absender auch wirklich authentisch ist. Man kann diesen Prozess mit der Beglaubigung eines Reisepasses durch ein Amt vergleichen. Erst deren Stempel macht aus Papier ein anerkanntes Dokument.
Die Anwendungsmöglichkeiten
Warum ein Plädoyer für den persönlichen Identitätsnachweis in digitaler Form? Worin besteht der Nutzen? Warum schnellstmöglich, wo doch so wenig davon zu hören ist? Es stimmt. Es ist mehr als verwunderlich, dass das Thema Digitale ID – angesichts der aktuellen Themenvielfalt im Sicherheitsbereich – so selten zu lesen ist. Vielleicht liegt es daran, dass es ein wenig seriöser zu behandeln ist, als die derzeit so strapazierten Sicherheitslecks in Programmen und Geräten.
Die wichtigsten Einsatzgebiete der digitalen ID sind:
- Die Verschlüsselung von Mails (mit dem öffentlichen Schlüssel des Empfängers)
- Die Benutzerauthentifizierung (also der Nachweis der Identität) bei anderen Personen oder Systemen. Ein Beispiel wäre die beglaubigte Anmeldung an einem Webserver
- Die digitale Signierung von Dokumenten (Rechnungen, Angebote, etc.)
Das Schlüsselpaar
Die digitale ID besteht immer aus einem öffentlichen und einem privaten Schlüssel. Letzterer bleibt, seinem Namen entsprechend, immer beim Besitzer und ist meist kennwortgeschützt. Der öffentliche Schlüssel wird getauscht. Sie sehen also: das Zertifikat nutzt meist nur, wenn die Gegenstelle auch eines besitzt. Zumindest muss diese aber im Besitz Ihres Public Key sein. Zu den Möglichkeiten eines einfachen Tauschs später mehr. Jetzt erst mal etwas Praxis zum leichteren Verständnis.
Beispiel Dokumentenverschlüsselung
Beim sicheren Austausch von elektronischen Dokumenten wird die Notwendigkeit des Schlüsseltausches einsichtig. Der Absender nimmt einen Schlüssel zum Kodieren der Datei (z.B. eines PDFs). Der Empfänger muss einen passenden Key zur Entschlüsselung besitzen. Wie erhält der Adressat diesen Schlüssel? Muss dieser nicht geheim bleiben?
Die Lösung liegt in der Handhabung der beiden Schlüsselarten – privat und öffentlich. Nach der Beantragung der ID haben Sie von der CA einen privaten und einen öffentlichen Schlüssel als Teil des Zertifikats erhalten. Das Kennwort für den Private Key haben Sie bei der Bestellung – hoffentlich recht komplex – selbst vergeben. Dieses sollte gut und sicher verwahrt werden, da es nicht geändert werden kann. Sie benötigen es auf jeden Fall bei einer Verlängerung (ein Jahr später :-).
- Ertel, Wolfgang (Autor)
Letzte Aktualisierung am 24.04.2024 / Affiliate Links / Bilder von der Amazon Product Advertising API
Der öffentliche Schlüssel sollte verteilt werden – zumindest an jene Stellen, mit denen Sie zukünftig sicher kommunizieren wollen. Jetzt kommt der meist missverstandene Teil im Rahmen der Zertifikatshandhabung. Der Absender der verschlüsselten oder signierten Nachricht benötigt den öffentlichen Schlüssel des Empfängers, um diesem ein kodiertes Dokument zukommen zu lassen. Sie wollen verschlüsselt kommunizieren? Dann also nur mit Partnern, die eine ID besitzen und Ihnen deren Schlüssel (den öffentlichen) mitgeteilt haben. Der Erwerb eines Zertifikats nutzt also nichts, wenn Ihr Gegenüber nicht mitspielt. Nachdem die Nachricht mit dem Public Key des Empfängers verschlüsselt wurde, kann nur mehr dieser mit seinem Private Key das Dokument entschlüsseln. Erst beim Empfang kommt hier der private Teil des Zertifikats zum Einsatz. Genau aus diesem Grund darf dieser auch niemals weitergegeben werden.
Tausch der öffentlichen Schlüssel
Wie kommen Sie nun zum Public Key einer Person, der Sie gerne eine verschlüsselte Nachricht senden wollen? Nicht so einfach in der Praxis. Bei Personen, mit denen Sie häufiger kommunizieren, sollte dies kein Problem sein. Zumeist wird in solchen Fällen der öffentliche Schlüssel einfach an eine Mail angehängt (ist ja nur eine verwirrende Zeichenkette). Eine ähnliche Methode besteht darin, eine elektronische Nachricht zu signieren (nicht verschlüsseln). Jede digitale Signatur enthält automatisch den Public Key des Absenders.
Als Alternative zum persönlichen Austausch eignen sich frei zugängliche Verzeichnisdienste. Diese halten – ähnlich einem Adressverzeichnis – die öffentlichen Schlüssel einer Vielzahl von Personen zur Abfrage bereit.
Sind Zertifikate sicher?
Ja. Digitale IDs sind extrem sicher – sofern man seinen privaten Schlüssel sicher verwahrt. Diesen und das dazugehörige Kennwort also mit Bedacht (und wieder auffindbar) ablegen. Ein wichtiger Hinweis in diesem Zusammenhang: Digitale IDs können in unterschiedlicher Stärke (Verschlüsselungstiefe) ausgestellt werden. Letztlich entscheidet die Länge des Schlüssels – 40 bis 128 Bit – über die Sicherheit. Je größer umso sicherer. Ein 40-Bit-Key kann heute in wenigen Stunden geknackt werden, 128-Bit-Keys benötigen eine Ewigkeit.
Wie schütze ich meine digitale ID?
Die Handhabung von Zertifikaten ist relativ einfach, wenn Sie ein paar Grundregeln beachten. Mit diesen Punkten sind Sie auf der sicheren Seite:
- Geben Sie niemals Ihr Kennwort weiter und vergessen Sie es keinesfalls.
- Schützen Sie Ihren Computer vor unberechtigten Zugriffen – Ihr privater Key ist meist in Anwendungen hinterlegt.
- Wählen Sie Anwendungen mit Sorgfalt, die Ihren privaten Schlüssel abfragen und verwenden.
- Achten Sie auf ein aktuell gepatchtes System (Betriebssystem und Anwendungen, Java, etc.) und einen guten Virenscanner. Malware kann sich auch Ihres Zertifikats bedienen.
- Nach dem Erwerb der ID wird der private Schlüssel meist auf der Festplatte als Datei abgelegt. Verschieben Sie diesen an einen sicheren Ort – und eine Sicherung davon an einen zweiten.
- Speichern Sie Ihren privaten Schlüssel nur dann (wenn überhaupt) auf einem USB-Stick, wenn dieser mit einem sehr starken Kennwort geschützt ist.
Damit sollten Sie fit sein für die Verwendung Ihrer persönlichen ID. In naher Zukunft können Sie an dieser Stelle mehr zu diesem Thema lesen. Dann geht es um Verschlüsselung, PKI und den konkreten Einsatz in Mailprogrammen.
2 Antworten
[…] des Mailverkehrs beruht auf das Verfahren des Public-/Private Key-Verfahrens (siehe dazu auch den Grundlagenartikel zum Thema Digitale ID). Das eigene Zertifikat ist schnell zu ordern, manchmal sogar kostenlos. Hat sich der […]
[…] Einfache Varianten werden sogar kostenlos angeboten. Danach muss der öffentliche Schlüssel (der digitalen ID) jedes Mail-Partners gefunden und gespeichert werden. Dieser Punkt ist zwar etwas aufwendig, aber […]