Die Zahl der intelligenten Geräte geht in die Zehnmilliarden. Sie alle kommunizieren mit Websites und digitalen Diensten und ermöglichen den Zugang zu ihnen. Das reicht von öffentlichen Diensten wie dem Zugang zu sozialen Medien bis hin zu sensiblen Vorgängen wie dem privaten E-Mail-Zugang, Online-Banking und der Verarbeitung medizinischer Daten.
Diese Kommunikation ist immer auf eine Infrastruktur mit öffentlichem Schlüssel (PKI) angewiesen. Darin überwachen öffentliche Zertifizierungsstellen (CAs) die Bereitstellung digitaler Zertifikate, um sicherzustellen, dass die Einrichtungen, die diese Dienste betreiben und darauf zugreifen, tatsächlich die sind, für die sie sich ausgeben. Außerdem sichern die CAs die Verbindungen zwischen ihnen. Im öffentlichen Internet müssen diese Verbindungen nicht nur sicher, sondern auch vertrauenswürdig sein.
Die vielen Aspekte des öffentlichen Vertrauens
Was ist Vertrauen?
Im Zusammenhang mit einer SSL/TLS-Verbindung geht es um das Vertrauen eines Clients in die Identität des Servers oder einer anderen Partei, mit der er kommuniziert. Um zu verstehen, wie dieses Vertrauen zustande kommt, befassen wir uns hier kurz mit einigen Begriffen zum Thema „Vertrauen“.
Absicherung
Durch die Absicherung lässt sich feststellen, wer und was vertrauenswürdig ist. Wenn Ihnen ein unterschriebenes Dokument ausgehändigt wird, gibt es einige Faktoren, die nachweisen können, dass die Unterschrift rechtmäßig ist. Beispielsweise wenn Sie die Person, die Ihnen das Dokument gibt, persönlich kennen und ihr vertrauen, oder wenn das Dokument einen notariellen Stempel oder ein Siegel enthält. Der Unterzeichnungsvorgang kann auch aufgezeichnet und mit einem Zeitstempel versehen worden sein. Jede dieser Maßnahmen bietet dem Empfänger einen zusätzlichen Grad der Absicherung und erhöht das Vertrauen.
Allgemeine Absicherung
Im obigen Beispiel bedeutet allgemeine Absicherung, dass jemand eine Person beim Wort nimmt, dass das übergebene Dokument echt ist. Auch wenn die Kenntnis der Person die Absicherung etwas erhöht, ist dies dennoch ein Fall von allgemeiner Absicherung.
Starke Absicherung
Die notarielle Beglaubigung eines unterzeichneten Dokuments sorgt für eine hohe Absicherung dahingehend, dass dieses Dokument und die Unterschrift echt sind. Auch wenn man den Notar nicht persönlich kennt, kann man überprüfen, ob er bei der zuständigen Behörde registriert ist. In vielen Staaten sind Notare außerdem verpflichtet, ein Protokoll zu führen, das bei der Überprüfung helfen kann. Ein Videobeweis würde hier für nahezu absolute Gewissheit sorgen.
Allerdings können selbst dann Probleme wie Videoqualität, falsche Identifizierung, Bearbeitung und Fälschungen auftreten, die zu Zweifeln führen können.
Kryptographische Gewissheit
Wenn wir uns aufgezeichnete Aufnahmen eines Unterzeichnungsvorgangs ansehen, erkennen wir anhand des Kontextes die Legitimität des unterzeichneten Dokuments. Ein Zeitstempel zeigt an, dass das Video unbearbeitet ist und zu dem angegebenen Zeitpunkt aufgenommen wurde. Wir können uns auch vergewissern, dass das Dokument, die Unterschrift und die Gegenzeichnung des Notars mit der im Video übereinstimmen. Dies ließe sich noch zusätzlich durch einen Abgleich mit den Protokollen des Notars bestätigen.
Wenn das Dokument verändert wurde oder die Lizenz des Notars zum Zeitpunkt der Unterzeichnung abgelaufen ist, besteht keine Sicherheit mehr und das Dokument und die Unterschrift sind ungültig. Das ist es, was mit Hilfe der kryptographischen Gewissheit erreichbar ist. Sie beschreibt den höchsten Grad an Sicherheit, bei dem wir garantieren können, dass eine Kommunikation oder ein Teil der Daten unverändert ist und aus einer vertrauenswürdigen Quelle stammt.
Offline-Vertrauen vs. Digitales Vertrauen
In der Offline-Welt können wir unsere Umgebung beobachten, um uns zu vergewissern, dass wir uns am richtigen Ort befinden und mit den richtigen Personen sprechen – zum Beispiel ganz einfach mit einem Arzt in einer Praxis. Die Online-Welt dagegen hat uns aus dem persönlichen Umfeld herausgelöst und wir müssen irgendwie nachweisen, dass wir uns im richtigen, digital entsprechenden Raum befinden. Glücklicherweise lassen sich entsprechende Überprüfungen mit Hilfe von Automatisierung durchführen, wodurch ein hohes Maß an Sicherheit und Vertrauen in die Online-Welt geschaffen wird. .
Öffentliches Vertrauen vs. Privates Vertrauen
Beim Einchecken am Flughafen oder bei der Eröffnung eines Bankkontos ist immer eine Art von Identitätsnachweis erforderlich. Entsprechende Ausweisdokumente, beispielsweise Führerschein oder Reisepass, werden in der Regel von staatlichen oder bundesstaatlichen Behörden ausgestellt. Dadurch sind sie öffentlich anerkannt und damit vielseitig einsetzbar.
Das Äquivalent für Vertrauen auf eher privater Ebene wäre ein vom Arbeitgeber ausgestellter Firmenausweis. Mit einem Firmenausweis kann man zwar kein Bankkonto eröffnen, aber im richtigen Kontext hat er natürlich seine Wirkung und Funktion. Es wird vom Arbeitgeber kontrolliert und zeigt anderen, dass Sie sich auf dem Firmengelände aufhalten dürfen. Ein Führerschein hingegen zeigt einem Arbeitgeber vielleicht, wer Sie sind, aber nicht, ob Sie auf das Firmengelände gehören.
Beide Nachweise sind oft auch digital einsetzbar. Ebenso haben verschiedene Zertifikate in der Online-Welt unterschiedliche Funktionen in Bezug auf das Vertrauen, je nachdem, für was und für wen sie ausgestellt werden. Zertifikate werden sowohl für interne als auch für externe Zwecke ausgestellt – einige können öffentlich vertrauenswürdig sein, andere wiederum nicht.
Nachdem wir nun die traditionellen Absicherungshierarchien kennen, betrachten wir jetzt, wer diese Funktionen online innehat bzw. wer die „Notare“ des Internets sind.
Vertrauen in öffentliche Zertifizierungsstellen
Wo wir in der realen Welt einen Notar oder Beglaubigungsschreiben eines Anwalts verwenden; wenden wir uns in der Online-Welt an öffentliche Zertifizierungsstellen. Notare verdienen Vertrauen, da sie die Anforderungen ihrer Gerichtsbarkeit erfüllen und bei den zuständigen Behörden registriert sind. Dieses Vertrauen wird durch ihr Siegel und ihre Unterschrift auf Dokumenten zum Ausdruck gebracht.
Auf ähnliche Weise verdienen sich öffentliche CAs das Vertrauen, indem sie strenge Sicherheits- und Compliance-Anforderungen erfüllen, die von sogenannten „Root Store-Betreibern“ festgelegt wurden. Beispiele für Root Store-Betreiber sind Adobe, Apple, Google, Microsoft und Mozilla. Das Vorhandensein einer CA in einem oder mehreren dieser Root-Stores bestimmt den Grad der Root-Ubiquität.
Das Vertrauen, das öffentliche Zertifizierungsstellen durch diese Root-Programme erhalten, vererbt sich auf die von ihnen ausgestellten digitalen Zertifikate.
Digitale Zertifikate
Digitale Zertifikate sind digitale Dokumente, die dem X.509-Standard entsprechen und in zwei Hauptkategorien unterteilt werden können: Server- und Client-Zertifikate. Digitale Zertifikate enthalten einen öffentlichen Schlüssel und einige Standardfelder, die den Zweck des Zertifikats, die Gültigkeitsdauer und weitere Details definieren, einschließlich der Einrichtung(en), auf die es ausgestellt ist. Die Informationen in einem Zertifikat wurden von der Zertifizierungsstelle digital signiert, was dem Zertifikat Vertrauenswürdigkeit verleiht.
Serverzertifikate, auch SSL- oder TLS-Zertifikate genannt, bescheinigen die Identität eines Servers. Wenn ein Client eine Verbindung zu einer Website herstellt, z. B. zu https://www.globalsign.com/de-de, gewährleisten das TLS-Zertifikat und das Protokoll die Vertraulichkeit, Integrität und Authentizität bei der Datenübertragung.
Während ein TLS-Zertifikat einen Server authentifiziert, gilt ein Client-Zertifikat für andere Entitäten wie Personen, E-Mail-Adressen, Organisationen oder andere Parteien. Client-Zertifikate dienen zum Signieren digitaler Objekte wie CAD-Zeichnungen, Dokumente, E-Mails und Code. Sie verschlüsseln E-Mails und andere Daten und können zur Authentifizierung eines Clients gegenüber einem Server genutzt werden.
Aufbau von Vertrauen
Ein TLS-Zertifikat kann vorgeben, eine bestimmte Website zu zertifizieren. Aber wie können wir darauf vertrauen, dass das Zertifikat der Partei gehört, die diese Website kontrolliert – und nicht einem Betrüger?
Wenn ein Client eine Verbindung zu der Website herstellt, prüft der Browser, welche CA das Zertifikat signiert und ausgestellt hat. In der Regel handelt es sich dabei um ein Zwischenzertifikat. Diese Zwischenzertifikate werden wiederum von einem Root-CA-Zertifikat signiert und ausgestellt. Die Abfolge der Bindung des TLS-Zertifikats durch ein oder mehrere Zwischenzertifikate und schließlich an eine Root-CA wird als Vertrauenskette bezeichnet. Wenn eine Root-CA im Trusted Root Store des Browsers enthalten ist, handelt es sich um ein vertrauenswürdiges Zertifikat.
Zusammenfassung
Wenn wir ein TLS-Zertifikat für die Website ausstellen lassen, hat die Zertifizierungsstelle bestätigt, dass der Antragsteller die Domäne und den privaten Schlüssel kontrolliert. Das Zertifikat wird dann von der Zertifizierungsstelle signiert und verfügt daraufhin über eine Vertrauenskette zurück zu seinem Root-Zertifikat, das ebenfalls Teil eines Root-Programms ist. Der Browser kann all dies überprüfen und bestätigen, dass das Zertifikat weder abgelaufen ist noch widerrufen wurde. Eine TLS-Verbindung bietet die Gewissheit, dass alle genannten Punkte erfüllt sind und eine sichere Verbindung besteht, die sicherstellt, dass die übertragenen Daten verschlüsselt sind und seit der Quelle nicht verändert wurden.
Es wäre für alltägliche Anwendungen äußerst unpraktisch, jede persönliche Interaktion mit Hilfe eines Ausweises zu überprüfen und dann dessen Gültigkeit in der Offline-Welt zu verifizieren. Aber in der digitalen Welt können Äquivalente dieser Überprüfungen automatisiert werden, wodurch eine starke Absicherung für digitale Interaktionen entsteht.
Vertrauen ist die Grundlage für alle weltweiten Transaktionen und Kommunikationen, und das sowohl im physischen als auch im digitalen Raum. Ohne Vertrauen können wir den Schutz unserer Daten und Werte nicht gewährleisten, und viele der Prozesse im Rahmen dieser Kommunikation würden scheitern.
Unternehmen sind auf die Absicherung des Vertrauens zwischen ihnen und ihren Partnern angewiesen, um einen ungestörten Geschäftsbetrieb zu gewährleisten. Ebenso können Unternehmen nur durch Zusammenarbeit mit einer vertrauenswürdigen Zertifizierungsstelle die Sicherheit ihrer Daten, Kommunikation und digitalen Transaktionen gewährleisten.