Wie funktioniert eine Certificate Chain?

Hallo,

Ich frage mich gerade wie eine Certificate chain / Zertifikat Kette funktioniert.

Bei einem Zertifikat verstehe ich das PKI/Private-Public Key Konzept:

Es gibt eine Schlüsselpaar: Private & Public Key
Ich kann etwas mit dem Privaten Key Signieren
Ich kann mit dem Public Key verifizieren das etwas mit dem Private Key signiert wurde

Wie funktioniert dies jetzt aber in Ketten?

Wenn ich also mit dem Client Private Key etwas signiere, kann ich dann WIE verifizieren, das dieser Client Private Key vom Root Private Key signiert wurde (oder wie sieht das aus)?

Funktioniert dies über einen Mathematischen Mechanismus (wie bei einem einfachen Private-Public Key pair) oder ist es hier eine logische doppele Überprüfung über zusätzliche information? Wie?

1 Antwort

franzhartwig

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Internet, Verschlüsselung, Informatik

08.11.2022, 20:21

Eine Zertifikatskette funktioniert im Prinzip genau so. Nur der Vertrauensanker ist weiter entfernt.

Schau Dir mal das Zertifikat von gutefrage.net an:

*.gutefrage.net -> Thawte -> Digicert Global Root CA

Das ist eine Zertifikatskette. Dein Rechner vertraut Digicert Global Root CA. Diese CA ist als vertrauenswürdig auf Deinem Rechner vorinstalliert.

Dein Rechner ruft nun gutefrage.net auf. Der Webserver gutefrage.net liefert die komplette Zertifikatskette aus, mindestens aber das eigene Zertifikat und das Zwischenzertifikat von Thawte.

Dein Rechner kann nun das Zertifikat von Thawte prüfen: Die Signatur wurde mit dem privaten Schlüssel von Digicert erstellt, der Rechner prüft mittels öffentlichem Schlüssel von Digicert. Damit vertraut der Rechner nun auch Thawte. Das Zertifikat von gutefrage.net wurde mit dem privaten Schlüssel von Thawte signiert. Diese Signatur kann nun mit dem öffentlichen Schlüssel, der sich ja in der vom Server mitgelieferten Zertifikatskette befindet, verifiziert werden.

Die Zertifikatskette von gutefrage.net sieht konkret so aus:

Certificates (2736 bytes)
  Certificate Length: 1565
  Certificate: 3082061930820501a00302010202100ea4ff4a99cb0fb236… (id-at-commonName=*.gutefrage.net)
  Certificate Length: 1165
  Certificate: 3082048930820371a0030201020210025a8aef196f7e0d6c… (id-at-commonName=Thawte RSA CA 2018,id-at-organizationalUnitName=www.digicert.com,id-at-organizationName=DigiCert Inc,id-at-countryName=US)

Wenn ich ein Text mit meinem Private Key verschlüssele, kann man ihn nur mit meinem Public Key entschlüsseln.

Wenn ich ein Text mit meinem Public Key verschlüssele, kann man ihn nur mit meinem Private Key entschlüsseln.

Public und Private Key kann man also sozusagen vertauschen, das Prinzip funktioniert immer noch?

Vielen Dank

...zur Frage

Warum schickt man seinen PGP Public Key zusammen mit einer signierten Email mit?

Ich nutzt pgp bloß um meine E-Mails zu signieren, doch sehe ich in vielen Email clients die Möglichkeit mit jeder Email meinen public key anzuhängen.

Klar - mein Public Key ist für alle gedacht aber nehmen wir mal an, dass jemand eines Tages es schafft, vorzugeben ich zu sein und eine Email in meinem Namen mit seinem private key zu signieren und dann einfach seinen Public Key anhängt.

Natürlich kann ich meinen Key auch einfach auf einen keyserver hochladen und dann die Public Key id jedesmal unten in die Email schreiben, doch auch diese ID kann jemand anderes auf seine ändern und auf seinen Verweisen... ist das ganze also eher nach dem Prinzip: Verteile deinen schneller als der andere, damit die Leute sich den abspeichern können und niemand mehr heimlich die öffentlichen schlüssel tauschen kann?

...zur Frage

Public-Key-Infrastruktur - Ein Verständnisproblem?

Also: So wie ich es verstanden habe ist es wie folgt: Nehmen wir Bob und Alice.

Alice will Bob etwas zusenden, sie selbst erstellt einen PiK /Private Key) und einen PuK (Public Key). Ihren PuK lässt sie bei einer Registrierungsstelle sichern, jeder kann also prüfen, ob das ihr echter PuK ist. Wenn sie nun etwas versendet, erstellt sie mit dem PiK und der Prüfsumme der Nachricht einen Haswert, diese sendet sie zusammen mit der Nachricht an Bob.

Bob kann nun von dieser sicheren Stelle einen PuK besorgen, damit enschlüsselt er den Hash wert, er erhält eine Prüfsumme. Er erstellt dann eine Prüfsumme aus der Nachricht und vergleicht diese.

Soweit so gut.

Wenn jetzt die Nachricht verändert wird, stimmt die Prüfsumme der Datei nicht mehr mit der des Hashwertes überein, aber der Angreifer könnte doch jetzt einfach schauen welche Prüfsumme aus dem Hashwert erzeugt wird und dann den Hashwert oder das Dokument dementsprechend so ändern, dass diese beiden wieder übereinstimmen, wäre das nicht möglich? Wenn diese Prüfsumme doch nach einem mathematischem Prinzip erzeugt wird, müsste man diesen dann nicht einfach nur umkehren?

Warum geht das nicht?

Es kann ja beides falsch sein, der Hashwert UND die Nachricht, es sei denn der Haschwert wird dann nochmals über einen weiteren Kanal versendet, aber ich nehme mal stark an ich habe einen Denkfehler.

Ich muss ehrlich sagen, ich verstehe auch bei einer Verschlüsselung nicht, warum man diese, wenn man den Puk und die Nachricht hat, dadurch nichtauf den PiK kommen kann, warscheinlich wenn ich das verstehe, verstehe ich auch das mit dem PKI besser.

...zur Frage

Wo bekomme ich das SSL Zertifikat von AWS?

Hallo, Ich habe ein SSL Zertifikat bei "AWS Certificate Manager" angefordert für meine Domain und die Verifikation abgeschlossen. Ich sehe kein Botton wo man dann das Zertifikat bekommen kann und den Private-Key. Kann mir jemand sagen wo ich das nun bekomme? Was muss ich nun machen?

...zur Frage

SSH Public Key weitergeben?

Moin, ich wollt kurz Fragen ob es Sicherheitsgefährdend ist wenn man einen SSH Public Key also die Datei: {Name}.pub Datei an andere weitergibt, oder ob dies nur bei der private Datei gilt. (2.Frage) Wird der SSH Key zurück gesetzt wenn man Windows resetet? Habe eigentlich keine Sicherheitsbedenken bin nur ein bisschen paranoid.

Danke fürs durchlesen :D

...zur Frage

Informatik Kryptologie Zeichen statt Buchstaben?

Ich verstehe folgende Aufgabe so absolut nicht:( Ich bin eigentlich echt ein Ass in Informatik aber durch die Einführung des neuen Themas und der folgenden Aufgabe zweifle ich etwas an mir. Woher soll man das wissen/herausfinden? Überehe ich etwas?

...zur Frage

Unterschied zwischen PGP und RSA verschlüsselung?

Haben doch beide nen Public und Private Key oder

...zur Frage

Wie werden ssh-schlüssel in Putty gespeichert?

Hallo ich habe eine Frage wenn man mit Puttygen ein Schlüsselpaar erstellt sieht das ganze so aus:

-----BEGIN PUBLIC KEY-----

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAz/8HUHaIGD+aEY7Gu5NY

CCwvSPsSSyXA4UscSnqqjLwJJ/+wMzOg2YzmDV7Ek0N2de4q6PhFDuU

Nj8Hm8fkL8lSBPhnSZZpcAX8xwH4k1aYAIHnVJFTQPp4v3hrwoF8J2jDrIPGga00

K96vaFKO2+wmT1RUADgwlVlcHdHDDXbby3gO0Yln87iB1cXaDkq5mJnJShHmEYMT

pj/YOYn7zylenBgnRHvFRN7wl2N0M+fY00Gvr66/HRyyhxGXAlAX0D

9UnPsgsNuctj+KiCOwFqWhl5uZqr0lllBya4QkuFqf/xto43i5rgpVmJlpQqAPbT

nwIDAQAB

-----END PUBLIC KEY-----

Wie ist das codiert/gespeichert. Denn meines Wissens nach müssten das doch 2 Zahlen sein die ich für das RSA verfahren brauche, und nicht dieser Texthaufen

oder weiß jemand wie ich hier raus wieder zwei Zahlen kriege.

vielen Dank.

...zur Frage

Auf Crypto Wallet auf Trading Plattform von extern zugreifen?

Hi Alle,

ich denke ich bin auf eine Betrüger-Seite herein gefallen. Ich habe da ein Wallet angelegt und Coins rüber geschoben, bekomme die allerdings nicht wieder. Irgendwie anders als über die Seite komme ich da nicht ran, oder? Ich habe ja nur den Public Key vom Wallet, der Private wird durch ein seiteninternes Trading Passwort maskiert.

...zur Frage

Was enthält eine .pkcs12 Datei?

Guten Abend,

ich hab vom Thema Verschlüsselung, speziell SSL, nicht viel Ahnung.
Hab hier eine .pkcs12 Datei, wenn ich diese mit dem dazugehörigen Passwort öffne, sehe ich drei verschiedene Zertifikate.

Ich brauche diese um meinen Nodejs-Server mit SSL auszustatten.
Kein Self Signed Cert, sondern über eine CA.

Das Problem an der Sache ist, dass ich nicht weiß welches Zertifikat welches ist.

CA
Private Key
Cert Key

Wie finde ich das heraus?

...zur Frage

Nehmt ihr eure Internetsicherheit selbst in die Hand oder vertraut ihr eurem Betriebssystem bzw. Browserhersteller?

Firefox hat 159 vorinstallierte Root CAs, viele davon wirken nicht gerade vertrauenswürdig. Zum Beispiel:

China Financial Certification Authority (CFCA)
Chunghwa Telecom
Global Digital Cybersecurity Authority Co., Ltd. (Formerly Guang Dong Certificate Authority (GDCA))
Government of Hong Kong (SAR), Hongkong Post, Certizen
Government of Spain, Autoritat de Certificació de la Comunitat Valenciana (ACCV)
Government of The Netherlands, PKIoverheid (Logius)
Government of Turkey, Kamu Sertifikasyon Merkezi (Kamu SM)
iTrusChina Co., Ltd
Shanghai Electronic Certification Authority Co., Ltd.
Taiwan-CA Inc. (TWCA)

Das Problem mit diesen Root CAs ist, dass sie gefälschte Zertifikate ausstellen können, um MiTM Angriffe für beliebige Webseiten durchzuführen (trotz TLS/SSL). Dass einige dieser CAs von Regierungen undemokratischer Länder wie China oder der Türkei kontrolliert werden, die dafür bekannt sind, Hackerangriffe gegen politische Gegner durchzuführen, finde ich äußerst besorgniserregend.

Ich habe deshalb die meisten Root CAs auf meinen Geräten deaktiviert. Ich denke aber, dass sich viele Menschen gar nicht damit beschäftigen und einfach alle vorinstallierten CAs aktiviert lassen.

Wie macht ihr das, und warum?

...zur Frage

Google kann nicht über Firefox aufgerufen werden: SEC_ERROR_UNKNOWN_ISSUER?

https://www.google.com/

Der Zertifikat-Aussteller der Gegenstelle wurde nicht erkannt.

HTTP Strict Transport Security: true
HTTP Public Key Pinning: true
Zertifikatskette:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Eventuell täuscht jemand die Website vor und es sollte nicht fortgefahren werden.
Websites bestätigen ihre Identität mittels Zertifikaten. Firefox vertraut www.google.com nicht, weil der Aussteller des Zertifikats unbekannt ist, das Zertifikat vom Austeller selbst signiert wurde oder der Server nicht die korrekten Zwischen-Zertifikate sendet.
Fehlercode: SEC_ERROR_UNKNOWN_ISSUER

Was kann ich tun um das zu beheben und wieder auf google zuzugreifen?

...zur Frage

Serverauthentifizierung mit Public / Private Key, ist es normal, dass es auch ohne public geht?

Folgendes: Ich habe vor kurzem von einem Entwickler ein paar wichtige Änderungen an meinem System durchführen lassen. Dabei bekam dieser einen SSH-Zugriff für den ich ein neues Public / Private Key Paar erstellen musste. Nun wollte ich diesen Zugriff wieder aufheben und habe kurzzeitig alle auf dem Server hinterlegen Public Keys verändert bzw. überschrieben.

Doch mir ist nun aufgefallen, dass man via FileZilla trotzdem immer noch reinkommt!

Allein der lokale Private Key scheint auszureichen...

Ist das normal und wenn nein woran kann das liegen bzw. was muss hier gemacht werden?

...zur Frage

Wie sicher OTP (One-Time-Pad) bei mehrfacher Anwendung verschiedener Schlüssel?

Der Fragetitel müsste genug an Informationen hergeben. Würde eine mehrfache Anwendung verschiedener Schlüssel auch eine Auswirkung auf die effektive Schlüssellänge haben und ändert sich dadurch die benötigte Zeit mit einem Brute-Force-Angriff? Verbessert es insg. die Sicherheit oder erzielt den gegenteiligen Effekt?

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen