Zertifikate

Ein digitales Zertifikat dient dazu, seinen Eigentümer eindeutig zu identifizieren. Zu einem Zertifikat gehört ein öffentlicher Schlüssel, mit dem sich prüfen lässt, ob die digitale Signatur, beispielsweise einer E-Mail, tatsächlich mit dem dazugehörigen privaten Schlüssel des Absenders signiert wurde, so dass man von der Echtheit der Nachricht ausgehen kann. Zertifikate dienen außerdem dazu, die Echtheit einer Webseite zu dokumentieren und die Datenübertragung im Internet zu verschlüsseln (siehe Phishing und SSL/TLS ).

Infrastruktur

Eine Methode, die Echtheit von Zertifikaten zu garantieren, ist ein streng hierarchisch aufgebautes System der Zertifizierung, das man als “Public Key Infrastructure” (PKI) bezeichnet. Das meist verwendete kommerzielle Zertifizierungssystem, das auch von Mac-OS X verwendet wird, ist der Standard X.509. An der Spitze der Hierarchie stehen dabei die Root-Zertifikate, die von verschiedenen Zertifizierungsstellen (Certificate Authority) ausgegeben werden und dazu dienen, die Echtheit anderer Zertifikate zu garantieren.

In der Schlüsselbundverwaltung von Mac-OS X sind die Root-Zertifikate im Schlüsselbund “System-Roots” abgelegt, und Programme wie Safari , Mail , iChat oder Camino greifen auf diese Zertifikate zurück, wenn sie ein anderes Zertifikat überprüfen. Root-Zertifikate werden immer als vertrauenswürdig eingestuft. Firefox verwaltet dagegen die Liste mit den Root-Zertifikaten selbst, man findet sie in den Vorgaben unter “Erweitert > Verschlüsselung > Zertifikate anzeigen”. Zertifikate haben nur eine begrenzte zeitliche Gültigkeit, die im Zertifikat jeweils angegeben wird.

Zertifikat für E-Mails

Bei Thawte bekommt man für ein Jahr ein kostenloses Zertifikat. Das ist zwar noch nicht “vertrauenswürdig” (trusted), für den privaten Einsatz aber oft ausreichend. Zudem besteht die Möglichkeit, die eigene Identität über das “Web of Trust” von Thawte bestätigen zu lassen. Zum Ausstellen eines Zertifikats begibt man sich auf die Seite www.thawte.de und klickt dort auf “Sichern Sie Ihre E-Mails”. Daraufhin öffnet sich die englischsprachige Seite “Personal E-mail Certificates”, dort klickt man auf “Join”. Um das Zertifikat anzufordern, gibt man Namen, Vornamen, Geburtstag und Nationalität sowie die E-Mail-Adresse an. Außerdem legt man ein Zugangspasswort für das Benutzerkonto fest sowie Fragen und Antworten für den Fall, dass man das Passwort vergessen hat. Nun bekommt man noch eine Bestätigung, dass eine E-Mail unterwegs ist.

Die von Thawte versandte E-Mail enthält einen Link auf eine Webseite sowie zwei Werte (Probe, Ping), die man auf der Webseite eintippt. Dann geht es weiter mit der Schlüsselanforderung (X.509-Format) und der Auswahl der Bit-Tiefe für den Schlüssel. Sobald der Schlüssel erstellt ist, kommt eine E-Mail mit einem Link, um den Schlüssel abzuholen. Zur Sicherheit muss man sich mit demselben Rechner und demselben Browser anmelden wie bei der Zertifikatsanforderung. Nach der Übertragung des Zertifikats wird es vom Mac-OS automatisch im Schlüsselbund “Anmeldung” abgelegt. Es lässt sich dann in Mail zum Signieren der Nachrichten verwenden (siehe Verschlüsseln ).