X509 Begriffe
Bei X.509 basierten Verfahren im allgemeinen und OpenSSL im besonderen ist ein Überblick über die Begriffe von erheblichem Vorteil.
Certificate (Zertifikat)
- SSL arbeitet mit einem Public-Key Verfahren. Das Zertifikat ist der (RSA) Public-Teil dieses Paares und kann daher offen verteilt werden.
- Ein Zertifikat wurde von einer (Root-)CA signiert.
- Das Zertifikat besteht aus mehreren Komponenten.
- DN des Inhabers
- Der eindeutige (distinguished) Name des Zertfikatsinhabers, der durch dieses Zertfikat identifiziert werden kann.
- DN des Herausgebers
- Distinguished Name des Herausgebers (Issuer), also der CA die dieses Zertifikat signiert hat.
- Seriennumer beim Herausgeber
- Die Seriennummer, unter der dieses Zertifikat beim Herausgeber geführt wird.
- Signatur des Herausgebers
- Der Herausgeber (die CA) signiert das Zertifikat mit dem privaten Schlüssel der CA.
Certificate Signing Request (CSR)
Anfrage um das Zertifikat von einer Root-CA signieren zu lassen. Der CSR enthält den Public-Key und den Distiguished Name des Antragstellers.
Certificate Authority (CA)
Überprüfft CSR hinsichtlich der Angaben der Identität des Antragstellers signiert wenn diese stimmen.
CA Certificate
- CA muß Ihren Public-Key, also Ihr von einer Root-CA signiertes Zertifikat öffentlich zur Verfügung stellen
- Damit können die von Ihr signierten Zertifikate verifiziert werden.
- In den Browsern sind z.B. etliche Zertifikate von CA's vorinstalliert.
DER
- DER ist die Abkürzung für Distinguished Encoding Rules
- Format für die Speicherung und Übermittlung von Zertifikatsdaten.
- DER ist ein binäres Format und kann daher nur 1 DER Objekt per Datei enthalten.
- Alternative zu PEM
Diffie - Hellmann
- Kein Verfahren ist kein Verschlüsselungsverfahren im eigentlichen Sinne.
- Protokoll zum sicheren Austausch von Schlüsseln über offene Kanäle.
- Mit Hilfe dieser Schlüssel kann dann eine Nachricht symmetrisch verschlüsselt und sicher übermittelt werden.
DSA
- Asymmetrischer Kryptographie basierendes Signaturverfahren.
- Nachricht wird mit dem privaten Schlüssel signiert und kann mit dem öffentlichen Schlüssel verifiziert werden.
- Bietet in Verbindung mit Diffie-Hellmann und einem zusätzlichen symmetrischen Verschlüsselungsverfahren (3DES, AES)
- Die Möglichkeit der Verschlüsselung und Signatur von Nachrichten.
PEM
- PEM steht für Privacy Enhanced Mail und ist ein Verfahren für den Austausch von Nachrichten.
- Im Zusammenhang mit X.509 wird PEM häufig als Format für die Übermittlung und Speicherung von Zertifikatsdaten genutzt.
- Bietet gegenüber DER mehrere Vorteile.
- Daten sind Base64 encoded, so dass keine Binärdaten vorkommen.
- Aus diesem Grund kann eine PEM Datei auch mehrere PEM Objekte enthalten.
- Daten können vor der Konvertierung ins PEM Format verschlüsselt werden.
PKCS
- Public Key Cryptography Standards.
- Standards von den RSA Laboratories zur Spezifikation gängiger kryptographischer Datenstrukturen, Datenelemente und Verfahren.
PKCS#10
- beschreibt den Aufbau eines Certificate Signing Requests, also einer Anfrage an eine CA,
- einen Public Key zu signieren.
- CSR nach PKCS#10 besteht aus
- dem voll qualifizierten Namen (FQDN) des Zertifikats
- dem Public-Key
- Zusätzlich können weitere optionale Attribute angegeben werden, die mit dem privaten Schlüssel signiert werden.
RSA
- asymmetrisches Verschlüsselungsverfahren, dass mit dem gleichen Schlüsselpaar die Möglichkeit bietet Nachrichten zu verschlüsseln und zu signieren und damit zu verifizieren.